El Marco de Ciberseguridad NIST 馃摎

El Marco de Ciberseguridad NIST 馃摎

Subscribe to my newsletter and never miss my upcoming articles

馃憢 Hola

Sucede, que como cualquier otro tema, despu茅s de entender los conceptos y base te贸rica, llega el momento cumbre: 驴C贸mo lo implementamos? 馃

Y es aqu铆 donde entra la adopci贸n de un Marco de Ciberseguridad del que se encarga el NIST (Instituto Nacional de Normas y Tecnolog铆as) de direccionar. image

驴Porqu茅 adoptar un marco de Ciberseguridad para implementar Ciberseguridad?

Todas las organizaciones, tienen diferentes necesidades de Ciberseguridad, lo que conlleva a que cada una trate de adoptar una estrategia de ciberseguridad seg煤n le convenga para identificar y cumplir con sus objetivos de controles de seguridad.

Algunos de los enfoques que pueden tomar son:

  • Ad hoc
  • Basado en el riesgo, por ejemplo cumplir con los est谩ndares PCI DSS e HIPAA
  • Basado en el cumplimiento

Otra opci贸n mas efectiva para cualquier organizaci贸n, es la de adoptar un enfoque de seguridad basado en el riesgo que realice una evaluaci贸n por cada una de las amenazas y las vulnerabilidades a las que se enfrente.

Por ejemplo, estas son las fases de un modelo de riesgo propuesto por el NIST: image

Tipos de ataques mas comunes

Y estas decisiones, deber铆an venir acompa帽adas de una investigaci贸n (research) de cual es la tendencia actual y hacia a donde apunta en cuanto a los ataques cibern茅ticos como: Amenaza interna, espionaje, etc.

Puedes revisar este reporte de parte de ENISA (Agencia de la Uni贸n Europea para redes y seguridad de la informaci贸n) image

Los agentes de amenazas de Ciberseguridad

Conocida la tendencia de los ataques mas comunes, es necesario conocer o identificar cuales son los agentes de estas amenazas, ya que estos agentes son la fuente del accionar de una amenaza.

image

Cibersecurity Framework NIST (CSF NIST)

Historia del CSF

Es pol铆tica de los EEUU mejorar la seguridad y la capacidad de recuperaci贸n de la infraestructura cr铆tica de la naci贸n y mantener un entorno cibern茅tico que fomente la eficiencia, la innovaci贸n y la prosperidad econ贸mica al tiempo que promueve la seguridad, la confidencialidad empresarial, la privacidad, y libertades civiles.

Bajo esa premisa, el desarrollo del Marco se inicia bajo la Orden Ejecutiva 13636 que fue publicada el 12 de Febrero del 2013.

Orden Ejecutiva 13636

En esta orden se establecieron algunos requisitos para el Marco que NIST utilizo como criterio de dise帽o, entre las mas resaltantes:

  • Identificar las normas y directrices de seguridad aplicables en todos los sectores de infraestructura critica
  • Ayudar a los propietarios y operadores de infraestructura critica a identificar, evaluar y gestionar el riesgo cibern茅tico
  • Incluir orientaci贸n para medir el desempe帽o de la implementaci贸n del Marco de Ciberseguridad

Evoluci贸n del marco

image

Estructura del CSF

Este marco es un enfoque basado en el riesgo para gestionar el riesgo de ciberseguridad y consta de 3 componentes principales:

  1. Framework Core
  2. Niveles de implementaci贸n (Tiers)
  3. Perfiles

image

Framework Core

Este componente del CSF es un conjunto de actividades y resultados de lo que la organizaci贸n desea como Ciberseguridad, y consta de 3 partes:

  1. Funciones: Las funciones son Identificar, Proteger, Detectar, Responder y Recuperar.

  2. Categor铆as: Existe un total de 23 categor铆as que se distribuyen entre las 5 funciones. Fue dise帽ado para cumplir la amplitud de los objetivos de Ciberseguridad en una organizaci贸n.

  3. Subcategor铆as: Es el nivel mas bajo de abstracci贸n en el core. Hay 108 subcategor铆as que son declarativos basados en los resultados que proporcionan consideraciones para crear o mejorar un programa de Ciberseguridad.

Niveles de implementaci贸n

Proporcionan un contexto sobre como una organizaci贸n considera el riesgo de ciberseguridad y los procesos establecidos para gestionar aquellos riesgos.

Existen 4 niveles de implementaci贸n que describen el como se exhibe la gesti贸n de un riesgo de ciberseguridad frente a las caracter铆sticas definidas en el Marco.

  1. Parcial
  2. Riesgo informado
  3. Repetible
  4. Adaptativo

Cada uno de esos niveles describen un grado de mayor rigor y que tan bien integradas est谩n las decisiones de riesgo de ciberseguridad en decisiones de riesgo mas amplias y el nivel en que la organizaci贸n comparte y recibe informaci贸n de ciberseguridad de fuentes externas.

image

Perfil del marco

Son la alineaci贸n 煤nica de una organizaci贸n de sus requisitos y objetivos, la tolerancia al riesgo y los recursos con respecto a los resultados deseados del Framework Core.

Estos perfiles, sueles usarse para identificar oportunidades de mejora respecto a la postura de Ciberseguridad haciendo un versus comparativo entre un "perfil actual" Vs. un "perfil objetivo".

Es decir, te permite mirar y conocer como estas en este momento en cuanto a una postura de Ciberseguridad, lo que permite que identifiques puntos a mejorar para llegar a un perfil deseado.

Si te gustar铆a conocer mas detalles de los componentes del Cibersecurity Framework, h谩zmelo saber en la cajita de comentarios 馃槈

Aqu铆 paramos la tecla 鉁

馃殌 Te invito a seguirme en mis redes sociales 馃殌 馃寪 bit.ly/gerardokaztro 馃摵 bit.ly/AWSSecurityLATAMbit.ly/DevtoGerardokaztro 馃専 linkedin.com/in/gerardokaztrobit.ly/MediumGerardokaztro 馃惁 twitter.com/gerardokaztro 馃こ instagram.com/awssecuritylatam

Share this
Proudly part of