{"id":1,"date":"2019-09-26T18:05:28","date_gmt":"2019-09-26T23:05:28","guid":{"rendered":"http:\/\/control-it.mx\/2020\/\/?p=1"},"modified":"2019-09-26T17:58:45","modified_gmt":"2019-09-26T22:58:45","slug":"https-ciberseguridad-blog-como-implantar-el-framework-nist","status":"publish","type":"post","link":"https:\/\/control-it.mx\/2020\/https-ciberseguridad-blog-como-implantar-el-framework-nist\/","title":{"rendered":"C\u00f3mo implantar el Framework NIST"},"content":{"rendered":"<p>El Framework NIST es un enfoque basado en el riesgo para gestionar la ciberseguridad, y est\u00e1 compuesto por tres partes: el n\u00facleo del marco, los niveles de implementaci\u00f3n del marco y los perfiles del mismo. Cada componente del framework refuerza la conexi\u00f3n entre los impulsores del negocio y las actividades de ciberseguridad.<\/p>\n<div class=\"fluid-width-video-wrapper\"><iframe src=\"https:\/\/www.youtube.com\/embed\/zokpELp9D9s?rel=0\" name=\"fitvid0\" frameborder=\"0\" allowfullscreen=\"allowfullscreen\" data-mce-fragment=\"1\"><\/iframe><\/div>\n<ul>\n<li>El n\u00facleo del framework es un conjunto de actividades de seguridad cibern\u00e9tica, resultados deseados y referencias aplicables que son comunes en todos los sectores de infraestructura cr\u00edticas. El n\u00facleo presenta est\u00e1ndares, directrices y pr\u00e1cticas de la industria de una manera que permite la comunicaci\u00f3n de las actividades y los resultados de ciberseguridad en toda la organizaci\u00f3n desde el nivel ejecutivo hasta el nivel de implementaci\u00f3n \/ operaciones. El Core consta de cinco Funciones simult\u00e1neas y continuas: Identificar, Proteger, Detectar, Responder, Recuperar. Cuando se consideran juntas, estas funciones proporcionan una visi\u00f3n estrat\u00e9gica de alto nivel del ciclo de vida de la administraci\u00f3n de riesgos de ciberseguridad de una organizaci\u00f3n. El n\u00facleo del framework identifica categor\u00edas y subcategor\u00edas clave subyacentes para cada funci\u00f3n y las compara con ejemplos de referencias informativas, como est\u00e1ndares, directrices y pr\u00e1cticas existentes para cada subcategor\u00eda.<\/li>\n<li>Los Niveles de Implementaci\u00f3n del framework (&#8220;TIERs&#8221;) proporcionan un contexto sobre c\u00f3mo una organizaci\u00f3n considera el riesgo de ciberseguridad y los procesos establecidos para gestionar ese riesgo. Los niveles describen el grado en que las pr\u00e1cticas de gesti\u00f3n de riesgos de ciberseguridad de una organizaci\u00f3n exhiben las caracter\u00edsticas definidas en el framework (por ejemplo, consciente de riesgos y amenazas, repetible y adaptativo). Los Niveles caracterizan las pr\u00e1cticas de una organizaci\u00f3n en un rango, desde Parcial (TIER 1) hasta Adaptativo (TIER 4). Estos Niveles reflejan una progresi\u00f3n de respuestas informales y reactivas a enfoques que son \u00e1giles y est\u00e1n informados sobre riesgos. Durante el proceso de selecci\u00f3n de niveles, una organizaci\u00f3n debe considerar sus pr\u00e1cticas actuales de administraci\u00f3n de riesgos, el entorno de amenazas, los requisitos legales y reglamentarios, los objetivos comerciales \/ de la misi\u00f3n y las limitaciones organizacionales.