El marco de gestión de riesgos (RMF) es un conjunto de criterios que dictan cómo los sistemas de TI del gobierno de los Estados Unidos deben ser diseñados, protegidos y monitoreados.

originalmente desarrollado por el Departamento de Defensa (DoD), el RMF fue adoptado por el resto de los sistemas de información federales de Estados Unidos en 2010. Hoy en día, el Instituto Nacional de estándares y Tecnología (NIST) mantiene el NIST y proporciona una base sólida para cualquier estrategia de seguridad de datos.,

La RMF se basa en varias anterior gestión del riesgo de marcos e incluye varios procesos independientes y sistemas. Requiere que las empresas implementen sistemas de gobernanza de datos seguros y realicen modelos de amenazas para identificar áreas de riesgo cibernético.

en esta guía, le llevaremos a través de todo lo que necesita saber sobre el RMF. Vamos a desglosar los componentes del framework en varias secciones:

• ¿Qué comprende el RMF?,
• Los 5 componentes de gestión de riesgos
• Los 6 pasos del RMF
• Los beneficios del RMF para las empresas
• Cómo Varonis puede ayudarlo a cumplir con el RMF

¿qué comprende el marco de gestión de riesgos?

El concepto general de «gestión del riesgo» y el «marco de gestión del riesgo» pueden parecer bastante similares, pero es importante entender la distinción entre ambos. El NIST detalla específicamente el proceso de gestión de riesgos en varios marcos subsidiarios.

el más importante es el elegantemente titulado » NIST SP 800-37 Rev.,1″, que define el RMF como un proceso de 6 pasos para diseñar y diseñar un proceso de seguridad de datos para nuevos sistemas de ti, y sugiere las mejores prácticas y procedimientos que cada agencia federal debe seguir al habilitar un nuevo sistema.,

además del documento principal SP 800-37, el RMF utiliza los documentos complementarios SP 800-30, SP 800-53, SP 800-53a y SP 800-137:

• NIST SP 800-30, titulado Guía para realizar evaluaciones de riesgos, proporciona una visión general de cómo la gestión de riesgos encaja en el ciclo de vida de desarrollo del sistema (SDLC) y describe cómo realizar evaluaciones de riesgos y cómo mitigar los riesgos.
• NIST SP 800-37 analiza el marco de gestión de riesgos en sí y contiene gran parte de la información que cubriremos en el resto de esta guía.,
• Finalmente, NIST SP 800-39, titulado gestión del riesgo de seguridad de la información, define el enfoque de gestión de Riesgos de múltiples niveles en toda la organización, crucial para alcanzar el cumplimiento con el RMF.

los 5 Componentes de gestión de riesgos

al comenzar con el RMF, puede ser útil dividir los requisitos de gestión de riesgos en diferentes categorías. Estas categorías proporcionan una forma de trabajar hacia un sistema de gestión de riesgos eficaz, desde identificar los riesgos más críticos que enfrenta hasta cómo los mitigará.,

Identificación del riesgo

la primera parte, y posiblemente la más importante, del RMF es realizar la identificación del riesgo. NIST dice: «los factores de riesgo típicos incluyen Amenaza, vulnerabilidad, impacto, probabilidad y condición predisponente.»Durante este paso, hará una lluvia de ideas sobre todos los posibles riesgos que pueda imaginar en todos sus sistemas y luego los priorizará utilizando diferentes factores:

• Las amenazas son eventos que podrían dañar a la organización por intrusión, destrucción o divulgación.,
• Las vulnerabilidades son debilidades en los sistemas de TI, Seguridad, procedimientos y controles que pueden ser explotados por malos actores (internos o externos).
• El impacto es una medida de cuán grave sería el daño a la organización si una vulnerabilidad o Amenaza en particular se ve comprometida.
• La probabilidad es una medida del factor de riesgo basado en la probabilidad de un ataque a una vulnerabilidad específica.,
• Las condiciones predisponentes son un factor específico dentro de la organización que aumenta o disminuye el impacto o la probabilidad de que una vulnerabilidad entre en juego.

