Documentos de Académico
Documentos de Profesional
Documentos de Cultura
RESUMEN
PALABRAS CLAVE
1. INTRODUCCIÓN
Muchas organizaciones podrían alinearse con uno de los marcos de mejores prácticas relacionadas con
la seguridad de la información. Esto hace que la alineación del NIST CSF con dichos marcos sea
imprescindible. NIST CSF es un conjunto de estándares y mejores prácticas de la industria [1]. El marco
de NIST CSF indica claramente que las organizaciones que planean implementarlo pueden usar sus
procesos existentes y colocarlos encima del NIST CSF para identificar brechas con respecto al marco.
Esto implica la exhaustividad del NIST CSF en comparación con otros marcos como COBIT, ISO/IEC
27001 y el Estándar ISF de Buenas Prácticas (SoGP). Por lo tanto, para garantizar la alineación aplicable
con cualquier marco de seguridad de la información, debemos confirmar la exhaustividad o identificar
cualquier posible brecha en NIST CSF.
David C. Wyld et al. (Eds) : ITCS, SIP, CST, ARIA, NLP - 2017 pp. 51– 62,
2017. © CS & IT-CSCP 2017 DOI: 10.5121/csit.2017.70305
Machine Translated by Google
Sin embargo, en este documento, mostramos que NIST CSF no es integral para abordar todos los
procesos relacionados con la seguridad de la información que se abordan en algunos de esos marcos.
El objetivo principal del marco es gestionar los riesgos de seguridad cibernética dentro de las
organizaciones que lo implementan. En el NIST CSF, la parte \Framework Implementation Tiers",
denominada \Tiers", se detalla como una de las tres partes de las que consta el marco [1]. Sin embargo,
los Niveles no brindan a las organizaciones un mecanismo para medir el progreso de la implementación
de NIST CSF o su nivel de madurez y las capacidades de los procesos de seguridad de la información.
Tiers es solo una herramienta visionaria que permite a las organizaciones comprender su enfoque de
gestión de riesgos de seguridad cibernética y cuáles son los procesos implementados para gestionar
el riesgo. El sitio web oficial del NIST [2] ha declarado que los niveles no están destinados a ser una herramienta de medición d
Este documento es una comparación exhaustiva entre los marcos NIST CSF, COBIT, ISO/IEC 27001 e
ISF. Identifica la brecha de los procesos clave de seguridad de la información que se abordan en
algunos marcos pero no en NIST CSF. Llenamos este vacío y proponemos un nuevo modelo de madurez
de capacidad (CMM) para medir el progreso de implementación de NIST CSF.
El NIST CSF consta de tres partes principales en las que la seguridad cibernética se considera un
riesgo que se gestiona a través del proceso de gestión de riesgos empresariales [1]. Por lo tanto,
identificamos el marco NIST CSF como un marco basado en el riesgo. Las tres partes son: núcleo del
marco, niveles de riesgo y perfil del marco.
El núcleo del marco consiste en un conjunto de actividades de seguridad cibernética. Estas actividades
se agrupan en \Subcategorías" que también se agrupan en \Categorías". Las categorías se clasifican en
cinco "Funciones" diferentes: Identificar, Proteger, Detectar, Responder y Recuperar. Las cinco
funciones del NIST CSF son concurrentes y continuas. Cuando las funciones se implementan
colectivamente, forman una visión estratégica y de alto nivel de la ciberseguridad. programa de gestión
de riesgos. La parte Framework Core también tiene los resultados deseados (objetivos de control) y
referencias informativas. Las referencias informativas son una lista de actividades de seguridad
cibernética en estándares, pautas o prácticas como COBIT, ISO / IEC 27001 e ISF SoGP. La comparación
entre el NIST CSF y otros marcos se realizará en el nivel de las actividades de seguridad cibernética
para garantizar que se aborden todas las actividades clave de seguridad de la información. La Tabla 1
compara la estructura del NIST CSF con la estructura de una muestra seleccionada de marcos.
Machine Translated by Google
La parte Tiers del NIST CSF es una herramienta visionaria que permite a las organizaciones comprender
su enfoque de gestión de riesgos de seguridad cibernética y cuáles son los procesos establecidos para gestionar el riesgo.
