NIST Cybersecurity Framework

El progreso de las nuevas tecnologías avanza exponencialmente, y por ende entre más grande se vuelve algo, más vulnerable comienza a ser. En los tiempos actuales los ciberataques están surgiendo y progresando cada vez más y surge la necesidad de combatirlos.

 ¿Qué es NIST?

El Instituto Nacional de Patrones y Tecnología es una agencia de la Administración de Tecnología del Departamento de Comercio de los Estados Unidos. La misión de este instituto es promover la innovación y la competencia industrial en Estados Unidos mediante avances en metrología, normas y tecnología de forma que mejoren la estabilidad económica y la calidad de vida. 
Como parte de esta misión, los científicos e ingenieros del NIST continuamente refinan la ciencia de la medición (metrología) creando una ingeniería precisa y una manufacturación requerida para la mayoría de los avances tecnológicos actuales. [2]

Cybersecurity Framework

El framework para mejorar la ciberseguridad para las infraestructuras críticas o conocido simplemente como "Cybersecurity Framework" fue publicado en el año 2014 por el US National Institute of Standards and Technology (NIST), y desarrollado a partir del mandato del presidente Barack Obama en el año 2013 y surge por los continuos ciberataques a las infraestructuras críticas. [1]

Cuando hablamos o denominamos infraestructuras críticas, nos referimos a sistemas y activos vitales para un país. Estas pueden ser virtuales o físicas. Dentro de un marco de un ataque, supondría que la destrucción de esas infraestructuras tendría un impacto de debilidad. Poniendo en peligro varios factores que mueven al país, no sólo su integridad o seguridad; su economía, la salud de los ciudadanos

Cybersecurity Framework por NIST


Si bien este Framework de Ciberseguridad nació para ayudar a las organizaciones a gestionar los riesgos de ciberseguridad en las infraestructuras críticas de la nación estadounidense, es muy cierto también, que el mismo ha sido adoptado y adaptado (customizado) mundialmente por muchos tipos y tamaños de organizaciones alrededor del mundo, de acuerdo a sus necesidades para poder maximizar el valor organizacional. De acuerdo a las estadísticas de NIST, se estima que para el año 2020, el 50% de las compañías en EE.UU estarán utilizando el Cybersecurity Framework. [1]
Actualmente este Cybersecurity Framework se encuentra en su versión 1.0, sin embargo, NIST ha estado trabajando en mejoras sobre el mismo, liberando el 10 de Enero de 2017 el draft (proyecto) de la versión 1.1, donde se percatan cambios importantes, tales como la inclusión del término Inteligencia de ciber-amenazas (Cyber threat intelligence), un apartado para la gestión de riesgos en la cadena de suministro, así como la inclusión de una nueva sección de mediciones en la ciberseguridad, entre otros. [1]
Este marco de trabajo traza varios puntos de interés. Pero básicamente es una guía para aplicar en los diferentes sectores de las infraestructuras claves. Los expertos en seguridad informática saben, incluidos los informáticos forenses, que lo importante es que todos los integrantes, sepan cómo reaccionar. Es decir, desde un empleado de administración hasta el personal de seguridad. En esta guía se hace hincapié en identificar estándares de seguridad. Cómo establecer un lenguaje común para la gestión de riesgos.
Los responsables y operadores deberán identificar y gestionar los riesgos informáticos. Estableciendo criterios para el control en la implementación de este marco de trabajo. Controles para la protección de la propiedad intelectual, es decir, blindar los proyectos, trabajos e ideas que se desarrollaran en la empresa. Al mismo tiempo, se debe tener presente las libertades y derechos de los propios trabajadores. Por mucho que queramos integrar una seguiridad, se debe respetar y no vulnerar derechos. [3]
La implementación de este framework no tiene costo como tal ya que es gratuito y puede ser ajustado en cualquier ámbito que se desee.

 Oscar David Ortega Prieto

Referencias
 [1] H. Cedillo, «Tecnofor,» 31 Enero 2017. [En línea]. Available: https://tecnofor.es/el-cybersecurity-framework-de-nist. [Último acceso: 23 Marzo 2019
[2] Wikipedia, «Wikipedia,» 16 Agosto 2018. [En línea]. Available: https://es.wikipedia.org/wiki/Instituto_Nacional_de_Estándares_y_Tecnología. [Último acceso: 23 Marzo 2019].
[3] E. V. Gonzalez, «Informático Forense,» 29 Noviembre 2017. [En línea]. Available: https://informatico-forense-madrid.es/cybersecurity-framework-nist-rapida. [Último acceso: 23 Marzo 2019].
[4] NIST, «NIST,» 16 Abril 2016. [En línea]. Available: https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf. [Último acceso: 23 Marzo 2019]

Comentarios

Publicar un comentario

Entradas más populares de este blog

ITAF

Imagen
por Palomino Flores Uriel Funciones El Marco de Garantía de la Tecnología de la Información (ITAF, por sus siglas en inglés), publicado por ISACA, es un modelo integral y de establecimiento de buenas prácticas que: Proporciona orientación sobre el diseño, la realización y la presentación de informes de las tareas de auditoría y aseguramiento de TI Define términos y conceptos específicos para el aseguramiento de TI; Establece estándares que abordan las funciones y responsabilidades profesionales de auditoría y aseguramiento de TI; conocimientos y habilidades; y diligencia, conducta y requisitos de información. ITAF proporciona una fuente única a través de la cual los profesionales de auditoria y aseguramiento de TI pueden buscar orientación, investigar políticas y procedimientos, obtener programas de auditoria y aseguramiento y desarrollar informes efectivos. Si bien ITAF incorpora los estándares y la guía de ISACA existentes, se ha diseñado para ser un documento vivo....
Leer más

MOF

Imagen
Definición El Manual de Organización y Funciones (MOF) es un documento técnico normativo de gestión institucional donde se describe y establece la función básica, las funciones específicas, las relaciones de autoridad, dependencia y coordinación, así cómo los requisitos de los cargos o puestos de trabajo.  Utilidad   Determina las funciones específicas de los cargos o puestos de trabajo, cuyo cumplimiento contribuye a lograr que se cumplan los objetivos funcionales de las unidades orgánicas de cada dependencia, así como las responsabilidades y obligaciones asignadas al cargo o puesto de trabajo, en concordancia con el marco legal y normativo correspondiente.   Proporciona información a los directivos y personal sobre sus funciones y ubicación en la estructura orgánica de la entidad.   Ayuda a la simplificación administrativa, proporcionando información sobre las funciones que les corresponde desempeñar al personal, al ocupar los cargos o puestos de tr...
Leer más

SABSA

Imagen
SABSA es un marco de seguridad impulsado por el negocio para empresas que se basa en el riesgo y las oportunidades asociadas con él. SABSA no ofrece ningún control específico y se basa en otros, como la Organización Internacional para la Estandarización (ISO) o los procesos COBIT. Es puramente una metodología para asegurar la alineación del negocio y un marco de "vida útil": se aplica a lo largo de todo el ciclo de vida, desde la ingeniería de requisitos empresariales hasta la gestión de las soluciones entregadas. La metodología SABSA tiene seis capas (cinco horizontales y una vertical). Cada capa tiene un propósito y vista diferente. La capa contextual está en la parte superior e incluye los requisitos y objetivos del negocio. La segunda capa es la capa conceptual, que es la vista de arquitectura. La figura 1 muestra las seis capas de este marco. SABSA se compone de una serie de marcos, modelos, métodos y procesos integrados, que se utilizan de forma ...
Leer más