Marco NIST vs ISO 2700-22.pptx

A
AriadneJaen1
MARCO NIST SP 800-53 VS NORMA ISO 27001 La seguridad de la información es un aspecto crítico para cualquier organización en la era digital actual. La creciente amenaza de ciberataques, el robo de datos y las vulnerabilidades en los sistemas informáticos hacen que la protección de la información sea una prioridad para salvaguardar los activos y la reputación de la empresa. En este contexto, analizaremos dos metodologías ampliamente reconocidas y utilizadas para el diseño de un Sistema de Gestión de Seguridad de la Información (SGSI) son el marco NIST SP 800-53 y la norma ISO 27001. Ambas ofrecen enfoques estructurados y basados en el riesgo para proteger la información sensible y garantizar la continuidad del negocio. En esta guía comparativa, exploraremos los fundamentos y objetivos de ambas metodologías, así como su estructura y componentes principales. También examinaremos los requisitos comunes relacionados con el diseño del SGSI y la metodología y enfoque sugeridos por cada marco para su implementación.
MARCO NIST SP 800-53 Fundamentos y Objetivos: • Se basa en proporcionar una guía y un conjunto completo de controles de seguridad recomendados para proteger la información sensible y crítica en sistemas y organizaciones.
MARCO NIST SP 800-53 Fundamentos y Objetivos: • Se basa en proporcionar una guía y un conjunto completo de controles de seguridad recomendados para proteger la información sensible y crítica en sistemas y organizaciones. Objetivos: Identificar y definir controles de seguridad adecuados para salvaguardar la información. Proporcionar orientación y recomendaciones para implementar y mantener los controles de seguridad. Establecer una base sólida para la gestión de riesgos de seguridad de la información. Ayudar a las organizaciones a cumplir con las leyes, regulaciones y políticas de seguridad aplicables. Promover la mejora continua de la seguridad de la información en todas las áreas.
MARCO NIST SP 800-53 Estructura y Componentes: El marco de ciberseguridad del NIST está compuesto por tres partes principales: el núcleo del marco o framework core, los niveles de implementación o tiers y los perfiles del marco. El núcleo del marco está compuesto por actividades y objetivos de ciberseguridad, clasificados en categorías y alineados con estándares de la industria. Está dividido en tres partes: Funciones, Categorías y Subcategorías. Los niveles de implementación describen el grado de rigor con el que una organización adopta los estándares de ciberseguridad y qué tan bien están acoplados están los procesos para la mitigación de los riesgos de ciberseguridad. Los perfiles del marco buscan alinear las funciones, categorías y subcategorías con los requisitos y objetivos empresariales, y su tolerancia al riesgo. Tienen la finalidad de describir el estado actual o deseado de las actividades de ciberseguridad.
Marco NIST vs ISO 2700-22.pptx
MARCO NIST SP 800-53 Estructura y Componentes: La metodología NIST SP 800-53 es un conjunto de controles de seguridad que se utilizan para proteger la información en sistemas de información. La metodología se divide en varias secciones, incluyendo: Gestión de acceso Gestión de identidad y autenticación Gestión de configuración y cambio Gestión de incidentes y continuidad del negocio
MARCO NIST SP 800-53 Familia de Controles: Acceso Controles Específicos: AC-2: Control de Acceso Confidencialidad AC-3: Control de Acceso para la Autenticación AC-4: Control de Acceso de Información Privilegiada AC-5: Control de Acceso de Sesiones AC-6: Control de Acceso Uso Inicial AC-7: Control de Acceso de Usuarios Desconocidos AC-8: Control de Acceso de Auditoría AC-9: Control de Acceso Procedimientos de Autenticación AC-10: Control de Acceso de Envío de Controles AC-11: Control de Acceso Sincronización de Reloj
MARCO NIST SP 800-53 Guías Asociadas: SP 800-53A Rev. 4: Guía para la Evaluación de Controles de Seguridad SP 800-63B: Directrices para Autenticadores Digitales SP 800-73-4: Perfiles de Interfaces de Interoperabilidad para Tarjetas Inteligentes de Identificación Personal (PIV) SP 800-79-2: Guía para el Ciclo de Vida de Certificados Digitales SP 800-157: Límites de Fuerza de Autenticación SP 800-160 Vol. 1: Ingeniería de Sistemas de Seguridad Cibernética
MARCO NIST SP 800-53 Familia de Controles: Auditoría y Rendición de Cuentas Controles Específicos: AU-2: Evento de Auditoría de Acceso AU-3: Evento de Auditoría de Contenido AU-4: Evento de Auditoría Generación AU-5: Evento de Auditoría Revisión y Análisis AU-6: Evento de Auditoría Registra Selección AU-7: Evento de Auditoría Registra Transferencia AU-8: Evento de Auditoría Registra Conservación AU-9: Evento de Auditoría Retención AU-10: Evento de Auditoría Protección AU-11: Evento de Auditoría de Rendimiento
MARCO NIST SP 800-53 Guías Asociadas: SP 800-92: Guía de Computación Forense SP 800-12 Rev. 1: Guía para el Control de Acceso de Computadoras SP 800-137: Información de Soporte de Seguridad de Red SP 800-155: Guía para la Evaluación de Eventos de Seguridad SP 800-156: Guía para el Desarrollo de Controles de Auditoría y Responsabilidad SP 800-192: Guía para la Gestión de Eventos y Registros
MARCO NIST SP 800-53 Metodología y Enfoque: El marco de ciberseguridad NIST es también una metodología con un enfoque destinado a reducir riesgos que se vinculan a amenazas cibernéticas. Amenazas que pueden comprometer la información y salud de los sistemas informáticos de una organización. Enfoque basado en familias de controles y categorías de seguridad. Está basado en cinco funciones clave: identificar, proteger, detectar, responder, recuperar. Ofrece controles de seguridad específicos para implementar en función de las necesidades de la organización.
MARCO NIST SP 800-53 Identificar: Desarrollar una comprensión organizacional para la gestión del riesgo de ciberseguridad de: sistemas, activos, datos y capacidades. Proteger: Desarrollar e implementar las protecciones apropiadas para garantizar la entrega de servicios. Detectar: Desarrollar e implementar las actividades apropiadas para identificar cuando ocurra un evento de ciberseguridad. Responder: Desarrollar e implementar las actividades apropiadas para tomar acción en relación con un evento de ciberseguridad detectado. Recuperar: Desarrollar e implementar las actividades apropiadas para mantener planes para la resiliencia y para reestablecer cualesquiera capacidades o servicios que hayan sido afectados durante un evento de ciberseguridad.
MARCO NIST SP 800-53 Ventajas Retos Proporciona un conjunto completo de controles de seguridad recomendados. Guías y recomendaciones detalladas para la implementación de los controles. Ampliamente utilizado y aceptado en el ámbito gubernamental y de la industria en los Estados Unidos. Mejora la seguridad cibernética, promueve la comunicación y la colaboración del equipo, optimiza el tiempo y los recursos, se alinea con los estándares internacionales y establece un proceso estructurado en la gestión del riesgo. La gran cantidad de controles puede resultar abrumadora para algunas organizaciones. Requiere personal con conocimientos especializados para una implementación efectiva.
NORMA ISO 27001 Fundamentos y Objetivos: • Proporciona una metodología basada en el riesgo para establecer, implementar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). Su objetivo principal es proporcionar un marco para proteger la información confidencial y garantizar la confidencialidad, integridad y disponibilidad de la información en todas las formas.