<\/li>\n<li>Un Perfil del framework (&#8220;Perfil&#8221;) representa los resultados basados en las necesidades comerciales que una organizaci\u00f3n ha seleccionado de las Categor\u00edas y Subcategor\u00edas del Marco. El perfil se puede caracterizar como la alineaci\u00f3n de est\u00e1ndares, directrices y pr\u00e1cticas con el n\u00facleo del framework en un escenario de implementaci\u00f3n particular. Los perfiles se pueden utilizar para identificar oportunidades para mejorar la postura de ciberseguridad comparando un perfil &#8220;actual&#8221; (el estado &#8220;tal cual&#8221;) con un perfil de &#8220;objetivo&#8221; (el estado &#8220;a ser&#8221;). Para desarrollar un perfil, una organizaci\u00f3n puede revisar todas las categor\u00edas y subcategor\u00edas y, en funci\u00f3n de los impulsores del negocio y una evaluaci\u00f3n de riesgos, determinar cu\u00e1les son los m\u00e1s importantes; pueden agregar categor\u00edas y subcategor\u00edas seg\u00fan sea necesario para abordar los riesgos de la organizaci\u00f3n. El perfil actual se puede usar para apoyar la priorizaci\u00f3n y la medici\u00f3n del progreso hacia el Perfil objetivo, al tiempo que se tienen en cuenta otras necesidades comerciales, incluida la rentabilidad y la innovaci\u00f3n. Los perfiles se pueden usar para realizar autoevaluaciones y comunicarse dentro de una organizaci\u00f3n o entre organizaciones.<\/li>\n<\/ul>\n<h2 id=\"gestinderiesgos\">Gesti\u00f3n de riesgos<\/h2>\n<p>La gesti\u00f3n de riesgos es el proceso continuo de identificaci\u00f3n, evaluaci\u00f3n y responder al riesgo. Para administrar el riesgo, las organizaciones deben comprender la probabilidad de que ocurra un evento y el impacto resultante. Con esta informaci\u00f3n, las organizaciones pueden determinar el nivel aceptable de riesgo para la prestaci\u00f3n de servicios y pueden expresar esto como su tolerancia al riesgo.<br \/>\nCon una comprensi\u00f3n de la tolerancia al riesgo, las organizaciones pueden priorizar las actividades de ciberseguridad, permitiendo a las organizaciones tomar decisiones informadas sobre los gastos de esta. La implementaci\u00f3n de programas de gesti\u00f3n de riesgos ofrece a las organizaciones la capacidad de cuantificar y comunicar los ajustes a sus programas de seguridad cibern\u00e9tica. Las organizaciones pueden optar por manejar el riesgo de diferentes maneras, incluida la mitigaci\u00f3n, la transferencia, la prevenci\u00f3n o la aceptaci\u00f3n del riesgo, seg\u00fan el impacto potencial en la prestaci\u00f3n de los servicios cr\u00edticos.<br \/>\nEl framework NIST utiliza procesos de gesti\u00f3n de riesgos para permitir que las organizaciones informen y prioricen las decisiones relacionadas con la ciberseguridad. Es compatible con las evaluaciones de riesgos recurrentes y la validaci\u00f3n de los impulsores del negocio para ayudar a las organizaciones a seleccionar estados objetivo para actividades de ciberseguridad que reflejen los resultados deseados. Por lo tanto, el framework NIST da a las organizaciones la capacidad de seleccionar y dirigir mejoras din\u00e1micas en la gesti\u00f3n de riesgos de ciberseguridad para los entornos de TI e ICS. El Marco es adaptable para proporcionar una implementaci\u00f3n flexible y basada en el riesgo que se puede utilizar con una amplia gama de procesos de gesti\u00f3n de riesgos de ciberseguridad, c\u00f3mo por ejemplo la (ISO) 31000: 20093 o la ISO \/ IEC 27005: 20114.<\/p>\n<h2 id=\"procesodeimplantacindeframeworknist\">Proceso de implantaci\u00f3n de Framework NIST<\/h2>\n<p>El framewok NIST proporciona un lenguaje com\u00fan para comprender, gestionar y expresar el riesgo de ciberseguridad tanto internamente como externamente. Se puede usar para ayudar a identificar y priorizar acciones para reducir el riesgo de ciberseguridad, y es una herramienta para alinear los enfoques de pol\u00edticas, negocios y tecnolog\u00eda para manejar dicho riesgo. Se puede usar para administrar el riesgo de ciberseguridad en todas las organizaciones o se puede enfocar en la entrega de servicios cr\u00edticos dentro de una organizaci\u00f3n. Los diferentes tipos de entidades, incluidas las estructuras de coordinaci\u00f3n del sector, las asociaciones y las organizaciones, pueden usar el framewok NIST para diferentes prop\u00f3sitos, incluida la creaci\u00f3n de Perfiles comunes.