https://revista.seguridad.unam.

mx/numero-11/buenas-pr
%C3%A1cticas-est%C3%A1ndares-y-normas

Buenas prácticas, estándares y normas

Jeffrey Steve Borbón Sanabria
numero-11
Facebook Twitter

“La seguridad de la información es parte activa de nuestra actualidad”

La anterior frase ilustra el momento que enfrentamos actualmente en diferentes entornos

como el laboral, el educativo y cada vez más, en el hogar. Términos como copia de
seguridad, privacidad, antivirus, cifrado, son con el paso de los días parte de nuestro
léxico y lo seguirán siendo aún más con la popularización del uso de recursos
tecnológicos en casi todos los entornos y espacios.

En la medida que se trabaja inmerso en el mundo de la seguridad de la información y la

seguridad informática, aumenta la necesidad de difundir la educación en estos temas;
sin embargo, en espacios laborales o educativos no es tan simple como el compartir con
un amigo y decirle qué antivirus emplear o cómo proteger su teléfono celular del robo
de información. Por ello, es necesario buscar guías y documentos que ilustren cómo
abordar la seguridad de una forma responsable, procedimental y orientada al
cumplimiento de los estándares mínimos requeridos para la tecnología actual.

Pero surge una duda, ¿qué es un estándar y por qué son tan mencionados en la
actualidad? Pues bien, un estándar es un documento con un contenido de tipo técnico-
legal que establece un modelo o norma que refiriere lineamientos a seguir para cumplir
una actividad o procedimientos. Su uso se ha popularizado en la actualidad debido a que
se busca que los procesos y actividades de organizaciones y sus personas sean
repetibles, organizados, y estructurados. Por ello, entidades como ISO[1] (International
Standard Organization), IEEE[2] (Institute of Electrical and Electronics Engineers),
entre otras proponen estos documentos, los cuales se crean a partir de la experiencia de
diferentes grupos que participan durante el proceso de definición y al finalizar son
documentos de tipo público.

¿Qué se puede encontrar?

Entrando en materia, observemos algunos estándares internacionales, guías y manuales

de buenas prácticas que en la actualidad son ampliamente empleados para buscar el
aseguramiento de la información, el activo más valioso de toda organización, en el
constante proceso de la consecución de protección a nivel de integridad, disponibilidad
y confidencialidad:

ISO 27001[3]

Es un estándar para la seguridad de la información denominado ISO/IEC 27001

(Information technology - Security techniques - Information security management

1
systems - Requirements) adoptado por ISO, basado en un estándar británico
denominado BS 7799. Es certificable y su primera publicación fue en el año 2005.

En éste se determinan los requisitos necesarios para establecer, implantar, mantener y

mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) a través del
ciclo de Deming-PHVA por medio de los procesos de planificar, hacer, verificar y
actuar.

ISO 27002[4]

Se trata de una guía de buenas prácticas a partir de objetivos de control y controles

recomendables a nivel de seguridad de la información. A diferencia de ISO 27001, no es
un estándar certificable.  Cuenta con 39 objetivos de control y 133 controles agrupados
en 11 dominios, abordando más controles y dominios que los establecidos en el estándar
certificable ISO 27001.

A través de este documento se puede identificar un marco de trabajo más amplio para
una organización cuando se desea implementar políticas de seguridad, establecer un
sistema de gestión de la seguridad de la información y con la madurez adecuada lograr
la certificación ISO 27001 que evalúa menos dominios.

ISO 27005[5]

Se trata de un estándar internacional denominado ISO 27005:2008, Information

technology – Security Techniques – Information Security Risk Management. Fue
creado en el año 2008 y provee pautas para la gestión del riesgo de seguridad de la
información.

Como procedimiento vital, al hablar de seguridad de la información aparece el análisis,

evaluación y gestión de los riesgos, por ello este documento ilustra un marco de
referencia para el tratamiento de las actividades antes mencionadas.

