UNIVERSIDAD PERUANA DE CIENCIAS APLICADAS

FACULTAD DE INGENIERIA

CARRERA DE INGENIERIA DE REDES Y

COMUNICACIONES

TRABAJO DE INVESTIGACIÓN

METODOLOGIA NIST

GRUPO 2 - Integrantes:

Jorge Daniel Bazán De La Cruz

Rolando Rafael Alamo Ordinola
Luis Felipe Sierra Cobián

CURSO:

PROFESOR:

2020
INDICE
1. INTRODUCCIÓN......................................................................................................................3
2. ANTECEDENTES.....................................................................................................................4
3. OBJETIVOS..............................................................................................................................5
3.1. Objetivo general..............................................................................................................5
3.2. Objetivos específicos.....................................................................................................5
4. ALCANCE..................................................................................................................................6
5. CONTENIDO.............................................................................................................................6
6. APLICACIONES.....................................................................................................................13
7. CONCLUSIONES...................................................................................................................13
8. RECOMENDACIONES..........................................................................................................14
1. INTRODUCCION

Dado un aumento sostenido de la cantidad de incidentes de ciberseguridad en los

EEUU, el presidente Barack Obama, el 12 de febrero de 2013, emite la orden
ejecutiva 13636 en donde se encarga al Instituto de Nacional de Estándares y
Tecnologías (NIST, por sus siglas en inglés) el desarrollo del Marco de
ciberseguridad para la protección de infraestructuras críticas, lo que hoy se conoce
como el Cybersecurity Framework (CSF). EEUU identifica 16 sectores de
infraestructuras críticas, estos son: químico; instalaciones comerciales;
comunicaciones; fabricación crítica; presas/represas; base industrial de defensa;
servicios de emergencia; energía; servicios financieros; comida y agricultura;
instalaciones gubernamentales; salud y salud pública; tecnología de información;
reactores nucleares, materiales y residuos; sistemas de transporte; sistemas de
agua y aguas residuales.

El Marco fue concebido bajo las premisas de identificar las normas y directrices de
seguridad aplicables en todos los sectores de infraestructura crítica,
proporcionando un enfoque flexible y repetible, que permite la priorización de
actividades y apunta a obtener un buen rendimiento de las infraestructuras,
manteniéndose rentable para el negocio.

Es sin dudas una herramienta para la gestión de riesgos de ciberseguridad, que

habilita la innovación tecnológica y se ajusta a cualquier tipo de organización (sin
importar rubro o tamaño).

El Marco tomó como estrategia basarse en estándares de la industria ya aceptados

por el ecosistema de ciberseguridad (NIST SP 800-53 Rev.4, ISO/IEC 27001:2013,
COBIT 5, CIS CSC, entre otros). Se presentan como una estrategia de abordaje
simple de la gobernanza de la ciberseguridad, permitiendo trasladar fácilmente
conceptos técnicos a los objetivos y necesidades del negocio. Su desarrollo fue
bajo una metodología participativa, donde todas las partes interesadas (gobierno,
industria, academia) pudieron participar y brindar mejoras.

La principal innovación del CSF está dada por dejar de lado estándares rígidos,
que era la norma en ese momento; pero no fue el primero en desarrollar una
iniciativa para la protección de las infraestructuras críticas. La OTAN ya había
desarrollado una serie de manuales orientados hacia la protección de
infraestructuras críticas para la defensa nacional, como es el caso del “Manual del
Marco de Trabajo de Ciberseguridad Nacional” (National Cyber Security Framework
Manual). Esto no quiere decir que el CSF de NIST excluya estos documentos, al
contrario, los complementa y mejora.