NORMA ISO 27001 Fundamentos y Objetivos: Objetivos: Proporcionar un enfoque estructurado para la gestión de la seguridad de la información basado en la gestión de riesgos. Identificar y evaluar los riesgos de seguridad de la información para establecer controles adecuados. Asegurar la confidencialidad, integridad y disponibilidad de la información. Demostrar el compromiso de la alta dirección con la seguridad de la información. Cumplir con los requisitos legales y regulatorios relacionados con la seguridad de la información. Garantizar la mejora continua y la adaptación a los cambios en la seguridad de la información.
NORMA ISO 27001 Estructura y Componentes: Se estructura en cláusulas y secciones. Incluye requisitos para el contexto de la organización, liderazgo, planificación, soporte, operación, rendimiento y mejora. Componentes principales: Política de seguridad de la información, análisis de riesgos, plan de tratamiento de riesgos, controles de seguridad, revisión por la dirección.
NORMA ISO 27001 Estructura y Componentes: Sus principales componentes son: Contexto de la organización y liderazgo. Planificación del SGSI, incluida la identificación de riesgos y oportunidades. Soporte y recursos para la implementación del SGSI. Implementación y operación del SGSI. Evaluación del desempeño del SGSI. Mejora continua del SGSI
NORMA ISO 27001 Requisitos Comunes relacionados con el diseño del SGSI: Ambas metodologías tienen en común el enfoque en el diseño y la implementación de un sistema que garantice la sostenibilidad y la seguridad en sus respectivos contextos: Identificación de riesgos: Ambos enfoques requieren la identificación de riesgos específicos para su posterior gestión. Mejora continua: Tanto NIST como ISO 27001 promueven la mejora continua de sus sistemas, mediante la revisión y actualización periódica de procesos y políticas.
NORMA ISO 27001 La ISO 27001 sugiere una metodología basada en el ciclo PDCA para el diseño del SGSI: Planificar: Identificar los objetivos del SGSI, identificar riesgos, establecer políticas y procedimientos, y definir roles y responsabilidades. Hacer: Implementar las políticas y procedimientos, capacitar al personal y realizar las actividades planificadas. Verificar: Monitorear y medir el desempeño del SGSI mediante auditorías internas y revisiones de dirección. Actuar: Tomar acciones correctivas y preventivas para mejorar continuamente el SGSI.
NORMA ISO 27001 Metodología y Enfoque: Enfoque basado en el análisis de riesgos y en el ciclo PDCA (Planificar-Hacer-Verificar- Actuar). - Requiere la identificación y evaluación de riesgos para determinar los controles necesarios.
NORMA ISO 27001 Ventajas Retos Enfoque basado en el riesgo y adaptabilidad a diferentes contextos organizacionales. Reconocimiento internacional como estándar para la gestión de seguridad de la información. Fomenta la mejora continua y la adaptación a los cambios. Requiere un proceso más estructurado de análisis de riesgos y planificación. Puede requerir más esfuerzo para adaptarse a requisitos legales y regulatorios específicos de ciertos países.
NORMA ISO 27001 Ventajas Retos Enfoque específico en la seguridad de la información y la gestión de riesgos. Amplia aceptación y reconocimiento a nivel internacional. Integración con otros sistemas de gestión ISO. Requiere una comprensión profunda de los riesgos y amenazas de seguridad de la información en la organización. Implementación y certificación pueden ser un proceso costoso y laborioso.
MARCO NIST SP 800-53 VS NORMA ISO 27001 Identificación y evaluación de riesgos de seguridad de la información. Definición de controles y medidas de seguridad adecuados. Implementación de políticas y procedimientos de seguridad. Asignación de responsabilidades y roles claros en la gestión de la seguridad de la información. Monitoreo y medición del desempeño del SGSI. Realización de auditorías internas y revisión por la dirección. Mejora continua del SGSI basada en retroalimentación y resultados.
NIST SP 800-53 ISO 27001 Fundamento Desarrollado por el National Institute of Standards and Technology (NIST) de los Estados Unidos. Desarrollado por la Organización Internacional de Normalización (ISO) como parte de la serie de estándares ISO/IEC 27000. Objetivo Proporcionar un conjunto completo de controles de seguridad recomendados para proteger la información sensible y crítica. Establecer, implementar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). Estructura Organizado en familias de controles y subcontroles. Estructurado en cláusulas y secciones. Componentes Principales Controles específicos y guías asociadas para cada familia de controles. Política de seguridad de la información, análisis de riesgos, controles de seguridad, etc. Requisitos Comunes ◙ Identificación y evaluación de riesgos. ◙ Identificación y evaluación de riesgos. ◙ Definición de controles y medidas de seguridad. ◙ Implementación de controles de seguridad. ◙ Implementación de políticas y procedimientos de seguridad. ◙ Auditorías internas y revisión por la dirección. ◙ Asignación de responsabilidades y roles claros. ◙ Mejora continua basada en retroalimentación. Metodología y Enfoque Enfoque basado en familias de controles y categorías de seguridad. El marco está basado en cinco funciones clave :identificar, proteger, detectar, responder, recuperar. Enfoque basado en el análisis de riesgos y el ciclo PDCA (Planificar- Hacer-Verificar-Actuar). Ventajas ◙ Proporciona un conjunto completo de controles. ◙ Enfoque basado en el riesgo y adaptabilidad. ◙ Guías detalladas para la implementación. ◙ Reconocimiento internacional como estándar. ◙ Amplia aceptación en el ámbito gubernamental y de la industria en los Estados Unidos. ◙ Fomenta la mejora continua y la adaptación a los cambios. Retos ◙ Cantidad abrumadora de controles para algunas organizaciones. ◙ Proceso estructurado de análisis de riesgos y planificación. ◙ Requiere personal con conocimientos especializados. ◙ Posible esfuerzo adicional para cumplir requisitos legales y regulatorios específicos. CUADRO COMPARATIVO
CONCLUSIONES La norma ISO 27001 Proporciona un Marco estructurado y flexible para establecer, implementar, mantener y mejorar continuamente un SGSI. Su enfoque en la gestión y mejora continua lo convierte en una opción adecuada para organizaciones que priorizan la seguridad integral. NIST SP 800-53 se destaca por su enfoque en la gestión de riesgos y la implementación de controles basados en estándares técnicos. Además, cuenta con una amplia base de conocimientos y soporte de la comunidad de seguridad. Su enfoque detallado y técnico lo convierte en una opción sólida para organizaciones con requisitos específicos. Fortalezas de la norma ISO 27001 y del NIST SP 800-53
CONCLUSIONES Diferencias en el enfoque Una diferencia clave entre ambos es mientras que el NIST se centra en controles técnicos y estándares específicos, la ISO 27001 se enfoca en la gestión y mejora continua del sistema de gestión de la seguridad de la información. Esto significa que el NIST es más detallado y técnico, mientras que la ISO 27001 es más holística y flexible en su enfoque. Diferencias en el alcance Otra diferencia, mientras que el NIST se centra principalmente en la seguridad de la información, la ISO 27001 abarca un espectro más amplio, incluyendo la gestión de riesgos, la continuidad del negocio y la conformidad legal. Esto hace que la ISO 27001 sea una opción más adecuada para organizaciones que buscan una gestión integral de la seguridad de la información.
CONCLUSIONES En última instancia, la elección entre NIST SP 800-53 e ISO 27001 dependerá del contexto y las necesidades específicas de cada organización. Ambas metodologías son valiosas y pueden utilizarse de manera conjunta para fortalecer la seguridad de la información y proteger los activos empresariales de manera efectiva y eficiente.
Gracias !!!
1 sur 28

