Usuario:Anayanci lop/Framework de Ciberseguridad de NIST

El Framework de Ciberseguridad de NIST Cybersecurity proporciona un marco de trabajo de políticas guía de seguridad informática sobre cómo organizaciones de sector privado en los Estados Unidos pueden evaluar y mejorar su capacidad de impedir, detectar, y responder a ciberataques. El framework ha sido traducido a muchas lenguas y es utilizado por los gobiernos de Japón e Israel, entre otros.^[1] Este "proporciona una taxonomía de alto nivel de resultados de cibersecuridad y una metodología para evaluar y gestionar esos resultados." La versión 1.0 fue publicada por los EE.UU. Instituto Nacional de Estándares y Tecnología de EE.UU. en 2014, originalmente se enfocaba en operadores de infraestructura crítica. Está siendo utilizado por una gama amplia de negocios y organizaciones, y ayuda a cambiar organizaciones para que sean proactivas sobre la gestión de riesgo.^[2]^[3]^[4] En 2017, una versión de borrador del framework, versión 1.1, estuvo circulando para comentario público.^[5] La versión 1.1 fue anunciada y se puso a disposición de manera pública el 16 de abril de 2018.^[6] La versión 1.1 aún es compatible con la versión 1.0. Los cambios incluyen guía sobre como realizar auto-evaluaciones, detalles adicionales sobre gestión del riesgo de la cadena de suministro, guía sobre como interactuar con las partes interesadas de la cadena de suministro, y fomentar un proceso de revelación de vulnerabilidad.^[7]^[8]

Un estudio de adopción de framework de seguridad reportó que 70% delas organizaciones encuestadas ven el framework NIST como una buena práctica para seguridad informática, pero muchos notan que requiere inversión significativa.^[9]

Incluye guía sobre protecciones pertinentes de la privacidad y libertades civiles.^[10]

En 2017, NIST publicó el "NIST Baldrige Cyber Security Excellence Builder" el cual apalanca el framework de 2014. Incluye una auto-evaluación más sencilla. Las preguntas están divididas en seis áreas y una sección de resultados:

Liderazgo
Estrategia
Clientes
Medición, Análisis y Gestión de Conocimiento
Personal
Operaciones, y
Resultados.

Visión general[editar]

El Framework de Cibersecuridad de NIST está diseñado para que negocios individuales y otras organizaciones lo usen para evaluar los riesgos que afrontan.

El framework está dividido en tres partes, "Núcleo", "Perfil" y "Niveles". El "Núcleo del Framework" contiene una colección de actividades, resultados y referencias sobre aspectos y enfoques a la cibersecuridad. Los "Niveles de Implementación del Framework" son utilizados por una organización para aclarar para si misma y sus socios como ve los riesgos de cibersecuridad y el grado de sofisticación de su enfoque de gestión. Un "Perfil del Framework" es una lista de resultados que una organización ha escogido de las categorías y subcategorías, basados en sus necesidades y evaluaciones de riesgo.

Una organización típicamente inicia por utilizar el framework para desarrollar un "Perfil Actual" que describe sus actividades de cibersecuridad y qué resultados está alcanzando. Entonces puede desarrollar un "Perfil Objetivo", o adoptar un perfil de línea base a la medida de su sector (p. ej. industria de infraestructura) o tipo de organización. Entonces puede definir pasos para cambiar de su perfil actual a su perfil objetivo.

Funciones y categorías de actividades de ciberseguridad[editar]

El Framework de Ciberseguridad de NIST organiza su material "núcleo" en cinco "funciones" las cuales son subdivididas en un total de 23 "categorías". Para cada categoría, define un número de subcategorías de resultados de ciberseguridad y controles de seguridad, con 108 subcategorías en todo.

Para cada subcategoría, también proporciona "Recursos Informativos" referenciando secciones concretas de una variedad de otros estándares de seguridad de la información, incluyendo ISO 27001, COBIT, NIST SP 800-53, ANSI/ISA-62443, y el Consejo sobre CiberSeguridad Controles de Seguridad Crítica (CCS CSC, ahora gestionado por el Centro para Seguridad de Internet). Aparte, las publicaciones especiales (SP), la mayoría de las referencias informativas requieren una afiliación pagada o compra para acceder a sus guías respectivas. El coste y la complejidad del framework ha resultado en facturas de ambas casas del Congreso que dirigen NIST para crear las guías del Framework de Cibersecuridad que sean más accesibles a negocios pequeños y medianos.^[11]^[12]

Aquí están las funciones y categorías, junto con sus identificadores únicos y definiciones, como están declarados en la columna de categoría de su vista de hoja de cálculo del núcleo del estándar.^[13]

Identifica[editar]

"Desarrolle el entendimiento organizativo para gestionar riesgos de ciberseguridad a sistemas, activos, datos, y capacidades."

