Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Version 1.1
Historia NIST Cybersecurity Framework
Perfiles (Profiles)
Alineación de los requerimientos de la organización
y sus objetivos, perfil de riesgo y recursos usando
los resultados esperados del Núcleo.
5 23 108 6
Funciones Categorias Subcategorias Referencias Informativas
Niveles
1 2 3 4
Riesgo
Parcial informado Repetible Adaptado
Proceso de
La funcionalidad y repetición de la gestión del riesgo de
gestión de
CyberSec
riesgos
Programa de
gestión La extensión e importancia con la que la CyberSec es
integrada de considerada en las decisiones en la gestión de riesgos
riesgos
El grado en que la organización:
Participación • Monitorea y gestiona el riesgo de suply chain
externa • Se beneficia compartiendo y recibiendo información
de terceras partes
Uso internacional
Ejemplos de recursos
Manufacturing Profile
NIST Discrete Manufacturing
Cybersecurity Framework Profile
Maritime Profile
Bulk Liquid Transport Profile
STAYING IN TOUCH
NIST.gov/cyberframework
@ cyberframework@nist.gov
CSRC.NIST.gov NCCoE.NIST.gov
NIST.gov/topics/cybersecurity @NISTcyber
Marco de Ciberseguridad de Uruguay
Versión 4.2
Fortalezas del MARCO
Los desafíos están Reconocido
asociados al compromiso Gobiernos, industria y academia lo
de la alta dirección, la han adoptado
cultura del riesgo y la
falta de profesionales
calificados. Flexible
Se adapta a cualquier organización
Innovador
Deja de lado estándares rígidos.
Agrupa todos los reconocidos
Simple
Enfoque simple para el negocio
Marco Ciberseguridad de Uruguay (MCU)
gub.uy
• Cara de abstracción
superior
• Integra estándares
existentes y nuestra
normativa
• Flexible: Repetible en
diferentes sectores
Estructura
Núcleo (Core) Niveles (MdM) Perfiles
Recuperar Proteger
Resiliencia y Aplicación de controles
recuperación ante (Técnicos, Políticas,
incidentes Procesos) para mitigar
riesgos
Responder
Detectar
Reducir el impacto
de un potencial Control y monitoreo
incidente
Veamos un ejemplo…
Identificar Activos: Sistema de facturación provisto en la nube
Computadoras del personal
Riesgos: Disrupción del servicio, Acceso no autorizado
Estructura organizacional: Equipo de seguridad
Nivel 0
Es el primer nivel del modelo de madurez donde las acciones vinculadas a seguridad de la información y
ciberseguridad, son casi o totalmente inexistentes. La organización no ha reconocido aún la necesidad de
realizar esfuerzos en ciberseguridad. Este nivel no está incluido en la tabla del modelo de madurez.
Perfiles
Básico
Diferenciados por:
- Percepción de riesgo
Estándar tecnológico
- Nivel de
Avanzado disponibilidad
• ANEXOS:
– Políticas
– Plantillas
– Guías y buenas prácticas
– Guía metodológica: Implementación SGSI
Próximos pasos
Obligatoriedad
de cumplimiento para servicios críticos
Auditoría
Sistematización y periodicidad establecida
Creación o mejora de un programa de ciberseguridad
Paso 7