CIBERSEGURIDAD NIST

Resumen 800 Palabras

Aplicación 500 Palabras

INTRODUCCION
la ciberseguridad ha pasado de ser un término desconocido para gran parte de la población
a aparecer con creciente frecuencia en los medios de comunicación, tanto por la prevalencia
y gravedad de los ciberataques que sufren nuestros sistemas y redes de ordenadores como
por su alcance, que abarca desde organismos públicos y empresas a individuos.

RESOLUCION CIBERSEGURIDAD NIST

El Instituto Nacional de Estándares y Tecnología (NIST) es una agencia no reguladora que

promueve la innovación mediante el fomento de la ciencia, los estándares y la tecnología de
la medición. El marco de ciberseguridad del NIST (CSF del NIST) consta de estándares,
pautas y mejores prácticas que ayudan a las organizaciones a mejorar su gestión de riesgos
de ciberseguridad.
El diseño del CSF del NIST tiene una flexibilidad que le permite integrarse con los
procesos de seguridad existentes dentro de cualquier organización, en cualquier industria.
Proporciona un excelente punto de partida para implementar la seguridad de la información
y la gestión de riesgos de ciberseguridad en prácticamente cualquier organización del sector
privado en los Estados Unidos.
El 12 de febrero de 2013, se emitió la Orden Ejecutiva (EO) 13636, "Mejora de la
ciberseguridad de la infraestructura crítica". Esto inició el trabajo del NIST con el sector
privado de los EE. UU. para "identificar los estándares de consenso voluntarios existentes y
las mejores prácticas de la industria para incorporarlos en un marco de ciberseguridad". El
resultado de esta colaboración fue el NIST Cybersecurity Framework, versión 1.0.
La Ley de Mejora de la Ciberseguridad (CEA) de 2014 amplió los esfuerzos del NIST en el
desarrollo del marco de ciberseguridad. Hoy en día, el CSF del NIST sigue siendo uno de
los marcos de seguridad más utilizados en todas las industrias de los EE. UU.

El NIST Cybersecurity Framework

incluye funciones, categorías, subcategorías y referencias informativas.
Las funciones brindan una descripción general de los protocolos de seguridad de las
mejores prácticas. Las funciones no están destinadas a ser pasos de procedimiento, sino que
deben realizarse "de manera simultánea y continua para formar una cultura operativa que
aborde el riesgo dinámico de ciberseguridad". Las categorías y subcategorías proporcionan
planes de acción más concretos para departamentos o procesos específicos dentro de una
organización.
Entre los ejemplos de funciones y categorías del NIST se incluyen los siguientes:

Identificación: Para protegerse de los ciberataques, el equipo de ciberseguridad necesita un

conocimiento profundo de cuáles son los activos y recursos más importantes de la
organización. La función de identificación incluye categorías como la gestión de activos, el
entorno empresarial, la gestión, la evaluación de riesgos, la estrategia de gestión de riesgos
y la gestión de riesgos de la cadena de suministro.

Protección: La función de protección cubre gran parte de los controles de seguridad

técnicos y físicos para desarrollar e implementar las medidas de protección adecuadas y
proteger la infraestructura crítica. Estas categorías son la gestión de identidad y el control
de acceso, la concientización y capacitación, la seguridad de datos, los procesos y
procedimientos de protección de la información, el mantenimiento y la tecnología de
protección.

Detección: La función de detección implementa medidas que alertan a una organización

sobre los ciberataques. Las categorías de detección incluyen anomalías y eventos,
supervisión continua de seguridad y procesos de detección.

Respuesta: Las categorías de la función de respuesta garantizan la respuesta adecuada a los

ciberataques y otros eventos de ciberseguridad. Las categorías específicas incluyen la
planificación de respuesta, las comunicaciones, el análisis, la mitigación y las mejoras.
Recuperación: Las actividades de recuperación implementan planes para la resiliencia
cibernética y garantizan la continuidad del negocio en caso de producirse un ciberataque,
una violación de la seguridad u otro evento de ciberseguridad. Las funciones de
recuperación son las mejoras en la planificación de la recuperación y las comunicaciones.

Las referencias informativas del CSF del NIST establecen una correlación directa entre las
funciones, categorías, subcategorías y los controles de seguridad específicos de otros
marcos. Estos marcos incluyen el Center for Internet Security (CIS) Controls®, COBIT 5,
International Society of Automation (ISA) 62443-2-1: 2009, ISA 62443-3-3: 2013,
International Organization for Standardization y la International Electrotechnical
Commission 27001: 2013 y NIST SP 800-53 Rev.4.

