Machine Translated by Google

MADUREZ DE LA SEGURIDAD DE LA INFORMACIÓN

MODELO PARA LA SEGURIDAD CIBERNÉTICA DEL NIST
ESTRUCTURA

Sultán Almuhammadi y Majeed Alsaleh

Facultad de Ciencias de la Computación e Ingeniería,

Universidad Rey Fahd de Petróleo y Minerales,
Dhahran, Arabia Saudita

RESUMEN

El Instituto Nacional de Estándares y Tecnología (NIST) ha emitido un marco para brindar

orientación a las organizaciones dentro de los sectores de infraestructura crítica para reducir
el riesgo asociado con la seguridad cibernética. El marco se llama NIST Cyber Security
Framework for Critical Infrastructure (CSF). Muchas organizaciones están implementando o
alineándose con diferentes marcos de seguridad de la información. La implementación de
NIST CSF debe alinearse y complementar los marcos existentes. NIST afirma que el NIST CSF
no es un marco de madurez. Por lo tanto, es necesario adoptar un modelo de madurez existente
o crear uno para tener una forma común de medir el progreso de la implementación del MCA.
Este documento explora la aplicabilidad del número de modelos de madurez que se utilizarán
como medida para el cartel de seguridad de las organizaciones que implementan el NIST CSF.
Este documento revisa el NIST CSF y lo compara con otros marcos relacionados con la
seguridad de la información, como COBIT, ISO/ IEC 27001 y el Estándar de buenas prácticas
(SoGP) de la ISF para la seguridad de la información. Proponemos un nuevo modelo de madurez de seguridad de la inform

PALABRAS CLAVE

Seguridad de la Información, Modelo de Madurez, Ciber-Seguridad.

1. INTRODUCCIÓN

Muchas organizaciones podrían alinearse con uno de los marcos de mejores prácticas relacionadas con
la seguridad de la información. Esto hace que la alineación del NIST CSF con dichos marcos sea
imprescindible. NIST CSF es un conjunto de estándares y mejores prácticas de la industria [1]. El marco
de NIST CSF indica claramente que las organizaciones que planean implementarlo pueden usar sus
procesos existentes y colocarlos encima del NIST CSF para identificar brechas con respecto al marco.
Esto implica la exhaustividad del NIST CSF en comparación con otros marcos como COBIT, ISO/IEC
27001 y el Estándar ISF de Buenas Prácticas (SoGP). Por lo tanto, para garantizar la alineación aplicable
con cualquier marco de seguridad de la información, debemos confirmar la exhaustividad o identificar
cualquier posible brecha en NIST CSF.

David C. Wyld et al. (Eds) : ITCS, SIP, CST, ARIA, NLP - 2017 pp. 51– 62,
2017. © CS & IT-CSCP 2017 DOI: 10.5121/csit.2017.70305
Machine Translated by Google

52 Informática y tecnología de la información (CS y TI)

Sin embargo, en este documento, mostramos que NIST CSF no es integral para abordar todos los
procesos relacionados con la seguridad de la información que se abordan en algunos de esos marcos.
El objetivo principal del marco es gestionar los riesgos de seguridad cibernética dentro de las
organizaciones que lo implementan. En el NIST CSF, la parte \Framework Implementation Tiers",
denominada \Tiers", se detalla como una de las tres partes de las que consta el marco [1]. Sin embargo,
los Niveles no brindan a las organizaciones un mecanismo para medir el progreso de la implementación
de NIST CSF o su nivel de madurez y las capacidades de los procesos de seguridad de la información.
Tiers es solo una herramienta visionaria que permite a las organizaciones comprender su enfoque de
gestión de riesgos de seguridad cibernética y cuáles son los procesos implementados para gestionar
el riesgo. El sitio web oficial del NIST [2] ha declarado que los niveles no están destinados a ser una herramienta de medición d

Este documento es una comparación exhaustiva entre los marcos NIST CSF, COBIT, ISO/IEC 27001 e
ISF. Identifica la brecha de los procesos clave de seguridad de la información que se abordan en
algunos marcos pero no en NIST CSF. Llenamos este vacío y proponemos un nuevo modelo de madurez
de capacidad (CMM) para medir el progreso de implementación de NIST CSF.