<\/p>\n<p><img data-recalc-dims=\"1\" decoding=\"async\" src=\"https:\/\/i0.wp.com\/ciberseguridad.blog\/content\/images\/2018\/07\/procesos-nist.png?w=1500&#038;ssl=1\" alt=\"Procesos NIST\" \/><\/p>\n<p>El core del framewok NIST proporciona un conjunto de actividades para lograr resultados espec\u00edficos de ciberseguridad y referencias de ejemplos de orientaci\u00f3n para lograr esos resultados. El core no es una lista de verificaci\u00f3n de las acciones a realizar. Presenta los resultados clave de ciberseguridad identificados por la industria como \u00fatiles para gestionar el riesgo de ciberseguridad. El core comprende cuatro elementos: Funciones, Categor\u00edas, Subcategor\u00edas y Referencias Informativas.<\/p>\n<p><img data-recalc-dims=\"1\" decoding=\"async\" src=\"https:\/\/i0.wp.com\/ciberseguridad.blog\/content\/images\/2018\/07\/Catategorias-Framework-NIST.png?w=1500&#038;ssl=1\" alt=\"Catategorias-Framework-NIST\" \/><\/p>\n<p>Los elementos core del Framework NIST trabajan juntos de la siguiente manera:<\/p>\n<ul>\n<li>Las funciones (Functions) organizan actividades b\u00e1sicas de ciberseguridad en su nivel m\u00e1s alto. Estas funciones son Identificar, Proteger, Detectar, Responder y Recuperar. Ayudan a una organizaci\u00f3n a expresar su gesti\u00f3n del riesgo de ciberseguridad organizando informaci\u00f3n, permitiendo decisiones de gesti\u00f3n de riesgos, abordando amenazas y mejorando y aprendiendo de actividades previas. Las funciones tambi\u00e9n se alinean con las metodolog\u00edas existentes para la gesti\u00f3n de incidentes y ayudan a mostrar el impacto de las inversiones en ciberseguridad. Por ejemplo, las inversiones en planificaci\u00f3n y ejercicios apoyan la respuesta oportuna y las acciones de recuperaci\u00f3n, lo que resulta en un impacto reducido en la prestaci\u00f3n de servicios.<\/li>\n<li>Las categor\u00edas son las subdivisiones de una Funci\u00f3n en grupos de resultados de ciberseguridad estrechamente vinculados a las necesidades program\u00e1ticas y las actividades particulares. Los ejemplos de categor\u00edas incluyen &#8220;Gesti\u00f3n de activos&#8221;, &#8220;Control de acceso&#8221; y &#8220;Procesos de detecci\u00f3n&#8221;.<\/li>\n<li>Las subcategor\u00edas dividen a\u00fan m\u00e1s una Categor\u00eda en resultados espec\u00edficos de actividades t\u00e9cnicas y \/ o de gesti\u00f3n. Proporcionan un conjunto de resultados que, aunque no son exhaustivos, ayudan a respaldar el logro de los resultados en cada categor\u00eda. Algunos ejemplos de subcategor\u00edas incluyen &#8220;Los sistemas de informaci\u00f3n externos est\u00e1n catalogados&#8221;, &#8220;Los datos en reposo est\u00e1n protegidos&#8221; y &#8220;Las notificaciones de los sistemas de detecci\u00f3n se investigan&#8221;.<\/li>\n<li>Las referencias informativas son secciones espec\u00edficas de normas, directrices y pr\u00e1cticas comunes entre sectores de infraestructura cr\u00edtica que ilustran un m\u00e9todo para lograr los resultados asociados con cada subcategor\u00eda. Las referencias informativas presentadas en el n\u00facleo del marco son ilustrativas y no exhaustivas. Se basan en la orientaci\u00f3n intersectorial a la que se hace referencia con m\u00e1s frecuencia durante el proceso de desarrollo del Marco.<\/li>\n<\/ul>\n<p>Definimos a continuaci\u00f3n las cinco funciones b\u00e1sicas del framewok NIST. Estas funciones no est\u00e1n destinadas a formar una ruta serial, o conducir a un estado final deseado est\u00e1tico. Por el contrario, las funciones se pueden realizar concurrentemente y continuamente para formar una cultura operativa que aborde el riesgo din\u00e1mico de ciberseguridad.