Medición y Evaluación de riesgos

Una vez que haya identificado las amenazas, vulnerabilidades, impacto, probabilidad y condiciones predisponentes, puede calcular y clasificar los riesgos que su organización necesita abordar.

mitigación de riesgos

las organizaciones toman la lista de clasificación anterior y comienzan a descubrir cómo mitigar las amenazas de la mayor a la menor., En algún momento de la lista, la organización puede decidir que no vale la pena abordar los riesgos por debajo de este nivel, ya sea porque hay pocas probabilidades de que esa amenaza se explote, o si hay demasiadas amenazas mayores que gestionar de inmediato para encajar las amenazas bajas en el plan de trabajo.

notificación y monitoreo de riesgos

El RMF requiere que las organizaciones mantengan una lista de riesgos conocidos y monitoreen los riesgos conocidos para el cumplimiento de las políticas., Las estadísticas sobre violaciones de datos indican que muchas empresas todavía no informan todos los ataques exitosos a los que están expuestas, lo que podría afectar a sus pares.

gobernanza del riesgo

finalmente, todos los pasos anteriores deben codificarse en un sistema de gobernanza del riesgo.

los 6 pasos del marco de gestión de riesgos (RMF)

en el nivel más amplio, el RMF requiere que las empresas identifiquen a qué sistemas y riesgos de datos están expuestas e implementen medidas razonables para mitigarlos., El RMF desglosa estos objetivos en seis etapas interconectadas pero separadas.

categorizar los sistemas de información

• utilice los estándares NIST para categorizar la información y los sistemas para que pueda proporcionar una evaluación de riesgos precisa de esos sistemas.
• NIST le dice qué tipos de sistemas e información debe incluir.
• Y qué nivel de seguridad necesita implementar en función de la categorización.

referencias: FIPS Publication 199, Standards for Security Categorization of Federal Information and Information Systems; Special Publication 800-60 Rev., 1 (Volume 1, Volume 2), Guide for Mapping Types of Information and Information Systems to Security Categorie

Select Security Controls

seleccione los controles de seguridad apropiados de la publicación 800-53 del NIST para «facilitar un enfoque más consistente, comparable y repetible para seleccionar y especificar controles de seguridad para sistemas.»

References: Special Publication 800-53 Security and Privacy Controls for Federal Information Systems and Organizations ed. nota la versión actualizada de 800-53 entra en vigor el 23 de septiembre de 2021. Estén atentos para más detalles.,

implemente controles de seguridad

coloque los controles que seleccionó en el paso anterior y documente todos los procesos y procedimientos que necesita para mantener su funcionamiento.

referencias: múltiples publicaciones proporcionan las mejores prácticas para implementar controles de seguridad. Echa un vistazo a esta página para buscarlos.

evalúe los controles de seguridad

asegúrese de que los controles de seguridad que implementó funcionan de la manera que necesitan para que pueda limitar los riesgos para su operación y sus datos.,

autorizar sistemas de información

¿funcionan correctamente los controles de seguridad para reducir el riesgo para la organización? ¡Entonces ese control en ese sistema está autorizado! Felicidades!

referencias: publicación especial 800-37 Rev. 2 Risk Management Framework for Information Systems and Organizations: a System Life Cycle Approach for Security and Privacy

supervisar los controles de seguridad

supervisar y evaluar continuamente la eficacia de los controles de seguridad y realizar cambios durante el funcionamiento para garantizar la eficacia de esos sistemas., Documente cualquier cambio, realice análisis de impacto regulares e informe el estado de los controles de seguridad a sus funcionarios designados.

referencias: publicación especial 800-37 Rev. 2 Risk Management Framework for Information Systems and Organizations: a System Life Cycle Approach for Security and Privacy

How Can An Effective Risk Management Framework Benefit A Business?

aunque el RMF es un requisito para las empresas que trabajan con el Gobierno de los Estados Unidos, la implementación de un sistema de gestión de riesgos eficaz puede beneficiar a cualquier empresa., El objetivo final de trabajar hacia el cumplimiento de RMF es la creación de un sistema de gobernanza de datos y activos que proporcione protección de espectro completo contra todos los riesgos cibernéticos que enfrenta.

más específicamente, desarrollar un marco práctico de gestión de riesgos proporcionará a una empresa varios beneficios específicos:

protección de activos

un marco de gestión de riesgos efectivo priorizará la comprensión de los riesgos que enfrenta su negocio para tomar las medidas necesarias para proteger sus activos y su negocio., Esto significa que un marco de gestión de riesgos integral le ayudará a proteger sus datos y sus activos.