Marco NIST vs ISO 2700-22.pptx

Télécharger pour lire hors ligne
Technologie

Marco de Seguridad

A
AriadneJaen1

Recommandé

ITIL V3 par
ITIL V3ITIL V3
ITIL V3Reinaldo Carreño
1.7K vues23 diapositives
ISO 20000 Implementation Presentation par
ISO 20000 Implementation PresentationISO 20000 Implementation Presentation
ISO 20000 Implementation PresentationSriramITISConsultant
4.6K vues12 diapositives
DRP DISASTER RECOVERY PLAN par
DRP DISASTER RECOVERY PLANDRP DISASTER RECOVERY PLAN
DRP DISASTER RECOVERY PLANJuan Carlos Tarapuez
234 vues13 diapositives
NQA - ISO 27001 Implementation Guide par
NQA - ISO 27001 Implementation GuideNQA - ISO 27001 Implementation Guide
NQA - ISO 27001 Implementation GuideNA Putra
1.1K vues32 diapositives
The Bottom Line of Software Asset Management par
The Bottom Line of Software Asset ManagementThe Bottom Line of Software Asset Management
The Bottom Line of Software Asset Managementhdicapitalarea
271 vues41 diapositives
EL CONTRATO DE AUDITORIA.pptx par
EL CONTRATO DE AUDITORIA.pptxEL CONTRATO DE AUDITORIA.pptx
EL CONTRATO DE AUDITORIA.pptxJoseCedeo80
62 vues15 diapositives