Gestión de Activos (ID.SOY): Los datos, personal, dispositivos, sistemas, e instalaciones que habilitan a la organización para conseguir los propósitos del negocio son identificados y gestionados de manera coherente con su importancia relativa a los objetivos de negocio y la estrategia de riesgo de la organización. [Continuar desde aquí]
Entorno empresarial (ID.SER): la misión de La organización, objetivos, stakeholders, y las actividades están entendidas y priorizó; esta información suele informa cybersecurity funciones, responsabilidades, y decisiones de administración del riesgo.
Governance (ID.GV): Las políticas, procedimientos, y procesos para dirigir y controlar la organización regulador, legal, riesgo, medioambiental, y los requisitos operacionales están entendidos e informar la administración de cybersecurity riesgo.
Valoración de riesgo (ID.RA): La organización entiende el cybersecurity riesgo a operaciones organizativas (incluyendo misión, funciones, imagen, o reputación), ventajas organizativas, y @individual.
Estrategia de Administración del riesgo (ID.RM): Las prioridades de la organización, constreñimientos, tolerancias de riesgo, y las suposiciones están establecidas y utilizados para apoyar decisiones de riesgo operacional.
Administración de Riesgo de Cadena de suministro (ID.SC): Las prioridades de la organización, constreñimientos, tolerancias de riesgo, y las suposiciones están establecidas y utilizados para apoyar decisiones de riesgo asociaron con riesgo de cadena de suministro gestor. La organización tiene en colocar los procesos para identificar, evalúa y dirigir riesgos de cadena del suministro.

"Desarrolla e implementar el apropiado safeguards para asegurar entrega de servicios de infraestructura crítica."

Control de acceso (PR.AC): Acceso a ventajas y asoció las instalaciones está limitada a autorizó usuarios, procesos, o dispositivos, y a autorizó actividades y transacciones.
Concienciación y Formación (PR.EN): el personal y los socios de La organización están proporcionados cybersecurity educación de concienciación y es adecuadamente entrenado para actuar su seguridad de información-relacionó los deberes y las responsabilidades compatibles con relacionó políticas, procedimientos, y acuerdos.
Seguridad de dato (PR.DS): Información y registros (dato) está dirigido compatible con la estrategia de riesgo de la organización para proteger la confidencialidad, integridad, y disponibilidad de información.
Procesos de Protección de la información y Procedimientos (PR.IP): políticas de Seguridad (aquel propósito de dirección, alcance, funciones, responsabilidades, compromiso de administración, y coordinación entre entidades organizativas), procesos, y los procedimientos están mantenidos y utilizados para dirigir protección de sistemas de información y ventajas.
Mantenimiento (PR.MA): Mantenimiento y reparaciones de información y control industriales componentes de sistema está actuado compatibles con políticas y procedimientos.
Tecnología protectora (PR.PT): Soluciones de seguridad técnica están dirigidas para asegurar la seguridad y resilience de sistemas y ventajas, compatibles con relacionó políticas, procedimientos, y acuerdos.

Detecta[editar]

"Desarrolla e implementar las actividades apropiadas para identificar la ocurrencia de un cybersecurity acontecimiento."

Anomalías y Acontecimientos (DE.AE): La actividad anómala está detectada en una manera oportuna y el impacto potencial de acontecimientos está entendido.
Seguridad Control Continuo (DE.CM): El sistema de información y las ventajas están controlados en intervalos discretos para identificar cybersecurity acontecimientos y verificar la efectividad de medidas protectoras.
Procesos de detección (DE.DP): Procesos de detección y los procedimientos están mantenidos y probados para asegurar concienciación oportuna y adecuada de acontecimientos anómalos.

"Desarrolla e implementar las actividades apropiadas para pasar a la acción con respecto a un detectados cybersecurity acontecimiento."

Planificación de respuesta (RS.RP): Procesos de respuesta y los procedimientos están ejecutados y mantenidos, para asegurar respuesta oportuna a detectado cybersecurity acontecimientos.
Comunicaciones (RS.CO): Actividades de respuesta están coordinadas con internos y externos stakeholders, tan apropiados, para incluir soporte externo de agencias de aplicación de la ley.
Análisis (RS.Un): el análisis está conducido para asegurar soporte y respuesta adecuados actividades de recuperación.
Atenuación (RS.MI): las actividades están actuadas para impedir expansión de un acontecimiento, mitigar sus efectos, y erradicar el incidente.
Mejoras (RS.IM): actividades de respuesta Organizativa están mejoradas por incorporar las lecciones aprendieron de detección actual y anterior/actividades de respuesta.

Recupera[editar]

"Desarrolla e implementar las actividades apropiadas para mantener planes para resilience y para restaurar cualesquier capacidades o servicios que era impaired debido a un cybersecurity acontecimiento."

