












Prepara tus exámenes y mejora tus resultados gracias a la gran cantidad de recursos disponibles en Docsity
Gana puntos ayudando a otros estudiantes o consíguelos activando un Plan Premium
Prepara tus exámenes
Prepara tus exámenes y mejora tus resultados gracias a la gran cantidad de recursos disponibles en Docsity
Prepara tus exámenes con los documentos que comparten otros estudiantes como tú en Docsity
Encuentra los documentos específicos para los exámenes de tu universidad
Estudia con lecciones y exámenes resueltos basados en los programas académicos de las mejores universidades
Responde a preguntas de exámenes reales y pon a prueba tu preparación
Consigue puntos base para descargar
Gana puntos ayudando a otros estudiantes o consíguelos activando un Plan Premium
Comunidad
Pide ayuda a la comunidad y resuelve tus dudas de estudio
Ebooks gratuitos
Descarga nuestras guías gratuitas sobre técnicas de estudio, métodos para controlar la ansiedad y consejos para la tesis preparadas por los tutores de Docsity
Nist seguridad de red informática
Tipo: Apuntes
1 / 20
Esta página no es visible en la vista previa
¡No te pierdas las partes importantes!













White paper series Edición 5
MARCO NIST
CIBERSEGURIDAD
CRÉDITOS
1. Introducción
2.
NIST Cybersecurity Framework (CSF)
5. Conclusiones 6. Referencias 7. Fuentes 3. ¿Cómo usar el CSF? 4. Casos de estudio
02
03
07
09
12
13
14
2. NIST
Cybersecurity
Framework
(CSF)
2.1. Historia del CSF
El proceso de desarrollo del Marco se inició en EEUU con la Orden Ejecutiva número 13636, que se publicó el 12 de febrero de 2013. La Orden Ejecutiva introdujo esfuerzos para compartir información sobre amenazas de ciberseguridad y para construir un conjunto de enfoques actuales y exitosos, un marco para reducir los riesgos para infraestructura crítica. A través de esta Orden Ejecutiva, NIST se encargó del desarrollo del “Cybersecurity Framework”.
Algunos de los requerimientos para su desarrollo fueron: Identificar las normas y directrices de seguridad aplicables en todos los sectores de infraestructura crítica; Proporcionar un enfoque prioritario, flexible, repetible, basado en el rendimiento y rentabilidad; Ayudar a identificar, evaluar y gestionar el riesgo cibernético; Incluir orientación para medir el desempeño de la implementación del Marco de Ciberseguridad; e Identificar áreas de mejora que deben abordarse a través de la colaboración futura con sectores particulares y organizaciones que desarrollan estándares.
Creación del Marco
El Marco fue, y sigue siendo, desarrollado y promovido a través del compromiso continuo y con el aporte de las partes interesadas del gobierno, la industria y la academia. Para desarrollar el Marco, en el transcurso de un año, el NIST utilizó una Solicitud De Información (RFI) y una Solicitud De Comentarios (RFC), así como una amplia difusión y talleres en todo EEUU para: (i) identificar las normas de ciberseguridad existentes, directrices, marcos y mejores prácticas que eran aplicables para aumentar la seguridad de los sectores de infraestructura crítica y otras entidades interesadas; (ii) especifique brechas de alta prioridad para las cuales se necesitaron estándares nuevos o revisados; y (iii) desarrollar planes de acción en colaboración mediante los cuales se puedan abordar estas brechas.
Para la actualización del CSF a la versión 1. cuya publicación se efectuó en abril de 2018, NIST continuó con su estrategia de elaboración participativa dando lugar a expertos e industria, así como a gobiernos y empresas no estadounidenses, a modo de ejemplo participó el gobierno de Israel y la empresa Huawei Technologies. [17]
2.2. Estructura del CSF
El Cybersecurity Framework (CSF) consta de tres componentes principales:
Framework Core
El Core es un conjunto de actividades y resultados de ciberseguridad deseados, organizados en Categorías y alineados con Referencias Informativas a estándares aceptados por la industria. Está diseñado para ser intuitivo y actuar como una capa de traducción para permitir la comunicación entre equipos multidisciplinarios mediante el uso de lenguaje simplista y no técnico.
El Core consta de tres partes: Funciones, Categorías y Subcategorías. Incluye cinco funciones de alto nivel: Identificar, Proteger, Detectar, Responder y Recuperar.
El siguiente nivel hacia abajo son las 23 categorías , que se dividen en las cinco funciones. Fueron diseñadas para cubrir la amplitud de los objetivos de ciberseguridad para una organización, sin ser demasiado detalladas, cubriendo temas relacionados a los aspectos técnicos, las personas y los procesos, con un enfoque en los resultados.