CoBIT[6]

Este documento establece un marco de trabajo basado en dominios y procesos, a través

del cual se ofrecen unas buenas prácticas enfocadas a optimizar la inversión de recursos
en áreas de IT, brindando así calidad, gestión y correcta administración en los servicios
prestados, abordando también, temas de seguridad asociados a los servicios.

ITIL[7]

Este compendio de documentos, conocido como la Biblioteca de Infraestructura de

Tecnologías de Información,  aborda recursos orientados a la correcta gestión de los
servicios de IT a través de un ciclo de vida de los servicios, evaluando inmerso en cada
una de las fases del ciclo temas de seguridad, capacidad y continuidad.

NIST SP 800-30[8]

Este documento contiene una guía desarrollada por el National Institute of Standards
and Technology (NIST). “Risk Management Guide for Information Technology

2
Systems – Recommendations of the National Institute of standards and Technology”.
Este documento  fue creado en el año 2002 y ofrece pautas para la gestión del riesgo
buscando su evaluación, gestión, control y mitigación.

A través de este documento, en conjunto con ISO 27005, es posible identificar y

establecer métodos a través de los cuales gestionar los riesgos identificados en una
organización, diseñar y aplicar controles para la correcta mitigación de estos.

BS 25999[9]

Este estándar de origen británico, aborda los lineamientos que deben contemplarse para
la administración de la continuidad del negocio. A través de 2 partes. La primera ofrece
un marco de referencia para procesos, principios y terminología asociado a la
continuidad del negocio. En la segunda, se encuentran los requerimientos para
implementar, operar y mejorar un sistema de administración de la continuidad del
negocio.

Interactuando entre sí

Lograr una alineación entre los documentos antes indicados tiene un alto grado de
dificultad, pero a la vez es una oportunidad para crear un conjunto de métodos y
procedimientos complementarios que abarquen gran cantidad de puntos, logrando uno a
uno el aseguramiento de los activos, procesos y recursos tecnológicos de la
organización. Además, permiten crear consciencia en la importancia de la seguridad de
la información al personal que forma parte de la organización.

Observemos un caso práctico de una organización que considera la necesidad de

implementar un sistema de gestión de la seguridad de la información para así ofrecer
confianza a sus clientes y proveedores respecto al manejo y aseguramiento de la
información:

Se inicia realizando el inventario de activos de información de la organización y sobre

ellos se realiza un análisis de riesgos a través del uso de NIST SP 800-30 e ISO 27005,
definiendo amenazas y vulnerabilidades, se establecen así, los controles
correspondientes siguiendo las buenas prácticas de ISO 27002.

Una vez terminado el anterior grupo de actividades, se procede a identificar cómo se

prestan los servicios en el área de Tecnologías de la Información (TI) dentro de la
organización, evalúan temas de seguridad, y se procede a la gestión de estos servicios
siguiendo las buenas prácticas de ITIL y CoBIT.  S e establece así, la administración y
gestión del área de servicios de TI, siempre pensando en seguridad. 

Pero no se puede dejar de lado que la continuidad del negocio es primordial para toda
organización, así que tomando como base BS 25999, se establecen los planes de
continuidad, los comités y grupos asociados al proceso.

Así quedaría constituido un sistema de gestión de la seguridad de la información, que

una vez auditada y evaluada, permitirá lograr la certificación en ISO 27001.

Conclusiones

3
Uno de los mayores errores que pueden presentarse es creer que el cumplimiento de una
lista de chequeo o contar con un sello que certifica a una organización en estándares
internacionales como ISO 27001 significa que es una organización segura. Por otra
parte, es vital entender que este proceso de aplicación de normas o estándares a su vez
tiene implicaciones adicionales, como la necesidad de constantes actualizaciones de
acuerdo con los cambios que se presentan a nivel de los activos de información y
tecnológicos a través de los que se accede a ésta.

Sin embargo, el seguimiento de los documentos y guías antes mencionados permiten en

conjunto una creación de políticas y procedimientos que establecen controles de
seguridad para la información y los activos asociados, brindando protección desde lo
procedimental hasta lo técnico dentro de la organización, ofreciéndole confianza a nivel
interno y externo gracias al nivel de seguridad provisto.