Contenu connexe

Similaire à Marco NIST vs ISO 2700-22.pptx

I S O 27001 par
I S O 27001I S O 27001
I S O 27001karen figueroa hrderera
453 vues14 diapositives
S8-SCPC.pptx par
S8-SCPC.pptxS8-SCPC.pptx
S8-SCPC.pptxLuis Fernando Aguas Bucheli
235 vues18 diapositives
Iso 27001 Jonathan Blas par
Iso 27001 Jonathan BlasIso 27001 Jonathan Blas
Iso 27001 Jonathan BlasJonathanBlas
1K vues10 diapositives
Iso27001 par
Iso27001Iso27001
Iso27001Gerard Flores
462 vues11 diapositives
Estandares auditoria par
Estandares auditoriaEstandares auditoria
Estandares auditoriaAdrian Sigueñas Calderon
10.2K vues7 diapositives
27001:2013 Seguridad orientada al negocio par
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocioFabián Descalzo
5.3K vues45 diapositives

Similaire à Marco NIST vs ISO 2700-22.pptx(20)

I S O 27001 par karen figueroa hrderera
I S O 27001I S O 27001
I S O 27001
karen figueroa hrderera453 vues
S8-SCPC.pptx par Luis Fernando Aguas Bucheli
S8-SCPC.pptxS8-SCPC.pptx
S8-SCPC.pptx
Luis Fernando Aguas Bucheli235 vues
Iso 27001 Jonathan Blas par JonathanBlas
Iso 27001 Jonathan BlasIso 27001 Jonathan Blas
Iso 27001 Jonathan Blas
JonathanBlas1K vues
Iso27001 par Gerard Flores
Iso27001Iso27001
Iso27001
Gerard Flores462 vues
Estandares auditoria par Adrian Sigueñas Calderon
Estandares auditoriaEstandares auditoria
Estandares auditoria
Adrian Sigueñas Calderon10.2K vues
27001:2013 Seguridad orientada al negocio par Fabián Descalzo
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio
Fabián Descalzo5.3K vues
Taller Comparativo y Diseño de una Política de Seguridad de la Información par David Eliseo Martinez Castellanos
Taller Comparativo y Diseño de una Política de Seguridad de la InformaciónTaller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la Información
David Eliseo Martinez Castellanos658 vues
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos par Gonzalo de la Pedraja
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Gonzalo de la Pedraja4.4K vues
gestion-de-riesgos-iso-27005-completo_compress.pdf par carlosandres865046
gestion-de-riesgos-iso-27005-completo_compress.pdfgestion-de-riesgos-iso-27005-completo_compress.pdf
gestion-de-riesgos-iso-27005-completo_compress.pdf
carlosandres865046289 vues
Normas leyes par Angelica Lopera
Normas leyesNormas leyes
Normas leyes
Angelica Lopera406 vues
Gestión seguridad de la información y marco normativo par Modernizacion y Gobierno Digital - Gobierno de Chile
Gestión seguridad de la información y marco normativoGestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativo
Modernizacion y Gobierno Digital - Gobierno de Chile8.4K vues
Seguridad-auditoria par Johan Retos
Seguridad-auditoriaSeguridad-auditoria
Seguridad-auditoria
Johan Retos373 vues
La norma ISO 27001 par Samary Páez
La norma ISO 27001La norma ISO 27001
La norma ISO 27001
Samary Páez179 vues
La norma ISO 27001 par Andy Juan Sarango Veliz
La norma ISO 27001La norma ISO 27001
La norma ISO 27001
Andy Juan Sarango Veliz205 vues
Curso SGSI par José María Apellidos
Curso SGSICurso SGSI
Curso SGSI
José María Apellidos7.2K vues
Presetacion redes ip par Jose Alberto Medina Vega
Presetacion redes ipPresetacion redes ip
Presetacion redes ip
Jose Alberto Medina Vega601 vues
Administracion seguridad par Jhon Velez Arango
Administracion seguridadAdministracion seguridad
Administracion seguridad
Jhon Velez Arango248 vues
Vip genial 80 pags sobre seguridad y auditoria ideal para puntos concretos o... par xavazquez
Vip genial 80 pags sobre seguridad y auditoria ideal para puntos concretos o...Vip genial 80 pags sobre seguridad y auditoria ideal para puntos concretos o...
Vip genial 80 pags sobre seguridad y auditoria ideal para puntos concretos o...
xavazquez869 vues
Aligning to the NIST Cybersecurity Framework in the AWS Cloud - SEC201 - Mexi... par Amazon Web Services
Aligning to the NIST Cybersecurity Framework in the AWS Cloud - SEC201 - Mexi...Aligning to the NIST Cybersecurity Framework in the AWS Cloud - SEC201 - Mexi...
Aligning to the NIST Cybersecurity Framework in the AWS Cloud - SEC201 - Mexi...
Amazon Web Services1.2K vues
Resumenes Cap. Gobierno De Las Tsi par santosperez
Resumenes Cap. Gobierno De Las TsiResumenes Cap. Gobierno De Las Tsi
Resumenes Cap. Gobierno De Las Tsi
santosperez690 vues