2. DESCRIPCIÓN GENERAL DEL MARCO DE SEGURIDAD CIBERNÉTICA DEL NIST

El NIST CSF consta de tres partes principales en las que la seguridad cibernética se considera un
riesgo que se gestiona a través del proceso de gestión de riesgos empresariales [1]. Por lo tanto,
identificamos el marco NIST CSF como un marco basado en el riesgo. Las tres partes son: núcleo del
marco, niveles de riesgo y perfil del marco.

Tabla 1: Comparación de marcos

Estructura Categorías de control Objetivos de control Actividades

LCR del NIST [1] Funciones (5) Categorías (22) Subcategorías (98)
FIS [3] Categorías (4) Áreas (26) Temas (118)
ISO27001 (2013) [4] Cláusulas (14) Objetivo de control (35) Controles (114)
COBIT5 (2013) [5] Dominios (5) Procesos (37) Prácticas (210)

2.1 NÚCLEO DEL MARCO

El núcleo del marco consiste en un conjunto de actividades de seguridad cibernética. Estas actividades
se agrupan en \Subcategorías" que también se agrupan en \Categorías". Las categorías se clasifican en
cinco "Funciones" diferentes: Identificar, Proteger, Detectar, Responder y Recuperar. Las cinco
funciones del NIST CSF son concurrentes y continuas. Cuando las funciones se implementan
colectivamente, forman una visión estratégica y de alto nivel de la ciberseguridad. programa de gestión
de riesgos. La parte Framework Core también tiene los resultados deseados (objetivos de control) y
referencias informativas. Las referencias informativas son una lista de actividades de seguridad
cibernética en estándares, pautas o prácticas como COBIT, ISO / IEC 27001 e ISF SoGP. La comparación
entre el NIST CSF y otros marcos se realizará en el nivel de las actividades de seguridad cibernética
para garantizar que se aborden todas las actividades clave de seguridad de la información. La Tabla 1
compara la estructura del NIST CSF con la estructura de una muestra seleccionada de marcos.
Machine Translated by Google

Informática y tecnología de la información (CS y TI) 53

2.2 NIVELES DE RIESGO

La parte Tiers del NIST CSF es una herramienta visionaria que permite a las organizaciones comprender
su enfoque de gestión de riesgos de seguridad cibernética y cuáles son los procesos establecidos para gestionar el riesgo.
Con base en los procesos identificados en el lugar, la organización puede clasificarse en uno de los cuatro
niveles. Los niveles de nivel van desde \Parcial" en el Nivel 1, \Riesgo informado" en el Nivel 2, \Repetible"
en el Nivel 3, a \Adaptable" en el Nivel 4.

2.3 PERFIL DEL MARCO

El perfil del marco, denominado "perfil", es una herramienta para documentar, implementar y rastrear las
oportunidades de las organizaciones para mejorar su postura de seguridad cibernética. El perfil tiene las
actividades de seguridad cibernética actuales implementadas por la organización, así como las
planificadas. actividades que se implementarán para cerrar la brecha entre el estado actual y el futuro. Las
organizaciones deben identificar qué actividades de seguridad cibernética son necesarias para mejorar el
estado actual en función de la evaluación de riesgos para identificar los riesgos que pueden impedir el logro de los objetivos com

3. TRABAJO RELACIONADO

Revisamos \Baldrige Excellence Framework" y \Baldrige Excellence Builder" en el sitio web del NIST [6].
Descubrimos que estos dos documentos no se introdujeron para servir como modelo de madurez.
Sin embargo, son un esfuerzo continuo vinculado a los Tiers, donde el objetivo principal es ayudar a las
organizaciones a evaluar qué tan efectivo es su esfuerzo de gestión de riesgos de seguridad cibernética.
Baldrige Excellence Builder vincula el programa de seguridad cibernética con varias áreas, como liderazgo,
clientes, empleados y los resultados finales. En [7], los autores propusieron un método para seleccionar
medidas que evalúan la brecha entre el estado actual y el objetivo en función de los niveles de riesgo de
CSF del NIST. En [8], por otro lado, los autores destacaron la necesidad de una Evaluación de Cumplimiento
para reducir la brecha en el pilar de Procesos (uno de los tres pilares que incluyen Recursos Humanos y
Tecnología). Por lo tanto, propusieron un modelo que es genérico para permitir la evaluación general del
cumplimiento.

