Blog

31/01/2017

El Cybersecurity Framework de NIST

El Marco de Trabajo para mejorar la Ciberseguridad para las infraestructuras críticas (Framework for Improving Critical Infrastructure Cybersecurity), también conocido simplemente como el Cybersecurity Framework (ver figura 1), fue publicado en el año 2014 por el US National Institute of Standards and Technology (NIST), y desarrollado a partir del mandato del presidente Barack Obama[1] en el año 2013 debido a los continuos ciberataques a las infraestructuras críticas[2][3].

Figura 1

Figura 1. El Cybersecurity Framework de NIST

Si bien este Framework de Ciberseguridad nació para ayudar a las organizaciones a gestionar los riesgos de ciberseguridad en las infraestructuras críticas de la nación estadounidense, es muy cierto también, que el mismo ha sido adoptado y adaptado (customizado) mundialmente por muchos tipos y tamaños de organizaciones alrededor del mundo, de acuerdo a sus necesidades para poder maximizar el valor organizacional.

Como dato curioso, de acuerdo a las estadísticas de NIST, se estima que para el año 2020, el 50 % de las compañías en EE.UU estarán utilizando el Cybersecurity Framework.

Actualmente este Cybersecurity Framework se encuentra en su versión 1.0, sin embargo, NIST ha estado trabajando en mejoras sobre el mismo, liberando el 10 de Enero de 2017 el draft (proyecto) de la versión 1.1, donde se percatan cambios importantes, tales como la inclusión del término Inteligencia de ciber-amenazas (Cyber threat intelligence), un apartado para la gestión de riesgos en la cadena de suministro, así como la inclusión de una nueva sección de mediciones en la ciberseguridad, entre otros.

 

Para descargar este Cybsercurity Framework de manera gratuita, puedes dirigirte a la página de NIST: https://www.nist.gov/cyberframework, para empezar a conocerlo y empieces a crear un programa de implementación en materia de ciberseguridad en tu organización, empezando por auto-evaluar la madurez de la ciberseguridad en tu organización para identificar oportunidades de mejora basada en sus necesidades y objetivos de ciberseguridad, descargando la herramienta llamada ¨El Constructor de Excelencia de Ciberseguridad de Baldrige¨ (The Baldrige Cybersecurity Excellence Builder – ver figura 2) que se integra completamente con el Cybsersecurity Framework de NIST: https://www.nist.gov/news-events/news/2016/09/nist-releases-baldrige-based-tool-cybersecurity-excellence.

Figura 2

Figura 2. La herramienta asocia la ciberseguridad con las áreas de liderazgo, estrategia, clientes, empleados y operaciones, así como los resultados que se obtienen.

Hugo Cedillo
Cybersecurity Lead Trainer

[1] Executive Order — Improving Critical Infrastructure Cybersecurity:
https://www.whitehouse.gov/the-press-office/2013/02/12/executive-order-improving-critical-infrastructure-cybersecurity

[2] Infraestructura crítica: Sistemas y activos, independientemente de si son virtuales o físicos, vitales para los Estados Unidos ya que su falta de capacidad o destrucción de los mismos tendría un impacto en la debilidad de la seguridad, la seguridad de la economía nacional, la salud o seguridad pública nacional, o la combinación de ellos. Sec. 2.
https://www.whitehouse.gov/the-press-office/2013/02/12/executive-order-improving-critical-infrastructure-cybersecurity

[3] Típicamente las infraestructuras críticas que deberán ser protegidas:

  • Suministradores de energía, tales como: de electricidad, gas o combustible para vehículos.

 

  • Sistemas de transporte, tales como: aeropuertos, estaciones de tren y centros de control de tráfico.

 

  • Infraestructura de comunicaciones, tales como: redes de telefonía móvil, estaciones de radio y televisión, así como también los grandes switches de suministradores de internet: Cyber Resilience Best Practices. Published by the TSO (The Stationary Office). Axelos © 2015. ISBN 9780113314638. Pag. 240

 

Análisis, Artículos , , , , ,

Comenta esta información