Descifrando el código: Cómo poner en práctica el marco Essential 8

¿Qué es el Marco Esencial de los Ocho? 

En noviembre de 2023, la Estrategia Nacional Australiana de Ciberseguridad se actualizó para reflejar la transición de una estrategia de "defensa" a una de "preparación". Este cambio estratégico se aplica a todos los sectores y organismos gubernamentales de Australia. Para facilitar esta transición, la Dirección Australiana de Señales (ASD) desarrolló el marco de cumplimiento "Essential 8", un componente importante de este cambio en la estrategia nacional de ciberseguridad. Está diseñado para ayudar a las organizaciones a medir la madurez de sus programas de ciberseguridad y gestión de riesgos. Essential 8 cuenta con 148 controles que se agrupan en 8 áreas tecnológicas fundamentales clave para definir los estándares de cumplimiento.

El desafío de integración y visibilidad de Essential 8

Microsoft influyó significativamente en la implementación de Essential 8 y, aunque no se menciona explícitamente, muchos controles están asignados a tecnologías de Microsoft. Esto no es malo ni una crítica a Microsoft; les reconozco su influencia. Sin embargo, la realidad es que no todos los gobiernos o empresas cuentan con productos Microsoft. Para ellos, implementar Essential 8 presenta varios desafíos. 

Informes de cumplimiento continuo 

Implementar de forma eficiente informes Essential 8 fáciles de entender para entornos distribuidos puede ser todo un reto. Las organizaciones necesitan poder informar tanto sobre la postura de riesgo puntual como sobre el estado en tiempo real del marco Essential 8. Las soluciones de automatización de seguridad independientes del proveedor, como Swimlane Turbine, pueden ayudar a resolver este desafío de los informes de cumplimiento. 

Paneles de control en tiempo real para Essential 8 

Para ampliar el desafío del cumplimiento, las organizaciones australianas también necesitan paneles de control en tiempo real que puedan establecer una comprensión de base de su postura de seguridad en relación con Essential 8. Hay dos formas fundamentales de completar un panel de control multifactor como este. 

1. Integración e ingestión – Integrar todos los sistemas e ingerir la telemetría necesaria para informar sobre los controles Essential 8 y el marco de madurez. 
2. Evaluación - Cree una evaluación automatizada que actúe como una escala ambiental para examinar la postura de riesgo Essential 8 de su organización. Las respuestas a las preguntas de la evaluación se utilizan para completar el panel. 

Detrás de escena del panel de control de Swimlane Essential 8 

Analizamos ambos métodos al crear el panel Essential 8 de Swimlane para nuestros clientes australianos. Consulte este... vídeo de demostración De mi amigo y colega, Gavin Coulthard, para ver el resultado final. Si tienes curiosidad, sigue leyendo este blog para descubrir más perspectivas y lecciones aprendidas en el proceso. 

Existen ventajas y desventajas tanto en la integración como en los métodos de evaluación para la creación de paneles de control. Optamos por el método de evaluación para generar un informe base rápido de Essential 8. Esta evaluación personalizada puede analizar herramientas internas y de terceros para recopilar información de la pila tecnológica existente y preguntas basadas en la experiencia humana. La capacidad de Turbine para procesar e interpretar la documentación hizo de este proceso de evaluación una excelente opción para nosotros. Esta auditoría inicial tarda un par de días y genera un registro de auditoría completo con evidencia empírica sobre la madurez del marco Essential 8. 

De los 8 esenciales a los marcos de cumplimiento múltiple 

La complejidad de la automatización del cumplimiento y los desafíos de visibilidad no terminan con Essential 8. Muchas empresas y proveedores de servicios de gestión de cumplimiento (MSSP) necesitan cumplir con múltiples marcos de cumplimiento. Como proveedores de soluciones de automatización, nuestro siguiente reto fue proporcionar a los clientes un sistema central de registro para todos sus marcos de cumplimiento. Nuestro objetivo era ofrecer una solución que permitiera a todos los clientes controlar múltiples marcos desde una única ubicación. Esto requería la capacidad de comprender y auditar cada control en relación con su ciclo de vida específico. 

Así que tenemos claro el reto, la fuente de referencia y estamos listos para implementarlo. No soy el experto en tecnología de esta historia, sino mi arquitecto, Gavin Coulthard. Él aprovechó los informes prediseñados de nuestro CISO, quien creó su propio entorno para gestionar su cumplimiento con el NIST, y en aproximadamente dos semanas se creó la solución de automatización multicumplimiento. 

¿Qué hace que la solución de automatización de cumplimiento múltiple Swimlane sea única? 

Eso suena muy bien y lo es, pero no es tan sencillo. Hay algunas preguntas obvias para cualquiera que lea esto y tenga amplia experiencia en este campo: ¿no existen ya productos que lo hagan? 

La respuesta a eso es sí y no. 

• Sí - Existen productos específicos para la gestión del cumplimiento. Casi todos tienen, en mi opinión, un punto óptimo de cumplimiento, ya que han evolucionado a partir de lo que se podría describir como un cumplimiento específico de la industria. Estos productos son altamente especializados y están diseñados para industrias donde la legislación sobre regularidad exige su adopción. Un ejemplo clásico son los servicios financieros, donde algunos sectores del sector están altamente regulados y el cumplimiento es una herramienta utilizada para aplicar dicha legislación. 
• No La mayoría de las soluciones no buscan integrar todos los marcos de cumplimiento ni las fuentes de telemetría en una vista unificada. Este mismo reto de integrar, correlacionar y optimizar la complejidad es precisamente la fortaleza de Swimlane. La flexibilidad y una interfaz de usuario altamente componible son las dos cualidades que diferencian a Swimlane Turbine de cualquier otra solución de automatización de seguridad. Son las razones por las que Turbine puede automatizar una amplia variedad de casos de uso para maximizar el retorno de la inversión.  

El cumplimiento normativo llegó para quedarse, así que automatícelo. 

Estamos apenas al comienzo de este movimiento; el cambiante panorama regulatorio solo seguirá incrementando los gastos generales. Lo extraordinario del cumplimiento normativo es que, si se adopta y gestiona, también es clave para la eficiencia y el éxito organizacional. En otras palabras, lo que a simple vista se considera un gasto general que debe realizarse es la clave para liberar la eficiencia y el potencial de una organización.  
La clave para aprovechar este potencial es gestionar el cumplimiento normativo de forma totalmente integrada y unificada. La automatización de la seguridad es la clave. Para saber más sobre cómo funciona todo esto, solicite una demostración en swimlane.com/demo