From the course: Fundamentos de ciberseguridad
Implantar el marco de trabajo de ciberseguridad de NIST
From the course: Fundamentos de ciberseguridad
Implantar el marco de trabajo de ciberseguridad de NIST
El segundo componente del marco de ciberseguridad de NIST es el perfil del marco. Esto se utiliza para alinear las acciones del negocio, que al fin y al cabo es el motivo de la existencia de la empresa, y los trabajos de ciberseguridad, proporcionando una visión de los riesgos y un plan de desarrollo para unir ambas visiones. El tercer y último componente del marco de ciberseguridad del NIST es un modelo de madurez para la ciberseguridad, conocido como niveles de implementación. El nivel básico de madurez de la ciberseguridad es el nivel de implementación parcial. En este estadío, la gestión de riesgos empresariales es algo creado sobre la marcha y reactivo. Las acciones de ciberseguridad no se basan en objetivos de riesgo resultado del negocio y hay poca colaboración externa. En el siguiente nivel de madurez, las prácticas de gestión de riesgos se formalizan, es decir, se analizan, planifican y documentan, pero probablemente no se adopten en toda la empresa. Hay un intercambio informal de información sobre ciberseguridad dentro de la empresa, pero no externamente. El tercer nivel de madurez, repetible, es donde la gestión de riesgos ya se ha formalizado y existen políticas y procesos para detectar y responder a los cambios en el riesgo. La colaboración y el intercambio de información existen tanto interna como externamente. El nivel de madurez más alto, el adaptativo, amplía el tercer nivel con la conciencia y la agilidad para aplicar cambios continuos a las actividades de ciberseguridad como resultado de cambios en los activos, amenazas y vulnerabilidades. Al adoptar el marco de trabajo de ciberseguridad para una organización, NIST recomienda establecer dos perfiles. El primero debe representar el estado actual de la ciberseguridad evaluado frente al subconjunto de actividades específicas de la empresa que se hayan identificado como necesarias. Así es como se ve la ciberseguridad ahora. El segundo debe ser el estado objetivo de la ciberseguridad establecido como un nivel aceptable de riesgo contra cada una de las acciones específicas de la empresa. Una vez establecido el camino a seguir, podemos definir un plan de proyectos de ciberseguridad priorizados para cerrar la brecha entre los perfiles del marco estado actual y el objetivo. Una organización que está iniciando su programa de ciberseguridad requiere algunas acciones clave para aprovechar de verdad el marco de trabajo de ciberseguridad. Lo primero es identificar los resultados comerciales clave, luego comprender las amenazas y vulnerabilidades de esos resultados. Crearemos un perfil de la situación actual. Realizaremos una evaluación de riesgos. Decidiremos el perfil objetivo. Determinaremos, analizaremos y priorizaremos las brechas para crear el plan de trabajo y, finalmente, implementaremos ese plan.
Contents
-
-
-
-
El libro naranja: primeros conceptos en seguridad informática4m 56s
-
Introducción al marco de trabajo en ciberseguridad de NIST2m 44s
-
Implantar el marco de trabajo de ciberseguridad de NIST2m 56s
-
Entendiendo las bases del ciberriesgo4m 5s
-
Analizando las ciberamenazas y controles2m 4s
-
Registro, notificación y contexto del riesgo3m 40s
-
Un marco de trabajo avanzado de gestión del riesgo5m 34s
-
Gestionar la seguridad con COBIT3m 47s
-
Aplicar COBIT en la seguridad operativa6m 9s
-
Introducción a los controles de ciberseguridad2m 48s
-
Marcos de trabajo de control de la ciberseguridad4m 53s
-
Estándares de ciberseguridad y buenas prácticas3m 6s
-
-
-
-