A12_E4

Vista previa del material en texto

IT - Governence | Equipo 4
	
 INSTITUTO POLITÉCNICO NACIONAL
 ESCUELA SUPERIOR DE CÓMPUTO
Actividad 12: Marco de Ciberseguridad (CSF) del Instituto Nacional de Estándares y Tecnología (NIST)
Maestra: Guzmán Flores Jessie Paulina. Materia: IT Governence. Fecha de entrega: domingo, 18/12/22. Grupo: 3CM13.
Equipo: 
· Reyes Rebollo Angel de Jesus
· Valenzuela Góngora Eric Alejandro
· López Reyna Bryan Ricardo
· Ortiz Rincón Christian Fernando
· Pérez Vidales Yesua David
· Briseño Lira Andrés
Introducción
NIST es el acrónimo de Instituto Nacional de Estándares y Tecnología (National Institute of Standards and Technology, en inglés) dependiente del Departamento de Comercio de EE. UU. El Marco de Ciberseguridad del NIST ayuda a los negocios de todo tamaño a comprender mejor sus riesgos de ciberseguridad, administrar y reducir sus riesgos, y proteger sus redes y datos. Este Marco es voluntario. Le brinda a su negocio una reseña de las mejores prácticas para ayudarlo a decidir dónde tiene que concentrar su tiempo y su dinero en cuestiones de protección de ciberseguridad.
Usted puede implementar el Marco de Ciberseguridad del NIST en su negocio en estas cinco áreas: identificación, protección, detección, respuesta y recuperación. [1]
Cuerpo del trabajo
El propósito de la actividad es conocer los protocolos de acción para mitigar ciberataques.
· ¿Cuáles son los objetivos del marco de trabajo de ciberseguridad NIST? Ayuda a los negocios de todo tamaño a comprender mejor sus riesgos de ciberseguridad, administrar y reducir sus riesgos, y proteger sus redes y datos; el objetivo de la metodología es reducir el riesgo vinculado a las amenazas cibernéticas que puedan comprometer la seguridad de la información.
· ¿En qué estándares, directrices y mejores prácticas está basado? En gran medida utiliza el estándar ISO 27001 para protección de la información; sin embargo, específicamente trabaja bajo tres componentes principales: 
1. Framework core: El Core es un conjunto de actividades y resultados de ciberseguridad deseados, organizados en Categorías y alineados con Referencias Informativas a estándares aceptados por la industria. Está diseñado para ser intuitivo y actuar como una capa de traducción para permitir la comunicación entre equipos multidisciplinarios mediante el uso de lenguaje simplista y no técnico. El Core consta de tres partes: Funciones, Categorías y Subcategorías. Incluye cinco funciones de alto nivel: Identificar, Proteger, Detectar, Responder y Recuperar. El siguiente nivel hacia abajo son las 23 categorías, que se dividen en las cinco funciones. Fueron diseñadas para cubrir la amplitud de los objetivos de ciberseguridad para una organización, sin ser demasiado detalladas, cubriendo temas relacionados a los aspectos técnicos, las personas y los procesos, con un enfoque en los resultados. Las subcategorías son el nivel más profundo de abstracción en el Core. Hay 108 Subcategorías, que son declaraciones basadas en resultados que proporcionan consideraciones para crear o mejorar un programa de ciberseguridad. Debido a que el Marco está orientado a los resultados y no establece cómo una organización debe lograr esos resultados, permite implementaciones basadas en el riesgo que se adaptan a las necesidades de las distintas organizaciones.