El gran diferencial que ha presentado el CSF respecto a sus antecesores es su

simplicidad y flexibilidad; simplicidad para poder transmitir una estrategia técnica
minos que negocio comprenda y flexibilidad para adecuarse a cualquier
organización. Esta diferencia es lo que ha hecho que, a la fecha, la industria y
comunidad técnica de todo el mundo haya visto con muy buenos ojos este marco.
Empresas, academia y gobiernos han adoptado de manera voluntaria el CSF como
parte de su estrategia de ciberseguridad. Incluso organizaciones líderes en la
generación de normas y estándares han incorporado el CSF, como por ejemplo
ISACA e ISO. En particular, ISO generó la ISO/IEC TR 27103:2018 que
proporciona orientación sobre cómo aprovechar los estándares existentes en un
marco de ciberseguridad, en otras palabras, cómo utilizar el CSF.

2. ANTECEDENTES

El proceso de desarrollo del Marco se inició en EEUU con la Orden Ejecutiva

número 13636, que se publicó el 12 de febrero de 2013. La Orden Ejecutiva
introdujo esfuerzos para compartir información sobre amenazas de ciberseguridad
y para construir un conjunto de enfoques actuales y exitosos, un marco para reducir
los riesgos para infraestructura crítica. A través de esta Orden Ejecutiva, NIST se
encargó del desarrollo del “Cybersecurity Framework”.

Algunos de los requerimientos para su desarrollo fueron: Identificarlas normas y

directrices de seguridad aplicables en todos los sectores de infraestructura crítica;
Proporcionar un enfoque prioritario, flexible, repetible, basado en el rendimiento y
rentabilidad; Ayudar a identificar, evaluar y gestionar el riesgo cibernético; Incluir
orientación para medir el desempeño de la implementación del Marco de
Ciberseguridad; e Identificar áreas de mejora que deben abordarse a través de la
colaboración futura con sectores particulares y organizaciones que desarrollan
estándares.

Creación del Marco

El Marco fue, y sigue siendo, desarrollado y promovido a través del compromiso
continuo y con el aporte de las partes interesadas del gobierno, la industria y la
academia. Para desarrollar el Marco, en el transcurso de un año, el NIST utilizó una
Solicitud De Información (RFI) y una Solicitud De Comentarios (RFC), así como
una amplia difusión y talleres en todo EEUU para: identificar las normas de
ciberseguridad existentes, directrices, marcos y mejores prácticas que eran
aplicables para aumentar la seguridad de los sectores de infraestructura crítica y
otras entidades interesadas; especifique brechas de alta prioridad para las cuales
se necesitaron estándares nuevos o revisados; y desarrollar planes de acción en
colaboración mediante los cuales se puedan abordar estas brechas.

Para la actualización del CSF a la versión 1.1 cuya publicación se efectuó en abril
de 2018, NIST continuó con su estrategia de elaboración dando lugar tos e

como a gobiernos y empresas no estadounidenses, a modo de ejemplo participó el

gobierno de Israel y la empresa Huawei Technologies.

3. OBJETIVOS

3.1 OBJETIVO GENERAL

El objetivo de esta publicación es proporcionar directrices para la aplicación del

Marco de Gestión de Riesgos a los sistemas de información federales para incluir
la realización de actividades de seguridad, selección e implementación de controles
de seguridad, evaluación de control de seguridad, autorización de sistemas de
información y monitoreo de control de seguridad.

3.2 OBJETIVOS ESPECIFICOS

· Aseguramiento de los sistemas de información que almacenan, procesan y

transmiten información.
· Gestión de Riesgos
· Optimizar la administración de Riesgos a partir del resultado en el análisis de
riesgos.
 · Proteger las habilidades de la organización para alcanzar su misión (no
solamente relacionada a TI, sino de toda la empresa).
· Ser una función esencial de la administración (no solo limitada a funciones
técnicas de TI).

4. ALCANCE

En el siguiente trabajo de investigación se presentan algunas estrategias posibles,

planteadas en el Marco NIST, para la utilización del CSF e implementación en las
organizaciones.

4.1 Revisión básica de prácticas de ciberseguridad

Una organización puede utilizar el Marco como una parte clave de su proceso sistemático
de gestión del riesgo de ciberseguridad; éste no está diseñado para reemplazar los
procesos existentes, sino para determinar las brechas en su enfoque actual de riesgo de
ciberseguridad y desarrollar una hoja de ruta para la mejora; permitiendo la optimización de
costos y resultados.