Entonces, podemos ver que existen múltiples opciones y podemos usarlas en conjunto o
progresivamente para lograr así hablar de seguridad de la información.

Para conocer más sobre los documentos antes mencionados, consulta los siguientes
enlaces de interés:

[1]  http://www.iso.org/iso/home.html

[2]  http://www.ieee.org/index.html

[3]  https://mmujica.files.wordpress.com/2007/07/iso-27001-2005-espanol.pdf

[4]  https://mmujica.files.wordpress.com/2007/07/iso-17799-2005-castellano.pdf

[5]  http://www.27000.org/iso-27005.htm

[6]  http://www.isaca.org/Knowledge-Center/cobit/Documents/CobiT_4.1.pdf

[7]  http://itil.osiatis.es/Curso_ITIL/

[8]  http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf

[9]  http://www.bsigroup.com/en/Assessment-and-certification-services/management-
systems/Standards-and-Schemes/BS-25999/

4
https://www.deacosta.com/guia-rapida-para-entender-el-marco-de-trabajo-de-
ciberseguridad-del-nist/

David E. Acosta

Barcelona, Spain

dacosta at computer dot org

Guía rápida para entender el marco de

trabajo de ciberseguridad del NIST
Posted on January 11, 2017 in Blog - tagged: ciberseguridad, CSF, cybersecurity, framework,
ISO 27001, nist

Cuando un Oficial de Seguridad de la Información planifica la estrategia para la gestión

de los riesgos vinculados con los activos de información de su organización, se enfrenta
con un interrogante decisivo que definirá el curso de las acciones de protección en un
futuro: ¿Cuál marco de referencia debe emplear para garantizar la gestión coordinada de
los controles de seguridad de forma óptima, escalable e integrable? Las potenciales
respuestas recaerían en los ya reconocidos ISO/IEC 27001:2013, COBIT, las directrices
de COSO o NIST SP 800-53, por solo nombrar algunos.

Sin embargo, si se quisiese aprovechar lo mejor de cada uno de estos marcos de trabajo,
las mejores prácticas y metodologías de la industria y la experiencia de cientos de
voluntarios con el fin de establecer una línea de trabajo consistente y práctica para
abordar los riesgos de ciberseguridad actuales, muy seguramente la elección sería el
Marco de Trabajo de Ciberseguridad del NIST (NIST Cybersecurity Framework –
de aquí en adelante CSF).

5
En esta guía rápida se presentarán una serie de conceptos clave de este marco de trabajo,
con el fin de permitirle al lector entender de primera mano la teoría detrás de esta
iniciativa y las ventajas de su implementación.

Contenido

 1 Historia y antecedentes
 2 ¿Cuáles son los objetivos del marco de trabajo de ciberseguridad del NIST?
 3 ¿Es obligatoria su implementación?
 4 ¿A qué tipo de organizaciones aplica?
 5 ¿Se puede implementar en organizaciones fuera de Estados Unidos?
 6 ¿En qué estándares, directrices y mejores prácticas está basado?
 7 ¿Cómo está esquematizado el CSF?
 8 ¿Cómo se implementa el CSF?
 9 ¿Qué herramientas de software existen para soportar la implementación del CSF?
 10 Referencias

Historia y antecedentes

Como resultado de la creciente cantidad de ataques informáticos a sistemas de

infraestructuras críticas y al impacto que dichos ataques pudieran tener en el contexto de
la seguridad nacional de Estados Unidos, el 12 de febrero de 2013 el Presidente Barack
Obama redactó la Orden Ejecutiva (EO) de Mejora de Ciberseguridad de
Infraestructuras Críticas (Executive Order 13636 — Improving Critical Infrastructure
Cybersecurity)[1] en donde se delegaba en el NIST (National Institute of Standards and
Technology) el desarrollo de un marco de trabajo para la reducción de riesgos asociados
con este tipo de entornos, con el soporte del Gobierno, la industria y los usuarios.