Dernier

DOC-20231123-WA0011..pdf par
DOC-20231123-WA0011..pdfDOC-20231123-WA0011..pdf
DOC-20231123-WA0011..pdfPinkiepiePegasister
5 vues4 diapositives
Taller de Electricidad y Electrónica.docx par
Taller de Electricidad y Electrónica.docxTaller de Electricidad y Electrónica.docx
Taller de Electricidad y Electrónica.docxFranksamuel11
8 vues15 diapositives
Tarea-Teclados ergonómico y pantallas táctiles.pptx par
Tarea-Teclados ergonómico y pantallas táctiles.pptxTarea-Teclados ergonómico y pantallas táctiles.pptx
Tarea-Teclados ergonómico y pantallas táctiles.pptxxiomarakerly200325
8 vues16 diapositives
Fundamentos De Electricidad y Electrónica equipo 5.pdf par
Fundamentos De Electricidad y Electrónica equipo 5.pdfFundamentos De Electricidad y Electrónica equipo 5.pdf
Fundamentos De Electricidad y Electrónica equipo 5.pdfCamilaCordoba30
15 vues14 diapositives
periodo 2.pdf par
periodo 2.pdfperiodo 2.pdf
periodo 2.pdfqkpjyqbctx
8 vues7 diapositives
Estrategia de apoyo de tecnologia 3er periodo de tecnologia.pdf par
Estrategia de apoyo de tecnologia 3er periodo de tecnologia.pdfEstrategia de apoyo de tecnologia 3er periodo de tecnologia.pdf
Estrategia de apoyo de tecnologia 3er periodo de tecnologia.pdfSofiaArceCaicedo
9 vues12 diapositives

Dernier(20)

DOC-20231123-WA0011..pdf par PinkiepiePegasister
DOC-20231123-WA0011..pdfDOC-20231123-WA0011..pdf
DOC-20231123-WA0011..pdf
PinkiepiePegasister5 vues
Taller de Electricidad y Electrónica.docx par Franksamuel11
Taller de Electricidad y Electrónica.docxTaller de Electricidad y Electrónica.docx
Taller de Electricidad y Electrónica.docx
Franksamuel118 vues
Tarea-Teclados ergonómico y pantallas táctiles.pptx par xiomarakerly200325
Tarea-Teclados ergonómico y pantallas táctiles.pptxTarea-Teclados ergonómico y pantallas táctiles.pptx
Tarea-Teclados ergonómico y pantallas táctiles.pptx
xiomarakerly2003258 vues
Fundamentos De Electricidad y Electrónica equipo 5.pdf par CamilaCordoba30
Fundamentos De Electricidad y Electrónica equipo 5.pdfFundamentos De Electricidad y Electrónica equipo 5.pdf
Fundamentos De Electricidad y Electrónica equipo 5.pdf
CamilaCordoba3015 vues
periodo 2.pdf par qkpjyqbctx
periodo 2.pdfperiodo 2.pdf
periodo 2.pdf
qkpjyqbctx8 vues
Estrategia de apoyo de tecnologia 3er periodo de tecnologia.pdf par SofiaArceCaicedo
Estrategia de apoyo de tecnologia 3er periodo de tecnologia.pdfEstrategia de apoyo de tecnologia 3er periodo de tecnologia.pdf
Estrategia de apoyo de tecnologia 3er periodo de tecnologia.pdf
SofiaArceCaicedo9 vues
ACTIVIDAD 3 TECNOLOGIAA (1).pdf par IsabelQuintero36
ACTIVIDAD 3 TECNOLOGIAA (1).pdfACTIVIDAD 3 TECNOLOGIAA (1).pdf
ACTIVIDAD 3 TECNOLOGIAA (1).pdf
IsabelQuintero367 vues
Excel avanzado.pdf par fspro99
Excel avanzado.pdfExcel avanzado.pdf
Excel avanzado.pdf
fspro999 vues
Excel avanzado (1) (1).pdf par KagomeHigurashi11
Excel avanzado (1) (1).pdfExcel avanzado (1) (1).pdf
Excel avanzado (1) (1).pdf
KagomeHigurashi117 vues
Fundamentos De Electricidad y Electrónica equipo 5.pdf par coloradxmaria
Fundamentos De Electricidad y Electrónica equipo 5.pdfFundamentos De Electricidad y Electrónica equipo 5.pdf
Fundamentos De Electricidad y Electrónica equipo 5.pdf
coloradxmaria13 vues
excelavanzado1-231020003159-be608ddc.pdf par sarahloradorado
excelavanzado1-231020003159-be608ddc.pdfexcelavanzado1-231020003159-be608ddc.pdf
excelavanzado1-231020003159-be608ddc.pdf
sarahloradorado12 vues
PostCall: Encuestas telefónicas post llamada par OpenDireito
PostCall: Encuestas telefónicas post llamadaPostCall: Encuestas telefónicas post llamada
PostCall: Encuestas telefónicas post llamada
OpenDireito6 vues
tecnologaeinformtica-231124115719-3a836080.pdf par MaraJos722801
tecnologaeinformtica-231124115719-3a836080.pdftecnologaeinformtica-231124115719-3a836080.pdf
tecnologaeinformtica-231124115719-3a836080.pdf
MaraJos72280110 vues
PRESENTACION DE FC.pptx par GabrielRivas75
PRESENTACION DE FC.pptxPRESENTACION DE FC.pptx
PRESENTACION DE FC.pptx
GabrielRivas755 vues
proyecto_ salvando tortugas.pdf par CamilaCordoba30
proyecto_ salvando tortugas.pdfproyecto_ salvando tortugas.pdf
proyecto_ salvando tortugas.pdf
CamilaCordoba308 vues
Dominios de internet.pdf par NahomiBanchen
Dominios de internet.pdfDominios de internet.pdf
Dominios de internet.pdf
NahomiBanchen8 vues
Google alternativo, para volar par corpbracat
Google alternativo, para volarGoogle alternativo, para volar
Google alternativo, para volar
corpbracat9 vues
excelavanzado1-231020003159-be608ddc.pdf par orianaisabellaramire
excelavanzado1-231020003159-be608ddc.pdfexcelavanzado1-231020003159-be608ddc.pdf
excelavanzado1-231020003159-be608ddc.pdf
orianaisabellaramire16 vues
¡Planificando para el éxito! Usando los Planners de Semantic Kernel para real... par codertectura
¡Planificando para el éxito! Usando los Planners de Semantic Kernel para real...¡Planificando para el éxito! Usando los Planners de Semantic Kernel para real...
¡Planificando para el éxito! Usando los Planners de Semantic Kernel para real...
codertectura56 vues
El Ciberespacio y sus Características.pptx par AnthlingPereira
El Ciberespacio y sus Características.pptxEl Ciberespacio y sus Características.pptx
El Ciberespacio y sus Características.pptx
AnthlingPereira6 vues

