El día 4 de julio de este año, hace menos de una semana se dio a conocer el Guía de notificación y Gestión de Incidentes de Ciberseguridad link una excelente iniciativa como los entes de Gobierno y, por que no, los privados deberían de manejar la gestión de los incidentes, las denuncias entre otras cosas en ciberseguridad.
En primer lugar me gustaría mencionar de los antecedentes normativos internacionales de donde se sustenta el presente documento, como fundamental el framework de ciberseguridad NIST (Inicio rápido), en este caso es interesante porque el ciclo es muy claro pero hay que tener en cuenta; por un lado NIST enfoca a infraestructura critica link lo cual es muy importante cuando se trata de entender como funcionan en forma conjunta y cumplir el ciclo NO alcanza si no se tiene conciencia del enfoque, por otro lado la gestión de riesgo link . De esta manera NIST nos propone cumplir el ciclo teniendo el foco de la infraestructura critica como variable de riesgo. Nos invita a pensar el análisis en un trabajo en conjunto entre las mismas normas del organismo, por lo tanto nos invita a reflexionar sobre un trabajo en equipo inter y multi disciplinario.
La siguiente norma internacional ya estandarizada es la ISO 27001 en mi red hay muy buenos profesionales en la temática por lo que no la voy a profundizar.
Con respecto a ENISA invito a recorrer su sitio web, me llamo la atención el ítem que menciona la creación de capacidades cosa que en Argentina no se hace ni en el ámbito privado ni en el estado, algo que debería ser frecuente es instalar la capacidad de conciencia en ciberseguridad no solo cumplir con la norma para que no llegue una posible sanción. Instalar la capacidad quiere decir formar a las personas como eslabones fundamentales para poder lograr que la ciberseguridad funcione correctamente en una empresa.
Tener estos marcos normativos nos muestra un camino a recorrer interesante desde el Estado el ajustarse nos brindara mejor sensación de seguridad y confianza en la protección de nuestros datos.
Autor: Jorge Martín Vila – Cyber Intelligence Senior Analyst