<\/p>\n<ul>\n<li><strong>Identificar<\/strong>: Desarrollar la comprensi\u00f3n organizacional para administrar el riesgo de ciberseguridad para sistemas, activos, datos y capacidades.Las actividades en la funci\u00f3n identificar son fundamentales para el uso efectivo del framewok NIST. Comprender el contexto empresarial, los recursos que respaldan las funciones cr\u00edticas y los riesgos de ciberseguridad relacionados permite a una organizaci\u00f3n enfocarse y priorizar sus esfuerzos, de manera consistente con su estrategia de gesti\u00f3n de riesgos y sus necesidades comerciales. Los ejemplos de Categor\u00edas de resultados dentro de esta Funci\u00f3n incluyen:\n<ul>\n<li>Gesti\u00f3n de activos<\/li>\n<li>Ambiente de negocios<\/li>\n<li>Gobernancia<\/li>\n<li>Evaluaci\u00f3n de riesgos<\/li>\n<li>Estrategia de Gesti\u00f3n de Riesgos<\/li>\n<\/ul>\n<\/li>\n<li><strong>Proteger<\/strong>: Desarrollar e implementar las salvaguardas apropiadas para garantizar la entrega de servicios de infraestructura cr\u00edticos.La funci\u00f3n de protecci\u00f3n admite la capacidad de limitar o contener el impacto de un posible evento de ciberseguridad. Los ejemplos de Categor\u00edas de resultados dentro de esta Funci\u00f3n incluyen:\n<ul>\n<li>Control de acceso<\/li>\n<li>Conciencia y Entrenamiento<\/li>\n<li>Seguridad de datos<\/li>\n<li>Procesos y procedimientos de protecci\u00f3n de la informaci\u00f3n<\/li>\n<li>Mantenimiento<\/li>\n<li>Tecnolog\u00eda de protecci\u00f3n<\/li>\n<\/ul>\n<\/li>\n<li><strong>Detectar<\/strong>: desarrolle e implemente las actividades apropiadas para identificar la ocurrencia de un evento de ciberseguridad.La funci\u00f3n de detecci\u00f3n permite el descubrimiento oportuno de eventos de ciberseguridad. Los ejemplos de Categor\u00edas de resultados dentro de esta Funci\u00f3n incluyen:\n<ul>\n<li>Anomal\u00edas y Eventos<\/li>\n<li>Monitorizaci\u00f3n continua de seguridad<\/li>\n<li>Procesos de detecci\u00f3n.<\/li>\n<\/ul>\n<\/li>\n<li><strong>Responder<\/strong>: desarrollar e implementar las actividades apropiadas para tomar medidas con respecto a un evento de ciberseguridad detectado. La funci\u00f3n de respuesta respalda la capacidad de contener el impacto de un posible evento de ciberseguridad. Los ejemplos de Categor\u00edas de resultados dentro de esta Funci\u00f3n incluyen:\n<ul>\n<li>Planificaci\u00f3n de respuesta<\/li>\n<li>Comunicaciones<\/li>\n<li>An\u00e1lisis<\/li>\n<li>Mitigaci\u00f3n<\/li>\n<li>Mejoras<\/li>\n<\/ul>\n<\/li>\n<li><strong>Recuperar<\/strong>: Desarrolla e implementa las actividades apropiadas para mantener los planes de resiliencia y restaurar las capacidades o servicios que se vieron afectados debido a un evento de ciberseguridad. La funci\u00f3n de recuperaci\u00f3n admite la recuperaci\u00f3n oportuna a las operaciones normales para reducir el impacto de un evento de ciberseguridad. Los ejemplos de Categor\u00edas de resultados dentro de esta Funci\u00f3n incluyen:\n<ul>\n<li>Planificaci\u00f3n de recuperaci\u00f3n<\/li>\n<li>Mejoras<\/li>\n<li>Comunicaciones<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<h2 id=\"nivelestierenelframeworknist\">Niveles TIER en el Framework NIST<\/h2>\n<p>Los Niveles de Implementaci\u00f3n del Framework NIST (&#8220;TIERs&#8221;) proporcionan un contexto sobre c\u00f3mo una organizaci\u00f3n considera el riesgo de ciberseguridad y los procesos establecidos para gestionar ese riesgo. Los Niveles van desde Parcial (TIER 1) hasta Adaptativo (TIER 4) y describen un grado creciente de rigor y sofisticaci\u00f3n en pr\u00e1cticas de gesti\u00f3n de riesgos de ciberseguridad y hasta qu\u00e9 punto la gesti\u00f3n de riesgos de ciberseguridad est\u00e1 informada por necesidades comerciales y est\u00e1 integrada en el riesgo general de una organizaci\u00f3n. Las consideraciones de gesti\u00f3n de riesgos incluyen muchos aspectos de ciberseguridad, incluido el grado en que las consideraciones de privacidad y libertades civiles se integran en la gesti\u00f3n de riesgos de ciberseguridad de una organizaci\u00f3n y posibles respuestas de riesgo.