4.2 Creación o mejora de un programa de ciberseguridad

El Marco está diseñado para complementar las operaciones de negocio y de

ciberseguridad existentes; pudiendo tomarlo como base para la creación de nuevo
programa de ciberseguridad o como herramienta para la mejora de un programa
existente.

Los siguientes 7 pasos pueden guiar la creación de un nuevo programa de

ciberseguridad o mejorar uno existente. Estos pasos deben repetirse según sea
necesario para mejorar y evaluar continuamente la ciberseguridad:

Paso 1: Priorizar y determinar el alcance. Se deben identificar los objetivos de

negocios y las prioridades de alto nivel de la organización. Con esta información se
puede determinar el alcance del programa de ciberseguridad: qué línea de negocio
o procesos serán abordados.

Paso 2: Orientación. Se identifican los sistemas y activos vinculados al alcance, los

requisitos legales o regulatorios, así como el enfoque de riesgo general. activos.
Paso 3: Crear un perfil actual. Se realiza una evaluación del programa de
ciberseguridad para crear un perfil actual, esta indicará qué resultados de categoría
y subcategoría del Framework Core se están logrando actualmente. Es esencial
que esta evaluación incluya Personas (cantidad de personal, roles de trabajo,
habilidades y capacitación para profesionales de seguridad y conocimiento general
del usuario), Procesos (estrategia, políticas, procedimientos, manual vs.
automatización, canales de comunicación con las partes interesadas, etc.), y
Tecnología (capacidades, configuraciones, vulnerabilidades, parches, operaciones
y contratos de soporte, etc.).

Paso 4: Realizar una evaluación de riesgos. Se analiza el entorno operativo para

discernir la probabilidad de un evento de ciberseguridad y el impacto que el evento
podría tener en la organización. Es importante que las organizaciones identifiquen
los riesgos emergentes teniendo en cuenta la identificación de vulnerabilidades de
los activos y la información de amenazas de ciberseguridad de fuentes internas y
externas para obtener una mejor comprensión de la probabilidad y el impacto de
los eventos de ciberseguridad. Si bien este paso se enfoca en la identificación de
riesgos de ciberseguridad, es importante que este proceso esté a riesgos
organizacional, como a la evaluación de riesgos de negocio para que exista una
retroalimentación en las evaluaciones.
Paso 6: Determinar, analizar y priorizar las brechas. Se compara el Perfil Actual y el
Perfil Objetivo para determinar las brechas. A continuación, crea un plan de acción
priorizado para abordar las brechas (que reflejan los impulsores, los costos y los
beneficios, y los riesgos de la misión) para lograr los resultados en el Perfil
Objetivo. Luego, la organización determina los recursos necesarios para abordar
las brechas, que incluyen los fondos y la fuerza laboral.

Paso 7: Implementar el plan de acción. Se determinan qué acciones tomar para

abordar las brechas, si las hay, identificadas en el paso anterior y luego ajusta su
perfil objetivo. Es importante que las acciones contemplen todas las aristas de la
gobernanza de la ciberseguridad: Personal (contrataciones, capacitación,
formación, etc.); Tecnología (soluciones actuales, soluciones comerciales
disponibles, nuevos desarrollos, innovación, etc.) y Procesos (políticas, procesos y
procedimientos adecuados a la necesidad y realidad de la organización).

4.3 Comunicación de los requisitos de ciberseguridad a las partes interesadas

El Marco puede proporcionar un medio para expresar los requisitos de

ciberseguridad a los socios de negocio, clientes y proveedores; en particular a los
proveedores de servicios o productos vinculados a la infraestructura crítica de la
organización.

