Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
IT - Governence | Equipo 4 1 INSTITUTO POLITÉCNICO NACIONAL ESCUELA SUPERIOR DE CÓMPUTO Maestra: Guzmán Flores Jessie Paulina. Materia: IT Governence. Fecha de entrega: domingo, 18/12/22. Grupo: 3CM13. Equipo: • Reyes Rebollo Angel de Jesus • Valenzuela Góngora Eric Alejandro • López Reyna Bryan Ricardo • Ortiz Rincón Christian Fernando • Pérez Vidales Yesua David • Briseño Lira Andrés Actividad 12: Marco de Ciberseguridad (CSF) del Instituto Nacional de Estándares y Tecnología (NIST) IT - Governence | Equipo 4 2 Introducción NIST es el acrónimo de Instituto Nacional de Estándares y Tecnología (National Institute of Standards and Technology, en inglés) dependiente del Departamento de Comercio de EE. UU. El Marco de Ciberseguridad del NIST ayuda a los negocios de todo tamaño a comprender mejor sus riesgos de ciberseguridad, administrar y reducir sus riesgos, y proteger sus redes y datos. Este Marco es voluntario. Le brinda a su negocio una reseña de las mejores prácticas para ayudarlo a decidir dónde tiene que concentrar su tiempo y su dinero en cuestiones de protección de ciberseguridad. Usted puede implementar el Marco de Ciberseguridad del NIST en su negocio en estas cinco áreas: identificación, protección, detección, respuesta y recuperación. [1] Cuerpo del trabajo El propósito de la actividad es conocer los protocolos de acción para mitigar ciberataques. • ¿Cuáles son los objetivos del marco de trabajo de ciberseguridad NIST? Ayuda a los negocios de todo tamaño a comprender mejor sus riesgos de ciberseguridad, administrar y reducir sus riesgos, y proteger sus redes y datos; el objetivo de la metodología es reducir el riesgo vinculado a las amenazas cibernéticas que puedan comprometer la seguridad de la información. • ¿En qué estándares, directrices y mejores prácticas está basado? En gran medida utiliza el estándar ISO 27001 para protección de la información; sin embargo, específicamente trabaja bajo tres componentes principales: 1. Framework core: El Core es un conjunto de actividades y resultados de ciberseguridad deseados, organizados en Categorías y alineados con Referencias Informativas a estándares aceptados por la industria. Está diseñado para ser intuitivo y actuar como una capa de traducción para permitir la comunicación entre equipos multidisciplinarios mediante el uso de lenguaje simplista y no técnico. El Core consta de tres partes: Funciones, Categorías y Subcategorías. Incluye cinco funciones de alto nivel: Identificar, Proteger, Detectar, Responder y Recuperar. El siguiente nivel hacia abajo son las 23 categorías, que se dividen en las cinco funciones. Fueron diseñadas para cubrir la amplitud de los objetivos de ciberseguridad para una organización, sin ser demasiado detalladas, cubriendo temas relacionados a los aspectos técnicos, las personas y los procesos, con un enfoque en los resultados. Las subcategorías son el nivel más profundo de abstracción en el Core. Hay 108 Subcategorías, que son declaraciones basadas en resultados que proporcionan consideraciones para crear o mejorar un programa de ciberseguridad. Debido a que el Marco está orientado a los resultados y no establece cómo una organización debe lograr esos resultados, permite implementaciones basadas en el riesgo que se adaptan a las necesidades de las distintas organizaciones. 2. Niveles de implementación: Los niveles describen el grado en que las prácticas de gestión de riesgos de ciberseguridad de una organización exhiben las características definidas en el Marco. Los niveles van desde Parcial (Nivel 1) a Adaptativo (Nivel 4) y describen un grado cada vez mayor de rigor, y qué tan bien integradas están las decisiones de riesgo de ciberseguridad en decisiones de riesgo IT - Governence | Equipo 4 3 más amplias, y el grado en que la organización comparte y recibe información de ciberseguridad de fuentes externas 3. Perfiles: Los perfiles son la alineación única de una organización de sus requisitos y objetivos organizacionales, la tolerancia al riesgo y los