Las subcategorías son el nivel más profundo de abstracción en el Core. Hay 108 Subcategorías, que son declaraciones basadas en resultados que proporcionan consideraciones para crear o mejorar un programa de ciberseguridad. Debido a que el Marco está orientado a los resultados y no establece cómo una organización debe lograr esos resultados, permite implementaciones basadas en el riesgo que se adaptan a las necesidades de las distintas organizaciones.
Niveles de implementación del CSF
Los niveles describen el grado en que las prácticas de gestión de riesgos de ciberseguridad de una organización exhiben las características definidos en el Marco. Los niveles van desde Parcial (Nivel 1) a Adaptativo (Nivel
NIVEL 1
Parcial
NIVEL 2
Riesgoinformado
NIVEL 3
Repetible
NIVEL 4
Adaptado
Proceso de gestion de riesgos
Programa de Gestión Integrada de Riesgos
Participación externa
Proteger
Detectar
Responder
Recuperar
Describe las medidas de seguridad adecuadas para garantizar la entrega de servicios de las infraestructuras críticas. Esta función contempla la capacidad de limitar o contener el impacto de un potencial evento de ciberseguridad.
Define las actividades necesarias para identificar la ocurrencia de un evento de ciberseguridad., permitiendo el descubrimiento oportuno de los mismos.
Incluye actividades necesarias para tomar medidas con respecto a un incidente de ciberseguridad detectado, desarrollando la capacidad de contener el impacto de un potencial incidente.
Identifica las actividades necesarias para mantener los planes de resiliencia y para restaurar cualquier capacidad o servicio que se haya deteriorado debido a un incidente de ciberseguridad. Esta función es compatible con la recuperación oportuna de las operaciones normales para reducir el impacto de un incidente de ciberseguridad.
2.4. Versiones y mecanismos de evolución
El CSF ha sido desarrollado y promovido a través del compromiso continuo y con el aporte de las partes interesadas en el gobierno, la industria y la academia. Eso incluye un proceso público abierto de revisión y comentarios, talleres y otros medios de participación.
A continuación, se presenta un gráfico con la evolución del Cybersecurity Framework:
1 2 3 4 5
12 de febrero de 2013
1 de julio de 2013
Orden Ejecutiva 13636 Emitida
12 de febrero de 2014 Versión 1. de Marco lanzada
16 de abril de 2018 Versión 1. de Marco lanzada
Marco preliminar publicado
18 de diciembre de 2014
Ley de mejora de la ciberseguridad de 2014
El CSF se presenta como una herramienta que permite gestionar los riesgos de ciberseguridad de manera flexible y adaptable a la realidad de cualquier organización, sin importar su tamaño o rubro.
Es importante destacar que el Marco no plantea nuevos controles ni procesos, sino que agrupa los controles planteados por los principales estándares de la industria, internacionalmente reconocidos como son el NIST SP 800-53, ISO 27001, COBIT 5, entre otros). Por tanto, no va a sustituir los procesos y controles que tenga ya implementados la organización, sino que la misma continuará utilizando lo que ya ha implementado y eventualmente complementará los mismos, de manera de presentar una estrategia con un enfoque ejecutivo, orientado a resultados.
3.1. Estrategia para
adoptar el CSF
A continuación, se presentan tres estrategias posibles, planteadas en el Marco [11] , para la utilización del CSF, no siendo las únicas.
Revisión básica de prácticas de ciberseguridad
Una organización puede utilizar el Marco como una parte clave de su proceso sistemático de gestión del riesgo de ciberseguridad; éste no está diseñado para reemplazar los procesos existentes, sino para determinar las brechas en su enfoque actual de riesgo de ciberseguridad y desarrollar una hoja de ruta para la mejora; permitiendo la optimización de costos y resultados.
Creación o mejora de un programa de ciberseguridad
El Marco está diseñado para complementar las operaciones de negocio y de ciberseguridad existentes; pudiendo tomarlo como base para la creación de nuevo programa de ciberseguridad o como herramienta para la mejora de un programa existente.
Los siguientes 7 pasos pueden guiar la creación de un nuevo programa de ciberseguridad o mejorar uno existente. Estos pasos deben repetirse según sea necesario para mejorar y evaluar continuamente la ciberseguridad:
Paso 1: Priorizar y determinar el alcance. Se deben identificar los objetivos de negocios y las prioridades de alto nivel de la organización. Con esta información se puede determinar el alcance del programa de ciberseguridad: qué línea de negocio o procesos serán abordados.
Paso 2: Orientación. Se identifican los sistemas y activos vinculados al alcance, los requisitos legales o regulatorios, así como el enfoque de riesgo general. activos.