2. Niveles de implementación: Los niveles describen el grado en que las prácticas de gestión de riesgos de ciberseguridad de una organización exhiben las características definidas en el Marco. Los niveles van desde Parcial (Nivel 1) a Adaptativo (Nivel 4) y describen un grado cada vez mayor de rigor, y qué tan bien integradas están las decisiones de riesgo de ciberseguridad en decisiones de riesgo más amplias, y el grado en que la organización comparte y recibe información de ciberseguridad de fuentes externas
3. Perfiles: Los perfiles son la alineación única de una organización de sus requisitos y objetivos organizacionales, la tolerancia al riesgo y los recursos con respecto a los resultados deseados del Framework Core. Los perfiles se pueden utilizar para identificar oportunidades para mejorar la postura de ciberseguridad comparando un perfil “actual” con un perfil “objetivo”. La identificación del perfil actual les permite a las organizaciones realizar una revisión objetiva (sin implicar esto una auditoría formal u otras evaluaciones técnicas) de su programa de ciberseguridad en relación con el CSF y conocer certeramente cuál es su situación actual de seguridad. Teniendo en cuenta la evaluación del riesgo organizacional, los requisitos de cumplimiento y los objetivos organizacionales, se puede crear un perfil objetivo, que, en comparación con el perfil actual, informará la estrategia de liderazgo y las prioridades para la contratación, capacitación, cambios de políticas, cambios de procedimientos y adquisición de tecnología.
· ¿Cómo es el diseño de los 20 controles de ciberseguridad NIST?
El Framework de NIST, es un conjunto de actividades de ciberseguridad, resultados esperados y referencias aplicables que son comunes a los sectores de infraestructuras críticas, en términos de estándares de la industria, directrices y prácticas que permiten la comunicación de actividades de ciberseguridad y sus resultados a lo largo de la organización, desde el nivel ejecutivo hasta el nivel de implementación/operación. [2]
· ¿Cuáles son las cinco funciones fundamentales?
Identificar: Permite determinar los sistemas, activos, datos y competencias de la organización, su contexto de negocio, los recursos que soportan las funciones críticas y los riesgos de ciberseguridad que afectan este entorno.
Proteger: Permite desarrollar e implementar las contramedidas y salvaguardas necesarias para limitar o contener el impacto de un evento potencial de ciberseguridad.
Detectar: Permite desarrollar e implementar las actividades apropiadas para identificar la ocurrencia de un evento de ciberseguridad a través de la monitorización continua. 
Responder: Permite la definición y despliegue de actividades para reaccionar frente a un evento de ciberseguridad identificado y mitigar su impacto.
Recuperar: Permite el despliegue de actividades para la gestión de resiliencia y el retorno a la operación normal después de un incidente. [2]
· ¿Cuáles son las acciones de ciberdefensa para mitigar ataques?
	Número
	Control
	Objetivo
	CCS1
	Inventario de Dispositivos Autorizados y no Autorizados
	Gestionar activamente todos los dispositivos hardware en la red, de forma que solo los dispositivos autorizados tengan acceso a la red.
	CCS2
	
Inventario de Software Autorizado y no Autorizado
	Gestionar activamente todo el software en los sistemas, de forma que solo se pueda instalar y ejecutar software autorizado.
	CCS3
	Configuraciones Seguras de Software y Hardware para Dispositivos Móviles, Portátiles, Equipos de Escritorio y Servidores
	Establecer una configuración base segura para dispositivos móviles, portátiles, equipos de sobremesa y servidores, y gestionarlas activamente utilizando un proceso de gestión de cambios y configuraciones riguroso, para prevenir a los atacantes explotar servicios y configuraciones vulnerables.
	CCS4
	Proceso Continuo de Identificación Y Remediación de Vulnerabilidades
	Disponer un proceso continuo para obtener información sobre nuevas vulnerabilidades, identificarlas, remediarlas y reducir la ventana de oportunidad a los atacantes.
	CCS5
	Control sobre Privilegios Administrativos
	Desarrollar procesos y utilizar herramientas para identificar, prevenir y corregir el uso y configuración de privilegios administrativos en ordenadores, redes y aplicaciones.
	CCS6
	Mantenimiento, Monitorización y Análisis de LOGs de Auditoría
	Recoger, gestionar y analizar logs de eventos que pueden ayudar a detectar, entender o recuperarse de un ataque.
	CCS7
	Protección del Correo Electrónico y del Navegador
	Minimizar la posibilidad de que los atacantes manipulen a los empleados a travésde su interacción con el correo electrónico y el navegador.