Con base en los procesos identificados en el lugar, la organización puede clasificarse en uno de los cuatro
niveles. Los niveles de nivel van desde \Parcial" en el Nivel 1, \Riesgo informado" en el Nivel 2, \Repetible"
en el Nivel 3, a \Adaptable" en el Nivel 4.
El perfil del marco, denominado "perfil", es una herramienta para documentar, implementar y rastrear las
oportunidades de las organizaciones para mejorar su postura de seguridad cibernética. El perfil tiene las
actividades de seguridad cibernética actuales implementadas por la organización, así como las
planificadas. actividades que se implementarán para cerrar la brecha entre el estado actual y el futuro. Las
organizaciones deben identificar qué actividades de seguridad cibernética son necesarias para mejorar el
estado actual en función de la evaluación de riesgos para identificar los riesgos que pueden impedir el logro de los objetivos com
3. TRABAJO RELACIONADO
Revisamos \Baldrige Excellence Framework" y \Baldrige Excellence Builder" en el sitio web del NIST [6].
Descubrimos que estos dos documentos no se introdujeron para servir como modelo de madurez.
Sin embargo, son un esfuerzo continuo vinculado a los Tiers, donde el objetivo principal es ayudar a las
organizaciones a evaluar qué tan efectivo es su esfuerzo de gestión de riesgos de seguridad cibernética.
Baldrige Excellence Builder vincula el programa de seguridad cibernética con varias áreas, como liderazgo,
clientes, empleados y los resultados finales. En [7], los autores propusieron un método para seleccionar
medidas que evalúan la brecha entre el estado actual y el objetivo en función de los niveles de riesgo de
CSF del NIST. En [8], por otro lado, los autores destacaron la necesidad de una Evaluación de Cumplimiento
para reducir la brecha en el pilar de Procesos (uno de los tres pilares que incluyen Recursos Humanos y
Tecnología). Por lo tanto, propusieron un modelo que es genérico para permitir la evaluación general del
cumplimiento.
Ejemplos de otros marcos incluyen COBIT, ISO/IEC 27001 y ISF SoGP para seguridad de la información.
Sin embargo, las actividades detalladas de seguridad cibernética generalmente se enumeran en estándares,
pautas y prácticas. Tienen la siguiente naturaleza:
Los ejemplos de estándares y pautas incluyen NIST SP 800-53, ISO-27001 Anexo e ISF SoGP. El NIST CSF
ha mapeado varios estándares en las referencias informativas. Los estándares mapeados incluyen la serie
NIST SP 800, COBIT 5, ISA 62443, ISO/IEC 27001:2013 y
Machine Translated by Google
SCC [1]. ISF SoGP no se mapeó en el marco NIST CSF. Por lo tanto, utilizaremos el mapeo ISF
SoGP [9] a NIST CSF para realizar la comparación con NIST CSF.
NIST CSF indica claramente que las organizaciones que planean implementarlo pueden usar sus
procesos existentes y colocarlos encima del NIST CSF para identificar brechas con respecto al
marco [1]. Sin embargo, esto supone que NIST CSF será integral y el marco adoptado será siempre
igual o menor que NIST. Esto se ilustra en la Figura 1-a.
Por supuesto, es posible el otro escenario de NIST CSF que no es completo y tiene una brecha en
comparación con otros marcos. Para verificar este escenario (ilustrado en la Figura 1-b),
comparamos todas las referencias informativas del CSF mapeadas con el marco correspondiente.
Las estadísticas numéricas de este partido son las siguientes:
del control para mitigar el riesgo [11]. La evaluación del cumplimiento es muy esencial para garantizar que el control
identificado para mitigar el riesgo se implemente correctamente y funcione según lo previsto. Para conocer las
responsabilidades detalladas de cada función en el proceso de cumplimiento, consulte lo siguiente en [10]:
Proponemos agregar el proceso de evaluación del cumplimiento como un proceso en NIST CSF (sea la categoría
número 23). Esta categoría contendrá las subcategorías perdidas resaltadas anteriormente. El proceso debe
contener al menos lo siguiente como subcategorías:
Por lo tanto, se necesita un modelo de madurez para medir las capacidades de los procesos de seguridad de la información.