Paso 3: Crear un perfil actual. Se realiza una evaluación del programa de ciberseguridad para crear un perfil actual, esta indicará qué resultados de categoría y subcategoría del Framework Core se están logrando actualmente. Es esencial que esta evaluación incluya Personas (cantidad de personal, roles de trabajo, habilidades y capacitación para profesionales de seguridad y conocimiento general del usuario), Procesos (estrategia, políticas, procedimientos, manual vs. automatización, canales de comunicación con las partes interesadas, etc.), y Tecnología (capacidades, configuraciones, vulnerabilidades, parches, operaciones y contratos de soporte, etc.).
3. ¿Cómo usar
el CSF?
4. Casos de estudio
4.1. Reino Unido - Un enfoque abierto
El CSF es en la actualidad un marco reconocido por la comunidad técnica que contempla las mejores prácticas en lo que refiere a ciberseguridad. Este marco ha sido adoptado por diversos países como parte de su estrategia en ciberseguridad y algunos de ellos incluso lo han incluido en su legislación nacional. Dentro del conjunto de países que han adoptado el CSF podemos encontrar: Bermudas, Estados Unidos, Israel, Italia, Japón, Reino Unido, Suiza y Uruguay. [13]
A continuación, presentamos el estudio de dos de estos casos con adopciones de enfoque diferentes.
Reino Unido cuenta con un Marco Políticas de Seguridad (HMG Security Policy Framework - SPF) [7]^ que es de cumplimiento obligatorio para todos los departamentos de gobierno. Para colaborar en la implementación del mencionado Marco, se han desarrollado una serie de guías que abordan los distintos aspectos de la seguridad, dentro de la que se encuentra el Estándar Mínimo de Ciberseguridad (MCSS - Minimum Cyber Security Standard) [8].
El Estándar Mínimo de Ciberseguridad es un desarrollo conjunto entre el gobierno del Reino Unido y el Centro Nacional de Seguridad Cibernética (NCSC); el mismo fue publicado en junio de 2018 y es la aproximación más cercana a la CSF en la normativa británica.
Dicho estándar define las medidas de seguridad mínimas que los departamentos del Reino Unido deben implementar con respecto a la protección de su información, tecnología y servicios digitales para cumplir con sus obligaciones de SPF y Estrategia Nacional de Seguridad Cibernética.
Este estándar toma las cinco funciones del CSF (Identificar, Proteger, Detectar, Responder y Recuperar) y, si bien algunas de las funciones y categorías, y la redacción de cada una de ellas se han modificado, en general son muy fieles al CSF original.
Las funciones planteadas por el MCSS son:
Al igual que el CSF, el MCSS deja deliberadamente abierta la implementación de los lineamientos, ya que se entiende que tratar de definir un enfoque de ciberseguridad único en diferentes industrias, plataformas y situaciones es casi imposible. En su lugar, se alienta a las empresas a interpretar la estándar de forma independiente y adaptar sus propios procesos de seguridad para garantizar su cumplimiento.
El Marco de Ciberseguridad de Uruguay (MCU) [9] , tiene como principal objetivo generar confianza en el uso de la tecnología, unificar todos los recursos existentes en materia de ciberseguridad, y sustentar la evolución del gobierno digital de Uruguay. Asimismo, busca promover una visión integral y multi-sectorial de la ciberseguridad, apostando a la mejora continua de la seguridad de la información y a contribuir a la definición de planes de acción.
Su implementación se basó en Core del CSF v1. (ISO/IEC 27001:2013, ISO 27799:2016 [10] , COBIT 5 y NIST 800-53 rev.4), además contó con el trabajo de especialistas en seguridad de la información, consultoras internacionales y la academia. Una vez elaborado el primer borrador del MCU este fue puesto a consideración de la Universidad de la Republica, donde se lo analizó y dio sus recomendaciones. Luego fue puesto a consideración de consultaros privadas del país y se recogieron también sus comentarios. Finalmente, en agosto de 2016 se publicó su versión 1.
Hoy ya ha sido utilizado para el diagnóstico y evaluación de todos los Ministerios del Gobierno Central, Gobiernos Departamentales, Instituciones de Salud e instituciones financieras.
Adecuación del CSF al MCU
Si bien el MCU toma todo el núcleo del NIST CSF v1.0, implementa solo un conjunto de subcategorías, dejando para etapas posteriores la implementación de las subcategorías faltantes.
Dicho Marco presenta una serie de requisitos que incluyen buenas prácticas sobre gobernanza de la seguridad, gestión de riesgos, control de acceso, seguridad de las operaciones, gestión de incidentes y continuidad del negocio asociados a las distintas subcategorías del NIST CSF; además, incluye perfil de organización y un modelo de madurez con el que las organizaciones podrán definir las líneas de acción para mejorar su ciberseguridad. Dichos requisitos tienen adecuaciones para organismos de la Administración Central de Uruguay y para instituciones de salud; actualmente, se trabaja en la adecuación para instituciones financieras.
Requisitos propios El MCU propone un conjunto de 65 requisitos generados a partir de los controles ISO/IEC 27001 y la normativa uruguaya vinculada a ciberseguridad.