<br \/>\nEl proceso de selecci\u00f3n de niveles considera las pr\u00e1cticas de gesti\u00f3n de riesgos actuales de una organizaci\u00f3n, el entorno de amenazas, los requisitos legales y reglamentarios, los objetivos comerciales \/ de misi\u00f3n y las limitaciones organizacionales. Las organizaciones deben determinar el TIER deseado, asegurando que el nivel seleccionado cumpla con los objetivos de la organizaci\u00f3n, sea factible de implementar y reduzca el riesgo de ciberseguridad a los activos y recursos cr\u00edticos a niveles aceptables para la organizaci\u00f3n.<\/p>\n<p><img data-recalc-dims=\"1\" decoding=\"async\" src=\"https:\/\/i0.wp.com\/ciberseguridad.blog\/content\/images\/2018\/07\/Niveles-TIER-NIST.png?w=1500&#038;ssl=1\" alt=\"Niveles-TIER-NIST\" \/><\/p>\n<h3 id=\"tier1parcial\">TIER 1: Parcial<\/h3>\n<ul>\n<li><em>Proceso de gesti\u00f3n de riesgos<\/em>: Las pr\u00e1cticas de gesti\u00f3n de riesgos de ciberseguridad de la organizaci\u00f3n no est\u00e1n formalizadas, y el riesgo se gestiona de forma ad hoc y, en ocasiones, de forma reactiva. La priorizaci\u00f3n de las actividades de ciberseguridad puede no estar directamente informada por los objetivos de riesgo de la organizaci\u00f3n, el entorno de amenaza o los requisitos de negocios \/ misi\u00f3n.<\/li>\n<li><em>Programa integrado de gesti\u00f3n de riesgos<\/em>: Existe una conciencia limitada sobre el riesgo de seguridad cibern\u00e9tica a nivel organizacional y no se ha establecido un enfoque de toda la organizaci\u00f3n para gestionar el riesgo de ciberseguridad. La organizaci\u00f3n implementa la gesti\u00f3n del riesgo de ciberseguridad en forma irregular caso por caso debido a la experiencia variada o la informaci\u00f3n obtenida de fuentes externas. La organizaci\u00f3n puede no tener procesos que permitan compartir informaci\u00f3n de ciberseguridad dentro de la organizaci\u00f3n.<\/li>\n<li><em>Participaci\u00f3n externa<\/em>: La organizaci\u00f3n puede no tener los procesos establecidos para participar en la coordinaci\u00f3n o colaboraci\u00f3n con otras entidades.<\/li>\n<\/ul>\n<h3 id=\"tier2riesgosdeinformacin\">TIER 2: Riesgos de informaci\u00f3n<\/h3>\n<ul>\n<li><em>Proceso de gesti\u00f3n de riesgos<\/em>: Las pr\u00e1cticas de gesti\u00f3n de riesgos son aprobadas por la administraci\u00f3n pero no pueden establecerse como pol\u00edticas de toda la organizaci\u00f3n. La priorizaci\u00f3n de las actividades de ciberseguridad est\u00e1 directamente relacionada con los objetivos de riesgo de la organizaci\u00f3n, el entorno de amenazas o los requisitos de negocios \/ misiones.<\/li>\n<li><em>Programa integrado de gesti\u00f3n de riesgos<\/em>: Existe una conciencia del riesgo de ciberseguridad a nivel organizacional, pero no se ha establecido un enfoque de toda la organizaci\u00f3n para gestionar el riesgo de ciberseguridad. Los procesos y procedimientos informados por el riesgo, aprobados por la gerencia, se definen e implementan, y el personal cuenta con los recursos adecuados para realizar sus tareas de ciberseguridad. La informaci\u00f3n de ciberseguridad se comparte dentro de la organizaci\u00f3n de manera informal.<\/li>\n<li><em>Participaci\u00f3n externa<\/em>: La organizaci\u00f3n conoce su rol en el ecosistema m\u00e1s grande, pero no ha formalizado sus capacidades para interactuar y compartir informaci\u00f3n externamente.