El Instituto Nacional de Estándares y Tecnología (NIST) ha publicado el borrador de la guía ‘Publicación especial NIST (SP) 800-55 Revisión 2: Guía de medición para la seguridad de la información’. El documento, compuesto por dos volúmenes, ofrece orientación sobre el desarrollo de un programa eficaz y un enfoque flexible para desarrollar medidas de seguridad de la información que cumplan con el desempeño de los objetivos de la organización.
La publicación está diseñada para usarse junto con cualquier marco de gestión de riesgos, como el Marco de ciberseguridad o el Marco de gestión de riesgos del NIST. Su objetivo es ayudar a las organizaciones a pasar de declaraciones generales sobre el nivel de riesgo a una imagen más coherente basada en datos concretos.
Según los autores, para conseguir los objetivos implica pasar de descripciones cualitativas del riesgo (utilizando categorías amplias como nivel de riesgo alto, medio o bajo) a descripciones cuantitativas que conllevan menos ambigüedad y subjetividad.
El equipo del NIST desarrolló el nuevo borrador de la guía en parte en respuesta a solicitudes públicas y comentarios de una convocatoria de comentarios previa al borrador. Gran parte de esa retroalimentación citó la mayor disponibilidad de datos relacionados con la seguridad junto con la incertidumbre sobre cómo dar un uso efectivo a estos datos.
Temas que abordan los dos volúmenes
Los dos volúmenes están dirigidos a diferentes públicos dentro de una organización. El primero, escrito principalmente para especialistas en seguridad de la información, proporciona orientación sobre cómo una organización puede priorizar, seleccionar y evaluar medidas específicas para determinar la idoneidad de la seguridad que ya existe.
El segundo, dirigido principalmente a la alta dirección, describe cómo una organización puede desarrollar un programa de medición de la seguridad de la información y ofrece un flujo de trabajo de varios pasos para implementarlo a lo largo del tiempo.
Los autores señalan que las descripciones cualitativas son apropiadas en determinadas circunstancias y que algunas organizaciones podrían querer utilizar una combinación de enfoques cualitativos y cuantitativos. Pero centrarse en la medición puede ayudar a la comunicación dentro de una organización, ayudando potencialmente a mejorar tanto la seguridad como la asignación de recursos.