NIST

El Marco de Ciberseguridad de NIST proporciona un marco de políticas de orientación de seguridad informática sobre cómo las organizaciones del sector privado en los Estados Unidos pueden evaluar y mejorar su capacidad para prevenir, detectar y responder a los ataques cibernéticos. El marco ha sido traducido a muchos idiomas y es utilizado por los gobiernos de Japón e Israel, entre otros.  "Proporciona una taxonomía de alto nivel de los resultados de seguridad cibernética y una metodología para evaluar y gestionar esos resultados". La versión 1.0 fue publicada por el Instituto Nacional de Estándares y Tecnología de EE. UU. En 2014, originalmente dirigida a operadores de infraestructura crítica
Está siendo utilizado por una amplia gama de empresas y organizaciones y ayuda a cambiar las organizaciones para que sean proactivos sobre la gestión de riesgos. En 2017, se distribuyó una versión preliminar del marco, la versión 1.1, para comentarios del público. La versión 1.1 se anunció y se hizo pública el 16 de abril de 2018. La versión 1.1 sigue siendo compatible con la versión 1.0. Los cambios incluyen orientación sobre cómo realizar autoevaluaciones, detalles adicionales sobre la gestión de riesgos de la cadena de suministro y orientación sobre cómo interactuar con las partes interesadas de la cadena de suministro. 

Un estudio de adopción de un marco de seguridad informó que el 70% de las organizaciones encuestadas ven el marco de NIST como una de las mejores prácticas populares para la seguridad informática, pero muchos señalan que requiere una inversión significativa.
Incluye orientación sobre protecciones relevantes para lprivacidad y las libertades civiles.
En 2017, NIST publicó el NIST Baldrige Cyber ​​Security Excellence Builder que aprovecha el marco de 2014. Incluye una autoevaluación más sencilla. Las preguntas se dividen en seis áreas y una sección de resultados: 
  • Liderazgo
  • Estrategia
  • Clientes
  • Medición, Análisis y Gestión del Conocimiento.
  • Personal
  • Operaciones, y
  • Resultados

El Marco de Ciberseguridad de NIST está diseñado para que empresas individuales y otras organizaciones lo utilicen para evaluar los riesgos que enfrentan.
El marco se divide en tres partes, "Núcleo", "Perfil" y "Niveles". El "Framework Core" contiene una serie de actividades, resultados y referencias sobre aspectos y enfoques de la ciberseguridad. Los "Niveles de Implementación del Marco" son utilizados por una organización para aclararse a sí mismos ya sus socios cómo ve el riesgo de ciberseguridad y el grado de sofisticación de su enfoque de gestión. Un "perfil marco" es una lista de resultados que una organización ha elegido de las categorías y subcategorías, en función de sus necesidades y evaluaciones de riesgo.
Una organización normalmente comienza utilizando el marco para desarrollar un "Perfil actual" que describe sus actividades de ciberseguridad y los resultados que está logrando. Luego, puede desarrollar un "Perfil objetivo", o adoptar un perfil de línea de base adaptado a su sector (por ejemplo, la industria de la infraestructura) o el tipo de organización. A continuación, puede definir el cambio de pasos de su perfil actual a su perfil objetivo.
El Marco de Ciberseguridad del NIST organiza su material "central" en cinco "funciones" que se subdividen en un total de 23 "categorías". Para cada categoría, define una serie de subcategorías de resultados de ciberseguridad y controles de seguridad , con 108 subcategorías en total.
Para cada subcategoría, también proporciona "Recursos informativos" que hacen referencia a secciones específicas de una variedad de otras normas de seguridad de la información, como ISO 27001 , COBIT , NIST SP 800-53, ANSI / ISA-62443, y el Consejo sobre CiberSeguridad de Controles de Seguridad Críticos ( CCS CSC, ahora administrado por el Centro de Seguridad de Internet ). Publicaciones especiales (SP) aparte, la mayoría de las referencias informativas requieren una membresía pagada o una compra para acceder a sus guías respectivas. El costo y la complejidad del marco han dado lugar a proyectos de ley de ambas cámaras del Congreso que obligan al NIST a crear guías del Marco de seguridad cibernética que sean más accesibles para las pequeñas y medianas empresas


 HealthITSecurity. "Actualizaciones del marco de seguridad cibernética NIST, aclaración en curso" Consultado el 2016-08-02 .
PricewaterhouseCoopers. "Por qué debería adoptar el Marco de Ciberseguridad del NIST" Consultado el 2016-08-04 .
Keller, Nicole (2017-01-10). "Borrador de Marco de Ciberseguridad Versión 1.1" . NIST Consultado el 2017-10-05 .

Comentarios

Publicar un comentario

Entradas más populares de este blog

ITAF

Imagen
por Palomino Flores Uriel Funciones El Marco de Garantía de la Tecnología de la Información (ITAF, por sus siglas en inglés), publicado por ISACA, es un modelo integral y de establecimiento de buenas prácticas que: Proporciona orientación sobre el diseño, la realización y la presentación de informes de las tareas de auditoría y aseguramiento de TI Define términos y conceptos específicos para el aseguramiento de TI; Establece estándares que abordan las funciones y responsabilidades profesionales de auditoría y aseguramiento de TI; conocimientos y habilidades; y diligencia, conducta y requisitos de información. ITAF proporciona una fuente única a través de la cual los profesionales de auditoria y aseguramiento de TI pueden buscar orientación, investigar políticas y procedimientos, obtener programas de auditoria y aseguramiento y desarrollar informes efectivos. Si bien ITAF incorpora los estándares y la guía de ISACA existentes, se ha diseñado para ser un documento vivo.
Leer más

MOF

Imagen
Definición El Manual de Organización y Funciones (MOF) es un documento técnico normativo de gestión institucional donde se describe y establece la función básica, las funciones específicas, las relaciones de autoridad, dependencia y coordinación, así cómo los requisitos de los cargos o puestos de trabajo.  Utilidad   Determina las funciones específicas de los cargos o puestos de trabajo, cuyo cumplimiento contribuye a lograr que se cumplan los objetivos funcionales de las unidades orgánicas de cada dependencia, así como las responsabilidades y obligaciones asignadas al cargo o puesto de trabajo, en concordancia con el marco legal y normativo correspondiente.   Proporciona información a los directivos y personal sobre sus funciones y ubicación en la estructura orgánica de la entidad.   Ayuda a la simplificación administrativa, proporcionando información sobre las funciones que les corresponde desempeñar al personal, al ocupar los cargos o puestos de trabajo, que constitu
Leer más

SABSA

Imagen
SABSA es un marco de seguridad impulsado por el negocio para empresas que se basa en el riesgo y las oportunidades asociadas con él. SABSA no ofrece ningún control específico y se basa en otros, como la Organización Internacional para la Estandarización (ISO) o los procesos COBIT. Es puramente una metodología para asegurar la alineación del negocio y un marco de "vida útil": se aplica a lo largo de todo el ciclo de vida, desde la ingeniería de requisitos empresariales hasta la gestión de las soluciones entregadas. La metodología SABSA tiene seis capas (cinco horizontales y una vertical). Cada capa tiene un propósito y vista diferente. La capa contextual está en la parte superior e incluye los requisitos y objetivos del negocio. La segunda capa es la capa conceptual, que es la vista de arquitectura. La figura 1 muestra las seis capas de este marco. SABSA se compone de una serie de marcos, modelos, métodos y procesos integrados, que se utilizan de forma
Leer más