11 nov. 2019

PCI DSS v.3.2.1 y la implementación de NIST CSF

El marco de trabajo de ciberseguridad del NIST (NIST Cybersecurity Framework – NIST CSF) se ha convertido en uno de los documentos de referencia más reconocidos y completos para gestionar el establecimiento y monitorización de una estrategia de ciberseguridad. Desde su primera publicación en el año 2014 entró a complementar a otros marcos de trabajo y estándares más maduros (como CIS CSC, COBIT o ISO/IEC 27001:2013), logrando bastante aceptación por su facilidad de implementación, documentación disponible (incluyendo una traducción al español), herramientas para facilitar su implementación y arquitectura. Ha sido desarrollado por el Gobierno de EE.UU. a través del Instituto Nacional de Estándares y Tecnología (National Institute of Standards and Technology – NIST) como guía de implementación voluntaria para responsables y operadores de infraestructuras críticas para prevenir, detectar y responder ante ataques cibernéticos a través de una taxonomía de alto nivel y una metodología asociada para evaluar y gestionar sus resultados, permitiendo a las organizaciones realizar las siguientes tareas:
  1. Describir su postura actual de seguridad cibernética.
  2. Describir su objetivo deseado para seguridad cibernética.
  3. Identificar y priorizar oportunidades de mejora dentro del contexto de un proceso continuo y repetible.
  4. Evaluar el progreso hacia el objetivo deseado.
  5. Comunicarse entre las partes interesadas internas y externas sobre el riesgo de seguridad cibernética.

Figura 1. Línea del tiempo del desarrollo del NSF

Este marco de trabajo está dividido en tres partes principales:

  • Núcleo (Core): Es un conjunto de actividades de seguridad cibernética, resultados deseados y referencias aplicables que son comunes en todos los sectores de infraestructura crítica. El Núcleo presenta estándares, directrices y prácticas de la industria de una manera que permite la comunicación de las actividades y los resultados de seguridad cibernética en toda la organización, desde el nivel ejecutivo hasta el nivel de implementación u operaciones. El Núcleo del Marco consta de cinco funciones simultáneas y continuas: Identificar, Proteger, Detectar, Responder y Recuperar.
  • Los Niveles de Implementación del Marco (Levels) proporcionan un contexto sobre cómo una organización considera el riesgo de seguridad cibernética y los procesos establecidos para gestionar dicho riesgo. Los Niveles caracterizan las prácticas de una organización en un rango, desde Parcial (Nivel 1) hasta Adaptable (Nivel 4). Estos Niveles reflejan una progresión desderespuestas informales y reactivas a enfoques que son ágiles einformados sobre los riesgos.
  • Perfil del Marco (Profile), que representa los resultados que se basan en las necesidades empresariales que una organización ha seleccionado de las categorías y subcategorías del Marco. El Perfil se puede caracterizar como la alineación de estándares, directrices y prácticas con el Núcleo del Marco en un escenario de implementación particular. Los Perfiles se pueden utilizar para identificar oportunidades para mejorar la postura de seguridad cibernética comparando un Perfil «actual» (el estado «tal como está«) con un Perfil "objetivo" (el estado "por ser").

Figura 2. Arquitectura del marco de trabajo de ciberseguridad del NIST (NIST CSF)

Se puede encontrar información adicional del marco de trabajo del NIST en el documento "MARCO NIST CIBERSEGURIDAD: Un abordaje integral de la Ciberseguridad" de la Organización de Estados Americanos (OEA) y Amazon Web Services (AWS).

PCI DSS + NIST CSF: llevando el cumplimiento normativo a otro nivel

El PCI SSC (Payment Card Industry Security Standards Council) publicó en julio de 2019 el documento «Mapping PCI DSS v. 3.2.1 to the NIST Cybersecurity Framework v. 1.1» en el cual integra los requerimientos de seguridad del estándar PCI DSS v3.2.1 con el NIST Cybersecurity Framework v1.1. De esta forma, aquellas entidades que usen el NIST CSF como marco referencial para su estrategia de seguridad corporativa podrán integrar los requerimientos para la protección de los datos de tarjetas de pago dentro de un mismo marco global de trabajo.

Figura 3. Integración entre NIST CSF y PCI DSS

En este caso, es importante tener en cuenta que PCI DSS provee requerimientos de seguridad específicos para la protección de los datos de tarjetas de pago, mientras que el marco de trabajo de ciberseguridad del NIST (NIST CSF) proporciona objetivos más amplios en términos de seguridad y gestión de riesgos, sin limitarse solamente a los datos de tarjetas de pago. En este sentido, ambos documentos son complementarios pero no son excluyentes ni intercambiables.

Previamente, el NIST CSF ya incluía un mapeo con otros estándares y marcos de trabajo. El PCI SSC ha complementado dicho mapeo incluyendo PCI DSS v3.2.1:

Figura 4. Mapeo de requerimientos de PCI DSS dentro de NSC

De esta manera, se facilita la identificación de elementos comunes entre los objetivos de seguridad corporativos, permitiendo que la organización pueda realizar ejercicios de auto-evaluación para determinar la efectividad y madurez de los controles implementados y prepararse ante una evaluación de PCI DSS, de NIST CSF o de ambos.

Fuente: PCI Hispano

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!