El Instituto Nacional de Estándares y Tecnología (NIST) del Departamento de Comercio de EE. UU. ha lanzado la versión 1.1 de su popular Marco para mejorar la ciberseguridad de infraestructuras críticas, más conocido como Marco de ciberseguridad. El marco consta de estándares, directrices y mejores prácticas para gestionar los riesgos relacionados con la ciberseguridad. Fue desarrollado centrándose en industrias vitales para la seguridad nacional y económica, incluidas la energía, la banca, las comunicaciones y la base industrial de defensa.

Gestión de activos

Evaluar los activos organizacionales, como datos, personal, dispositivos, sistemas e instalaciones, para determinar si se administran de manera consistente con su nivel de importancia para la ciberseguridad de la organización.

1. ¿Su organización ha definido las funciones y responsabilidades de ciberseguridad de todos los empleados y terceros (por ejemplo, proveedores, clientes y contratistas)?

Ambiente de Negocios

Identifique y priorice la misión, los objetivos, las partes interesadas y las actividades de la organización para informar las funciones, responsabilidades y decisiones de gestión de riesgos de ciberseguridad.

2. ¿Ha identificado dependencias y funciones críticas para la prestación de servicios críticos?

3. ¿Cuenta con requisitos y protocolos de recuperación para respaldar los servicios críticos?

Gobernancia

Evaluar las políticas y procedimientos de la organización para gestionar y monitorear los requisitos operativos, ambientales y regulatorios para informar y gestionar el riesgo de ciberseguridad de la organización.

4. ¿Su organización ha implementado controles de seguridad para la seguridad de la información?

Evaluación de riesgos

Evaluar el riesgo de ciberseguridad de la organización en lo que respecta a las operaciones, los activos y las personas de la organización.

5. ¿Ha identificado y documentado las vulnerabilidades de los activos?

6. ¿Ha evaluado los riesgos de amenazas, vulnerabilidades y el posible impacto empresarial?

7. ¿Es capaz de priorizar y responder a los riesgos de ciberseguridad identificados?

Estrategia de gestión de riesgos

Evaluar las prioridades, limitaciones, tolerancias al riesgo y suposiciones establecidas por la organización, que se utilizan para respaldar las decisiones de riesgo de la organización

8. ¿Ha evaluado la tolerancia general al riesgo de su organización?

9. ¿Existen procesos para determinar el nivel aceptable de riesgo para las amenazas de ciberseguridad de su organización?

Control de acceso

Evalúa los procesos organizacionales para limitar el acceso a activos e instalaciones a usuarios, dispositivos, actividades y transacciones autorizados.

1. ¿Su organización gestiona identidades y credenciales para dispositivos y usuarios autorizados?

2. ¿Su organización gestiona el acceso remoto?

3. ¿La organización protege la integridad de la red y utiliza una segregación de red adecuada?

Seguridad de datos

Gestionar adecuadamente toda la información y registros de la organización de acuerdo con la estrategia de riesgos de la organización para proteger la confidencialidad, integridad y disponibilidad de la información

4. ¿Protege los datos en reposo del acceso no autorizado?

5. ¿Protege los datos en tránsito contra interceptaciones o destinatarios no autorizados?

6. ¿Protege contra fugas de datos confidenciales (accidentales o intencionales)?

Procesos y procedimientos de protección de la información

Las políticas, procesos y procedimientos de seguridad de la organización se mantienen y gestionan adecuadamente la protección de los sistemas y activos de información.

7. ¿Su organización mejora continuamente sus procesos de protección?

8. ¿Su organización cuenta con un procedimiento para gestionar los planes de respuesta y recuperación?

9. ¿Su organización prueba periódicamente los planes de respuesta y recuperación?

10. ¿Su organización incluye elementos de ciberseguridad en las prácticas de recursos humanos?

11. ¿Ha desarrollado e implementado un plan de gestión de vulnerabilidades?

Tecnología protectora

La seguridad y la resiliencia de los sistemas y activos se gestionan mediante el uso de soluciones de seguridad tecnológica que son consistentes con las políticas, procedimientos y acuerdos relacionados.

12. ¿Su organización crea, documenta, implementa y revisa registros de auditoría/registro?

13. ¿Su organización protege y restringe el uso de medios extraíbles?

14. ¿Limita los sistemas y activos de acceso al nivel mínimo necesario para mantener las funciones normales?

15. ¿Tiene estrategias implementadas para proteger las comunicaciones y controlar las redes?

Anomalías y eventos

Evalúa la capacidad de la organización para detectar actividades inusuales de manera oportuna y comprender los impactos potenciales de los eventos cibernéticos.

1. ¿Su organización analiza los eventos detectados para comprender los objetivos y métodos de los ataques?

2. ¿Su organización determina el impacto de los eventos detectados?

3. ¿Su organización establece periódicamente niveles de alerta de incidentes?

Monitoreo continuo de seguridad

Evalúa los procesos organizacionales para monitorear rutinariamente los sistemas y activos de información para identificar eventos de ciberseguridad y probar continuamente la efectividad de las medidas preventivas actuales.

4. ¿Su organización analiza los eventos detectados para comprender los objetivos y métodos de los ataques?

5. ¿Su organización monitorea las vulnerabilidades del sistema aprovechando análisis de vulnerabilidades periódicos?

Procesos de detección

6. ¿Practica la responsabilidad en la detección teniendo roles y responsabilidades de personal bien definidos?

7. ¿Su organización prueba periódicamente los procesos de detección?

8. Su organización modifica y mejora continuamente los procesos de detección utilizados?

Planificación de respuesta

1. ¿Puede su organización ejecutar un plan de respuesta durante o después de un evento cibernético detectado?

Análisis

2. ¿Su organización puede investigar las notificaciones de los sistemas de detección?

3. ¿Puede su organización realizar análisis forenses sobre incidentes descubiertos?

Mitigación

4.¿Su organización cuenta con procesos para contener eventos asociados con un incidente de ciberseguridad?

5. ¿Su organización es capaz de mitigar los eventos asociados con un incidente de ciberseguridad?

Mejoras

6. ¿Su organización revisa periódicamente incidentes pasados para mejorar los procesos asociados con el cambiante panorama cibernético?

Planificación de recuperación

1. ¿Puede su organización ejecutar un plan de recuperación durante o después de un evento?

Información de contacto

Nombre de la Empresa

E-mail

Teléfono

Sector de la Industria

Tamaño (número de empleados)

Principales Activos Digitales o Datos Sensibles

Ubicaciones Físicas y Geográficas Relevantes

eMozart