gestión de la reputación

la gestión de la reputación es una parte esencial de las prácticas comerciales modernas, y limitar las consecuencias perjudiciales de los ciberataques es una parte integral para garantizar que su reputación esté protegida. Los consumidores en los Estados Unidos son cada vez más conscientes de la importancia de la privacidad de los datos, no solo porque las leyes de privacidad de los Estados Unidos son cada vez más estrictas. Una violación de datos dañará la reputación de su negocio., Un marco de gestión de riesgos eficaz puede ayudar a las empresas a analizar rápidamente las brechas en los controles a nivel empresarial y desarrollar una hoja de ruta para reducir o evitar los riesgos reputacionales.

protección de PI

casi todas las empresas tienen propiedad intelectual que debe protegerse, y un marco de gestión de riesgos se aplica tanto a esta propiedad como a sus datos y activos. Si vende, ofrece, distribuye o proporciona un producto o servicio que le da una ventaja competitiva, está expuesto a un posible robo de Propiedad Intelectual., Un marco de gestión de riesgos ayuda a proteger contra posibles pérdidas de ventaja competitiva, oportunidades de negocio e incluso riesgos legales.

análisis de la competencia

finalmente, desarrollar un marco de gestión de riesgos puede tener impactos beneficiosos en el funcionamiento fundamental de su negocio. Al catalogar los riesgos a los que se enfrenta y tomar medidas para mitigarlos, también estará recopilando una gran cantidad de información valiosa sobre el mercado en el que opera, y esto, en sí mismo, puede brindarle una ventaja competitiva sobre sus pares.

¿cómo puede Varonis ayudarle a cumplir?,

la regulación NIST y el RMF (de hecho, muchos de los estándares de seguridad de datos y regulaciones de cumplimiento) tienen tres áreas en común:

• identifique sus datos y sistemas sensibles y en riesgo (incluidos usuarios, permisos, carpetas, etc.).);
• proteger esos datos, administrar el acceso y minimizar la superficie de riesgo;
• monitorear y detectar lo que está sucediendo en esos datos, Quién está accediendo a ellos, e identificar cuando hay un comportamiento sospechoso o actividad de archivo inusual.,

la plataforma de seguridad de datos Varonis permite a las agencias federales gestionar (y automatizar) muchas de las recomendaciones y requisitos del RMF.

DatAdvantage and Data Classification Engine identifica los datos confidenciales en los almacenes de datos principales y asigna los permisos de usuario, grupo y carpeta para que pueda identificar dónde están sus datos confidenciales y quién puede acceder a ellos. Saber quién tiene acceso a sus datos es un componente clave de la fase de evaluación de riesgos, definida en NIST SP 800-53.,

El análisis de seguridad de Datos ayuda a cumplir con el requisito NIST SP 800-53 de monitorear constantemente sus datos: Varonis analiza miles de millones de eventos de la actividad de acceso a datos, VPN, DNS y actividad de proxy, y Active Directory, y crea automáticamente perfiles de comportamiento para cada usuario y dispositivo. Los modelos de amenazas basados en aprendizaje automático identifican proactivamente comportamientos anormales y amenazas potenciales como ransomware, malware, ataques de fuerza bruta y amenazas internas.

NIST SP 800-137 establece pautas para proteger sus datos y requiere que la agencia cumpla con un modelo de mínimo privilegio., DatAdvantage emerge donde los usuarios tienen acceso que tal vez ya no necesiten. Automation Engine puede limpiar permisos y eliminar grupos de acceso global automáticamente. DataPrivilege agiliza los permisos y la gestión de acceso mediante la designación de propietarios de datos y la automatización de las revisiones de derechos.

si bien el marco de gestión de Riesgos es complejo en la superficie, en última instancia, es un enfoque lógico y sin sentido para las buenas prácticas de seguridad de datos: vea cómo Varonis puede ayudarlo a cumplir con las directrices de RMF NIST SP 800-37 hoy.,

una última palabra

trabajar hacia el cumplimiento de RMF no es solo un requisito para las empresas que trabajan con el Gobierno de los Estados Unidos. Si implementa una evaluación de riesgos y una estrategia de gobierno de manera efectiva, también puede proporcionarle muchos beneficios operativos.

el enfoque principal de sus procesos RMF debe estar en la integridad de los datos, ya que es probable que las amenazas a los datos sean las más críticas a las que se enfrenta su negocio. Es por eso que hemos creado nuestra suite de software Varonis con características que le permiten implementar de manera rápida y efectiva un proceso de evaluación de riesgos y gobernanza.