El objetivo principal de dicho modelo de madurez es identificar una línea de base para comenzar a mejorar la
postura de seguridad de una organización al implementar NIST CSF. Luego, el modelo de madurez se utiliza en
ciclos para generar consenso, establecer las prioridades de inversión en seguridad de la información y, después de
todo, medir el progreso de la implementación [12]. Algunos de los marcos que estudiamos vienen con un modelo
de madurez (como COBIT e ISF). Para otros marcos que no tienen un modelo de madurez como ISO 27001, se
utilizan otros modelos de madurez relacionados con la seguridad de la información como ONG C2M2 y SSE MM
(Figuras 2 y 3). Estudiamos los diferentes modelos de madurez para verificar si se correlacionan entre sí a fin de
utilizar cualquiera de ellos para medir la madurez de las organizaciones que implementan NIST CSF. El enfoque
principal de nuestro estudio fue comparar la escala utilizada por cada modelo y los dominios evaluados por cada
modelo.
Revisamos los cuatro modelos de madurez SSE CMM [13], ONG C2M2 [14], ISF MM [15] y COBIT PAM MM [16]. A
diferencia de los otros tres modelos de madurez, ONG C2M2 es un modelo de tres escalas y evalúa diez dominios.
Consulte la Figura 2.
Machine Translated by Google
Si bien SSE CMM (Figura 3), ISF MM (Figura 4) y PAM MM (Figura 5) son los mismos
modelos de escala de madurez, aún existe el problema del mapeo. En la Tabla 2,
identificamos que el nivel 2 \Planificado y rastreado" de SSE CMM no está asignado a
ninguno de los otros modelos de madurez. La Figura 3 ilustra los niveles y dominios de
SSE CMM. Por otro lado, en ISF MM y PAM MM , los niveles 2 y 3 son opuestos entre sí.
Las figuras 4 y 5 ilustran los niveles y dominios de ISF MM y PAM MM.
Realizamos una comparación exhaustiva de todos los dominios en los cuatro modelos de madurez.
Estos dominios se examinan cuidadosamente en un intento de verificar la aplicabilidad de cualquier
modelo de madurez, independientemente del marco implementado. Sin embargo, nuestro estudio
muestra la falta de mapeo uno a uno o cualquier forma clara de mapear estos dominios de manera
aplicable. Hay elementos en ciertos modelos que están asignados a varios elementos en otros
modelos. Mientras que otros elementos no tienen mapeo como se muestra en la Tabla 3. Por ejemplo,
\Monitor Posture" en SSE CMM se asigna a tres elementos en ISF MM, tres elementos en PAM y dos
elementos en ONG C2M2. Mientras que \Monitor and Control Technical Effort " en SSE CMM y \Manage Operation" en PAM n
Además, \Administrar controles de seguridad" en SSE MM se asigna a siete elementos en PAM MM.
MMC SSE [13] FSI milímetro [15] COBIT PAM [16] ONG C2M2 [14]
L1 L1 L1 L1
realizado informalmente Realizado Proceso Realizado Realizado pero Ad-hoc
L2 Sin mapeo Sin mapeo Sin mapeo
Planificado y rastreado
L3 L2 L3 L2
bien definido Planificado Proceso establecido Definido y con recursos
Sin mapeo L3 L2 L3
Administrado Proceso gestionado Gobernado y
Con recursos efectivos
L4 L4 L4 Sin mapeo
controlado cuantitativamente Medido Proceso predecible
L5 a medida L5 L5 Sin mapeo
Mejora continua proceso de optimización
Nuestro estudio, como se resume en las Tablas 2 y 3, ilustra el mapeo de ONG C2M2 con los otros
tres modelos de madurez en la Tabla 2. Muestra que ONG C2M2 tiene similitud y mapea a los primeros
tres niveles del ISF MM (Figura 4). Sin embargo, existe una brecha en las áreas evaluadas debido a la
diferencia en el número de ambos modelos de madurez (10 áreas evaluadas en ONG C2M2 versus 21
en ISF MM). Hay áreas evaluadas en ISF MM que no están asignadas a ONG C2M2, como
"Cumplimiento", "Auditoría de seguridad", "Arquitectura de seguridad" y "Desarrollo de aplicaciones seguras".