<\/li>\n<\/ul>\n<h3 id=\"tier3repetible\">TIER 3: Repetible<\/h3>\n<ul>\n<li><em>Proceso de gesti\u00f3n de riesgos<\/em>: Las pr\u00e1cticas de gesti\u00f3n de riesgos de la organizaci\u00f3n se aprueban formalmente y se expresan como pol\u00edticas. Las pr\u00e1cticas de ciberseguridad organizacional se actualizan peri\u00f3dicamente en funci\u00f3n de la aplicaci\u00f3n de los procesos de gesti\u00f3n de riesgos a los cambios en los requisitos empresariales \/ de la misi\u00f3n y un panorama cambiante de amenazas y tecnolog\u00eda.<\/li>\n<li><em>Programa integrado de gesti\u00f3n de riesgos<\/em>: Existe un enfoque de toda la organizaci\u00f3n para gestionar el riesgo de ciberseguridad. Las pol\u00edticas, procesos y procedimientos informados sobre riesgos se definen, implementan seg\u00fan lo previsto y se revisan. Se han implementado m\u00e9todos consistentes para responder de manera efectiva a los cambios en el riesgo. El personal posee el conocimiento y las habilidades para realizar sus roles y responsabilidades asignados.<\/li>\n<li><em>Participaci\u00f3n externa<\/em>: La organizaci\u00f3n entiende sus dependencias y socios y recibe informaci\u00f3n de estos socios que permite la colaboraci\u00f3n y las decisiones de gesti\u00f3n basadas en riesgos dentro de la organizaci\u00f3n en respuesta a los eventos.<\/li>\n<\/ul>\n<h3 id=\"tier3adaptable\">TIER 3: Adaptable<\/h3>\n<ul>\n<li><em>Proceso de gesti\u00f3n de riesgos<\/em>: La organizaci\u00f3n adapta sus pr\u00e1cticas de ciberseguridad en funci\u00f3n de las lecciones aprendidas y los indicadores predictivos derivados de las actividades de ciberseguridad anteriores y actuales. A trav\u00e9s de un proceso de mejora continua que incorpora pr\u00e1cticas y tecnolog\u00edas avanzadas de ciberseguridad, la organizaci\u00f3n se adapta activamente a un entorno cambiante de ciberseguridad y responde a las amenazas cambiantes y sofisticadas de manera oportuna.<\/li>\n<li><em>Programa integrado de gesti\u00f3n de riesgos<\/em>: Existe un enfoque de toda la organizaci\u00f3n para gestionar el riesgo de ciberseguridad que utiliza pol\u00edticas, procesos y procedimientos informados sobre riesgos para abordar posibles eventos de ciberseguridad. La gesti\u00f3n del riesgo de ciberseguridad forma parte de la cultura organizacional y evoluciona a partir de la conciencia de las actividades previas, la informaci\u00f3n compartida por otras fuentes y el conocimiento continuo de las actividades en sus sistemas y redes.<\/li>\n<li><em>Participaci\u00f3n externa<\/em>: La organizaci\u00f3n gestiona los riesgos y comparte activamente la informaci\u00f3n con los socios para garantizar que la informaci\u00f3n precisa y actualizada se distribuya y consuma para mejorar la ciberseguridad antes de que se produzca un evento de seguridad.<\/li>\n<\/ul>\n<h2 id=\"cmousarelframeworknist\">C\u00f3mo usar el Framework NIST<\/h2>\n<p>Una organizaci\u00f3n puede usar el Framework NIST como una parte clave de su proceso sistem\u00e1tico para identificar, evaluar y administrar el riesgo de ciberseguridad. El Framework NIST no est\u00e1 dise\u00f1ado para reemplazar los procesos existentes. Una organizaci\u00f3n puede usar su proceso actual y superponerlo en el Framework NIST para determinar las brechas en su enfoque actual de riesgo de ciberseguridad y desarrollar una hoja de ruta hacia la mejora. Utilizando el Framework NIST como una herramienta de gesti\u00f3n de riesgo de ciberseguridad, una organizaci\u00f3n puede determinar actividades que son m\u00e1s importantes para la prestaci\u00f3n de servicios cr\u00edticos y priorizar los gastos para maximizar el impacto de la inversi\u00f3n.