El resultado de este trabajo – posterior a la publicación de múltiples versiones

preliminares y recepción de contribuciones de voluntarios a través del modelo de
Request for Information (RFI)[2] – fue la primera versión del documento “Framework
for Improving Critical Infrastructure Cybersecurity”, conocido como “NIST
Cybersecurity Framework”[3], que se publicó el 12 de febrero de 2014.

Es de anotar que esta iniciativa no es pionera en su campo. Desde mucho tiempo antes,
la OTAN (a través del Centro de Excelencia de Ciberdefensa Cooperativa – CCDCOE)
ya había desarrollado una serie de manuales orientados hacia la protección de
infraestructuras críticas para la defensa nacional, como es el caso del “Manual del
Marco de Trabajo de Ciberseguridad Nacional” (National Cyber Security
Framework Manual) publicado en 2012[4]. Igualmente, ISO/IEC con su estándar
ISO/IEC 27032:2012 “Information technology — Security techniques — Guidelines for
cybersecurity” había sentado un precedente en la definición de guías para la mejora de
ciberseguridad. Esto no quiere decir que el marco de trabajo de ciberseguridad del NIST
excluya estos documentos, al contrario, los complementa y mejora.

¿Cuáles son los objetivos del marco de trabajo de ciberseguridad del

NIST?

Las bases del CSF fueron establecidas directamente en la Orden Ejecutiva 13636:

6
  Identificar estándares de seguridad y guías aplicables de forma trasversal a todos los
sectores de infraestructuras críticas
 Establecer un lenguaje común para gestionar riesgos de ciberseguridad
 Proveer un enfoque priorizado, flexible, repetible, neutral, basado en desempeño y
efectivo en términos de coste-beneficio basado en las necesidades del negocio
 Ayudar a los responsables y operadores de infraestructuras críticas a identificar,
inventariar y gestionar riesgos informáticos
 Establecer criterios para la definición de métricas para el control del desempeño en la
implementación
 Establecer controles para proteger la propiedad intelectual, la privacidad de los
individuos y las libertades civiles cuando se ejecuten actividades de ciberseguridad
 Identificar áreas de mejora que permitan ser gestionadas a través de colaboraciones
futuras con sectores particulares y organizaciones orientadas al desarrollo de
estándares
 No introducir nuevos estándares cuando existan iniciativas ya desarrolladas que
cubran los objetivos de la orden ejecutiva.

De acuerdo con el NIST: “El marco de trabajo es una guía voluntaria, basada en
estándares, directrices y prácticas existentes para que las organizaciones de
infraestructura crítica gestionen mejor y reduzcan el riesgo de ciberseguridad. Además,
se diseñó para fomentar las comunicaciones de gestión del riesgo y la seguridad
cibernética entre los interesados internos y externos de la organización “.

De acuerdo con lo anterior, los objetivos del marco de trabajo en su implementación en

una organización se podrían catalogar en los siguientes puntos:

 Describir la postura actual de ciberseguridad

 Describir el estado objetivo de ciberseguridad
 Identificar y priorizar oportunidades de mejora en el contexto de un proceso continuo
y repetible
 Evaluar el progreso hacia el estado objetivo
 Comunicación entre las partes interesadas internas y externas sobre el riesgo de
ciberseguridad

Todo esto enmarcado en un enfoque orientado a la gestión del riesgo.

¿Es obligatoria su implementación?

En principio, no. Se trata de una guía de implementación discrecional con base en las
mejores prácticas y estándares de la industria. No obstante, es posible que socios de
negocio, clientes o incluso organizaciones gubernamentales requieran el cumplimiento
del marco de trabajo dentro de sus consideraciones contractuales.

¿A qué tipo de organizaciones aplica?

A pesar que el marco de trabajo fue desarrollado teniendo en mente la protección de la

infraestructura crítica de Estados Unidos, su implementación es asumible de forma
indistinta en cualquier organización independientemente de su tamaño, grado de riesgo
o sofisticación de ciberseguridad.