4. EVALUACIÓN DEL LCR DEL NIST

NIST CSF, como marco, tiene la siguiente naturaleza:

• Centrarse en los requisitos de alto nivel de seguridad de la

información. • Aplicable para el desarrollo de políticas y programas de seguridad de la información

Ejemplos de otros marcos incluyen COBIT, ISO/IEC 27001 y ISF SoGP para seguridad de la información.
Sin embargo, las actividades detalladas de seguridad cibernética generalmente se enumeran en estándares,
pautas y prácticas. Tienen la siguiente naturaleza:

• Foco en controles técnicos y funcionales de seguridad de la información (personalizables).

• Aplicable para desarrollar listas de verificación y realizar evaluaciones de cumplimiento/auditoría.

Los ejemplos de estándares y pautas incluyen NIST SP 800-53, ISO-27001 Anexo e ISF SoGP. El NIST CSF
ha mapeado varios estándares en las referencias informativas. Los estándares mapeados incluyen la serie
NIST SP 800, COBIT 5, ISA 62443, ISO/IEC 27001:2013 y
Machine Translated by Google

54 Informática y tecnología de la información (CS y TI)

SCC [1]. ISF SoGP no se mapeó en el marco NIST CSF. Por lo tanto, utilizaremos el mapeo ISF
SoGP [9] a NIST CSF para realizar la comparación con NIST CSF.

NIST CSF indica claramente que las organizaciones que planean implementarlo pueden usar sus
procesos existentes y colocarlos encima del NIST CSF para identificar brechas con respecto al
marco [1]. Sin embargo, esto supone que NIST CSF será integral y el marco adoptado será siempre
igual o menor que NIST. Esto se ilustra en la Figura 1-a.

Por supuesto, es posible el otro escenario de NIST CSF que no es completo y tiene una brecha en
comparación con otros marcos. Para verificar este escenario (ilustrado en la Figura 1-b),
comparamos todas las referencias informativas del CSF mapeadas con el marco correspondiente.
Las estadísticas numéricas de este partido son las siguientes:

Marco LCR Brecha Brecha %

-----------------------------------------------
ISO 27001 93 21 18,4% 49 69
FIS 58,5% 165 45 21,4%
COBIT5

Figura 1: Dos escenarios de brecha para que CSF sea integral

Descubrimos que el proceso de cumplimiento es un área de brecha, relacionada con la seguridad

de la información, que se identifica y debe abordarse en la actualización futura de NIST CSF. Por
ejemplo, MEA03 (Supervisar, Evaluar y Evaluar el Cumplimiento de los Requisitos Externos) es un
proceso COBIT que no está asignado a NIST CSF. Además, SI2.3 (Supervisión del cumplimiento
de la seguridad de la información) es un proceso ISF que no está asignado a NIST CSF. Además,
ISO/IEC 27001 tiene un proceso (A.18: Cumplimiento) que está parcialmente asignado a NIST CSF.
NIST CSF ha mapeado solo los siguientes cinco procesos ISO/IEC: A.18.1 (Cumplimiento de los
requisitos legales y contractuales), A.18.1.3 (Protección de registros), A.18.1.4 (Privacidad y
protección de información de identificación personal) , A.18.2.2 (Cumplimiento de las políticas y
estándares de seguridad), y A.18.2.3 (Revisión del cumplimiento técnico).