<br \/>\nEl Framework NIST est\u00e1 dise\u00f1ado para complementar las operaciones comerciales y de ciberseguridad existentes. Puede servir como base para un nuevo programa de ciberseguridad o un mecanismo para mejorar un programa existente. El Framework NIST proporciona un medio para expresar los requisitos de ciberseguridad a los socios comerciales y clientes y puede ayudar a identificar las lagunas en las pr\u00e1cticas de ciberseguridad de una organizaci\u00f3n. Tambi\u00e9n proporciona un conjunto general de consideraciones y procesos para considerar las implicaciones de privacidad y libertades civiles en el contexto de un programa de ciberseguridad.<\/p>\n<h3 id=\"implementaromejorarelprogramadeciberseguridad\">Implementar o mejorar el programa de ciberseguridad<\/h3>\n<p>Estos pasos ilustran c\u00f3mo una organizaci\u00f3n podr\u00eda usar el Framework NIST para crear un nuevo programa de ciberseguridad o mejorar un programa existente. Estos pasos deben repetirse seg\u00fan sea necesario para mejorar continuamente la ciberseguridad.<\/p>\n<ol>\n<li><strong>Priorizar el alcance<\/strong>. La organizaci\u00f3n identifica sus objetivos de negocios \/ misi\u00f3n y las prioridades organizacionales de alto nivel. Con esta informaci\u00f3n, la organizaci\u00f3n toma decisiones estrat\u00e9gicas con respecto a las implementaciones de ciberseguridad y determina el alcance de los sistemas y activos que respaldan la l\u00ednea o proceso comercial seleccionado. El Framework NIST se puede adaptar para admitir las diferentes l\u00edneas de negocio o procesos dentro de una organizaci\u00f3n, que pueden tener diferentes necesidades comerciales y la tolerancia al riesgo asociada.<\/li>\n<li><strong>Orientar<\/strong>. Una vez que se ha determinado el alcance del programa de ciberseguridad para la l\u00ednea de negocio o el proceso, la organizaci\u00f3n identifica los sistemas y activos relacionados, los requisitos reglamentarios y el enfoque de riesgo general. La organizaci\u00f3n identifica las amenazas y vulnerabilidades de esos sistemas y activos.<\/li>\n<li><strong>Crea un perfil actual<\/strong>. La organizaci\u00f3n desarrolla un perfil actual al indicar qu\u00e9 resultados de categor\u00eda y subcategor\u00eda del n\u00facleo del Framework NIST que se est\u00e1n logrando actualmente.<\/li>\n<li><strong>Realizar una evaluaci\u00f3n de riesgos<\/strong>. Esta evaluaci\u00f3n podr\u00eda estar guiada por el proceso de gesti\u00f3n de riesgos general de la organizaci\u00f3n o actividades previas de evaluaci\u00f3n de riesgos. La organizaci\u00f3n analiza el entorno operativo para discernir la probabilidad de un evento de ciberseguridad y el impacto que el evento podr\u00eda tener en la organizaci\u00f3n. Es importante que las organizaciones intenten incorporar los riesgos emergentes y los datos de amenazas y vulnerabilidades para facilitar una s\u00f3lida comprensi\u00f3n de la probabilidad y el impacto de los eventos de ciberseguridad.<\/li>\n<li><strong>Crea un perfil de destino<\/strong>. La organizaci\u00f3n crea un Perfil objetivo que se centra en la evaluaci\u00f3n de las Categor\u00edas y Subcategor\u00edas del Framework NIST que describen los resultados deseados de ciberseguridad de la organizaci\u00f3n. Las organizaciones tambi\u00e9n pueden desarrollar sus propias categor\u00edas y subcategor\u00edas adicionales para tener en cuenta los riesgos \u00fanicos de la organizaci\u00f3n. La organizaci\u00f3n tambi\u00e9n puede considerar las influencias y los requisitos de las partes interesadas externas, como las entidades del sector, los clientes y los socios comerciales, al crear un perfil objetivo.