5. CONTENIDO

Las tareas del marco se ejecutan al mismo tiempo que los proceso SDLC en la empresa, esto
permite garantizar la integración del proceso de gestión de riesgos de la privacidad y seguridad
durante el ciclo de vida de desarrollo de sistema, dando la posibilidad de obtener resultados como
seguridad, planes de seguridad, informes de evaluación, planes de acción e hitos directamente del
proceso de ciclo de vida.
En el caso de NIST SP 800-53 Revisión 4, el proceso se puede segmentar en:

SELECCIÓN DE LAS LÍNEAS DE BASE DEL CONTROL DE SEGURIDAD: La primera acción a tomar es
determinar la criticidad y sensibilidad de la información que será procesada, almacenada o
transmitida. Este proceso es denominado como categorización de seguridad, dicha categorización
permite elegir los adecuados controles de seguridad para el sistema de información seleccionado.
De acuerdo con la publicación FIPS 199 la categorización se puede considerar como: De bajo
impacto, impacto moderado y alto impacto.
Por otro lado, considerando que los valores de impacto en el caso de confidencialidad, integridad y
disponibilidad no siempre son los mismos en los sistemas de información, se introduce el concepto
de high water mark, el cual ayuda a determinar el nivel de impacto de la información. Bajo este
concepto, un sistema de bajo impacto es un sistema en el que los tres objetivos de seguridad son
bajos, en el caso de un impacto moderado, al menos uno de los objetivos de seguridad es
moderado, por último, en el sistema de alto impacto al menos un objetivo de seguridad es alto.

Finalizada la determinación de impacto inicia el proceso de seguridad, selección y control, en este

proceso se realiza:
 Elegir la línea base de control de seguridad: El cual puede ser alto, moderado, bajo o sin
selección.
Algunas suposiciones descritas en NIST 800-39 pueden ser:
 Los sistemas de información están ubicados en instalaciones físicas
 Los datos / información del usuario en los sistemas de información organizacional son
relativamente persistentes
 Los sistemas de información son multiusuario (ya sea en serie o simultáneamente) en
funcionamiento
 Algunos datos / información del usuario en los sistemas de información de la organización
no se pueden compartir con otros usuarios que tienen acceso autorizado a los mismos
sistemas
 Los sistemas de información existen en entornos en red
 Los sistemas de información son de carácter general
 Las organizaciones cuentan con la estructura, los recursos y la infraestructura necesarios
para implementar
SI alguno de estos supuestos no es válido, uno de los controles de seguridad indicadas en la norma
podría no aplicar, para ello se cuenta con una guía de adaptación que permite abordar este tipo de
escenarios. Sin embargo, existen situaciones que no se encuentran contempladas en posibles
adaptaciones, entre ellos destacan:
  Amenazas internas dentro de las organizaciones
 Los datos / información clasificados son procesados, almacenados o transmitidos por
sistemas de información
 Existen amenazas persistentes avanzadas (APT) dentro de las organizaciones
 Los datos / información seleccionados requieren protección especializada basada en la
legislación federal, directivas, reglamentos o políticas
 Los sistemas de información necesitan comunicarse con otros sistemas a través de
diferentes sistemas de seguridad
PERSONALIZACION DE LOS CONTROLES DE SEGURIDAD
Finalizado el primer proceso sigue la adaptación de los controles a un entorno mucho mas cercano
a su organización, lo cual incluye: identificar y designar controles, aplicar consideraciones de
alcance y seleccionar los controles de seguridad, asignar valores específicos a los parámetros de
control de seguridad especificados para la organización, complementar las líneas base de controles
de seguridad y proporcionar información de especificación adicional para la implementación del
control en caso se requiera.
Se debe considerar que las organizaciones suelen utilizar procesos de adaptación para lograr
resultados rentables basándose en riesgos. Asimismo, cada control de seguridad debe ser
contabilizado bien sea por la organización o por el dueño del sistema de información.
La personalización se categoriza en:
 Identificación y designación de controles comunes: Controles que pueden ser heredados
por una organización. La herencia de controles no implica explícitamente implementar
dicho control.
 Aplicar consideraciones de alcance: Tienen como objetivo una mejor toma de decisiones
basadas en riesgos. Permite también eliminar controles de seguridad innecesarios,
manteniendo los controles estrictamente necesarios para proporcionar el nivel óptimo de
protección de los sistemas de información. Las empresas pueden aplicar algunas
consideraciones de alcance, de las cuales puede mencionarse:
o Asignación y colocación de control: Defina la asignación y colocación de controles
de seguridad dentro del nivel de la organización, negocio y nivel de sistema de
información).
o Consideraciones operacionales y ambientales: Comprenden factores basados en
supuestos, destacan:
 Movilidad
 Sistemas y operaciones de un solo usuario
 Conectividad y ancho de banda
 Sistemas de funcionalidad limitada
  Información y no persistencia del sistema
 Acceso publico

