Marco de Ciberseguridad NIST

Questions and Answers

¿Cuál de las siguientes funciones NO forma parte del NIST Cybersecurity Framework?

• Evaluar (correct)
• Proteger
• Identificar
• Recuperar

COBIT es un marco utilizado principalmente para la seguridad cibernética.

False (B)

Nombra uno de los marcos de seguridad más comunes que se menciona junto con NIST SP 800-53.

CIS Controls

El marco de ____ es conocido por su enfoque en la arquitectura empresarial y la gobernanza de TI.

COBIT

Relaciona los siguientes marcos de arquitectura empresarial con su enfoque:

Zachman = Marco de arquitectura empresarial SABSA = Marco de arquitectura de seguridad TOGAF = Marco de arquitectura empresarial DoDAF = Marco de arquitectura de defensa

¿Cuál de estas opciones describe más adecuadamente la función del NIST Cybersecurity Framework?

Una descripción del estilo de casa a construir (B)

El Framework de seguridad empresarial se asemeja a los planos detallados de una casa.

False (B)

¿Qué se utiliza para asegurar que se están construyendo y manteniendo programas de seguridad de manera segura?

Listas de verificación de auditoría como NIST SP 800-53

¿Cuál de las siguientes es una de las etapas del NIST RMF?

Monitorear (C), Evaluar (D)

La gestión de procesos y la mejora se asemejan a ___ en la vida diaria de una familia.

ITIL

OCTAVE es una metodología de gestión de riesgos que se utiliza únicamente en el sector público.

False (B)

Relacione los siguientes elementos con su descripción adecuada:

NIST Cybersecurity Framework = Descripción del tipo de casa que se quiere construir Framework de seguridad empresarial = Disposición arquitectónica de la casa ITIL = Gestión de procesos y mejora en la vida diaria Six Sigma = Enfoque en la mejora continua de procesos

¿Cuál es el propósito principal de un marco de gestión de riesgos?

Proveer estructura para gestionar riesgos y asegurar activos.

¿Qué se asemeja a los códigos de construcción que asegura que una casa se construya de manera segura?

Objetivos de control (D)

El enfoque FAIR es el único enfoque ____ reconocido a nivel internacional en la gestión de riesgos.

cuantitativo

No es necesario conocer al menos uno o dos puntos clave de los diferentes marcos para aprobar el examen CISSP.

False (B)

Relaciona los marcos de gestión de riesgos con sus descripciones:

NIST RMF = Un marco de gestión de riesgos con siete pasos ISO/IEC 27005 = Un estándar internacional para la gestión de riesgos de seguridad de la información OCTAVE = Metodología de gestión de riesgos basada en talleres FAIR = Enfoque cuantitativo para la gestión de riesgos

¿Qué tipo de controles de seguridad se clasifica como común en el marco NIST?

Controles comunes (A)

¿Cuál es un enfoque que puede adoptar una familia para optimizar sus actividades diarias?

Six Sigma

ISO/IEC 27001 se centra en la mejora de los sistemas de gestión de seguridad de la información.

True (A)

Menciona una manera en la que se puede tratar un riesgo dentro de un marco de gestión de riesgos.

Mitigar, aceptar, transferir o evitar.

Flashcards

¿Qué es el Marco de Ciberseguridad NIST?

Es un marco a nivel de políticas que describe el tipo de programa de seguridad informática deseado, como un plan para construir una casa.

Marco de la Empresa de Seguridad

Es el diseño arquitectónico del programa de seguridad, como los cimientos, paredes y techos de una casa.

Objetivos de Control

Son las especificaciones y códigos de construcción que deben cumplirse para la seguridad, como los requisitos de cableado eléctrico o materiales de construcción.

ITIL

Es la gestión y mejora de procesos, como los horarios y procedimientos diarios en una casa (quién recoge a los niños del colegio, cena, etc.).

Six Sigma

Es un enfoque de mejora continua de procesos para optimizar la eficiencia, como una familia que busca optimizar las tareas diarias.