7
Es importante tener presente que el marco de trabajo no es un documento estático, sino
que cada organización puede determinar – con base en sus necesidades – las actividades
que considera prioritarias, permitiendo de esa forma un despliegue personalizado y
paulatino.

¿Se puede implementar en organizaciones fuera de Estados Unidos?

Debido a que la base del marco de trabajo está fundamentada en la integración de los
criterios de diferentes estándares, directrices y mejores prácticas a nivel internacional,
su implementación no está limitada únicamente a Estados Unidos. De hecho, su
despliegue fuera de las fronteras de ese país agrega una nueva capa de cooperación e
integración global en ciberseguridad, tema que no está restringido a un ámbito
geográfico en particular.

¿En qué estándares, directrices y mejores prácticas está basado?

El CSF está basado y/o hace referencia a los siguientes estándares, directrices y mejores
prácticas:

 Control Objectives for Information and Related Technology (COBIT)[5]

 Council on CyberSecurity (CCS) Top 20 Critical Security Controls (CSC)[6]
 ANSI/ISA-62443-2-1 (99.02.01)-2009, Security for Industrial Automation and Control
Systems: Establishing an Industrial Automation and Control Systems Security
Program[7]
 ANSI/ISA-62443-3-3 (99.03.03)-2013, Security for Industrial Automation and Control
Systems: System Security Requirements and Security Levels[8]
 ISO/IEC 27001:2013, Information technology –Security techniques –Information
security management systems –Requirements[9]
 NIST SP 800-53 Rev. 4: NIST Special Publication 800-53 Revision 4, Security and Privacy
Controls for Federal Information Systems and Organizations[10]

¿Cómo está esquematizado el CSF?

El marco de trabajo se encuentra compuesto de tres partes principales: El marco básico

(Framework Core), los niveles de implementación del marco (Framework
Implementation Tiers) y los perfiles del marco (Framework Profiles).

Marco básico (Framework Core)

Es un conjunto de actividades de ciberseguridad, resultados esperados y referencias

aplicables que son comunes a los sectores de infraestructuras críticas, en términos de
estándares de la industria, directrices y prácticas que permiten la comunicación de
actividades de ciberseguridad y sus resultados a lo largo de la organización, desde el
nivel ejecutivo hasta el nivel de implementación/operación.

Para ello, emplea cinco funciones fundamentales:

 Identificar (Identify): Permite determinar los sistemas, activos, datos y competencias

de la organización, su contexto de negocio, los recursos que soportan las funciones
críticas y los riesgos de ciberseguridad que afectan este entorno.

8
  Proteger (Protect): Permite desarrollar e implementar las contramedidas y
salvaguardas necesarias para limitar o contener el impacto de un evento potencial de
ciberseguridad.
 Detectar (Detect): Permite desarrollar e implementar las actividades apropiadas para
identificar la ocurrencia de un evento de ciberseguridad a través de la monitorización
continua.
 Responder (Respond): Permite la definición y despliegue de actividades para
reaccionar frente a un evento de ciberseguridad identificado y mitigar su impacto.
 Recuperar (Recover): Permite el despliegue de actividades para la gestión de
resiliencia y el retorno a la operación normal después de un incidente.

A su vez, cada una de estas funciones cuenta con categorías y sub-categorías con sus
referencias informativas relacionadas (estándares, directrices y prácticas).

Figura 1. Estructura del marco básico del CFS

Niveles de implementación del marco (Framework Implementation Tiers)

Los niveles de implementación le permiten a la organización catalogarse en un umbral

predefinido en función de las prácticas actuales de gestión de riesgo, el entorno de
amenazas, los requerimientos legales y regulatorios, los objetivos y misión del negocio
y las restricciones de la propia empresa.

