[23/01/2025] La Cloud Security Alliance (CSA), la organización mundial dedicada a definir y crear conciencia sobre las mejores prácticas para ayudar a garantizar un entorno de computación en la nube seguro, lanzó el Marco de Gobernanza de Ciberseguridad de la Tecnología de Contabilidad Distribuida (DLT), que fue diseñado para ayudar a los profesionales y organizaciones a identificar y mitigar de manera efectiva los riesgos de ciberseguridad asociados con DLT. Según lo señalado en el comunicado de prensa, el Marco, junto con dos documentos adjuntos también publicados hoy -DLT Cybersecurity Governance Framework User Guide y DLT Cybersecurity Governance Framework Report- sirven como herramientas indispensables para los líderes de seguridad y gestión de riesgos, auditores y reguladores de la industria financiera que buscan proteger sus entornos DLT.
"Un consorcio DLT se forma cuando las organizaciones miembros colaboran para operar una red DLT a través de la cual pueden compartir datos de forma segura. Esto permite una mayor integridad, transparencia transaccional, estabilidad a largo plazo, inmutabilidad y protección de la información confidencial dentro del grupo. Pero para lograr esto, es imperativo que se rijan tanto las responsabilidades de los miembros del consorcio que administran la solución como la tecnología utilizada para implementar la solución DLT”, sostuvo Hillary Baron, directora técnica senior de investigación de la Cloud Security Alliance.
En respuesta, anotó la ejecutiva, el Blockchain and Distributed Ledger Working Group de la CSA redactó el marco, que adopta un enfoque basado en el riesgo para gestionar las amenazas de ciberseguridad relacionadas con DLT. "Proporciona a los miembros del consorcio DLT un proceso de gestión de riesgos repetible, medible y estratificado que equilibra las necesidades de seguridad con las prioridades empresariales y el apetito por el riesgo”.
Baron comentó que las características clave del marco incluyen el Perfil de Riesgo de Ciberseguridad Inherente (ICRP) de DLT, que ofrece una evaluación cuantitativa de los riesgos de ciberseguridad relacionados con DLT, y el Núcleo de Madurez de Ciberseguridad (CMC) de DLT, un Núcleo de modelado de mitigación basado en riesgos que se alinea con el Núcleo del Marco de Ciberseguridad del NIST. "Para su aplicación práctica, los componentes DLT ICRP y DLT CMC se han desarrollado como la Herramienta de Gobernanza de Ciberseguridad DLT, una herramienta de modelado interactivo que ayuda a los líderes de seguridad y gestión de riesgos de un consorcio DLT a tomar decisiones informadas sobre la gestión de riesgos en un entorno DLT distribuido”.
Añadió que, la guía del usuario del marco de gobernanza de ciberseguridad de DLT que la acompaña proporciona instrucciones paso a paso sobre cómo utilizar la herramienta de gobernanza de ciberseguridad de DLT. "Describe los procedimientos para ajustar los perfiles de riesgo en función del apetito de riesgo y los objetivos del consorcio de DLT, así como los métodos para generar y modelar estrategias de mitigación de riesgos antes de la implementación masiva de controles de seguridad en un entorno de DLT distribuido”.
Por su parte, el Informe del Marco de Gobernanza de la Ciberseguridad de la DLT se centra en las auditorías de la gobernanza de la DLT haciendo hincapié en la ciberseguridad. Baron indicó que el informe proporciona un conjunto de herramientas completo para auditar las políticas relacionadas con la gestión de riesgos de ciberseguridad y el cumplimiento normativo de un entorno DLT, junto con las mejores prácticas sugeridas. Adopta un enfoque estructurado que incluye:
- Un desglose de los procesos críticos dentro de los entornos DLT y sus subdominios asociados
- Identificación de posibles vulnerabilidades de ciberseguridad específicas de las operaciones de TRD
- Estrategias recomendadas para mitigar los riesgos identificados, que comprenden los objetivos de control y las acciones correspondientes
- Un conjunto de criterios de auditoría para evaluar el estado actual de las prácticas de seguridad DLT en comparación con las mejores prácticas de la industria.
Franca Cavassa, CTOPerú