El CSF del NIST no indica cómo inventariar los dispositivos y sistemas físicos o cómo
inventariar las plataformas y aplicaciones de software; solo proporciona una lista de
verificación de las tareas que deben realizarse. Una organización puede elegir su propio
método sobre cómo realizar el inventario. Si una organización necesita más orientación,
puede consultar las referencias informativas a los controles relacionados en otras normas
complementarias. Hay mucha libertad en el CSF para elegir las herramientas que mejor se
adapten a las necesidades de gestión de riesgos de ciberseguridad de una organización.
Desde hace algunos años, la seguridad de la información o ciberseguridad ha tomado mayor
relevancia en las organizaciones, tanto que han diseñado y ejecutado programas para
proteger su información, su activo más importante, y para actuar de la mejor manera frente
a un ataque cibernético porque, como sucede con los riesgos financieros o de reputación, el
riesgo cibernético genera impacto negativo en los objetivos de negocio. Con un software
como Pirani ISMS puedes identificar, gestionar y controlar estos riesgos fácilmente.

APLICACIÓN CIBERSEGURIDAD NIST

Niveles de implementación del marco NIST
Para ayudar a las organizaciones del sector privado a medir su progreso hacia la
implementación del marco de ciberseguridad del NIST, el marco identifica cuatro niveles
de implementación:
Nivel 1 - Parcial: La organización está familiarizada con el CSF del NIST y puede haber
implementado algunos aspectos de control en algunas áreas de la infraestructura. La
implementación de actividades y protocolos de ciberseguridad ha sido reactiva y no
planificada. La organización tiene un conocimiento limitado de los riesgos de
ciberseguridad y carece de los procesos y recursos para habilitar la seguridad de la
información.
Nivel 2 - Riesgo informado: La organización es más consciente de los riesgos de
ciberseguridad y comparte información de manera informal. Carece de un proceso de
gestión de riesgos de ciberseguridad planificado, repetible y proactivo en toda la
organización.

Nivel 3 - Repetible: La organización y sus altos ejecutivos son conscientes de los riesgos de
ciberseguridad. Han implementado un plan de gestión de riesgos de ciberseguridad
repetible en toda la organización. El equipo de ciberseguridad ha creado un plan de acción
para supervisar y responder de manera efectiva a los ciberataques.

Nivel 4 - Adaptable: La organización ahora es ciberresiliente y utiliza las lecciones

adquiridas y los indicadores predictivos para evitar ciberataques. El equipo de
ciberseguridad mejora y fomenta continuamente las tecnologías y prácticas de
ciberseguridad de la organización y se adapta a los cambios en las amenazas de forma
rápida y eficiente.

Establecimiento de un programa de gestión de riesgos de ciberseguridad del marco NIST

El marco de ciberseguridad del NIST proporciona una guía paso a paso sobre cómo
establecer o mejorar su programa de gestión de riesgos de seguridad de la información:
Prioridades y alcance: cree una idea clara del alcance del proyecto e identifique las
prioridades. Establezca los objetivos de la misión o los objetivos comerciales de alto nivel,
las necesidades del negocio y determine la tolerancia al riesgo de la organización.

Orientación: haga un balance de los activos y sistemas de la organización e identifique las

regulaciones aplicables, el enfoque del riesgo y las amenazas a las que estaría expuesta la
organización.

Cree un perfil actual: un perfil actual es un ejemplo de cómo la organización está

gestionando el riesgo en la actualidad, según lo definido por las categorías y subcategorías
del CSF.

Realice una evaluación de riesgos: evalúe el entorno operativo, los riesgos emergentes y la
información sobre amenazas de ciberseguridad para determinar la probabilidad y gravedad
de un evento de ciberseguridad que pueda afectar a la organización.

Cree un perfil objetivo: un perfil objetivo representa la meta de gestión de riesgos del
equipo de seguridad de la información.
Determine, analice y priorice las brechas: al identificar las brechas entre el perfil actual y el
perfil objetivo, el equipo de seguridad de la información puede crear un plan de acción que
incluya hitos y recursos medibles (personas, presupuesto, tiempo) necesarios para cubrir
estas brechas.

Implemente un plan de acción: implemente el plan de acción definido en el Paso 6.

CONCLUSIONES

La ciberseguridad del NIST es una herramienta valiosa para pequeñas empresas como la
tuya. Proporciona un marco para proteger tus activos digitales y mantener la confianza de
tus clientes. Si sigue las pautas del NIST, puede dar pasos importantes hacia un negocio
más seguro y resiliente.
la ciberseguridad ayuda a mantener seguros los distintos tipos de datos que se tengan
registrados, y así no llegar a ser víctima de algún ciberdelito

RECOMENDACIONES
 Educación sobre ciberseguridad.
 Mantener los equipos actualizados con las últimas actualizaciones de seguridad.
 Segmentar la red. ...
 La protección perimetral y horizontal de cómo se mueve la data
(microsegmentación) ...
 Tener un buen equipo de monitoreo.