Explorar el Marco de trabajo de ciberseguridad NIST
Objetivos de aprendizaje
Después de completar esta unidad, podrá:
- Definir las partes del Marco de trabajo de ciberseguridad NIST.
- Explicar la forma de utilizar el Marco de trabajo de ciberseguridad NIST.
Introducción al Marco de trabajo de ciberseguridad (CSF) del Instituto Nacional de Normas y Tecnología (NIST)
¿Recuerda a Jim, el ingeniero de seguridad de red de una clínica médica pequeña, del módulo anterior? Finalmente, Jim decide comenzar a construir la casa de sus sueños. Piensa en las características esenciales para él: un patio cercado donde sus hijos puedan jugar de manera segura, baños independientes para cada uno de sus hijos y un comedor al aire libre para recibir invitados.
Jim llama a un amigo arquitecto y expone su visión. Elige una energía consistente para toda la casa: moderna, limpia, minimalista. Su arquitecto le presenta una noción de los pasos que realiza, desde las etapas de diseño y construcción hasta los toques finales y la mudanza a la casa soñada.
Así como Jim nunca construiría una casa sin un plano, tampoco abordaría la ciberseguridad de su organización sin un plan. La existencia de un marco de trabajo, ya sea en la construcción de una casa o en la exploración del programa de seguridad de una organización, ayuda a priorizar las tareas, comunicarse con las partes interesadas, y lograr que todos comprendan las actividades, los procesos y los recaudos necesarios para alcanzar los objetivos finales.
El CSF de NIST puede usarse para comprender, evaluar, priorizar y comunicar los riesgos de ciberseguridad. Se desarrolló en el organismo de normalización del Departamento de Comercio de Estados Unidos, pero se aplica a organizaciones del sector público y privado de todos los tamaños procedentes de todo el mundo. Este marco se basa en las mejores prácticas de las industrias para gestionar los riesgos de ciberseguridad. El CSF de NIST se diseñó para estos fines:
- Ser aplicado a diversas organizaciones
- Fortalecer la postura de seguridad de una organización
- Facilitar una comunicación clara en todos los niveles de una organización
- Destacar la importancia de la gobernanza y las cadenas de suministros
- Mejorar la comunicación con los proveedores y socios
- Asistir en la formulación de planes de implementación
- Ayudar a integrar los problemas de ciberseguridad con estrategias de gestión de riesgos empresariales más amplias
El CSF de NIST complementa la estrategia ciberseguridad existente y es solo uno de los muchos marcos de trabajo disponibles a los que se puede recurrir. Consulte la sección Recursos al final de esta unidad para descubrir otros marcos de trabajo que se pueden aprovechar.
Información sobre las funciones del CSF de NIST
Las seis funciones del CSF de NIST describen las actividades de ciberseguridad y los resultados deseados en las organizaciones desde el nivel ejecutivo hasta el nivel de operaciones donde se desempeña diariamente un ingeniero de seguridad de redes. Estas son las seis funciones: Gobernar, Identificar, Proteger, Detectar, Responder y Recuperar. Estas funciones proporcionan una vista integral sobre el ciclo de vida de la gestión de riesgos de ciberseguridad en una organización y se pueden aplicar a muchos dominios, incluida la seguridad de aplicaciones, la inteligencia de amenazas y la seguridad de redes.
En las unidades de este módulo y el siguiente, se proporciona información sobre cada una de las seis funciones de ciberseguridad y la forma en que se pueden aplicar para comprender el rol de un ingeniero de seguridad de redes. Puede obtener una vista previa concisa de cada una aquí.
-
Gobernar: se establece la estrategia de gestión de riesgos de ciberseguridad. Esta función lo ayuda a entender de qué modo los riesgos de ciberseguridad pueden impedir lograr la misión del negocio.
-
Identificar: se comprenden los riesgos de ciberseguridad. Esta función lo ayuda a determinar qué activos y usuarios están en la red, y cuáles son las vulnerabilidades, las amenazas y los riesgos asociados a cada uno. Si un ingeniero de seguridad de red no sabe lo que tiene, ¿cómo puede protegerlo?