Otras áreas de ONG C2M2 están asignadas a más de un área en ISF MM. Por ejemplo, \Gestión de
programas de seguridad cibernética" en ONG C2M2 se asignó a tres áreas en ISF MM, a saber,
\Estrategia de seguridad", \Gobernanza de seguridad" y \Política de seguridad".
Machine Translated by Google
En las secciones anteriores, discutimos algunos problemas críticos sobre el marco NIST CSF. Para comprender la
importancia de un nuevo modelo de madurez de cabability para el NIST CSF, destacamos los siguientes factores:
• La necesidad de que la gestión empresarial mida la madurez del programa de seguridad para garantizar la
fiabilidad de los servicios de TI que habilitan y respaldan su negocio [12].
• Los niveles del marco NIST CSF no están destinados a ser una herramienta de medición de los niveles de madurez.
[2].
• La falta de mapeo (uno a uno) en ambos niveles de escala y las áreas evaluadas de los diferentes módulos
de madurez existentes.
Teniendo en cuenta todos los factores anteriores, es necesario definir una nueva CMM para NIST CSF. Por lo
tanto, proponemos una escala de cinco niveles con 23 áreas evaluadas como se muestra en la Figura 6. Nuestras
áreas evaluadas sugeridas se muestran en la Tabla 4. Estas áreas son las 22 en las categorías NIST CSF más la
evaluación de cumplimiento (No. 6 en la Tabla 4) .
Tres de los cuatro modelos de madurez que comparamos son escalas de cinco niveles además de otros cinco
modelos de madurez relacionados con la seguridad de la información revisados por [12]. Esto respalda nuestra
decisión de convertir el modelo de madurez propuesto en una escala de cinco niveles. Sin embargo, la revisión
detallada de las características requeridas de la escala, como los niveles de la escala, las definiciones de los
niveles de la escala o las medidas de la escala (por etapas versus continuas), debe abordarse en el trabajo futuro.
El ISMM propuesto permitirá a las organizaciones medir el progreso de su implementación a lo largo del tiempo.
Utilizarán la misma herramienta de medición de forma regular para garantizar el mantenimiento de la postura de
seguridad deseada. Además, el uso de la misma herramienta de medición por diferentes organizaciones permitirá
la evaluación comparativa entre esas organizaciones [12].
Machine Translated by Google
1 Gestión de activos
2 Ambiente de negocios
3 Gobernancia
4 Evaluación de riesgos
5 Estrategia de gestión de riesgos
6 Cumplimiento
Evaluación
7 Control de acceso
8 Concienciación y Formación
9 Seguridad de datos
10 Procesos y Procedimientos de Protección de la Información
11 Mantenimiento
12 Tecnología de protección
13 Anomalías y Eventos
14 Monitoreo Continuo de Seguridad
15 Procesos de detección
dieciséis
Planificación de la respuesta
17 Comunicaciones de respuesta
18 Análisis de respuesta
19 Mitigación de la respuesta
20 Mejoras de respuesta
21 Planificación de recuperación
22 Mejoras de recuperación
23 Comunicaciones de recuperación
7. CONCLUSIÓN
NIST CSF se ha presentado a las organizaciones con infraestructura crítica como un marco integrado para
implementar con el fin de mejorar sus posturas de seguridad. El NIST recomendó usar el marco encima y para
complementar cualquier marco implementado dentro de la organización. La naturaleza de mejora continua de los
programas de seguridad de la información impulsa a las organizaciones a medir continuamente sus capacidades
para lograr el resultado deseado de la
Machine Translated by Google
marco implementado. Las organizaciones utilizan los modelos de madurez de capacidad para evaluar
sus capacidades. Esto le dará a la gerencia de la organización las bases de sus decisiones para definir
y priorizar su estrategia de inversión en la construcción de la seguridad de la información.
