Un marco de buenas prácticas es una guía que permite a las organizaciones gestionar el uso de las tecnologías de la información de la manera más apropiada de acuerdo a su naturaleza. 

Para tal fin existe un grupo de referentes sobre los cuales las organizaciones pueden cimentar las bases administrativas de las TI, estos pueden variar en características pero en esencia su objetivo es el mismo: aprovechar al máximo el recurso tecnológico en pro de los objetivos de la organización con miras al negocio

Por ese motivo en esta entrada profundizaremos en el marco de referencia NIST

Así empezamos,

El marco de trabajo NIST (National Institute of Standards and Technology) es la opción por excelencia de los Oficiales de Seguridad IT que buscan sacar provecho de lo mejor de cada marco de buenas prácticas que actualmente existen para el mundo de las tecnologías de la información.

Este marco propone un curso de acciones futuras de protección gracias a que sus directrices definen una correcta gestión de los riesgos asociados a la ciberseguridad de las organizaciones.

Como expusimos en una entrada anterior, NIST surge de la Orden Ejecutiva del entonces Presidente de los EEUU, Barack Obama, quien en su preocupación por la seguridad nacional de su país producto de una orda de ciberataques delegó al NIST (National Institute of Standards and Technology) la creación de un marco de trabajo de modernización de la ciberseguridad de sus infraestructuras críticas.

 

¿Qué referentes se integran en el NIST FRAMEWORK?

Este marco se compone de forma íntegra de acuerdo a las ventajas que proponen los siguientes referentes de buenas prácticas de gestión de IT:

  • COBIT
  • ISO 27001
  • CCS
  • ISA-62443-3-3

 

¿Cuáles son sus planteamientos?

Este marco tiene como objetivos:

  • Reconocer todos los modelos de buenas prácticas de todos los sectores, empresariales e industriales, con infraestructuras críticas.
  • Determinar un lenguaje de ciberseguridad de uso común.
  • Generar una perspectiva que permita a todas las organizaciones implementar esta guía de tal forma que se pueda tener en cuenta el retorno sobre la inversión (ROI) y los objetivos de negocio.
  • Cualificar, cuantificar y gestionar los riesgos de cualquier organización.
  • Proveer controles de protección de la propiedad intelectual, la privacidad y las libertades individuales cuando se implementen medidas de seguridad informática
  • Identificar áreas de mejora que puedan ser actualizadas por medio del trabajo en conjunto con otros sectores y organizaciones generadoras de estándares mundiales.
  • Limitar la implementación de nuevos estándares cuando los actuales cumplen los objetivos de seguridad planteados.

 

¿Cómo está compuesto?

NIST FRAMEWORK se subdivide en tres componentes: 

Marco básico

El marco básico o Framework Core, está integrado por una serie de iniciativas de ciberseguridad y posee cuatro elementos los cuales son funciones, categorías, subcategorías y referencias informativas.

Asimismo ofrece una serie de prácticas necesarias para lograr cada objetivo de seguridad y provee referentes de orientación

Estas son sus funciones :

  • Identificar: Busca la visibilización de los activos que componen la red informática.
  • Proteger: Efectúa la aplicación de políticas de control que aseguren la red informática.
  • Detectar: Genera un contexto de monitorización continua de la red informática.
  • Responder: Propone actividades para la gestión de incidencias en la red informática.
  • Recuperar: Establece una serie de actividades para la recuperación después de una incidencia en la red informática (resiliencia).

 

¿Cuáles son sus niveles de implementación?

Los niveles tienen como finalidad enmarcar a la organización dentro de un contexto predefinido de acuerdo a su entorno, sus prácticas y sus políticas entre otros.

Estos son:

  • Parcial: La gestión de riesgos no es una actividad formal, más bien reactiva.
  • Riesgo informado: Las prácticas de gestión de riesgos están aprobadas por los directivos y administradores pero no están generalizadas en todas las áreas de la organización.
  • Repetible: Las prácticas de gestión de riesgos se formalizan y generalizan dentro de la organización bajo la denominación de políticas.
  • Adaptativo: Las políticas se adaptan a los cambios y evolucionan a partir de las lecciones obtenidas en experiencias pasadas.

Para terminar, el marco de NIST FRAMEWORK es una guía de gestión IT que se apoya en las mejores prácticas y estándares mundiales. Esto lo convierte en un referente dinámico capaz de adaptarse a la lógica de la organización que requiera seguir un modelo para proteger su infraestructura crítica.

 

¿Precisas una solución que proteja la infraestructura crítica de tu organización de acuerdo al marco de NIST?

El gráfico a continuación ilustra como openNAC actúa sobre cada función y categoría de NIST, apoyando a las organización en los procesos de implantación del marco de buenas practicas desde un enfoque concreto y práctico.

Haz clic aquí y solicita una demo para conocer openNAC Enterprise de primera mano.