Marco NIST vs ISO 2700-22.pptx

  • 1. MARCO NIST SP 800-53 VS NORMA ISO 27001 La seguridad de la información es un aspecto crítico para cualquier organización en la era digital actual. La creciente amenaza de ciberataques, el robo de datos y las vulnerabilidades en los sistemas informáticos hacen que la protección de la información sea una prioridad para salvaguardar los activos y la reputación de la empresa. En este contexto, analizaremos dos metodologías ampliamente reconocidas y utilizadas para el diseño de un Sistema de Gestión de Seguridad de la Información (SGSI) son el marco NIST SP 800-53 y la norma ISO 27001. Ambas ofrecen enfoques estructurados y basados en el riesgo para proteger la información sensible y garantizar la continuidad del negocio. En esta guía comparativa, exploraremos los fundamentos y objetivos de ambas metodologías, así como su estructura y componentes principales. También examinaremos los requisitos comunes relacionados con el diseño del SGSI y la metodología y enfoque sugeridos por cada marco para su implementación.
  • 2. MARCO NIST SP 800-53 Fundamentos y Objetivos: • Se basa en proporcionar una guía y un conjunto completo de controles de seguridad recomendados para proteger la información sensible y crítica en sistemas y organizaciones.
  • 3. MARCO NIST SP 800-53 Fundamentos y Objetivos: • Se basa en proporcionar una guía y un conjunto completo de controles de seguridad recomendados para proteger la información sensible y crítica en sistemas y organizaciones. Objetivos: Identificar y definir controles de seguridad adecuados para salvaguardar la información. Proporcionar orientación y recomendaciones para implementar y mantener los controles de seguridad. Establecer una base sólida para la gestión de riesgos de seguridad de la información. Ayudar a las organizaciones a cumplir con las leyes, regulaciones y políticas de seguridad aplicables. Promover la mejora continua de la seguridad de la información en todas las áreas.
  • 4. MARCO NIST SP 800-53 Estructura y Componentes: El marco de ciberseguridad del NIST está compuesto por tres partes principales: el núcleo del marco o framework core, los niveles de implementación o tiers y los perfiles del marco. El núcleo del marco está compuesto por actividades y objetivos de ciberseguridad, clasificados en categorías y alineados con estándares de la industria. Está dividido en tres partes: Funciones, Categorías y Subcategorías. Los niveles de implementación describen el grado de rigor con el que una organización adopta los estándares de ciberseguridad y qué tan bien están acoplados están los procesos para la mitigación de los riesgos de ciberseguridad. Los perfiles del marco buscan alinear las funciones, categorías y subcategorías con los requisitos y objetivos empresariales, y su tolerancia al riesgo. Tienen la finalidad de describir el estado actual o deseado de las actividades de ciberseguridad.
  • 6. MARCO NIST SP 800-53 Estructura y Componentes: La metodología NIST SP 800-53 es un conjunto de controles de seguridad que se utilizan para proteger la información en sistemas de información. La metodología se divide en varias secciones, incluyendo: Gestión de acceso Gestión de identidad y autenticación Gestión de configuración y cambio Gestión de incidentes y continuidad del negocio
  • 7. MARCO NIST SP 800-53 Familia de Controles: Acceso Controles Específicos: AC-2: Control de Acceso Confidencialidad AC-3: Control de Acceso para la Autenticación AC-4: Control de Acceso de Información Privilegiada AC-5: Control de Acceso de Sesiones AC-6: Control de Acceso Uso Inicial AC-7: Control de Acceso de Usuarios Desconocidos AC-8: Control de Acceso de Auditoría AC-9: Control de Acceso Procedimientos de Autenticación AC-10: Control de Acceso de Envío de Controles AC-11: Control de Acceso Sincronización de Reloj
  • 8. MARCO NIST SP 800-53 Guías Asociadas: SP 800-53A Rev. 4: Guía para la Evaluación de Controles de Seguridad SP 800-63B: Directrices para Autenticadores Digitales SP 800-73-4: Perfiles de Interfaces de Interoperabilidad para Tarjetas Inteligentes de Identificación Personal (PIV) SP 800-79-2: Guía para el Ciclo de Vida de Certificados Digitales SP 800-157: Límites de Fuerza de Autenticación SP 800-160 Vol. 1: Ingeniería de Sistemas de Seguridad Cibernética
  • 9. MARCO NIST SP 800-53 Familia de Controles: Auditoría y Rendición de Cuentas Controles Específicos: AU-2: Evento de Auditoría de Acceso AU-3: Evento de Auditoría de Contenido AU-4: Evento de Auditoría Generación AU-5: Evento de Auditoría Revisión y Análisis AU-6: Evento de Auditoría Registra Selección AU-7: Evento de Auditoría Registra Transferencia AU-8: Evento de Auditoría Registra Conservación AU-9: Evento de Auditoría Retención AU-10: Evento de Auditoría Protección AU-11: Evento de Auditoría de Rendimiento
  • 10. MARCO NIST SP 800-53 Guías Asociadas: SP 800-92: Guía de Computación Forense SP 800-12 Rev. 1: Guía para el Control de Acceso de Computadoras SP 800-137: Información de Soporte de Seguridad de Red SP 800-155: Guía para la Evaluación de Eventos de Seguridad SP 800-156: Guía para el Desarrollo de Controles de Auditoría y Responsabilidad SP 800-192: Guía para la Gestión de Eventos y Registros
