search

NIST Cybersecurity Framework

El Instituto Nacional de Estándares y Tecnología (NIST) es una agencia no reguladora que promueve la innovación mediante el fomento de la ciencia, los estándares y la tecnología de la medición. El marco de ciberseguridad del NIST (CSF del NIST) consta de estándares, pautas y mejores prácticas que ayudan a las organizaciones a mejorar su gestión de riesgos de ciberseguridad.

El diseño del CSF del NIST tiene una flexibilidad que le permite integrarse con los procesos de seguridad existentes dentro de cualquier organización, en cualquier industria. Proporciona un excelente punto de partida para implementar la seguridad de la información y la gestión de riesgos de ciberseguridad en prácticamente cualquier organización del sector privado en los Estados Unidos.+

hashtag
Estructura central del marco de ciberseguridad del NIST

El NIST Cybersecurity Framework incluye funciones, categorías, subcategorías y referencias informativas.

Las funciones brindan una descripción general de los protocolos de seguridad de las mejores prácticas. Las funciones no están destinadas a ser pasos de procedimiento, sino que deben realizarse "de manera simultánea y continua para formar una cultura operativa que aborde el riesgo dinámico de ciberseguridad". Las categorías y subcategorías proporcionan planes de acción más concretos para departamentos o procesos específicos dentro de una organización.

Entre los ejemplos de funciones y categorías del NIST se incluyen los siguientes:

  • Identificación: Para protegerse de los ciberataques, el equipo de ciberseguridad necesita un conocimiento profundo de cuáles son los activos y recursos más importantes de la organización. La función de identificación incluye categorías como la gestión de activos, el entorno empresarial, la gestión, la evaluación de riesgos, la estrategia de gestión de riesgos y la gestión de riesgos de la cadena de suministro.

  • Protección: La función de protección cubre gran parte de los controles de seguridad técnicos y físicos para desarrollar e implementar las medidas de protección adecuadas y proteger la infraestructura crítica. Estas categorías son la gestión de identidad y el control de acceso, la concientización y capacitación, la seguridad de datos, los procesos y procedimientos de protección de la información, el mantenimiento y la tecnología de protección.

  • Detección: La función de detección implementa medidas que alertan a una organización sobre los ciberataques. Las categorías de detección incluyen anomalías y eventos, supervisión continua de seguridad y procesos de detección.

  • Respuesta: Las categorías de la función de respuesta garantizan la respuesta adecuada a los ciberataques y otros eventos de ciberseguridad. Las categorías específicas incluyen la planificación de respuesta, las comunicaciones, el análisis, la mitigación y las mejoras.

  • Recuperación: Las actividades de recuperación implementan planes para la resiliencia cibernética y garantizan la continuidad del negocio en caso de producirse un ciberataque, una violación de la seguridad u otro evento de ciberseguridad. Las funciones de recuperación son las mejoras en la planificación de la recuperación y las comunicaciones.

hashtag
¿A quién va dirigido?

Organizaciones públicas y privadas que buscan mejorar su postura de seguridad mediante un marco flexible y adaptable.

PreviousGDPRNextHIPAA

Last updated