<\/li>\n<li><strong>Determinar, analizar y priorizar brechas<\/strong>. La organizaci\u00f3n compara el Perfil actual y el Perfil objetivo para determinar las brechas. A continuaci\u00f3n, crea un plan de acci\u00f3n priorizado para abordar esas brechas que se basa en los impulsores de la misi\u00f3n, un an\u00e1lisis de costo \/ beneficio y la comprensi\u00f3n del riesgo para lograr los resultados en el Perfil objetivo. La organizaci\u00f3n determina los recursos necesarios para abordar las lagunas. El uso de perfiles de esta manera permite a la organizaci\u00f3n tomar decisiones informadas sobre las actividades de ciberseguridad, respalda la gesti\u00f3n de riesgos y permite a la organizaci\u00f3n realizar mejoras espec\u00edficas y rentables.<\/li>\n<li><strong>Implementar un plan de acci\u00f3n<\/strong>. La organizaci\u00f3n determina qu\u00e9 acciones tomar con respecto a las brechas, si las hay, identificadas en el paso anterior. A continuaci\u00f3n, supervisa sus pr\u00e1cticas actuales de ciberseguridad contra el perfil objetivo. Para obtener m\u00e1s orientaci\u00f3n, el Framework NIST identifica ejemplos de referencias informativas sobre las categor\u00edas y subcategor\u00edas, pero las organizaciones deben determinar qu\u00e9 normas, directrices y pr\u00e1cticas, incluidas aquellas que son espec\u00edficas del sector, funcionan mejor para sus necesidades.<\/li>\n<\/ol>\n<h2 id=\"conclusiones\">Conclusiones<\/h2>\n<p>El NIST es un framework de seguridad integral y flexible que es de naturaleza universal. Si bien su origen est\u00e1 en los EE.UU., es reconocido a nivel mundial como un est\u00e1ndar que vale la pena considerar por todas las organizaciones. Los controles proporcionan una base s\u00f3lida para un programa de seguridad s\u00f3lido y defendible que cumple con los requisitos de muchos otros est\u00e1ndares de cumplimiento. Los CISO pueden seleccionar funciones y controles que satisfagan sus necesidades espec\u00edficas, independientemente de la industria o la geograf\u00eda.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>El Framework NIST es un enfoque basado en el riesgo para gestionar la ciberseguridad, y est\u00e1 compuesto por tres partes:&#8230;<\/p>\n","protected":false},"author":1,"featured_media":5789,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_jetpack_memberships_contains_paid_content":false,"footnotes":""},"categories":[40,56],"tags":[42,44,43],"class_list":["post-1","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-empresas","category-seguridad","tag-big-data","tag-cloud","tag-nube"],"jetpack_featured_media_url":"https:\/\/i0.wp.com\/control-it.mx\/2020\/wp-content\/uploads\/2015\/05\/modelo-ciberseguridad-blog-2.png?fit=1880%2C1389&ssl=1","jetpack-related-posts":[],"jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/control-it.mx\/2020\/wp-json\/wp\/v2\/posts\/1","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/control-it.mx\/2020\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/control-it.mx\/2020\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/control-it.mx\/2020\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/control-it.mx\/2020\/wp-json\/wp\/v2\/comments?post=1"}],"version-history":[{"count":1,"href":"https:\/\/control-it.mx\/2020\/wp-json\/wp\/v2\/posts\/1\/revisions"}],"predecessor-version":[{"id":5790,"href":"https:\/\/control-it.mx\/2020\/wp-json\/wp\/v2\/posts\/1\/revisions\/5790"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/control-it.mx\/2020\/wp-json\/wp\/v2\/media\/5789"}],"wp:attachment":[{"href":"https:\/\/control-it.mx\/2020\/wp-json\/wp\/v2\/media?parent=1"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/control-it.mx\/2020\/wp-json\/wp\/v2\/categories?post=1"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/control-it.mx\/2020\/wp-json\/wp\/v2\/tags?post=1"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}