	CCS8
	Defensas Contra el Malware Avanzado de Correo Electrónico y del Navegador
	Evitar la instalación, difusión y ejecución de código malicioso en distintos puntos, al tiempo que se fomenta la automatización para permitir una actualización rápida en la defensa, recopilación de datos y la corrección.
	CCS9
	Limitar y Controlar los Puertos de Red, Protocolos y Servicios
	Gestionar el uso de puertos, protocolos y servicios en los dispositivos que tengan red para reducir las vulnerabilidades disponibles a los atacantes.
	CCS10
	Capacidad de Recuperación de Datos
	Disponer procesos, metodologías y herramientas adecuadas para respaldar la información crítica y realizar pruebas de recuperación.
	CCS11
	Configuraciones Seguras de Dispositivos de Red (Firewalls, Routers y Switches)
	Establecer una configuración base para los dispositivos de infraestructura de red, y gestionarlas activamente utilizando un proceso de gestión de cambios y configuraciones riguroso, para prevenir a los atacantes explotar servicios y configuraciones vulnerables.
	CCS12
	Defensa Perimetral
	Desarrollar una estrategia para detectar, prevenir y corregir los flujos de transmisión de información entre redes de distintos niveles de seguridad (confianza).
	CCS13
	Protección de los Datos
	Disponer de procesos y herramientas adecuadas para prevenir la fuga de información, mitigar los efectos cuando se ha producido un incidente de fuga de información, y asegurar la confidencialidad e integridad de la información sensible.
	CCS14
	Acceso Basado en la Necesidad de Conocer (Need to Know)
	El acceso a los activos críticos debe realizarse de acuerdo a una definición formal de que personas, sistemas y aplicaciones tienen la necesidad y el derecho de acceso. Los procesos y herramientas utilizadas en el seguimiento, protección y corrección de estos accesos deben estar alineados con las definiciones.
	CCS15
	Control de Acceso Wireless
	Disponer de procesos y herramientas para garantizar una seguridad adecuada en las redes Wifi y en los sistemas clientes, incluyendo seguimiento y corrección de las medidas de seguridad.
	CCS16
	Control y Monitorización de Cuentas de Sistema
	Gestionar activamente el ciclo de vida de las cuentas de sistema y de aplicación (creación, uso, inactividad y borrado) para reducir su utilización por parte de un atacante.
	CCS17
	Verificación de las Habilidades de Seguridad y Formación Adecuada
	Identificar los conocimientos específicos, habilidades y capacidades necesarias en la organización para la defensa de los activos críticos de la compañía, y desarrollar y evaluar un plan para identificar gaps y remediar con políticas, formación y programas de sensibilización.
	CCS18
	Seguridad en el Ciclo de Vida de las Aplicaciones
	Gestionar el ciclo de vida de todas las aplicaciones, tanto las desarrolladas internamente como las de proveedores para prevenir, detectar y corregir vulnerabilidades técnicas.
	CCS19
	Gestión y Respuesta a Incidentes
	Proteger la información y la reputación de la organización desarrollando e implementando una infraestructura de respuesta a incidentes para detectar un ataque, contener el daño de forma efectiva, expulsar al atacante, y restaurar la integridad de los sistemas y la red.
	CCS20
	Realizar Test de Penetración y Ejercicios de Ataque
	Probar las defensas de la organización (tecnología, procesos y personas) mediante la simulación de un ataque, utilizando sus mismas acciones y objetivos.
INTRODUCCIÓN (Organizadores gráficos):
Referencias
[1] Marco de ciberseguridad NIST, Comisión Federal de Comercio, link: https://www.ftc.gov/es/guia-para-negocios/protegiendo-pequenos-negocios/ciberseguridad/marco-ciberseguridad-nist
[2] “20 controles CIBERSEGURIDAD NIST,” Cyberseguridad, 08-Jun-2018. [Online]. Available: https://netsecurechile.wordpress.com/2018/06/08/20-controles-ciberseguridad-nist/. [Accessed: 16-Dec-2022]. 
2