Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Marco de Ciberseguridad

    Cargado por

    ktrushka
    24 vistas21 páginas

    Título original

    Marco de ciberseguridad

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    24 vistas21 páginas

    Marco de Ciberseguridad

    Cargado por

    ktrushka

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 21

    The Cybersecurity Framework NIST

    Version 1.1
    Historia NIST Cybersecurity Framework

    • Febrero de 2013: Orden ejecutiva 13636:


    Mejora de la ciberseguridad de la
    infraestructura crítica

    • Diciembre de 2014: Ley de mejora de la


    ciberseguridad (Public Law 113-274)

    • Mayo 2017: Orden Ejecutiva 13800:


    Fortalecimiento de la Ciberseguridad de
    Redes Federales e Infraestructura Crítica
    Componentes primarios
    Núcleo (Core)
    Conjunto de actividades, resultados deseados
    organizados jerárquicamente y alineados en forma
    detallada con guías y controles.

    Perfiles (Profiles)
    Alineación de los requerimientos de la organización
    y sus objetivos, perfil de riesgo y recursos usando
    los resultados esperados del Núcleo.

    Niveles (Implementation Tiers)


    Medidas cualitativas de las prácticas de la
    organización para la gestión de riesgos de
    ciberseguridad.
    Núcleo
    Function
    • Describe resultados
    Identify deseados
    • Entendible por todas las
    Protect audiencias
    • Aplica a cualquier tipo de
    Detect riesgos
    • Define completamente la
    Respond CyberSec
    • Comprende desde prevención
    Recover a reacción
    Núcleo

    5 23 108 6
    Funciones Categorias Subcategorias Referencias Informativas
    Niveles
    1 2 3 4
    Riesgo
    Parcial informado Repetible Adaptado
    Proceso de
    La funcionalidad y repetición de la gestión del riesgo de
    gestión de
    CyberSec
    riesgos
    Programa de
    gestión La extensión e importancia con la que la CyberSec es
    integrada de considerada en las decisiones en la gestión de riesgos
    riesgos
    El grado en que la organización:
    Participación • Monitorea y gestiona el riesgo de suply chain
    externa • Se beneficia compartiendo y recibiendo información
    de terceras partes
    Uso internacional
    Ejemplos de recursos

    Manufacturing Profile
    NIST Discrete Manufacturing
    Cybersecurity Framework Profile

    Financial Services Profile


    Financial Services Sector Specific Cybersecurity “Profile”

    Maritime Profile
    Bulk Liquid Transport Profile
    STAYING IN TOUCH
    NIST.gov/cyberframework
    @ cyberframework@nist.gov

    CSRC.NIST.gov NCCoE.NIST.gov

    NIST.gov/topics/cybersecurity @NISTcyber
    Marco de Ciberseguridad de Uruguay
    Versión 4.2
    Fortalezas del MARCO
    Los desafíos están Reconocido
    asociados al compromiso Gobiernos, industria y academia lo
    de la alta dirección, la han adoptado
    cultura del riesgo y la
    falta de profesionales
    calificados. Flexible
    Se adapta a cualquier organización

    Innovador
    Deja de lado estándares rígidos.
    Agrupa todos los reconocidos

    Simple
    Enfoque simple para el negocio
    Marco Ciberseguridad de Uruguay (MCU)

    gub.uy
    • Cara de abstracción
    superior

    • Integra estándares
    existentes y nuestra
    normativa

    • Flexible: Repetible en
    diferentes sectores
    Estructura
    Núcleo (Core) Niveles (MdM) Perfiles

    Conjunto de actividades Grado en que la Básico, Estándar y


    y resultados deseados gestión de riesgos de Avanzado. Otorgado a
    organizados en: la ciberseguridad cada organización
    funciones, categorías y adopta los controles dependiendo de la
    subcategorías. definidos en el MARCO percepción de riesgo
    tecnológico
    Core - Funciones
    Identificar
    Comprender el contexto.
    Conocer los activos y riesgos

    Recuperar Proteger
    Resiliencia y Aplicación de controles
    recuperación ante (Técnicos, Políticas,
    incidentes Procesos) para mitigar
    riesgos

    Responder
    Detectar
    Reducir el impacto
    de un potencial Control y monitoreo
    incidente
    Veamos un ejemplo…
    Identificar Activos: Sistema de facturación provisto en la nube
    Computadoras del personal
    Riesgos: Disrupción del servicio, Acceso no autorizado
    Estructura organizacional: Equipo de seguridad

    Proteger SLA con proveedor


    Concientización del personal
    Política de contraseñas
    Antivirus en equipamiento personal y servidores

    Detectar Revisión de privilegios de usuarios (menor privilegio)


    Consola centralizada de AV
    SIEM
    Escaneos de vulnerabilidades
    Veamos un ejemplo…
    Responder Ciclo de vida de los incidentes:
    - Detectar y reportar
    - Evaluar y decidir ¿Quién y cómo?
    - Responder
    Retroalimentación a la
    - Lecciones aprendidas gestión de riesgos

    Recuperar Sitio alternativo de procesamiento


    Procesos/procedimientos claros de cómo actuar
    Plan de comunicaciones
    Modelo de Madurez - Niveles

    Nivel 1 Nivel 2 Nivel 3 Nivel 4


    Mejor Extensión al Políticas y Mejora
    esfuerzo. resto de la procedimientos continua.
    Centrado en el organización formales Auditoría.
    datacenter.

    Nivel 0
    Es el primer nivel del modelo de madurez donde las acciones vinculadas a seguridad de la información y
    ciberseguridad, son casi o totalmente inexistentes. La organización no ha reconocido aún la necesidad de
    realizar esfuerzos en ciberseguridad. Este nivel no está incluido en la tabla del modelo de madurez.
    Perfiles

    Básico
    Diferenciados por:
    - Percepción de riesgo
    Estándar tecnológico

    - Nivel de
    Avanzado disponibilidad

    Priorización de subcategorías por perfil para facilitar el primer abordaje


    Material de apoyo
    • Guía de implementación https://www.gub.uy/agesic/
    • Lista de verificación marcodeciberseguridad
    • Guía de auditoría/autoevaluación

    • ANEXOS:
    – Políticas
    – Plantillas
    – Guías y buenas prácticas
    – Guía metodológica: Implementación SGSI
    Próximos pasos

    Alianzas con sectores críticos


    Bancos, Telco, Salud

    Obligatoriedad
    de cumplimiento para servicios críticos

    Auditoría
    Sistematización y periodicidad establecida
    Creación o mejora de un programa de ciberseguridad

    Paso 1 Paso 2 Paso 3 Paso 4 Paso 5 Paso 6

    Priorizar y Orientación Crear un perfil Evaluación de Crear un perfil Determinar,


    determinar el actual riesgos objetivo analizar y
    alcance priorizar las
    brechas
    Identificar los Identificar sistemas y Evaluación de las Se analiza el entorno Resultados deseados Se compara el Perfil
    objetivos de negocios activos y sus categorías y operativo para ver la teniendo presente la Actual y el Perfil
    y las prioridades de vulnerabilidades, subcategorías del probabilidad de un misión y objetivos del Objetivo para
    alto nivel de la requisitos marco. evento de negocio, así como determinar las
    organización. reglamentarios con ciberseguridad y el requisitos vinculados brecha.
    enfoque de riesgos. impacto del mismo.. a cumplimiento legal
    o normativo.

    Paso 7

    Implementar el plan de acción


    Es importante que las acciones contemplen todas las aristas de la gobernanza de la ciberseguridad: Personal, Tecnología y Procesos

    También podría gustarte