o Objetivo de seguridad – Consideraciones: Son los que respaldan uno o dos

aspectos de confidencialidad, integridad o disponibilidad. Es posible que los
objetivos degraden el control asociado a una línea de base inferior.
o Tecnología: Controles de seguridad referidos a tecnologías específicas, las cuales
aplicarían si y solo si dichas tecnologías son empleadas dentro del sistema de
información de la organización.
 Selecciones de controles de seguridad compensatorios: Si existen casos donde la
organización no puede implementar un control de seguridad determinado, o en su defecto,
la implementación de un control especifico no son un medio rentable para mitigar el riesgo
requerido, en este escenario pueden implementarse controles de seguridad
compensatorios o alternativos, estos deben cumplir las siguientes condiciones.
o Los controles compensatorios pueden encontrarse en el apéndice F de la norma, en
caso no se encuentre disponible, puede escogerse otra fuente.
o Se debe brindar un respaldo de como el control compensatorio mitigaría la
necesidad de seguridad de información.
 Asignación de valores de parámetros de control de seguridad: Todos los controles de
seguridad contienen parámetros integrados con el fin de respaldar los requisitos y
necesidades de la organización. Los parámetros pueden ser definidos por leyes federales,
ordenes ejecutivas, reglamentos o normas.
 Complementar las líneas base de control de seguridad: Los controles de seguridad
adicionales o mejoras de control son necesarios para afrontar posibles amenazas y
vulnerabilidades en la organización.
 Situaciones que requieren un potencial de referencia: En el caso que la organización deba
de garantizar la selección e implementación de controles de seguridad adicionales a raíz de
la manifestación de una amenaza actual. Para lograr la protección adecuada, los controles
que pueden implementarse son:
o Amenaza persiste avanzada
o Servicios cruzados de dominio
o Movilidad
o Información clasificada
 Procesos para identificar controles de seguridad adicionales: Se puede emplear un
enfoque de definición de requisitos o un enfoque de análisis de brechas. Para afrontar
eficazmente los ciber ataques, se debe lograr un alto nivel de defensa o preparación
 cibernética. Para ellos pueden hacer uso de los controles de seguridad indicados en el
apéndice F de la norma. Por otro lado, el análisis de brechas permite determinar la
capacidad y nivel de preparación.
CREACION DE SUPERPOSICIONES: En algunas ocasiones, es menester abordar la necesidad de
desarrollar conjuntos de controles de seguridad especializados, lo cual implica un concepto de
superposición. Estás complementan las líneas de base de control de seguridad iniciales al:
o Permiten agregar o quitar controles
o Proporcionan interpretaciones de controles de seguridad
o Establecer valores de parámetros para la asignación o selección de controles de
seguridad
o Extender el suplemento para los controles de seguridad en caso sea necesario.
DOCUMENTACION DEL PROCESO: Es imperativo que las organizaciones documenten las decisiones
importantes a las que se llegó durante la selección de los controles de seguridad. Esto recobra
mayor importancia cuando los funcionarios autorizados puedan tener acceso a la información
necesaria para tomar decisiones informadas.
NUEVOS SISTEMAS DE DESARROLLO Y LEGADO: En el caso de sistemas de información heredados
el análisis aplica desde una perspectiva de análisis de brechas al anticipar cambios importantes en
los sistemas. Para ello las brechas deben aplicarse:
o Reconfirmar o actualizar la categoría de seguridad y el nivel de impacto para el
sistema de información.
o Revisare l plan de seguridad existente que describan los controles de seguridad
vigentes
o Implementar los controles de seguridad descritos en el plan de seguridad,
documentos de plan de acción de hitos, o controles no desplegados.

