Resumen NIST, COBIT, ITI
Enviado por jmorenod • 24 de Julio de 2021 • Informe • 1.598 Palabras (7 Páginas) • 262 Visitas
ETAPA 2: RESUMEN DE LOS MARCOS DE TRABAJO DE SEGURIDAD INFORMÁTICA NIST, COBIT, ITIL
[pic 1]
JHON DAWINSON MORENO PEREA
Edilberto Bermúdez Penagos
Director de Curso
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA - UNAD
ESCUELA DE CIENCIAS BASICAS, TECNOLOGIA E INGENIERIA - ECBTI
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
2021
RESUMEN DE LOS MARCOS NIST, COBIT, ITIL
Las normas, marcos y estándares NIST, COBIT, ITIL; son una serie de referencias y controles relacionados con la implementación en la Seguridad del Sistema Informático. Es importante conocer a profundidad los lineamientos que posee cada uno de estos referentes.
NIST (INSTITUTO NACIONAL DE ESTÁNDARES Y TECNOLOGÍA):
El NIST es de suma importancia para las diferentes Organizaciones independientemente de su tamaño, porque ayuda a una mejor lectura de los riesgos asociados a la ciberseguridad, a su vez administrar, reducir y proteger sus redes y datos frente a los riesgos o incidentes externos o internos. La utilización de este Marco no es de carácter obligatorio es decir no requiere certificación por parte del negocio, este fomentara la utilización de las mejores prácticas permitiendo un enfoque claro en dónde tiene que concentrar su tiempo y los recursos monetarios en la protección de la ciberseguridad[1].
El Marco se compone de tres (3) partes fundamentales que son:
- Núcleo del Marco: Son diferentes actividades de seguridad cibernética, resultados deseados y referencias aplicables más habituales en los campos de infraestructura crítica. Este Marco está conformado por estándares, directrices y prácticas de la gestión del riesgo de una manera que permite la comunicación de las actividades y los resultados de seguridad cibernética en toda la organización, abarcando desde el nivel ejecutivo hasta la implementación[2].
El Núcleo del Marco está conformado por los siguientes elementos:
Las Funciones: Son aquellas que organiza las actividades básicas en su nivel más alto de Seguridad cibernética, cuyas funciones se destacan por cinco (5) funciones simultáneas y continuas las cuales son:
- Identificar: Busca realizar una comprensión organizacional que permita administrar el riesgo de seguridad cibernética para sistemas, personas, activos, datos y capacidades.
- Proteger: Permite implementar y ejecutar medidas de seguridad adecuadas, la cuales garanticen la entrega de servicios críticos[3].
- Detectar: Realiza e implementa actividades idóneas que permiten identificar la ocurrencia de un evento de seguridad cibernética.
- Responder: Permite desarrollar y ejecutar actividades eficaces para establecer medidas frente a un incidente detectado de seguridad cibernética.
- Recuperar: Su objetivo es desarrollar e implementar acciones apropiadas que permitan la recuperar o restablecer los servicios que se hayan afectado por causa de un incidente de seguridad cibernética.
EJEMPLO DE APLICACIÓN DE LAS CINCO (5) FUNCIONES
[pic 2]
[pic 3]
Niveles de implementación del Marco: Este Marco comprende los siguientes niveles:
- Nivel 1 - Parcial: El proceso de gestión de riesgos de seguridad cibernética no están establecidas, por lo tanto, cuando se presenten riesgos en las organizaciones esto deberán ser tratado de forma ad hoc “para este propósito, o para esto”[4]. Es importante resaltar que no siempre las actividades de seguridad cibernética, están directamente notificada por los objetivos de riesgo de la organización en el ámbito de la amenaza.
- Nivel 2 - Riesgo Informado: Los procesos de gestión de los riesgos, son lideradas por la administración, pero en ocasiones no están establecidas como políticas de la organización.
- Nivel 3 - Repetible: Las prácticas para la gestión de riesgos de la organización son expresadas como políticas y deben ser aprobadas formalmente, y su actualización será de manera periódica “basado en la aplicación de los procesos de gestión de riesgos a los cambios en los requisitos empresariales de misión, y un panorama cambiante de amenazas y tecnología”[5].
- Nivel 4 - Adaptable: La organización adecua sus prácticas basándose en acciones de seguridad cibernética previas y actuales incluyendo las lecciones aprendidas y los indicadores predictivos. A través de un proceso de mejora continua que incorpora prácticas y tecnologías avanzadas de seguridad cibernética.
Perfiles del Marco:
Permite a las Organizaciones establecer directrices, hoja de ruta que permita mitigar el riesgo de seguridad cibernética, la cual debe estar alineada con respecto a los objetivos organizacionales. Las “Organizaciones, pueden elegir tener múltiples Perfiles, alineados con componentes particulares y reconociendo sus necesidades individuales”[6].
- COBIT (MARCO DE NEGOCIO PARA EL GOBIERNO Y LA GESTIÓN DE LAS TI):
Cobit es un marco de gobierno de Tecnología de la Información (TI), útil para las organizaciones debido a que les permite desarrollar, implementar y organizar planeamientos estratégicos con respecto a “la gobernanza y la gestión de procesos de TI y de los recursos de la organización”[7].
De igual forma, este framework permite garantizar un EGIT (Gobierno Empresarial de la TI) eficaz, proporcionando así una implementación cómoda e individualizada. Encaminado a establecer el importante papel de COBIT fortaleciendo el papel continuo de COBIT como impulsor de la innovación y las transformaciones de las diferentes empresas[8].
...