Los rangos de los niveles de implementación son los siguientes:

 Nivel 1 – Parcial (Partial): En este nivel las prácticas de gestión de riesgos de

ciberseguridad no están formalizadas (ad-hoc) y actúan por lo general de forma
reactiva. La priorización de actividades no se encuentra alineada con los objetivos de
riesgo organizacionales, el entorno de amenazas ni con los requerimientos de negocio.
Se cuenta con una mínima participación externa en términos de colaboración y
compartición de información.

9
  Nivel 2 – Riesgos informados (Risk Informed): En este nivel las prácticas de gestión de
riesgo están aprobadas por la Dirección, pero pueden no estar establecidas como una
política global. Se cuenta con procedimientos y procesos definidos e implementados y
con personal cualificado. La participación externa se realiza de manera informal.
 Nivel 3 – Repetible (Repeatable): En este nivel las prácticas formales de gestión de
riesgo son actualizadas regularmente como parte de la aplicación de análisis en
cambios en requerimientos de negocio, amenazas o tecnologías. Se ha establecido un
marco de colaboración formal con terceros.
 Nivel 4 – Adaptativo (Adaptive): Las prácticas de ciberseguridad están basadas en
lecciones aprendidas e indicadores predictivos derivados de actividades previas y
actuales de ciberseguridad, a través de un proceso de mejora continua de adaptación
a los cambios. Estas tareas hacen parte de la cultura organizacional. Se colabora de
forma activa con terceros, compartiendo información de eventos de ciberseguridad.

Figura 2. Niveles de implementación del CFS

Perfiles del marco (Framework Profiles)

Los perfiles se emplean para describir el estado actual (Current profile) y el estado
objetivo (Target profile) de determinadas actividades de ciberseguridad. El análisis
diferencial entre perfiles permite la identificación de brechas que deberían ser
gestionadas para cumplir con los objetivos de gestión de riesgos.

Para ello, se requiere la definición de un plan de acción que incluya una priorización de
actividades dependiendo de las necesidades de negocio y procesos de gestión de riesgos
de la organización. Este enfoque basado en el riesgo le permite a la organización
estimar los recursos necesarios (por ejemplo, personal y financiación) para lograr las
metas de ciberseguridad establecidas de una manera rentable y priorizada.

De acuerdo con las descripciones anteriores, la arquitectura global del marco de trabajo
de ciberseguridad quedaría de la siguiente manera:

10
Figura 3. Arquitectura del marco de trabajo de ciberseguridad del NIST (CSF)

¿Cómo se implementa el CSF?

La implementación de un programa de ciberseguridad basado en CSF consta de los

siguientes pasos iterativos:

 Paso 1 – Priorización y definición de alcance: Mediante la identificación de los

objetivos y misión del negocio y las prioridades de alto nivel en términos
organizacionales, se decide de forma estratégica el entorno de aplicabilidad de los
controles. Este entorno puede ser toda la organización, una línea de negocio en
particular o un proceso, teniendo presente que cada uno de estos elementos puede
tener diferentes niveles de tolerancia al riesgo.
 Paso 2 – Orientación: Se identifican los sistemas, activos, requerimientos regulatorios,
amenazas y vulnerabilidades vinculadas al entorno de aplicabilidad definido.
 Paso 3 – Crear un perfil actual: A través de las funciones del marco básico y
empleando las categorías y subcategorías, se obtienen los resultados de
implementación de controles en el entorno.
 Paso 4 – Ejecutar un análisis de riesgos: Se ejecuta un análisis de riesgos que permita
determinar la probabilidad y el impacto de eventos de ciberseguridad en el entorno
analizado.
 Paso 5 – Crear un perfil objetivo: Se establecen los objetivos que en términos de
ciberseguridad la organización pretende cubrir.
 Paso 6 – Determinar, analizar y priorizar las brechas detectadas: Mediante el análisis
diferencial entre el perfil actual y el perfil objetivo, se define un plan de acción
priorizado en términos de coste/beneficio, que permita la determinación de recursos y
acciones de mejora.
 Paso 7 – Implementar el plan de acción: Se procede con la alineación de controles y
despliegue de mejoras de forma paulatina y monitorizada.