Rastreamos la evaluación de cumplimiento en la serie NIST 800 y encontramos dos publicaciones

principales ([10] y [11]) que destacaban este tema. La Evaluación de Cumplimiento se abordó bajo
el proceso de Monitoreo de Riesgos, funciones y responsabilidades asociadas con él. Los dos
objetivos principales del proceso de Monitoreo de Riesgos son verificar la existencia del control (Compliance) y la eficie
Machine Translated by Google

Informática y tecnología de la información (CS y TI) 55

del control para mitigar el riesgo [11]. La evaluación del cumplimiento es muy esencial para garantizar que el control
identificado para mitigar el riesgo se implemente correctamente y funcione según lo previsto. Para conocer las
responsabilidades detalladas de cada función en el proceso de cumplimiento, consulte lo siguiente en [10]:

Role Referencia [10]

-------------------------------------------------- -----------------

información propietario del sistema Sec. D.9, Página D-5

Información. oficial de seguridad del sistema Sec. D.10, página
D-6 información. arquitecto de seguridad
asesor
seg. D.11,
de control
página
deD-6
seguridad sec. D.13, página D-7

Proponemos agregar el proceso de evaluación del cumplimiento como un proceso en NIST CSF (sea la categoría
número 23). Esta categoría contendrá las subcategorías perdidas resaltadas anteriormente. El proceso debe
contener al menos lo siguiente como subcategorías:

• Cumplimiento Legal y Normativo • Privacidad

de la Información • Propiedad Intelectual •
Cumplimiento de políticas y estándares de
seguridad

5. MEDICIÓN DE LA MADUREZ DE LAS ORGANIZACIONES QUE IMPLEMENTAN NIST

LCR
La parte del perfil del NIST CSF se centra en el seguimiento del progreso de la organización en la implementación
de las brechas para pasar del estado actual al objetivo definido. NIST CSF ha proporcionado Tiers como una
herramienta visionaria que permite a las organizaciones comprender sus características de riesgo de seguridad
cibernética. Sin embargo, como destacamos en la Sección 1, los niveles no brindan a las organizaciones un
mecanismo para medir el progreso de la implementación de NIST CSF o su nivel de madurez y las capacidades de
los procesos de seguridad de la información.

Por lo tanto, se necesita un modelo de madurez para medir las capacidades de los procesos de seguridad de la información.
El objetivo principal de dicho modelo de madurez es identificar una línea de base para comenzar a mejorar la
postura de seguridad de una organización al implementar NIST CSF. Luego, el modelo de madurez se utiliza en
ciclos para generar consenso, establecer las prioridades de inversión en seguridad de la información y, después de
todo, medir el progreso de la implementación [12]. Algunos de los marcos que estudiamos vienen con un modelo
de madurez (como COBIT e ISF). Para otros marcos que no tienen un modelo de madurez como ISO 27001, se
utilizan otros modelos de madurez relacionados con la seguridad de la información como ONG C2M2 y SSE MM
(Figuras 2 y 3). Estudiamos los diferentes modelos de madurez para verificar si se correlacionan entre sí a fin de
utilizar cualquiera de ellos para medir la madurez de las organizaciones que implementan NIST CSF. El enfoque
principal de nuestro estudio fue comparar la escala utilizada por cada modelo y los dominios evaluados por cada
modelo.

Revisamos los cuatro modelos de madurez SSE CMM [13], ONG C2M2 [14], ISF MM [15] y COBIT PAM MM [16]. A
diferencia de los otros tres modelos de madurez, ONG C2M2 es un modelo de tres escalas y evalúa diez dominios.
Consulte la Figura 2.
Machine Translated by Google

56 Informática y tecnología de la información (CS y TI)

Figura 2: Escalas y dominios del modelo de madurez ONG C2M2

Figura 3: Escalas y dominios del modelo de madurez de SSE

Si bien SSE CMM (Figura 3), ISF MM (Figura 4) y PAM MM (Figura 5) son los mismos
modelos de escala de madurez, aún existe el problema del mapeo. En la Tabla 2,
identificamos que el nivel 2 \Planificado y rastreado" de SSE CMM no está asignado a
ninguno de los otros modelos de madurez. La Figura 3 ilustra los niveles y dominios de
SSE CMM. Por otro lado, en ISF MM y PAM MM , los niveles 2 y 3 son opuestos entre sí.
Las figuras 4 y 5 ilustran los niveles y dominios de ISF MM y PAM MM.

