Scribd
Cargar
397 vistas16 páginas

Marco de Ciberseguridad NIST CSF

El NIST Cybersecurity Framework (CSF) es una herramienta esencial para ayudar a las organizaciones a gestionar y reducir los riesgos cibernéticos, proporcionando un enfoque estructurado y flexible. Desarrollado con la colaboración de diversos sectores, el CSF se organiza en seis funciones clave y cuatro niveles de implementación, permitiendo a las organizaciones evaluar su madurez en ciberseguridad. Su adopción mejora la gestión del riesgo y fomenta una cultura organizacional proactiva frente a amenazas cibernéticas en constante evolución.

Cargado por

ROMARIO MARTINEZ
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
397 vistas16 páginas

Marco de Ciberseguridad NIST CSF

El NIST Cybersecurity Framework (CSF) es una herramienta esencial para ayudar a las organizaciones a gestionar y reducir los riesgos cibernéticos, proporcionando un enfoque estructurado y flexible. Desarrollado con la colaboración de diversos sectores, el CSF se organiza en seis funciones clave y cuatro niveles de implementación, permitiendo a las organizaciones evaluar su madurez en ciberseguridad. Su adopción mejora la gestión del riesgo y fomenta una cultura organizacional proactiva frente a amenazas cibernéticas en constante evolución.

Cargado por

ROMARIO MARTINEZ
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd

NIST Cybersecurity

Framework ANDRES RUEDA


ÁNGEL BOLAÑOS
SSAYLEM MURILLO
ALVARO JOSÉ
INTRODUCCIÓN

La ciberseguridad es un tema crítico en el panorama


actual, las organizaciones enfrentan un número
creciente de amenazas cibernéticas. Desde los
ataques de ransomware(malware que mantiene de
rehenes los datos) hasta la filtración de datos, las
empresas necesitan fortalecer sus defensas.

El NIST Cybersecurity Framework (CSF),


desarrollado por el Instituto Nacional de
Estándares y Tecnología (NIST). Es una
herramienta esencial en el ámbito de la
ciberseguridad, crucial para ayudar a las
organizaciones a proteger sus activos, sistemas
y redes.
HISTORIA DEL NIST Y EL CSF

NIST Cybersecurity Framework (CSF) comenzó El desarrollo del CSF se realizó con la colaboración
con la Orden Ejecutiva 13636, emitida el 12 de de gobiernos, industria y academia. A través de una
febrero de 2013 en Estados Unidos. Esta orden Solicitud de Información y Solicitudes de
buscaba compartir información sobre amenazas Comentarios, el NIST organizó talleres en todo
cibernéticas y crear un marco para reducir riesgos EE.UU. para identificar estándares existentes,
en infraestructuras críticas. detectar brechas y crear planes de acción.

El NIST fue encargado de desarrollar este marco, La primera versión del CSF fue lanzada en 2014 y,
que debía identificar normas de seguridad aplicables tras un proceso participativo, fue actualizada a la
a infraestructuras críticas, ser flexible y rentable, y versión 1.1 en 2018, con la colaboración de
ayudar a gestionar riesgos cibernéticos. entidades internacionales como el gobierno de Israel
y empresas como Huawei
DEFINICIÓN DEL NIST
Propósito principal es ayudar a las organizaciones a gestionar y reducir los
riesgos cibernéticos. Fue creado para proporcionar un enfoque estructurado
que cualquier organización, independientemente de su tamaño o sector, puede
usar para mejorar su postura de ciberseguridad.

El CSF ofrece un marco flexible y adaptativo que se organiza en seis


funciones clave:
COMPONENTES DEL NIST
CYBERSECURITY FRAMEWORK
NÚCLEO DEL MARCO
El Núcleo del NIST CSF se organiza en seis
funciones principales, que representan las
actividades esenciales para gestionar el riesgo
cibernético.

El CSF ofrece un marco flexible y adaptativo que se


organiza en seis funciones clave:

1. Identificar: Comprender los riesgos y activos críticos.


2. Proteger: Desarrollar e implementar medidas de
protección.
3. Detectar: Establecer capacidades para identificar
amenazas y anomalías.
4. Responder: Reaccionar adecuadamente a los
incidentes cibernéticos.
5. Recuperar: Implementar planes de recuperación
para restaurar operaciones afectadas.
NIVELES DE
IMPLEMENTACIÓN

El NIST CSF introduce cuatro niveles de implementación que ayudan a las


organizaciones a evaluar la madurez de sus prácticas de gestión de riesgos
cibernéticos:

1. Parcial (Tier 1): Las prácticas de gestión de riesgos cibernéticos son ad


hoc (especialmente para un fin) o no están formalizadas, y las
organizaciones tienen poca conciencia sobre sus riesgos.
2. Riesgo Informado (Tier 2): Se toman decisiones basadas en el riesgo,
pero las prácticas no son consistentes en toda la organización. Se tiene
un entendimiento básico de los riesgos.
3. Repetible (Tier 3): Las prácticas de gestión de riesgos están
formalizadas, documentadas y son consistentes en toda la organización.
Se revisan periódicamente para mejorar y adaptarse a los cambios.
4. Adaptativo (Tier 4): La organización tiene una capacidad madura y
adaptativa, ajustando continuamente sus prácticas de ciberseguridad en
función de nuevos riesgos y cambios en el entorno.
PERFILES DEL MARCO

● Los perfiles en el NIST CSF representan la alineación de los


requisitos, objetivos organizacionales, tolerancia al riesgo y
recursos de una organización con los resultados deseados del
Framework Core. Se utilizan para identificar oportunidades de
mejora en la ciberseguridad al comparar un perfil actual con
un perfil objetivo.