recursos con respecto a los resultados deseados del Framework Core. Los perfiles se pueden utilizar para identificar oportunidades para mejorar la postura de ciberseguridad comparando un perfil “actual” con un perfil “objetivo”. La identificación del perfil actual les permite a las organizaciones realizar una revisión objetiva (sin implicar esto una auditoría formal u otras evaluaciones técnicas) de su programa de ciberseguridad en relación con el CSF y conocer certeramente cuál es su situación actual de seguridad. Teniendo en cuenta la evaluación del riesgo organizacional, los requisitos de cumplimiento y los objetivos organizacionales, se puede crear un perfil objetivo, que, en comparación con el perfil actual, informará la estrategia de liderazgo y las prioridades para la contratación, capacitación, cambios de políticas, cambios de procedimientos y adquisición de tecnología. • ¿Cómo es el diseño de los 20 controles de ciberseguridad NIST? El Framework de NIST, es un conjunto de actividades de ciberseguridad, resultados esperados y referencias aplicables que son comunes a los sectores de infraestructuras críticas, en términos de estándares de la industria, directrices y prácticas que permiten la comunicación de actividades de ciberseguridad y sus resultados a lo largo de la organización, desde el nivel ejecutivo hasta el nivel de implementación/operación. [2] • ¿Cuáles son las cinco funciones fundamentales? Identificar: Permite determinar los sistemas, activos, datos y competencias de la organización, su contexto de negocio, los recursos que soportan las funciones críticas y los riesgos de ciberseguridad que afectan este entorno. Proteger: Permite desarrollar e implementar las contramedidas y salvaguardas necesarias para limitar o contener el impacto de un evento potencial de ciberseguridad. Detectar: Permite desarrollar e implementar las actividades apropiadas para identificar la ocurrencia de un evento de ciberseguridad a través de la monitorización continua. Responder: Permite la definición y despliegue de actividades para reaccionar frente a un evento de ciberseguridad identificado y mitigar su impacto. Recuperar: Permite el despliegue de actividades para la gestión de resiliencia y el retorno a la operación normal después de un incidente. [2] IT - Governence | Equipo 4 4 IT - Governence | Equipo 4 5 • ¿Cuáles son las acciones de ciberdefensa para mitigar ataques? Número Control Objetivo CCS1 Inventario de Dispositivos Autorizados y no Autorizados Gestionar activamente todos los dispositivos hardware en la red, de forma que solo los dispositivos autorizados tengan acceso a la red. CCS2 Inventario de Software Autorizado y no Autorizado Gestionar activamente todo el software en los sistemas, de forma que solo se pueda instalar y ejecutar software autorizado. CCS3 Configuraciones Seguras de Software y Hardware para Dispositivos Móviles, Portátiles, Equipos de Escritorio y Servidores Establecer una configuración base segura para dispositivos móviles, portátiles, equipos de sobremesa y servidores, y gestionarlas activamente utilizando un proceso de gestión de cambios y configuraciones riguroso, para prevenir a los atacantes explotar servicios y configuraciones vulnerables. CCS4 Proceso Continuo de Identificación Y Remediación de Vulnerabilidades Disponer un proceso continuo para obtener información sobre nuevas vulnerabilidades, identificarlas, remediarlas y reducir la ventana de oportunidad a los atacantes. CCS5 Control sobre Privilegios Administrativos Desarrollar procesos y utilizar herramientas para identificar, prevenir y corregirel uso y configuración de privilegios administrativos en ordenadores, redes y aplicaciones. CCS6 Mantenimiento, Monitorización y Análisis de LOGs de Auditoría Recoger, gestionar y analizar logs de eventos que pueden ayudar a detectar, entender o recuperarse de un ataque. CCS7 Protección del Correo Electrónico y del Navegador Minimizar la posibilidad de que los atacantes manipulen a los empleados a través de su interacción con el correo electrónico y el