6. APLICACIÓNES
El Marco de Ciberseguridad del NIST organiza su material básico en cinco funciones que se
subdividen en un total de 23 "categorías". Para cada categoría, define una serie de subcategorías de
resultados de ciberseguridad y controles de seguridad, con 108 subcategorías en total.

Para cada subcategoría, también proporciona "Recursos informativos" que hacen referencia a
secciones específicas de una variedad de otros estándares de seguridad de la información, que
incluyen ISO 27001 , COBIT , NIST SP 800-53, ANSI / ISA-62443 y el Council on CyberSecurity Critical
Security Controls ( CCS CSC, ahora administrado por el Center for Internet Security ).
 6.1. IDENTIFICACION
Desarrollar la comprensión organizacional para gestionar el riesgo de ciberseguridad en
sistemas, activos, datos y capacidades.

· Gestión de activos: Los datos, el personal, los dispositivos, los sistemas y las instalaciones
que permiten a la organización lograr los propósitos comerciales se identifican y
administran de acuerdo con su importancia relativa para los objetivos comerciales y la
estrategia de riesgo de la organización.

· Entorno empresarial: Se comprenden y priorizan la misión, los objetivos, las partes

interesadas y las actividades de la organización; esta información se utiliza para informar
los roles, responsabilidades y decisiones de gestión de riesgos de ciberseguridad.

· Gobernanza: Las políticas, procedimientos y procesos para administrar y monitorear los

requisitos regulatorios, legales, de riesgo, ambientales y operativos de la organización se
entienden e informan la gestión del riesgo de ciberseguridad.

· Evaluación de riesgos: La organización comprende el riesgo de ciberseguridad para las

operaciones de la organización (incluida la misión, las funciones, la imagen o la reputación),
los activos de la organización y las personas.

· Estrategia de gestión de riesgos: Las prioridades, las limitaciones, las tolerancias de riesgo
y los supuestos de la organización se establecen y se utilizan para respaldar las decisiones
de riesgo operativo.

· Gestión de riesgos de la cadena de suministro: Las prioridades, restricciones, tolerancias

de riesgo y suposiciones de la organización se establecen y utilizan para respaldar las
decisiones de riesgo asociadas con la gestión de riesgos de la cadena de suministro. La
organización cuenta con los procesos para identificar, evaluar y gestionar los riesgos de la
cadena de suministro.

6.2. PROTECCION
Desarrollar e implementar las salvaguardas apropiadas para asegurar la entrega de servicios
de infraestructura crítica.

· Control de acceso: El acceso a los activos y las instalaciones asociadas está limitado a
usuarios, procesos o dispositivos autorizados, y a actividades y transacciones autorizadas.

· Concientización y capacitación: el personal y los socios de la organización reciben

educación en concientización sobre ciberseguridad y están adecuadamente capacitados
para realizar sus deberes y responsabilidades relacionados con la seguridad de la
información de acuerdo con las políticas, procedimientos y acuerdos relacionados.
· Seguridad de los datos: la información y los registros (datos) se gestionan de forma
coherente con la estrategia de riesgos de la organización para proteger la confidencialidad,
integridad y disponibilidad de la información.

· Procesos y procedimientos de protección de la información: Las políticas de seguridad

(que abordan el propósito, el alcance, los roles, las responsabilidades, el compromiso de la
gestión y la coordinación entre las entidades organizativas), los procesos y los
procedimientos se mantienen y utilizan para gestionar la protección de los sistemas y
activos de información.

