Want to create interactive content? It’s easy in Genially!

Get started free

NIST - CFS

Edwin Cruz

Created on November 16, 2024

Start designing with a free template

Discover more than 1500 professional designs like these:

Smart Presentation

Practical Presentation

Essential Presentation

Akihabara Presentation

Pastel Color Presentation

Visual Presentation

Relaxing Presentation

Explore all templates

Transcript

FRAMEWORK de seguridad

NIST - CSF

National Institute of Standards and TechnologyCRITICAL SECURITY FRAMEWORK

ESPECIALIZACIÓN EN CIBERSEGURIDADASPECTOS LEGALES Y REGULATORIOS DEL CIBERESPACIOL. ADRIANA POVEDA P. - EDUIN A. CRUZ C.

17

AGENDA

7. DESVENTAJAS

1. ALGO DE HISTORIA

8. NIST CSF VS ISO 27000

2. ESTRUCTURA

9. IA Y LA NIST-CSF

3. DOMINIOS

10. EJEMPLO

4. VERSIONES

5. SECTORES

6. VENTAJAS

ALGO DE HISTORIA

Fue creado por el Instituto Nacional de Estándares y Tecnología - NIST y el sector industrial, sector académico y Gobierno de EEUU. Proporciona una visión estratégica de alto nivel del ciclo de vida del proceso de gestión de riesgos de la seguridad cibernética de una organización Se originó en 2014 como el "Marco para Mejorar la Seguridad Cibernética de las Infraestructuras Críticas" CSF. Existen estas versiones: +Versión 1.0 (2014) +Versión 1.1 (2018) +Versión 2.0 (2024)

ESTRUCTURA - VERSIÓN 2024

NIST - CSF

NÚCLEO

PERFILES

NIVELES DE IMPLEMENTACIÓN

*Perfil actual *Perfil objetivo

*Parcial *Riesgos Informados *Repetible *Adaptable

*Identificar *Proteger *Detectar *Responder *Recuperar

DOMINIOS

CARACTERÍSTICAS RELEVANTES

- Implementar medidas de seguridad para proteger los activos críticos - Establecer políticas y procedimientos de seguridad

- Planificar y preparar respuestas ante incidentes de seguridad - Desarrollar capacidades para contener y mitigar incidentes

- Desarrollar planes de recuperación para restaurar funciones críticas - Implementar estrategias para mejorar la resiliencia ante futuros incidentes

- Reconocer los activos críticos - Desarrollar una comprensión de las amenazas y vulnerabilidades

- Monitorear y detectar actividades inusuales o sospechosas - Implementar sistemas de detección de intrusiones

IDENTIFICAR

PROTEGER

DETECTAR

RESPONDER

RECUPERARSE

VERSIONES

1.0

1.1

2.0

2014

2018

2024

Introducción del marco inicial

Actualización

Inclusión de amenazas y tecnologías emergentes

*Enfoque en la ciberseguridad de infraestructuras críticas. *Cinco funciones clave: Identificar, Proteger, Detectar, Responder, Recuperar.

*Inclusión de guías adicionales para la gestión de la cadena de suministro. *Mejoras en la autenticación de identidad y la privacidad. *Mayor énfasis en la medición y evaluación de la ciberseguridad..

*Énfasis en la seguridad en la nube y las arquitecturas de confianza cero. *Mayor alineación con estándares internacionales como ISO 27001.

SECTORES RELEVANTES

MANUFACTURA

TI

EDUCACIÓN

SALUD

E-COMMERCE

FINANZAS

TELCOS

ENERGÍA

SEGURIDAD PÚBLICA

TRANSPORTE

VENTAJAS

Estandarización: Ofrece un enfoque estandarizado para gestionar riesgos de ciberseguridad.

Flexibilidad: Adaptable a diferentes industrias y tamaños de organización.

Actualización:Se actualiza periódicamente para reflejar nuevas amenazas y mejores prácticas.

Guía clara: Proporciona orientación clara y práctica para mejorar la seguridad cibernética.

Enfoque en riesgos: Promueve un enfoque basado en riesgos, priorizando amenazas más críticas.

Colaboración: Desarrollado en colaboración con expertos de la industria y el gobierno.

Mejora continua: Fomenta la mejora continua a través de los niveles de implementación.

Recursos adicionales: Acompañado por numerosos recursos, herramientas y guías adicionales.

Reconocimiento global: Ampliamente reconocido y adoptado internacionalmente.

Compatibilidad: Compatible con otros marcos y estándares de seguridad, como ISO 27001.

DESVENTAJAS

Implementación compleja: Puede ser complicado de implementar completamente sin asesoría experta.

No es certificable: No se puede certificar como ISO 27001, lo que puede ser menos atractivo para algunas organizaciones.

Requiere recursos: La implementación efectiva puede requerir una inversión significativa de tiempo y recursos.

Contexto específico: Desarrollado con enfoque en las infraestructuras críticas de EE.UU. No aplicable a algunos países.

Actualización continua: La necesidad de mantenerse actualizado con las nuevas versiones puede ser un desafío.

Variedad de opciones: La amplia gama de opciones puede ser abrumadora para algunas organizaciones.

Confianza en la autoevaluación: La autoevaluación puede llevar a una falta de objetividad en la implementación.

Falta de detalle: Algunas recomendaciones pueden ser demasiado generales y no suficientemente detalladas.

Personalización: Puede requerir una personalización significativa para adaptarse a necesidades específicas.

Experiencia: Requiere un alto nivel de conocimiento y experiencia en ciberseguridad para una implementación efectiva.

NIST - CSF VS ISO 27000

IA Y LA NIST-CSF

La versión 2024 del marco se enfoca en la seguridad en la nube y las arquitecturas de confianza cero. Algunos controles enfocados en IA son:

Gestión de riesgos de IA:

Autenticación y autorización

Privacidad y protección de datos

Monitoreo y detección

5. Resiliencia y recuperación

EJEMPLO

Modelo general de aplicación del framework para la Evaluación de la Madurez de la Respuesta a Incidentes de una compañía.

Referencias

Instituto Nacional de Estándares y Tecnología (NIST) - Sitio web oficial del NIST: https://www.nist.govOrganización Internacional de Normalización (ISO) - Sitio web oficial de la ISO: https://www.ISO.org https://www.nist.gov/news-events/news/2024/02/nist-releases-version-20-landmark-cybersecurity-framework https://www.nist.gov/cyberframework https://csrc.nist.gov/pubs/cswp/29/the-nist-cybersecurity-framework-csf-20/final https://www.oas.org/es/sms/cicte/docs/OEA-AWS-Marco-NIST-de-Ciberseguridad-ESP.pdf

GRACIAS