Todas estas acciones deben ser implementadas dentro de un entorno de mejora continua,
permitiendo que de forma continua la organización optimice sus controles de seguridad
y escale a niveles superiores dentro del marco de trabajo.

11
Figura 4. Pasos para la implementación de un programa de ciberseguridad basado en el
CSF

¿Qué herramientas de software existen para soportar la

implementación del CSF?

Para facilitar el uso del contenido del CSF, el NIST ha desarrollado una hoja de
cálculo[11] en Microsoft Excel, que contiene las funciones, categorías, subcategorías y
referencias informativas organizadas de tal forma que se pueden adaptar para
convertirla en una hoja de trabajo.

Adicionalmente, también se ha publicado la herramienta “NIST Cybersecurity

Framework (CSF) Reference Tool”[12], una herramienta interactiva que permite la
navegación a través del contenido del documento del CSF y facilitar su exportación a
diferentes formatos (CSV, XML, etc.).

Por otro lado, el programa Baldrige[13] (que permite el diseño de un enfoque integrado
de la gestión del desempeño organizacional) ha integrado los criterios del CSF dentro de
su marco de excelencia (“Baldrige Excellence Framework”) y el 15 de septiembre de
2016 ha publicado una versión preliminar del documento “Baldrige Cybersecurity
Excellence Builder[14]”. Se trata de un cuestionario de auto-evaluación que le permite
a la organización identificar su nivel de madurez en términos de ciberseguridad a través
de distintos niveles de madurez.

12
Finalmente, en la página de recursos de la industria del NIST[15] se pueden encontrar
gran cantidad de casos de estudio, guías de implementación, herramientas y recursos
educativos para apoyar las actividades de desarrollo de esta iniciativa.

Referencias

[1] The White House: Executive Order — Improving Critical Infrastructure

Cybersecurity https://www.whitehouse.gov/the-press-office/2013/02/12/executive-
order-improving-critical-infrastructure-cybersecurity

[2] NIST: RFI – Framework for Reducing Cyber Risks to Critical Infrastructure
http://csrc.nist.gov/cyberframework/rfi_comments.html

[3] NIST Framework for Improving Critical Infrastructure Cybersecurity

https://www.nist.gov/sites/default/files/documents/cyberframework/cybersecurity-
framework-021214.pdf

[4] CCDCOE: National Cyber Security Framework Manual

https://ccdcoe.org/multimedia/national-cyber-security-framework-manual.html

[5] ISACA COBIT http://www.isaca.org/COBIT/Pages/default.aspx

[6] Council on CyberSecurity (CCS) http://www.counciloncybersecurity.org

[7] ANSI/ISA 62442-2-1 http://www.isa.org/Template.cfm?

Section=Standards8&Template=/Ecommerce/ProductDisplay.cfm&ProductID=10243

[8] ANSI/ISA 62443-3-3 http://www.isa.org/Template.cfm?

Section=Standards2&template=/Ecommerce/ProductDisplay.cfm&ProductID=13420

[9] ISO/IEC 27001:2013

http://www.iso.org/iso/home/store/catalogue_ics/catalogue_detail_ics.htm?
csnumber=54534

[10] NIST SP 800-53 Rev 4. https://web.nvd.nist.gov/view/800-53/Rev4/home

[11] NIST Cybersecurity Framework (Excel) https://www.nist.gov/document-3764

[12] NIST Cybersecurity Framework (CSF) Reference Tool

https://www.nist.gov/cyberframework/csf-reference-tool

[13] Baldrige Performance Excellence Program https://www.nist.gov/baldrige/how-

baldrige-works

[14] Baldrige Cybersecurity Excellence Builder

https://www.nist.gov/sites/default/files/documents/2016/09/15/baldrige-cybersecurity-
excellence-builder-draft-09.2016.pdf

[15] NIST Cybersecurity Framework – Industry Resources

https://www.nist.gov/cyberframework/industry-resources

13
14