  • 11. MARCO NIST SP 800-53 Metodología y Enfoque: El marco de ciberseguridad NIST es también una metodología con un enfoque destinado a reducir riesgos que se vinculan a amenazas cibernéticas. Amenazas que pueden comprometer la información y salud de los sistemas informáticos de una organización. Enfoque basado en familias de controles y categorías de seguridad. Está basado en cinco funciones clave: identificar, proteger, detectar, responder, recuperar. Ofrece controles de seguridad específicos para implementar en función de las necesidades de la organización.
  • 12. MARCO NIST SP 800-53 Identificar: Desarrollar una comprensión organizacional para la gestión del riesgo de ciberseguridad de: sistemas, activos, datos y capacidades. Proteger: Desarrollar e implementar las protecciones apropiadas para garantizar la entrega de servicios. Detectar: Desarrollar e implementar las actividades apropiadas para identificar cuando ocurra un evento de ciberseguridad. Responder: Desarrollar e implementar las actividades apropiadas para tomar acción en relación con un evento de ciberseguridad detectado. Recuperar: Desarrollar e implementar las actividades apropiadas para mantener planes para la resiliencia y para reestablecer cualesquiera capacidades o servicios que hayan sido afectados durante un evento de ciberseguridad.
  • 13. MARCO NIST SP 800-53 Ventajas Retos Proporciona un conjunto completo de controles de seguridad recomendados. Guías y recomendaciones detalladas para la implementación de los controles. Ampliamente utilizado y aceptado en el ámbito gubernamental y de la industria en los Estados Unidos. Mejora la seguridad cibernética, promueve la comunicación y la colaboración del equipo, optimiza el tiempo y los recursos, se alinea con los estándares internacionales y establece un proceso estructurado en la gestión del riesgo. La gran cantidad de controles puede resultar abrumadora para algunas organizaciones. Requiere personal con conocimientos especializados para una implementación efectiva.
  • 14. NORMA ISO 27001 Fundamentos y Objetivos: • Proporciona una metodología basada en el riesgo para establecer, implementar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). Su objetivo principal es proporcionar un marco para proteger la información confidencial y garantizar la confidencialidad, integridad y disponibilidad de la información en todas las formas.
  • 15. NORMA ISO 27001 Fundamentos y Objetivos: Objetivos: Proporcionar un enfoque estructurado para la gestión de la seguridad de la información basado en la gestión de riesgos. Identificar y evaluar los riesgos de seguridad de la información para establecer controles adecuados. Asegurar la confidencialidad, integridad y disponibilidad de la información. Demostrar el compromiso de la alta dirección con la seguridad de la información. Cumplir con los requisitos legales y regulatorios relacionados con la seguridad de la información. Garantizar la mejora continua y la adaptación a los cambios en la seguridad de la información.
  • 16. NORMA ISO 27001 Estructura y Componentes: Se estructura en cláusulas y secciones. Incluye requisitos para el contexto de la organización, liderazgo, planificación, soporte, operación, rendimiento y mejora. Componentes principales: Política de seguridad de la información, análisis de riesgos, plan de tratamiento de riesgos, controles de seguridad, revisión por la dirección.
  • 17. NORMA ISO 27001 Estructura y Componentes: Sus principales componentes son: Contexto de la organización y liderazgo. Planificación del SGSI, incluida la identificación de riesgos y oportunidades. Soporte y recursos para la implementación del SGSI. Implementación y operación del SGSI. Evaluación del desempeño del SGSI. Mejora continua del SGSI
  • 18. NORMA ISO 27001 Requisitos Comunes relacionados con el diseño del SGSI: Ambas metodologías tienen en común el enfoque en el diseño y la implementación de un sistema que garantice la sostenibilidad y la seguridad en sus respectivos contextos: Identificación de riesgos: Ambos enfoques requieren la identificación de riesgos específicos para su posterior gestión. Mejora continua: Tanto NIST como ISO 27001 promueven la mejora continua de sus sistemas, mediante la revisión y actualización periódica de procesos y políticas.
  • 19. NORMA ISO 27001 La ISO 27001 sugiere una metodología basada en el ciclo PDCA para el diseño del SGSI: Planificar: Identificar los objetivos del SGSI, identificar riesgos, establecer políticas y procedimientos, y definir roles y responsabilidades. Hacer: Implementar las políticas y procedimientos, capacitar al personal y realizar las actividades planificadas. Verificar: Monitorear y medir el desempeño del SGSI mediante auditorías internas y revisiones de dirección. Actuar: Tomar acciones correctivas y preventivas para mejorar continuamente el SGSI.
  • 20. NORMA ISO 27001 Metodología y Enfoque: Enfoque basado en el análisis de riesgos y en el ciclo PDCA (Planificar-Hacer-Verificar- Actuar). - Requiere la identificación y evaluación de riesgos para determinar los controles necesarios.