Planificación de recuperación (RC.RP): Procesos de recuperación y los procedimientos están ejecutados y mantenidos para asegurar la restauración oportuna de sistemas o ventajas afectó por cybersecurity acontecimientos.
Mejoras (RC.IM): planificación de Recuperación y los procesos están mejorados por incorporar las lecciones aprendieron a actividades futuras.
Comunicaciones (RC.CO): Actividades de restauración están coordinadas con partidos internos y externos, como coordinar centros, Proveedores de Servicio del Internet, dueños de atacar sistemas, víctimas, otro CSIRTs, y vendedores.

Ve también[editar]

Cyber Estándares de seguridad
Protección de infraestructura crítica
ISO/IEC 27001:2013: un estándar de seguridad de la información de la Organización Internacional para Estandarización
COBIT: Objetivos de control para Información y Relacionó Tecnologías - un marco relacionado de ISACA
NIST Publicación especial 800-53: “Seguridad y Controles de Intimidad para Sistemas de Información Federal y Organizaciones."
Cyber Cuantificación de riesgo

Referencias[editar]

↑ «NIST Cybersecurity Framework».
↑ «Workshop plots evolution of NIST Cybersecurity Framework». FedScoop. Consultado el 2 de agosto de 2016.
↑ HealthITSecurity. «NIST Cybersecurity Framework Updates, Clarification Underway». Consultado el 2 de agosto de 2016.
↑ PricewaterhouseCoopers. «Why you should adopt the NIST Cybersecurity Framework». Consultado el 4 de agosto de 2016.
↑ Keller, Nicole (10 de enero de 2017). «Cybersecurity Framework Draft Version 1.1» (en inglés). Consultado el 5 de octubre de 2017.
↑ «NIST Releases Version 1.1 of its Popular Cybersecurity Framework» (en inglés). 16 de abril de 2018. Consultado el 27 de abril de 2018.
↑ «Updated NIST Cybersecurity Framework Emphasizes Access Control & Supply Chain Risk». Decipher (en inglés). Consultado el 17 de octubre de 2019.
↑ «What's New in NIST Cybersecurity Framework v1.1» (en inglés estadounidense). 26 de abril de 2018. Consultado el 26 de mayo de 2018.
↑ «NIST Cybersecurity Framework Adoption Hampered By Costs, Survey Finds». Information Week Dark Reading. Consultado el 2 de agosto de 2016.
↑ HealthITSecurity. «HIMSS: NIST Cybersecurity Framework Positive, Can Improve». Consultado el 2 de agosto de 2016.
↑ «MAIN STREET Cybersecurity Act of 2017». congress.gov. Consultado el October 5, 2017.
↑ «NIST Small Business Cybersecurity Act of 2017». congress.gov. Consultado el October 5, 2017.
↑ «Cybersecurity Framework Core (Excel)». NIST. Este artículo incorpora texto de esta fuente, la cual está en el dominio público.

Enlaces externos[editar]

[[Categoría:Infraestructuras]] [[Categoría:Estándares de seguridad informática]]

[1] «NIST Cybersecurity Framework».

[2] «Workshop plots evolution of NIST Cybersecurity Framework». FedScoop. Consultado el 2 de agosto de 2016.

[3] HealthITSecurity. «NIST Cybersecurity Framework Updates, Clarification Underway». Consultado el 2 de agosto de 2016.

[4] PricewaterhouseCoopers. «Why you should adopt the NIST Cybersecurity Framework». Consultado el 4 de agosto de 2016.

[5] Keller, Nicole (10 de enero de 2017). «Cybersecurity Framework Draft Version 1.1» (en inglés). Consultado el 5 de octubre de 2017.

[6] «NIST Releases Version 1.1 of its Popular Cybersecurity Framework» (en inglés). 16 de abril de 2018. Consultado el 27 de abril de 2018.

[7] «Updated NIST Cybersecurity Framework Emphasizes Access Control & Supply Chain Risk». Decipher (en inglés). Consultado el 17 de octubre de 2019.

[8] «What's New in NIST Cybersecurity Framework v1.1» (en inglés estadounidense). 26 de abril de 2018. Consultado el 26 de mayo de 2018.

[9] «NIST Cybersecurity Framework Adoption Hampered By Costs, Survey Finds». Information Week Dark Reading. Consultado el 2 de agosto de 2016.

[10] HealthITSecurity. «HIMSS: NIST Cybersecurity Framework Positive, Can Improve». Consultado el 2 de agosto de 2016.

[11] «MAIN STREET Cybersecurity Act of 2017». congress.gov. Consultado el October 5, 2017.

[12] «NIST Small Business Cybersecurity Act of 2017». congress.gov. Consultado el October 5, 2017.

[13] «Cybersecurity Framework Core (Excel)». NIST. Este artículo incorpora texto de esta fuente, la cual está en el dominio público.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]