Este documento consideró la evaluación de la exhaustividad del NIST CSF para garantizar que cubra
cualquier marco existente. Además, el documento revisó varios modelos de madurez para evaluar la
aplicabilidad del uso con NIST CSF y la existencia de mapeo entre los objetivos de control de NIST
CSF y las áreas evaluadas. El documento utilizó tres marcos relacionados con la seguridad de la
información (ISO 27001, ISF y COBIT5) y cuatro modelos de madurez (ISF, PAM, SSE CMM y ONG
C2M2).
La revisión consideró el mapeo realizado por NIST CSF a otros marcos y confirmó que NIST CSF no
abordó adecuadamente el proceso de evaluación de cumplimiento. La evaluación de los modelos de
madurez consideró las definiciones de los niveles de escala y las áreas evaluadas. En ambas
dimensiones, no hubo un mapeo uno a uno entre los diferentes modelos de madurez. Por lo tanto,
concluimos que ninguno de los modelos de madurez evaluados puede usarse con NIST CSF para tener
una amplia cobertura y mapeo al marco implementado. El documento propuso un nuevo modelo de
madurez de escala de cinco niveles e incluye las veintidós categorías NISCT CSF con la adición del
proceso de evaluación del cumplimiento.
En cuanto al trabajo futuro, primero, este documento muestra la comparación entre las áreas evaluadas
en diferentes modelos de madurez, pero no los compara con el NIST CSF. Esta comparación es
importante para identificar qué modelo de madurez se puede utilizar como base para definir los niveles
de escala del modelo de madurez NIST CSF propuesto. El alcance de la comparación también debe
ampliarse para cubrir más modelos de madurez relacionados con la ciberseguridad y la seguridad de
la información, como el modelo de madurez de la ciberseguridad comunitaria [17] y el modelo de
gobernanza de la seguridad de la información [12]. En segundo lugar, se debe considerar la mejor
práctica actual de la estructura empresarial de seguridad de la información para recurrir a las 23 áreas
evaluadas de acuerdo con esa estructura que agrupa las áreas realizadas en una entidad. Por ejemplo,
los procesos comerciales como la gestión de activos, la gestión de cambios, la supervisión de
amenazas o la gestión de riesgos se pueden utilizar para agrupar categorías de CSF de NIST relacionadas.
REFERENCIAS
[3] ISF, \El estándar de buenas prácticas para la seguridad de la información", en Information Security Forum ISF,
2014.
[5] ISACA, \Cobit 5: Un marco empresarial para el gobierno y la gestión de la TI empresarial", 2012.
Machine Translated by Google
[8] N. Teodoro, L. Goncalves y C. Serr~ao, \nNist cumplimiento del marco de seguridad cibernética: un modelo genérico para
evaluación dinámica y requisitos predictivos", en Trustcom/BigDataSE/ISPA, 2015 IEEE, vol. 1. IEEE , 2015, págs.
418{425.
[9] ISF, \Isf standard and nist framework poster", en Information Security Forum ISF, 2014.
[10] JT FORCE y T. INICIATIVA, \Guía para la aplicación del marco de gestión de riesgos a las
sistemas de información", publicación especial del NIST, vol. 800, p. 37, 2010.
[11] PD Gallagher y G. Locke, \Gestión de la organización de riesgos de seguridad de la información, misión y visión del
sistema de información", Instituto Nacional de Estándares y Tecnología, 2011.
[12] M. Lessing, \Las mejores prácticas muestran el camino hacia la madurez de la seguridad
de la información", http://hdl.handle.net/10204/3156, 2008, consultado: 10 de enero de 2017.
[14] D. Modelo de madurez de la capacidad de ciberseguridad del subsector de energía, petróleo y gas natural (ong-c2m2
v1.1)," Departamento de Energía, Washington, DC: EE. UU., 2014.
[15] ISF, \Tiempo para crecer usando modelos de madurez para crear y proteger valor", en Information Security Forum
FIS, 2014.
[16] ISACA, Modelo de evaluación de procesos de COBIT (PAM): Uso de COBIT 5. ISACA, 2013.
[17] GB White, \El modelo de madurez de la seguridad cibernética comunitaria", en Technologies for Homeland Security
(HST), 2011 IEEE International Conference on. IEEE, 2011, pp. 173{178.