● El perfil actual permite a las organizaciones revisar su


situación de ciberseguridad en relación con el CSF, sin
necesidad de una auditoría formal. Basándose en la
evaluación de riesgos, requisitos de cumplimiento y objetivos,
el perfil objetivo ayuda a definir la estrategia de la
organización y a priorizar contrataciones, capacitaciones,
cambios de políticas y adquisiciones tecnológicas.
CARACTERÍSTICAS CLAVE DEL NIST CSF

● Unificación de Estrategias de Seguridad en un Lenguaje Común:

Proporciona un marco que permite a las organizaciones, sin importar su


tamaño o sector, comunicarse efectivamente sobre ciberseguridad.
Utiliza un lenguaje común que facilita la colaboración entre diferentes
áreas dentro de una organización (ejecutivos, técnicos, gerentes) y con
actores externos, como proveedores y clientes. Esto ayuda a alinear las
estrategias de seguridad con los objetivos organizacionales.

● Flexibilidad y Aplicabilidad en Diversas Industrias y Tecnologías:

Es flexible y puede ser adaptado para diferentes industrias y tipos de


tecnologías, incluyendo tecnologías de la información (TI), Internet de
las Cosas (IoT) y sistemas operacionales (OT).

Su enfoque sectorial y tecnológico neutral permite que sea aplicable en


una amplia gama de escenarios y entornos, desde pequeñas
empresas hasta grandes infraestructuras críticas, adaptándose a los
riesgos y necesidades particulares de cada entidad
CARACTERÍSTICAS CLAVE DEL NIST CSF

● Neutralidad tecnológica:
El marco no se basa en
ninguna tecnología específica,
lo que permite a las
organizaciones integrarlo con
sus sistemas y soluciones
existentes sin importar la
plataforma.
IMPLEMENTACIÓN PRÁCTICA DEL NIST
CSF
La implementación del NIST CSF sigue un enfoque
estructurado, que incluye:

1. Evaluación inicial: Determinar el perfil actual y realizar una


evaluación de riesgos.
2. Definir el perfil objetivo: Establecer las metas de
ciberseguridad de la organización.
3. Desarrollo e implementación: Implementar las funciones del
marco, como la identificación de riesgos, protección de
sistemas, y monitorización.
4. Revisión continua: Ajustar el enfoque a medida que las
amenazas evolucionan y el entorno de negocio cambia.

Ejemplos de implementación: Sectores como finanzas, salud y


manufactura han adoptado el NIST CSF para mejorar su postura
de seguridad. En finanzas, ha ayudado a bancos a protegerse
contra ataques de phishing y ransomware, mientras que en
salud se ha utilizado para proteger datos sensibles de pacientes.
BENEFICIOS DEL NIST CSF

Mejora en la Gestión del Riesgo Cibernético: Ayuda a las organizaciones a gestionar de manera
efectiva los riesgos cibernéticos, ofreciendo un enfoque estructurado que permite identificar, priorizar
y mitigar las amenazas cibernéticas.

● Proporciona un marco claro para evaluar la postura de seguridad actual y establecer un plan de
mejora, lo que reduce la probabilidad de incidentes y minimiza su impacto cuando ocurren.

Fomento de una Cultura Organizacional Proactiva en Ciberseguridad: Promueve una cultura


organizacional proactiva, donde la ciberseguridad se integra en todos los niveles de la organización.

● Facilita una comunicación efectiva sobre riesgos entre ejecutivos, gerentes y personal técnico,
fomentando una mentalidad preventiva y adaptativa para enfrentar las amenazas emergentes de
manera continua.
DESAFÍOS Y CONSIDERACIONES
DEL NIST CSF

Barreras Comunes para la Implementación: Algunas organizaciones enfrentan dificultades al


implementar el NIST CSF debido a falta de recursos o presupuesto, complejidad en la adaptación
de los procesos existentes o resistencia al cambio por parte del personal.

● Además, la necesidad de alinear el CSF con las normativas y regulaciones locales o sectoriales
puede generar desafíos adicionales, especialmente en organizaciones más pequeñas o menos
maduras en ciberseguridad.

Necesidad de Formación Continua y Actualización ante Nuevas Amenazas: La ciberseguridad


es un entorno en constante evolución. Por ello, es fundamental que las organizaciones ofrezcan
formación continua a su personal para mantenerse al día con nuevas amenazas, tecnologías y
técnicas de defensa.

● Implementar el CSF no es un esfuerzo único, sino que requiere una actualización regular para
que las medidas de seguridad sigan siendo efectivas y alineadas con los riesgos emergentes
CONCLUSIONES

El NIST CSF se posiciona como un recurso vital en la estrategia global de ciberseguridad, proporcionando
un enfoque estructurado y flexible que puede ser adoptado por organizaciones de todos los tamaños y
sectores. Su implementación no solo mejora la gestión del riesgo cibernético, sino que también promueve
una cultura organizacional proactiva que es esencial para enfrentar las amenazas cibernéticas en
constante evolución.
BIBLIOGRAFÍA

BIBLIOGRAFÍA
● https://www.nist.gov/cyberframework

● https://obamawhitehouse.archives.gov/the-press-office/2013/02/12/executive-order-improving-
critical-infrastructure-cybersecurity

● https://www.nist.gov/cyberframework/online-learning/five-functions

● https://www.nist.gov/cyberframework/online-learning/implementation-tiers

● https://www.nist.gov/cyberframework/framework

● https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.29.pdf

También podría gustarte