Revisión de resiliencia cibernética
La Cyber Resilience Review ( CRR ) [1] es un método de evaluación desarrollado por el Departamento de Seguridad Nacional de los Estados Unidos (DHS). Es un examen voluntario de resiliencia operativa y prácticas de seguridad cibernética ofrecido sin costo por DHS a los operadores de infraestructura crítica y gobiernos estatales, locales, tribales y territoriales. El CRR tiene un enfoque orientado al servicio, lo que significa que uno de los principios fundamentales del CRR es que una organización despliega sus activos (personas, información, tecnología e instalaciones) para respaldar misiones (o servicios) operativas específicas. El CRR se ofrece en un formato de taller facilitado y como un paquete de autoevaluación. [2]La versión del taller del CRR está dirigida por un facilitador del DHS en una instalación de infraestructura crítica. El taller suele tardar entre 6 y 8 horas en completarse y recurre a una muestra representativa del personal de la organización de infraestructura crítica. Toda la información recopilada en un CRR facilitado está protegida contra divulgación por la Ley de Información de Infraestructura Crítica Protegida de 2002. Esta información no se puede divulgar a través de una solicitud de la Ley de Libertad de Información , ni se puede usar en litigios civiles ni con fines normativos. [3] El paquete de autoevaluación de CRR [4] permite a una organización realizar una evaluación sin necesidad de asistencia directa del DHS. Está disponible para su descarga desde el sitio web del Programa Voluntario de la Comunidad Cibernética de Infraestructura Crítica del DHS.[5] El paquete incluye una herramienta automatizada de captura de respuestas de datos y generación de informes, una guía de facilitación, una explicación completa de cada pregunta y un cruce de prácticas de CRR con los criterios del Marco de Seguridad Cibernética del Instituto Nacional de Estándares y Tecnología (NIST). [6] [7] Las preguntas formuladas en el CRR y el informe resultante son las mismas en ambas versiones de la evaluación. DHS se asoció con la División CERT del Instituto de Ingeniería de Software de la Universidad Carnegie Mellon para diseñar e implementar el CRR. Los objetivos y prácticas encontrados en la evaluación se derivan del Modelo de Gestión de Resiliencia CERT (CERT-RMM) Versión 1.0. [8]La CRR se introdujo en 2009 y recibió una revisión significativa en 2014. [9]
La CRR comprende 42 objetivos y 141 prácticas específicas extraídas del CERT-RMM y organizadas en 10 dominios): [10]
Cada dominio se compone de una declaración de propósito, un conjunto de objetivos específicos y preguntas de práctica asociadas únicas para el dominio, y un conjunto estándar de preguntas de Nivel de Indicador de Madurez (MIL). Las preguntas MIL examinan la institucionalización de las prácticas dentro de una organización. El desempeño de una organización se califica con una escala MIL. [11]los administradores supervisarán el dominio en particular y evaluarán la efectividad de las actividades de seguridad que comprende el dominio. El número de objetivos y preguntas de práctica varía según el dominio, pero el conjunto de preguntas MIL y los conceptos que abarcan son los mismos para todos los dominios. Todas las preguntas de CRR tienen tres respuestas posibles: "Sí", "No" e "Incompleta". El CRR mide el desempeño de una organización en los niveles de práctica, meta, dominio y MIL. Las puntuaciones se calculan para cada uno de los elementos individuales del modelo y en totales agregados. La rúbrica de puntuación establece lo siguiente: El CRR mide el desempeño de una organización en los niveles de práctica, meta, dominio y MIL. Las puntuaciones se calculan para cada uno de los elementos individuales del modelo y en totales agregados. La rúbrica de puntuación establece lo siguiente: El CRR mide el desempeño de una organización en los niveles de práctica, meta, dominio y MIL. Las puntuaciones se calculan para cada uno de los elementos individuales del modelo y en totales agregados. La rúbrica de puntuación establece lo siguiente:
