En esta oportunidad nos pareció oportuno escribir algo sobre un tema más que presente al momento de diseñar un Programa de Ciberseguridad y tiene que ver con a qué ponerle foco. Los recursos son escasos, tanto económicos como humanos, por lo tanto cada minuto y cada centavo, debe ser bien aprovechado.
Cuando realizamos un Diagnóstico de Ciberseguridad la gestión de activos suele ser un tópico muy desafiante, sobre todo lo referente a inventarios. En este sentido, al querer #HacerLasCosasBien⚡ sugerimos al menos tener identificado aquello que tiene un impacto relevante para el negocio o los servicios que queremos proteger, sin omitir que todos los activos deben estar en un inventario, pero pensando en avanzar sobre lo importante, al menos lo crítico debe estar relevado 📋
Si bien no hay un lista de lo que es más importante, al momento de relevar los flujos de datos, suelen encontrarse acuerdo al menos en la siguiente lista:
Datos Personales Clientes.
Datos Sensibles.
Datos alcanzados por PCI-DSS.
Fórmulas.
Secretos Comerciales.
Roadmap Fusiones/Adquisiciones.
Sistemas o Servicios Críticos para mantener el negocio (deberían mapearse con BIA y el más desafiante RTO/RPO).
Suele considerarse “Crown Jewels 👑” a aquellos datos que realmente podrían comprometer la operación del negocio e incluso la existencia de la Organización. Es decir, lo más importante por sobre lo importante 🚨.
<aside> 📝 Recomendamos que cada Organización realice su relevamiento de “Crown Jewels” y lo tenga debidamente identificado en el inventario de activos.
</aside>
<aside> ⚠️ Es importante tener en cuenta que este artículo pone foco en las amenazas asociadas a la fuga de información o brecha de datos, por sobre aquellas que pudieran afectar la disponibilidad. Por ejemplo, caída de plataforma e-commerce. Sin embargo, en un “Programa de Ciberseguridad” este tipo de amenazas deben formar parte de la gestión de los riesgos 🚥.
</aside>
Para identificar lo más importante, se deben ejecutar distintas iniciativas y luego en el día a día (business as usual), se debe contar con los procesos que permitan retroalimentar el proceso, por ejemplo, si se descubre en el análisis post-incidente, que los datos afectados realmente tienen categoría de “Crown Jewels”👑.
Sin embargo, la identificación de lo más importante, es un ejercicio que debe involucrar a toda la Organización, dado que cada área debe identificar los flujos de datos que utiliza, asignando una relevancia a cada uno de ellos, debido a que nadie mejor que el negocio conoce el valor de los datos que utiliza. Ahora bien, es muy importante una vez que se colectan los flujos de datos (de ser posible, sin excluir ninguno), realizar el mapeo de los activos digitales, que brindan algún tipo de tratamiento a dichos flujos, por ejemplo: procesamiento, almacenamiento, transmisión, autenticación, etc. Para ello se debe trabajar muy cerca de los equipos técnicos, dado que son los que mejor conocen el entorno.
Finalmente, se deben validar los resultados con los referentes del negocio y en una siguiente instancia, obtener la aprobación del board, ya que la última palabra está en la Dirección de la Organización.
En nuestra experiencia, los datos que finalmente son considerados “Crown Jewels”👑 son muy pocos, pero los más importantes.
A partir de que se logra el entendimiento común de qué es lo más importante, entonces el “Programa de Ciberseguridad” tendrá mayor foco y aprovechamiento, ya que toda la Organización entenderá qué es lo que vamos a proteger con mayor foco de atención.
Fuente: Lucidchart - Mindmap.
Como comentamos, la identificación de “Crown Jewels”👑 permite a la Organización conocer qué es lo más importante, bajo un enfoque metodológico, formal y continua (BAU), sin embargo, cuando el entorno se analiza con un enfoque basado en riesgos, hay activos que de todas formas deberán protegerse, ya que la identificación realizada no excluye a los activos digitales que deben estar alcanzados de igual manera por una simple razón de “CyberHygiene”. Es decir, hay protecciones que les aplican a todos, sólo por estar o tener acceso a nuestra red o a nuestros datos, sin embargo, es muy probable que para las “Crown Jewels” haya un foco y recursos adicionales, dado que las medidas de seguridad podrían requerir mayor complejidad y/o especialización.
Desde SECURETECH⚡#HacerLasCosasBien hemos diseñado servicios para trabajar poniendo foco en lo más importante, más detalles aquí Ciberseguridad Digital.
NIST Special Publication (SP) 800-100, Information Security Handbook: A Guide for Managers