Marco de Gestión de Riesgo

Ayuda a evaluar posibles amenazas, como los peligros para algo. Es una parte del Marco de Ciberseguridad NIST.

Arquitectura de la Empresa de Información

Describe la estructura y función de los componentes de la infraestructura de la empresa.

Marcos de seguridad a nivel de programa

Estos marcos se enfocan en los problemas de un programa de seguridad.

Marco de Gestión de Riesgos NIST

Un marco de referencia para la gestión de riesgos de seguridad, con siete pasos: preparar, categorizar, seleccionar, implementar, evaluar, autorizar y monitorear.

Tipos de Controles de Seguridad (NIST)

Los controles de seguridad se clasifican en comunes (aplicables a múltiples sistemas), específicos del sistema (únicamente protegen un sistema), e híbridos (combinación de ambos).

Manejo de Riesgos

Las estrategias para enfrentar riesgos incluyen: mitigación, aceptación, transferencia o evitación.

OCTAVE

Metodología de gestión de riesgos orientada a equipos, que usa talleres y es común en el sector comercial.

Marco FAIR

Enfoque cuantitativo internacionalmente reconocido para la gestión de riesgos de seguridad de la información.

ISO/IEC 27001

Estándar para establecer, implementar, controlar y mejorar el sistema de gestión de seguridad de la información.

Marco de Ciberseguridad NIST

Un marco de referencia para la gestión de riesgos de ciberseguridad.

Marco de Gestión, Riesgos

Un documento que guía la gestión de riesgos, la arquitectura empresarial y la seguridad de los activos.

Marco de trabajo NIST para la ciberseguridad

Estructura para mejorar la ciberseguridad en infraestructuras críticas, organizada en cinco funciones: identificar, proteger, detectar, responder y recuperar.

Controles de seguridad comunes

Marcos como NIST SP 800-53, CIS Controls y COBIT, que catalogan y organizan controles para la seguridad.

NIST SP 800-53

Cataloga más de 1.000 controles de seguridad agrupados en 20 familias.

CIS Controls

Marco con 20 controles y 171 sub-controles, organizado en grupos de implementación, para abordar las necesidades de seguridad de cualquier organización, desde pequeñas a grandes.

Marcos de arquitectura empresarial

Utilizados para desarrollar arquitecturas para diferentes partes interesadas, presentando la información en perspectivas diferentes.

Study Notes

NIST Cybersecurity Framework

• A policy-level description of a desired security architecture for a system
• Defines the security enterprise framework (architecture layout)
• Outlines blueprints (detailed descriptions of components)
• Includes control objectives (specifications for building/system safety)
• Analogous to a building design process (foundation, walls, blueprints, etc.)

Chapter Review

• Familiarizes with frameworks for CISSP exam
• Categorizes frameworks (risk management, information security, enterprise architecture, others)
• Includes program-level issues and control-focused frameworks
• Provides a reference for professional life applicable to frameworks

Risk Management in Frameworks

• Risks can be mitigated, accepted, transferred, or avoided
• Common risk management framework is Factor Analysis of Information Risk (FAIR)
• Enterprise architecture frameworks are used to develop architectures for specific stakeholders

Frameworks for Information Security

• ISO/IEC 27001: standard for establishing, implementing, controlling, and improving information security management systems
• NIST Cybersecurity Framework: framework for improving critical infrastructure cybersecurity, organized into five functions (identify, protect, detect, respond, and recover)

Control Frameworks

• NIST SP 800-53: catalogs over 1,000 security controls grouped into 20 families
• CIS Controls: 20 controls to address any organization's security needs
• COBIT: framework of control objectives for IT governance

Enterprise Architecture Frameworks

• Zachman Framework: an enterprise architecture framework
• SABSA: a security enterprise architecture framework
• TOGAF and DoDAF: other significant enterprise architecture frameworks
• Frameworks guide risk management, architecture development, and security asset management.

NIST RMF Steps

• Prepare, Categorize, Select, Implement, Assess, Authorize, and Monitor
• Security controls can be common, system-specific, or hybrid