Figura 4: Escalas y dominios del modelo de madurez ISF

Machine Translated by Google

Informática y tecnología de la información (CS y TI) 57

Figura 5: Escalas y dominios del modelo de madurez PAM

Realizamos una comparación exhaustiva de todos los dominios en los cuatro modelos de madurez.
Estos dominios se examinan cuidadosamente en un intento de verificar la aplicabilidad de cualquier
modelo de madurez, independientemente del marco implementado. Sin embargo, nuestro estudio
muestra la falta de mapeo uno a uno o cualquier forma clara de mapear estos dominios de manera
aplicable. Hay elementos en ciertos modelos que están asignados a varios elementos en otros
modelos. Mientras que otros elementos no tienen mapeo como se muestra en la Tabla 3. Por ejemplo,
\Monitor Posture" en SSE CMM se asigna a tres elementos en ISF MM, tres elementos en PAM y dos
elementos en ONG C2M2. Mientras que \Monitor and Control Technical Effort " en SSE CMM y \Manage Operation" en PAM n
Además, \Administrar controles de seguridad" en SSE MM se asigna a siete elementos en PAM MM.

Tabla 2: Comparación de escalas de modelos de madurez

MMC SSE [13] FSI milímetro [15] COBIT PAM [16] ONG C2M2 [14]
L1 L1 L1 L1
realizado informalmente Realizado Proceso Realizado Realizado pero Ad-hoc
L2 Sin mapeo Sin mapeo Sin mapeo
Planificado y rastreado
L3 L2 L3 L2
bien definido Planificado Proceso establecido Definido y con recursos
Sin mapeo L3 L2 L3
Administrado Proceso gestionado Gobernado y
Con recursos efectivos
L4 L4 L4 Sin mapeo
controlado cuantitativamente Medido Proceso predecible
L5 a medida L5 L5 Sin mapeo
Mejora continua proceso de optimización

Nuestro estudio, como se resume en las Tablas 2 y 3, ilustra el mapeo de ONG C2M2 con los otros
tres modelos de madurez en la Tabla 2. Muestra que ONG C2M2 tiene similitud y mapea a los primeros
tres niveles del ISF MM (Figura 4). Sin embargo, existe una brecha en las áreas evaluadas debido a la
diferencia en el número de ambos modelos de madurez (10 áreas evaluadas en ONG C2M2 versus 21
en ISF MM). Hay áreas evaluadas en ISF MM que no están asignadas a ONG C2M2, como
"Cumplimiento", "Auditoría de seguridad", "Arquitectura de seguridad" y "Desarrollo de aplicaciones seguras".
Otras áreas de ONG C2M2 están asignadas a más de un área en ISF MM. Por ejemplo, \Gestión de
programas de seguridad cibernética" en ONG C2M2 se asignó a tres áreas en ISF MM, a saber,
\Estrategia de seguridad", \Gobernanza de seguridad" y \Política de seguridad".
Machine Translated by Google

58 Informática y tecnología de la información (CS y TI)

Tabla 3: Comparación de dominios de modelos de madurez

Machine Translated by Google

Informática y tecnología de la información (CS y TI) 59

6. MODELO DE MADUREZ DE LA SEGURIDAD DE LA INFORMACIÓN PROPUESTO

En las secciones anteriores, discutimos algunos problemas críticos sobre el marco NIST CSF. Para comprender la
importancia de un nuevo modelo de madurez de cabability para el NIST CSF, destacamos los siguientes factores:

• La necesidad de que la gestión empresarial mida la madurez del programa de seguridad para garantizar la
fiabilidad de los servicios de TI que habilitan y respaldan su negocio [12].

• Los niveles del marco NIST CSF no están destinados a ser una herramienta de medición de los niveles de madurez.
[2].

• La brecha identificada en NIST CSF.

• La falta de mapeo (uno a uno) en ambos niveles de escala y las áreas evaluadas de los diferentes módulos
de madurez existentes.

Teniendo en cuenta todos los factores anteriores, es necesario definir una nueva CMM para NIST CSF. Por lo
tanto, proponemos una escala de cinco niveles con 23 áreas evaluadas como se muestra en la Figura 6. Nuestras
áreas evaluadas sugeridas se muestran en la Tabla 4. Estas áreas son las 22 en las categorías NIST CSF más la
evaluación de cumplimiento (No. 6 en la Tabla 4) .