· Mantenimiento: El mantenimiento y las reparaciones de los componentes del sistema de

información y control industrial se realizan de acuerdo con las políticas y procedimientos.

· Tecnología de protección: Las soluciones de seguridad técnica se administran para

garantizar la seguridad y la resistencia de los sistemas y activos, de acuerdo con las
políticas, procedimientos y acuerdos relacionados.

6.3. DETECCION
Desarrollar e implementar las actividades apropiadas para identificar la ocurrencia de un evento
de ciberseguridad.

· Anomalías y eventos: La actividad anómala se detecta de manera oportuna y se

comprende el impacto potencial de los eventos.

· Monitoreo continuo de seguridad: el sistema de información y los activos se monitorean a

intervalos discretos para identificar eventos de ciberseguridad y verificar la efectividad de
las medidas de protección.

· Procesos de detección: Los procesos y procedimientos de detección se mantienen y

prueban para garantizar el conocimiento oportuno y adecuado de eventos anómalos.

6.4. RESPUESTA
Desarrollar e implementar las actividades adecuadas para tomar acción ante un evento de
ciberseguridad detectado.

· Planificación de respuesta: Los procesos y procedimientos de respuesta se ejecutan y

mantienen para garantizar una respuesta oportuna a los eventos de ciberseguridad
detectados.

· Comunicaciones: Las actividades de respuesta se coordinan con las partes interesadas

internas y externas, según corresponda, para incluir el apoyo externo de las fuerzas del
orden.

· Análisis: el análisis se realiza para garantizar una respuesta adecuada y respaldar las
actividades de recuperación.

· Mitigación: Se realizan actividades para prevenir la expansión de un evento, mitigar sus

efectos y erradicar el incidente.

· Mejoras: Las actividades de respuesta organizacional se mejoran al incorporar lecciones

aprendidas de las actividades de detección / respuesta actuales y anteriores.

6.5. RECUPERACION
Desarrollar e implementar las actividades apropiadas para mantener los planes de resiliencia y
restaurar las capacidades o los servicios que se vieron afectados debido a un evento de
ciberseguridad.

· Planificación de recuperación: Los procesos y procedimientos de recuperación se ejecutan

y mantienen para garantizar la restauración oportuna de los sistemas o activos afectados
por eventos de ciberseguridad.

· Mejoras: la planificación y los procesos de recuperación se mejoran al incorporar las

lecciones aprendidas en las actividades futuras.

· Comunicaciones: Las actividades de restauración se coordinan con partes internas y

externas, como centros de coordinación, proveedores de servicios de Internet, propietarios
de sistemas atacantes, víctimas, otros CSIRT y proveedores.

7. CONCLUSIONES

· La seguridad de la información es un aspecto importante en la organización.

· Este es un tema que hay que abordar de manera responsable,
procedimental y orientada al cumplimiento de los estándares mínimos
requeridos para la tecnología implementada en las organizaciones.
· La metodología NIST SP 800 37, fue creada como un organismo que se
basa en patrones de medición, con el fin de crear estándares de seguridad
en las organizaciones, tomando en cuenta las diferentes áreas de la
organización para la evaluación de los procesos.

8. RECOMENDACIONES
 El CSF ofrece una estructura, sencilla y efectiva, con tres elementos:
Núcleo, Niveles y Perfiles. El núcleo representa un conjunto de prácticas de
seguridad cibernética, resultados y controles de seguridad técnicos,
operativos y de gestión (denominadas “referencias informativas”) que
apoyan las cinco funciones de gestión de riesgos: Identificar, Proteger,
Detectar, Responder y Recuperar.

9. BIBLIOGRAFIA
 https://www.nist.gov/history
 https://www.ftc.gov/es/system/files/attachments/understanding-nist-
cybersecurity-framework/cybersecurity_sb_nist-cyber-framework-
es.pdf
 https://www.youtube.com/watch?v=bx_Cu1ldH-Q
 https://www.nist.gov/news-events/news/2018/04/nist-releases-version-
11-its-popular-cybersecurity-framework