navegador. CCS8 Defensas Contra el Malware Avanzado de Correo Electrónico y del Navegador Evitar la instalación, difusión y ejecución de código malicioso en distintos puntos, al tiempo que se fomenta la automatización para permitir una actualización rápida en IT - Governence | Equipo 4 6 la defensa, recopilación de datos y la corrección. CCS9 Limitar y Controlar los Puertos de Red, Protocolos y Servicios Gestionar el uso de puertos, protocolos y servicios en los dispositivos que tengan red para reducir las vulnerabilidades disponibles a los atacantes. CCS10 Capacidad de Recuperación de Datos Disponer procesos, metodologías y herramientas adecuadas para respaldar la información crítica y realizar pruebas de recuperación. CCS11 Configuraciones Seguras de Dispositivos de Red (Firewalls, Routers y Switches) Establecer una configuración base para los dispositivos de infraestructura de red, y gestionarlas activamente utilizando un proceso de gestión de cambios y configuraciones riguroso, para prevenir a los atacantes explotar servicios y configuraciones vulnerables. CCS12 Defensa Perimetral Desarrollar una estrategia para detectar, prevenir y corregir los flujos de transmisión de información entre redes de distintos niveles de seguridad (confianza). CCS13 Protección de los Datos Disponer de procesos y herramientas adecuadas para prevenir la fuga de información, mitigar los efectos cuando se ha producido un incidente de fuga de información, y asegurar la confidencialidad e integridad de la información sensible. CCS14 Acceso Basado en la Necesidad de Conocer (Need to Know) El acceso a los activos críticos debe realizarse de acuerdo a una definición formal de que personas, sistemas y aplicaciones tienen la necesidad y el derecho de acceso. Los procesos y herramientas utilizadas en el seguimiento, protección y corrección de estos accesos deben estar alineados con las definiciones. CCS15 Control de Acceso Wireless Disponer de procesos y herramientas para garantizar una seguridad adecuada en las redes Wifi y en los sistemas clientes, IT - Governence | Equipo 4 7 incluyendo seguimiento y corrección de las medidas de seguridad. CCS16 Control y Monitorización de Cuentas de Sistema Gestionar activamente el ciclo de vida de las cuentas de sistema y de aplicación (creación, uso, inactividad y borrado) para reducir su utilización por parte de un atacante. CCS17 Verificación de las Habilidades de Seguridad y Formación Adecuada Identificar los conocimientos específicos, habilidades y capacidades necesarias en la organización para la defensa de los activos críticos de la compañía, y desarrollar y evaluar un plan para identificar gaps y remediar con políticas, formación y programas de sensibilización. CCS18 Seguridad en el Ciclo de Vida de las Aplicaciones Gestionar el ciclo de vida de todas las aplicaciones, tanto las desarrolladas internamente como las de proveedores para prevenir, detectar y corregir vulnerabilidades técnicas. CCS19 Gestión y Respuesta a Incidentes Proteger la información y la reputación de la organización desarrollando e implementando una infraestructura de respuesta a incidentes para detectar un ataque, contener el daño de forma efectiva, expulsar al atacante, y restaurar la integridad de los sistemas y la red. CCS20 Realizar Test de Penetración y Ejercicios de Ataque Probar las defensas de la organización (tecnología, procesos y personas) mediante la simulación de un ataque, utilizando sus mismas acciones y objetivos. IT - Governence | Equipo 4 8 INTRODUCCIÓN (Organizadores gráficos): IT - Governence | Equipo 4 9 IT - Governence | Equipo 4 10 IT - Governence | Equipo 4 11 Conclusiones Conclusiones Referencias [1] Marco de ciberseguridad NIST, Comisión Federal de Comercio, link: https://www.ftc.gov/es/guia-para-negocios/protegiendo-pequenos- negocios/ciberseguridad/marco-ciberseguridad-nist [2] “20 controles CIBERSEGURIDAD NIST,” Cyberseguridad, 08-Jun-2018. [Online]. Available: https://netsecurechile.wordpress.com/2018/06/08/20-controles- ciberseguridad-nist/. [Accessed: 16-Dec-2022].
Compartir