Tres de los cuatro modelos de madurez que comparamos son escalas de cinco niveles además de otros cinco
modelos de madurez relacionados con la seguridad de la información revisados por [12]. Esto respalda nuestra
decisión de convertir el modelo de madurez propuesto en una escala de cinco niveles. Sin embargo, la revisión
detallada de las características requeridas de la escala, como los niveles de la escala, las definiciones de los
niveles de la escala o las medidas de la escala (por etapas versus continuas), debe abordarse en el trabajo futuro.

El ISMM propuesto permitirá a las organizaciones medir el progreso de su implementación a lo largo del tiempo.
Utilizarán la misma herramienta de medición de forma regular para garantizar el mantenimiento de la postura de
seguridad deseada. Además, el uso de la misma herramienta de medición por diferentes organizaciones permitirá
la evaluación comparativa entre esas organizaciones [12].
Machine Translated by Google

60 Informática y tecnología de la información (CS y TI)

Tabla 4: Las 23 áreas evaluadas del modelo de madurez propuesto

1 Gestión de activos
2 Ambiente de negocios
3 Gobernancia
4 Evaluación de riesgos
5 Estrategia de gestión de riesgos
6 Cumplimiento
Evaluación
7 Control de acceso
8 Concienciación y Formación
9 Seguridad de datos
10 Procesos y Procedimientos de Protección de la Información
11 Mantenimiento
12 Tecnología de protección
13 Anomalías y Eventos
14 Monitoreo Continuo de Seguridad
15 Procesos de detección
dieciséis
Planificación de la respuesta
17 Comunicaciones de respuesta
18 Análisis de respuesta
19 Mitigación de la respuesta
20 Mejoras de respuesta
21 Planificación de recuperación
22 Mejoras de recuperación
23 Comunicaciones de recuperación

Figura 6: Modelo de madurez de seguridad de la información propuesto (ISMM)

7. CONCLUSIÓN

NIST CSF se ha presentado a las organizaciones con infraestructura crítica como un marco integrado para
implementar con el fin de mejorar sus posturas de seguridad. El NIST recomendó usar el marco encima y para
complementar cualquier marco implementado dentro de la organización. La naturaleza de mejora continua de los
programas de seguridad de la información impulsa a las organizaciones a medir continuamente sus capacidades
para lograr el resultado deseado de la
Machine Translated by Google

Informática y tecnología de la información (CS y TI) 61

marco implementado. Las organizaciones utilizan los modelos de madurez de capacidad para evaluar
sus capacidades. Esto le dará a la gerencia de la organización las bases de sus decisiones para definir
y priorizar su estrategia de inversión en la construcción de la seguridad de la información.

Este documento consideró la evaluación de la exhaustividad del NIST CSF para garantizar que cubra
cualquier marco existente. Además, el documento revisó varios modelos de madurez para evaluar la
aplicabilidad del uso con NIST CSF y la existencia de mapeo entre los objetivos de control de NIST
CSF y las áreas evaluadas. El documento utilizó tres marcos relacionados con la seguridad de la
información (ISO 27001, ISF y COBIT5) y cuatro modelos de madurez (ISF, PAM, SSE CMM y ONG
C2M2).

La revisión consideró el mapeo realizado por NIST CSF a otros marcos y confirmó que NIST CSF no
abordó adecuadamente el proceso de evaluación de cumplimiento. La evaluación de los modelos de
madurez consideró las definiciones de los niveles de escala y las áreas evaluadas. En ambas
dimensiones, no hubo un mapeo uno a uno entre los diferentes modelos de madurez. Por lo tanto,
concluimos que ninguno de los modelos de madurez evaluados puede usarse con NIST CSF para tener
una amplia cobertura y mapeo al marco implementado. El documento propuso un nuevo modelo de
madurez de escala de cinco niveles e incluye las veintidós categorías NISCT CSF con la adición del
proceso de evaluación del cumplimiento.