  • 21. NORMA ISO 27001 Ventajas Retos Enfoque basado en el riesgo y adaptabilidad a diferentes contextos organizacionales. Reconocimiento internacional como estándar para la gestión de seguridad de la información. Fomenta la mejora continua y la adaptación a los cambios. Requiere un proceso más estructurado de análisis de riesgos y planificación. Puede requerir más esfuerzo para adaptarse a requisitos legales y regulatorios específicos de ciertos países.
  • 22. NORMA ISO 27001 Ventajas Retos Enfoque específico en la seguridad de la información y la gestión de riesgos. Amplia aceptación y reconocimiento a nivel internacional. Integración con otros sistemas de gestión ISO. Requiere una comprensión profunda de los riesgos y amenazas de seguridad de la información en la organización. Implementación y certificación pueden ser un proceso costoso y laborioso.
  • 23. MARCO NIST SP 800-53 VS NORMA ISO 27001 Identificación y evaluación de riesgos de seguridad de la información. Definición de controles y medidas de seguridad adecuados. Implementación de políticas y procedimientos de seguridad. Asignación de responsabilidades y roles claros en la gestión de la seguridad de la información. Monitoreo y medición del desempeño del SGSI. Realización de auditorías internas y revisión por la dirección. Mejora continua del SGSI basada en retroalimentación y resultados.
  • 24. NIST SP 800-53 ISO 27001 Fundamento Desarrollado por el National Institute of Standards and Technology (NIST) de los Estados Unidos. Desarrollado por la Organización Internacional de Normalización (ISO) como parte de la serie de estándares ISO/IEC 27000. Objetivo Proporcionar un conjunto completo de controles de seguridad recomendados para proteger la información sensible y crítica. Establecer, implementar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). Estructura Organizado en familias de controles y subcontroles. Estructurado en cláusulas y secciones. Componentes Principales Controles específicos y guías asociadas para cada familia de controles. Política de seguridad de la información, análisis de riesgos, controles de seguridad, etc. Requisitos Comunes ◙ Identificación y evaluación de riesgos. ◙ Identificación y evaluación de riesgos. ◙ Definición de controles y medidas de seguridad. ◙ Implementación de controles de seguridad. ◙ Implementación de políticas y procedimientos de seguridad. ◙ Auditorías internas y revisión por la dirección. ◙ Asignación de responsabilidades y roles claros. ◙ Mejora continua basada en retroalimentación. Metodología y Enfoque Enfoque basado en familias de controles y categorías de seguridad. El marco está basado en cinco funciones clave :identificar, proteger, detectar, responder, recuperar. Enfoque basado en el análisis de riesgos y el ciclo PDCA (Planificar- Hacer-Verificar-Actuar). Ventajas ◙ Proporciona un conjunto completo de controles. ◙ Enfoque basado en el riesgo y adaptabilidad. ◙ Guías detalladas para la implementación. ◙ Reconocimiento internacional como estándar. ◙ Amplia aceptación en el ámbito gubernamental y de la industria en los Estados Unidos. ◙ Fomenta la mejora continua y la adaptación a los cambios. Retos ◙ Cantidad abrumadora de controles para algunas organizaciones. ◙ Proceso estructurado de análisis de riesgos y planificación. ◙ Requiere personal con conocimientos especializados. ◙ Posible esfuerzo adicional para cumplir requisitos legales y regulatorios específicos. CUADRO COMPARATIVO
  • 25. CONCLUSIONES La norma ISO 27001 Proporciona un Marco estructurado y flexible para establecer, implementar, mantener y mejorar continuamente un SGSI. Su enfoque en la gestión y mejora continua lo convierte en una opción adecuada para organizaciones que priorizan la seguridad integral. NIST SP 800-53 se destaca por su enfoque en la gestión de riesgos y la implementación de controles basados en estándares técnicos. Además, cuenta con una amplia base de conocimientos y soporte de la comunidad de seguridad. Su enfoque detallado y técnico lo convierte en una opción sólida para organizaciones con requisitos específicos. Fortalezas de la norma ISO 27001 y del NIST SP 800-53
  • 26. CONCLUSIONES Diferencias en el enfoque Una diferencia clave entre ambos es mientras que el NIST se centra en controles técnicos y estándares específicos, la ISO 27001 se enfoca en la gestión y mejora continua del sistema de gestión de la seguridad de la información. Esto significa que el NIST es más detallado y técnico, mientras que la ISO 27001 es más holística y flexible en su enfoque. Diferencias en el alcance Otra diferencia, mientras que el NIST se centra principalmente en la seguridad de la información, la ISO 27001 abarca un espectro más amplio, incluyendo la gestión de riesgos, la continuidad del negocio y la conformidad legal. Esto hace que la ISO 27001 sea una opción más adecuada para organizaciones que buscan una gestión integral de la seguridad de la información.
  • 27. CONCLUSIONES En última instancia, la elección entre NIST SP 800-53 e ISO 27001 dependerá del contexto y las necesidades específicas de cada organización. Ambas metodologías son valiosas y pueden utilizarse de manera conjunta para fortalecer la seguridad de la información y proteger los activos empresariales de manera efectiva y eficiente.