-
Proteger: se usan medidas de protección para gestionar los riesgos. esta función incluye los controles de seguridad implementados en los dispositivos de red, el acceso de red, y los datos en tránsito y almacenados en la red. También garantiza que los usuarios conozcan los procedimientos y las políticas de seguridad de red, y reciban capacitación al respecto.
-
Detectar: se encuentran y se analizan posibles incidentes. esta función aborda descubrir el momento en que se produce algo anormal o malicioso en la red, comprender la repercusión y verificar la efectividad de las medidas de protección.
-
Responder: se toman medidas contra los incidentes identificados. independientemente de lo bueno que sea un profesional de seguridad en su trabajo, pueden suceder cosas malas. Cuando ocurre esto, los ingenieros de seguridad de red deber ser capaces de ejecutar procesos de respuesta y gestionar la comunicación durante una infracción, así como aprender de los errores para fortalecer la postura de seguridad futura.
-
Recuperar: se restauran los activos y las operaciones que se vieron afectados. después de una infracción, es posible que los ingenieros de seguridad de red deban intervenir en la restauración de los sistemas afectados para devolverlos a su funcionamiento normal y en la implementación de mejoras para fortalecer la seguridad de red. Estos son los elementos clave de la función Recuperar.
Gobernar
Primero, la función “Gobernar”, la más reciente en incorporarse al marco, establece la estrategia de gestión de riesgos de ciberseguridad de la organización, para garantizar que todo esté alineado con los objetivos de negocio generales y la tolerancia a riesgos. Esta función transversal agrega contexto y está diseñada para ayudar a los equipos de seguridad a priorizar los resultados de las otras cinco funciones. La función de gobernanza está compuesta por cuatro categorías principales:
-
Contexto de la organización: implica examinar la misión, la visión y la aceptación de riesgo de la organización, así como la alineación de la ciberseguridad con los objetivos estratégicos del negocio.
-
Estrategia de gestión de riesgos: implica el desarrollo de una estrategia para identificar y evaluar los riesgos de ciberseguridad, y responder a ellos, a fin de garantizar que se complemente de forma más amplia con los objetivos del negocio.
-
Políticas y procedimientos: se establecen y se ejecutan políticas y procedimientos que admiten la estrategia de gestión de riesgos de ciberseguridad (p. ej., políticas de ciberseguridad, políticas de capacitación, plan de respuesta a incidentes).
-
Funciones y responsabilidades: se centran en definir y asignar claramente las funciones y responsabilidades de ciberseguridad, además de establecer mecanismos de comunicación y colaboración.
Si bien el ingeniero de seguridad de redes quizás no tenga una función directa en los aspectos más generales de la función de gobernanza, sí cumple un papel en el respaldo de las decisiones y la implementación de controles que ejecutarán las decisiones tomadas durante esta etapa.Comprobación de conocimientos
¿Listo para revisar lo que aprendió? La comprobación de conocimientos a continuación no está puntuada; solo es una forma sencilla de hacerse una prueba. Para comenzar, arrastre la función en la columna izquierda a la categoría coincidente a la derecha. Cuando termine de hacer coincidir todos los elementos, haga clic en Enviar para comprobar su trabajo. Si desea empezar desde el principio, haga clic en Restablecer.
¡Excelente trabajo! Aprendió a usar un marco de trabajo como el CSF de NIST para comprender y gestionar un programa de seguridad. En la próxima sección, se analizará más detalladamente la primera función, Identificar, y se explicará la forma en que un ingeniero de seguridad de red comprende los dispositivos, los usuarios y la topología de la red que debe proteger.
Recursos
- Sitio externo: NIST: Aquí está el Marco de Ciberseguridad de NIST (CSF) 2.0
- Sitio externo: Controles de Center for Internet Security
- Sitio externo: Norma internacional para la seguridad de la información ISO/IEC 27001
- Sitio externo: Objetivos de control para la información y la tecnología relacionada (COBIT) de ISACA