Diplomado en

Ciberseguridad

TEMA
DOCENTE
Estrategias y Marcos
Alexander
Normativos
Larrahondo
Nuñez

www.udecatalunya.edu.co
 Contenidos Módulo Dos (2)
• Clase 1: Estándares y marcos de trabajo de
Ciberseguridad (NIST, CIS)
• Clase2:Metodologías de análisis de riesgos (Magerit, NIST
SP80,-30ISO310)
• Clase3:Familia de normas ISO2701, ISO2702, ISO27035

www.udecatalunya.edu.co
Clase 1: Estándares y marcos de trabajo de Ciberseguridad (NIST, CIS)

SOX SarbanesOxley Act

HIPA Health InsurancePortability and Accountability Act
FISMAFederal Information SecurityManagement Act
OCEGOpen Compliance & Ethics Group
COSOCommittee of SponsoringOrganizations of the Tradeway Commission
COBIT ControlObjectives for Information and Related Technology
ITIL Information Technology Infrastructure Library
CMMI CapabilityMaturityModel Integration
NIST National Institute of Standards and Technology
ISOInternationalOrganization of Standardization
CIS Center for Internet Security

www.udecatalunya.edu.co
 NIST CYBER SECURITYFRAMEWORK

El presidente Barack Obama, el 12 de febrero de 2013, emite la orden ejecutiva 13636 en donde se encarga al Instituto
de Nacional de Estándares y Tecnologías (NIST, por sus siglas en inglés) el desarrollo del Marco de ciberseguridad para la
protección de infraestructuras críticas, lo que hoy se conoce como el Cybersecurity Framework (CSF). EEUU identifica
16 sectores de infraestructuras críticas, estos son:
1. Químico 9. Servicios financieros
2. instalaciones comerciales 10. Comida y agricultura
3. Comunicaciones 11. Instalaciones gubernamentales
4. Fabricación crítica; 12. Salud y salud pública
5. Presas/represas; 13. Tecnología de información
6. Base industrial de defensa; 14. reactores nucleares
7. Servicios de emergencia; 15. materiales y residuos
8. Energía, materiales y residuos; 16. sistemas de transporte; sistemas de
agua y aguas residuales .

www.udecatalunya.edu.co
 NIST CYBER SECURITYFRAMEWORK

El Marco tomó como estrategia basarse en estándares de la industria ya aceptados por el

ecosistema de ciberseguridad (NIST SP 800-53 Rev.4 [2], ISO/IEC 27001:2013 [3], COBIT 5 [4], CIS
CSC [5],
entre otros). Se presentan como una estrategia de abordaje simple de la gobernanza
de la ciberseguridad, permitiendo
trasladar fácilmente conceptos técnicos a los objetivos y necesidades del negocio

www.udecatalunya.edu.co
 NIST CYBER SECURITYFRAMEWORK
Los objetivos del framework son básicamente:

1. Describir la postura actual en materia de ciberseguridad de la organización

2.Describir el estado objetivo o deseado por la ciberseguridad de la organización

3. Identificar y priorizar oportunidades de mejora dentro del contexto de un proceso

continuo y repetible

4. Evaluar el progreso de la organización en su camino hacia ese estado objetivo

5. Comunicar a las partes interesadas internas y externas sobre los riesgos de

ciberseguridad.

www.udecatalunya.edu.co
 Evolución

"enfoque priorizado, flexible, repetible, basado en el desempeño y costo efectivo, que incluya medidas de seguridad de la información y controles
que los propietarios y operadores de infraestructura crítica puedan adoptar voluntariamente para ayudarlos a identificar, evaluar y gestionar los
riesgos cibernéticos

www.udecatalunya.edu.co
 Evolución

www.udecatalunya.edu.co
Tomado de : https://www.piranirisk.com/es/blog/marco-ciberseguridad-nist-que-es
 Niveles de Implementación del CSF

Tomado de : https://www.piranirisk.com/es/blog/marco-ciberseguridad-nist-que-es
www.udecatalunya.edu.co
NIST CYBER SECURITYFRAMEWORK

FUNCION Categorias Subcat

IDENTIFICAR 6
PROTEGER
DETECTAR
RESPONDER
RECUPERAR

www.udecatalunya.edu.co
NIST CYBER SECURITYFRAMEWORK

www.udecatalunya.edu.co
 CIS CSF
Los controles del CIS han sido madurados por una comunidad internacional tanto de personas como de
organizaciones que:

 Comparten información sobre ataques y atacantes de manera tal que esto permite identificar causa raíz y
generar acciones defensivas acorde
 Documentar casos de éxito en la atención de ataques y compartir herramientas para ello
 Hacer seguimiento a la evolución de las amenazas, las capacidades de los adversarios y lo actuales vectores de
ataque
 Mapear los controles del CIS con diferentes marcos regulatorios y de cumplimiento de ciberseguridad
 Identificar problemas comunes y contar con la ayuda de la comunidad para resolverlos de manera más
eficiente

www.udecatalunya.edu.co
 CIS CSF

www.udecatalunya.edu.co
www.udecatalunya.edu.co
www.udecatalunya.edu.co
CÓMO ESTABLECER Y MEJORAR UNPROGRAMA DE CIBERSEGURIDAD

www.udecatalunya.edu.co
 Clase2: Metodologías de análisis de riesgos (Magerit)

Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información, MAGERIT es la metodología de análisis y gestión de riesgos
elaborada por el antiguo Consejo Superior de Administración Electrónica (actualmente Comisión de Estrategia TIC), como respuesta a la
percepción de que la Administración, y, en general, toda la sociedad, dependen de forma creciente de las tecnologías de la información para el
cumplimiento de su misión.