4.2. Uruguay - Un enfoque guiado
5. Conclusiones
Las amenazas de ciberseguridad continúan creciendo y afectan a todas las organizaciones sin importar su rubro o tamaño.
Si bien el CSF fue concebido inicialmente como una herramienta para evaluar la ciberseguridad en las Infraestructuras Criticas de EEUU, su enfoque, agnóstico del punto de vista de los estándares y requerimientos tecnológicos, han mostrado que se adapta perfectamente a diferentes sectores y países, y resulta de fácil adopción en los procesos de auditoria.
El CSF puede utilizarse para generar un nuevo programa de ciberseguridad o como herramienta para analizar la brecha de programas de ciberseguridad existentes y mejorarlos. Está estructurado de tal forma que permite un abordaje integral de la gobernanza de la ciberseguridad, alineándolo fácilmente a las necesidades del negocio.
Las subcategorías del CSF han sido mapeadas a los controles de los principales estándares de la industria, permitiendo una consolidación de los mismos, y brindando un abordaje flexible y claro.
Finalmente, el CSF tiene que ser visto como una herramienta de gestión de riesgos de ciberseguridad que permite evaluar la efectividad de los controles y la rentabilidad de los mismos.
Los programas de ciberseguridad más exitosos son aquellos que no se basan simplemente en la aplicación de controles técnicos, sino que definen una estrategia, un marco, para abordar cada una de las funciones esenciales de ciberseguridad: identificar el contexto, proteger los sistemas y activos, detectar los desvíos, responder antes incidentes y recuperar las operaciones del negocio. En resumen, la ciberseguridad es un problema del negocio que solo se puede resolver con una visión holística de Personas, Procesos y Tecnología.
[1] Casa Blanca (2013), Orden ejecutiva 13636: https://www.whitehouse.gov/the-press- office/2013/02/12/executive-order-improving-critical- infrastructure-cybersecurity
[2] NIST (2013), NIST 800-53 Rev.4: https://nvlpubs.nist.gov/nistpubs/specialpublications/ nist.sp.800-53r4.pdf
[3] ISO (2013), ISO/IEC 27001: https://www.iso.org/standard/54534.html
[4] ISACA (2012), COBIT 5: http://www.isaca.org/COBIT/Pages/COBIT-5-spanish. aspx
[5] CIS (2018), Critical Security Controls (CSC): https://www.cisecurity.org/controls/
[6] ISO (2018), ISO/IEC TR 27103: https://www.iso.org/standard/72437.html
[7] Gobierno de Reino Unido (2013), Marco de Políticas de Seguridad de Reino Unido: https://www.gov.uk/government/collections/ government-security
[8] Gobierno de Reino Unido (2018), Marco de ciberseguridad de Reino Unido: https://www.gov.uk/government/publications/the- minimum-cyber-security-standard
[9] AGESIC (2018), Marco de Ciberseguridad de Uruguay: https://www.agesic.gub.uy/innovaportal/v/5823/1/ agesic/marco-de-ciberseguridad-v40.html
[10] ISO (2016), ISO 27799: https://www.iso.org/standard/62777.html
[11] NIST (2018), CSF v1.1 (en español): https://www.nist.gov/sites/default/ files/documents/2018/12/10/ frameworkesmellrev_20181102mn_clean.pdf
[12] OEA (2016), Ciberseguridad: ¿Estamos preparados en América Latina y el Caribe?: https://publications.iadb.org/es/publicacion/17071/ ciberseguridad-estamos-preparados-en-america-latina-y-el- caribe
[13] NIST, Adaptaciones internacionales del CSF: https://www.nist.gov/cyberframework/international- resources
[14] OTAN (2012), National Cyber Security Framework Manual: https://ccdcoe.org/uploads/2018/10/NCSFM_0.pdf
[15] ISC2 (2017), 2017 Global Information Security Workforce Study - Benchmarking Workforce Capacity and Response to Cyber Risk (LATAM): https://iamcybersafe.org/wp-content/ uploads/2017/06/LATAM-GISWS-Report.pdf
[16] Deloitte (2016), La Evolución de la Gestión de Ciber-Riesgos y Seguridad de la Información: https://www2.deloitte.com/pe/es/pages/risk/articles/ la-evolucion-de-la-gestion-de-ciber-riesgos-y-seguridad.html
[17] NIST (2018), RFC - Cybersecurity Framework Draft Version 1.1: https://www.nist.gov/cyberframework/rfc-cybersecurity- framework-draft-version-
[18] Homeland Security, Sectores de infraestructura crítica: https://www.dhs.gov/cisa/critical-infrastructure-sectors
6. Referencias
MARCO NIST
CIBERSEGURIDAD
White paper series Edición 5
MARCO NIST
CIBERSEGURIDAD