En cuanto al trabajo futuro, primero, este documento muestra la comparación entre las áreas evaluadas
en diferentes modelos de madurez, pero no los compara con el NIST CSF. Esta comparación es
importante para identificar qué modelo de madurez se puede utilizar como base para definir los niveles
de escala del modelo de madurez NIST CSF propuesto. El alcance de la comparación también debe
ampliarse para cubrir más modelos de madurez relacionados con la ciberseguridad y la seguridad de
la información, como el modelo de madurez de la ciberseguridad comunitaria [17] y el modelo de
gobernanza de la seguridad de la información [12]. En segundo lugar, se debe considerar la mejor
práctica actual de la estructura empresarial de seguridad de la información para recurrir a las 23 áreas
evaluadas de acuerdo con esa estructura que agrupa las áreas realizadas en una entidad. Por ejemplo,
los procesos comerciales como la gestión de activos, la gestión de cambios, la supervisión de
amenazas o la gestión de riesgos se pueden utilizar para agrupar categorías de CSF de NIST relacionadas.

REFERENCIAS

[1] NIST, \Marco para mejorar la ciberseguridad de la infraestructura crítica",

http://www.nist.gov/cyberframework/upload/cybersecurity-framework-021214.pdf, 2014.

[2] N. Keller, \Cybersecurity framework faqs framework components,"

https://www.nist.gov/cyberframework/cybersecurity-framework-faqs-frameworkcomponents, 2015, consultado:
11 de diciembre de 2016.

[3] ISF, \El estándar de buenas prácticas para la seguridad de la información", en Information Security Forum ISF,
2014.

[4] S. Schweizerische, \Tecnología de la información-técnicas de seguridad-gestión de la seguridad de la información

requisitos de los sistemas", Organización Internacional de Normalización ISO/IEC, 2013.

[5] ISACA, \Cobit 5: Un marco empresarial para el gobierno y la gestión de la TI empresarial", 2012.
Machine Translated by Google

62 Informática y tecnología de la información (CS y TI)

[6] L. Scott, \Iniciativa de ciberseguridad de Baldrige," https://www.nist.gov/baldrige/productsservices/baldrige

iniciativa de ciberseguridad, 2016, consultado: 10 de noviembre de 2016.
[7] S. Fukushima y R. Sasaki, \Aplicación y evaluación del método para establecer un consenso sobre medidas basadas en el
marco de ciberseguridad", en The Third International Conference on Digital Security and Forensics (DigitalSec2016),
2016, p. 27.

[8] N. Teodoro, L. Goncalves y C. Serr~ao, \nNist cumplimiento del marco de seguridad cibernética: un modelo genérico para
evaluación dinámica y requisitos predictivos", en Trustcom/BigDataSE/ISPA, 2015 IEEE, vol. 1. IEEE , 2015, págs.
418{425.

[9] ISF, \Isf standard and nist framework poster", en Information Security Forum ISF, 2014.

[10] JT FORCE y T. INICIATIVA, \Guía para la aplicación del marco de gestión de riesgos a las
sistemas de información", publicación especial del NIST, vol. 800, p. 37, 2010.

[11] PD Gallagher y G. Locke, \Gestión de la organización de riesgos de seguridad de la información, misión y visión del
sistema de información", Instituto Nacional de Estándares y Tecnología, 2011.

[12] M. Lessing, \Las mejores prácticas muestran el camino hacia la madurez de la seguridad
de la información", http://hdl.handle.net/10204/3156, 2008, consultado: 10 de enero de 2017.

[13] Carnegie-Mellon-University, \Modelo de madurez de capacidad de ingeniería de seguridad de sistemas (sse-cmm)

documento de descripción del modelo versión 3.0", 1999.

[14] D. Modelo de madurez de la capacidad de ciberseguridad del subsector de energía, petróleo y gas natural (ong-c2m2
v1.1)," Departamento de Energía, Washington, DC: EE. UU., 2014.

[15] ISF, \Tiempo para crecer usando modelos de madurez para crear y proteger valor", en Information Security Forum
FIS, 2014.

[16] ISACA, Modelo de evaluación de procesos de COBIT (PAM): Uso de COBIT 5. ISACA, 2013.

[17] GB White, \El modelo de madurez de la seguridad cibernética comunitaria", en Technologies for Homeland Security
(HST), 2011 IEEE International Conference on. IEEE, 2011, pp. 173{178.