Compuesto por tres libros

• Libro I: Método

• Libro II: Catalogo de Elementos

• Libro III: Guía de Técnicas

www.udecatalunya.edu.co
Objetivos
MAGERIT persigue los siguientes Objetivos Directos:

1. Generar conciencia entre los responsables de las organizaciones acerca de la importancia de la

identificación y gestión de riesgos

2. Ofrecer de manera gratuita una metodología que permita el análisis de los riesgos relacionados con las
tecnologías de la información y las comunicaciones

3.Ayudar a planificar el tratamiento oportuno de los riesgos identificados bajo controles directos.

4. Ayudar a preparar a las organizaciones para los procesos de evaluación, auditoria, certificación o
acreditación según corresponda.
www.udecatalunya.edu.co
Marco de trabajo para la gestión de riesgos (ISO310–Magerit)
www.udecatalunya.edu.co
Clase2: Metodologías de análisis de riesgos (NIST SP80-

www.udecatalunya.edu.co
Clase2: Metodologías de análisis de riesgos (NIST SP80-

Proceso de evaluación de riesgos

www.udecatalunya.edu.co
Clase2: Metodologías de análisis de riesgos (ISO310)

www.udecatalunya.edu.co
Clase2: Metodologías de análisis de riesgos (ISO310)

Proceso de Gestión del Riesgo ISO310

www.udecatalunya.edu.co
 Clase3: normas ISO (ISO2701, ISO2702, ISO27035)

ISO/IEC2701 Requisitos del Sistema de Gestión de Seguridad de la Información

(Certificable)

ISO/IEC2702 Código de práctica para controles de seguridad de la Información

ISO/IEC27035 Gestión de incidentes de Seguridad de la Información

www.udecatalunya.edu.co
 Clase3: normas ISO (ISO2701)
ISO/IEC2701 Requisitos del Sistema de Gestión de Seguridad de la Información (Certificable) Documentos “Obligatorios”
•Alcance (4.3).
•Po lítica de seguridad de la información (5.2e).
•Proceso de evaluación de riesgos de seguridad de la información (6.1.2).
•Proceso de tratamiento de riesgos de seguridad de la información (6.1.3).
•Declaración de Aplicabilidad (SoA) (6.1.3d).
•Ob jetivos de seguridad de la información (6.2).
•Evidencia de competencia (7.2).
•Documentación necesaria para la efectividad del SGSI (7.5.1 b).
•Documentación necesaria para confiar en que los procesos requeridos para la planificación y el control operativo se han llevado a cabo según lo previsto (8.1).
•Resultado de las evaluaciones de riesgos de seguridad de la información (8.2).
•Resultado de tratamiento de riesgos de seguridad de la información (8.3).
•Evidencia de los resultados de monitoreo y medición del desempeño de la seguridad de la información (9.1).
•Programa (s) de auditoría interna y resultados de las auditorías (9.2g).
•Evidencia de los resultados de las revisiones de gestión (9.3).
•Evidencia de no conformidades y cualquier acción posterior tomada, y los resultados de cualquier acción correctiva (10.1).
•Definición de roles y responsabilidades de seguridad (7.1.2 y A.13.2.4).
•Inventario de activos (8.1.1).
•Reglas para el uso aceptable de activos (8.1.3).
•Esquema de clasificación de información (8.2.1).
•Po lítica de control de acceso (9.1.1).
•Procedimientos operativos para la gestión de TI (12.1.1).
•Registros de actividades de usuarios, excepciones y eventos de la seguridad (12.4.1 y A12.4.3).
•Principios de ingeniería de sistemas seguros (14.2.5).
•Po lítica de seguridad del proveedor (15.1.1).
•Procedimiento de gestión de incidentes (16.1.5).
•Procedimientos de continuidad de Seguridad de la Información (17.1.2).
•Requisitos legales, reglamentarios y contractuales (18.1.1).

www.udecatalunya.edu.co
 La norma ISO/IEC2702:2013tiene34Objetivos de
control, 114
Controles de seguridad de la
información, agrupados en 14 dominios
(A.5al A.18)

www.udecatalunya.edu.co
www.udecatalunya.edu.co
Clase3: normas ISO (ISO2702)

La norma Cambia de nombre a

“Controles de seguridad de la Información”,
los catorce (14) dominios se agrupan en
cuatro (4) temas que son
• Organizacional (37)
• Tecnología (34)
• Físico (14)
• Personas (8)
Para un total de noventa y tres (93)
controles, 11 controles nuevos, 57
consolidados en 24 y 58controles que se
mantienen.

www.udecatalunya.edu.co
 Clase3: normas ISO (ISO27035)

Relación entre los objetos en una cadena de incidentes de seguridad de la información

www.udecatalunya.edu.co
Clase3: normas ISO (ISO27035)

Fases de la gestión de incidentes

www.udecatalunya.edu.co
Clase3: normas ISO (ISO27035)

Flujo de eventos e incidentes de seguridad de la Información

www.udecatalunya.edu.co
¿PREGUNTAS?
Gracias