SlideShare una empresa de Scribd logo

Marco NIST SP 800-53 vs Norma ISO 27001

Descargar como PPTX, PDF
A
AriadneJaen1

Marco de Seguridad

Tecnología
1 de 28
MARCO NIST SP 800-53 VS NORMA ISO 27001 La seguridad de la información es un aspecto crítico para cualquier organización en la era digital actual. La creciente amenaza de ciberataques, el robo de datos y las vulnerabilidades en los sistemas informáticos hacen que la protección de la información sea una prioridad para salvaguardar los activos y la reputación de la empresa. En este contexto, analizaremos dos metodologías ampliamente reconocidas y utilizadas para el diseño de un Sistema de Gestión de Seguridad de la Información (SGSI) son el marco NIST SP 800-53 y la norma ISO 27001. Ambas ofrecen enfoques estructurados y basados en el riesgo para proteger la información sensible y garantizar la continuidad del negocio. En esta guía comparativa, exploraremos los fundamentos y objetivos de ambas metodologías, así como su estructura y componentes principales. También examinaremos los requisitos comunes relacionados con el diseño del SGSI y la metodología y enfoque sugeridos por cada marco para su implementación.
MARCO NIST SP 800-53 Fundamentos y Objetivos: • Se basa en proporcionar una guía y un conjunto completo de controles de seguridad recomendados para proteger la información sensible y crítica en sistemas y organizaciones.
MARCO NIST SP 800-53 Fundamentos y Objetivos: • Se basa en proporcionar una guía y un conjunto completo de controles de seguridad recomendados para proteger la información sensible y crítica en sistemas y organizaciones. Objetivos: Identificar y definir controles de seguridad adecuados para salvaguardar la información. Proporcionar orientación y recomendaciones para implementar y mantener los controles de seguridad. Establecer una base sólida para la gestión de riesgos de seguridad de la información. Ayudar a las organizaciones a cumplir con las leyes, regulaciones y políticas de seguridad aplicables. Promover la mejora continua de la seguridad de la información en todas las áreas.
MARCO NIST SP 800-53 Estructura y Componentes: El marco de ciberseguridad del NIST está compuesto por tres partes principales: el núcleo del marco o framework core, los niveles de implementación o tiers y los perfiles del marco. El núcleo del marco está compuesto por actividades y objetivos de ciberseguridad, clasificados en categorías y alineados con estándares de la industria. Está dividido en tres partes: Funciones, Categorías y Subcategorías. Los niveles de implementación describen el grado de rigor con el que una organización adopta los estándares de ciberseguridad y qué tan bien están acoplados están los procesos para la mitigación de los riesgos de ciberseguridad. Los perfiles del marco buscan alinear las funciones, categorías y subcategorías con los requisitos y objetivos empresariales, y su tolerancia al riesgo. Tienen la finalidad de describir el estado actual o deseado de las actividades de ciberseguridad.
MARCO NIST SP 800-53 Estructura y Componentes: La metodología NIST SP 800-53 es un conjunto de controles de seguridad que se utilizan para proteger la información en sistemas de información. La metodología se divide en varias secciones, incluyendo: Gestión de acceso Gestión de identidad y autenticación Gestión de configuración y cambio Gestión de incidentes y continuidad del negocio
MARCO NIST SP 800-53 Familia de Controles: Acceso Controles Específicos: AC-2: Control de Acceso Confidencialidad AC-3: Control de Acceso para la Autenticación AC-4: Control de Acceso de Información Privilegiada AC-5: Control de Acceso de Sesiones AC-6: Control de Acceso Uso Inicial AC-7: Control de Acceso de Usuarios Desconocidos AC-8: Control de Acceso de Auditoría AC-9: Control de Acceso Procedimientos de Autenticación AC-10: Control de Acceso de Envío de Controles AC-11: Control de Acceso Sincronización de Reloj
MARCO NIST SP 800-53 Guías Asociadas: SP 800-53A Rev. 4: Guía para la Evaluación de Controles de Seguridad SP 800-63B: Directrices para Autenticadores Digitales SP 800-73-4: Perfiles de Interfaces de Interoperabilidad para Tarjetas Inteligentes de Identificación Personal (PIV) SP 800-79-2: Guía para el Ciclo de Vida de Certificados Digitales SP 800-157: Límites de Fuerza de Autenticación SP 800-160 Vol. 1: Ingeniería de Sistemas de Seguridad Cibernética
MARCO NIST SP 800-53 Familia de Controles: Auditoría y Rendición de Cuentas Controles Específicos: AU-2: Evento de Auditoría de Acceso AU-3: Evento de Auditoría de Contenido AU-4: Evento de Auditoría Generación AU-5: Evento de Auditoría Revisión y Análisis AU-6: Evento de Auditoría Registra Selección AU-7: Evento de Auditoría Registra Transferencia AU-8: Evento de Auditoría Registra Conservación AU-9: Evento de Auditoría Retención AU-10: Evento de Auditoría Protección AU-11: Evento de Auditoría de Rendimiento
MARCO NIST SP 800-53 Guías Asociadas: SP 800-92: Guía de Computación Forense SP 800-12 Rev. 1: Guía para el Control de Acceso de Computadoras SP 800-137: Información de Soporte de Seguridad de Red SP 800-155: Guía para la Evaluación de Eventos de Seguridad SP 800-156: Guía para el Desarrollo de Controles de Auditoría y Responsabilidad SP 800-192: Guía para la Gestión de Eventos y Registros
MARCO NIST SP 800-53 Metodología y Enfoque: El marco de ciberseguridad NIST es también una metodología con un enfoque destinado a reducir riesgos que se vinculan a amenazas cibernéticas. Amenazas que pueden comprometer la información y salud de los sistemas informáticos de una organización. Enfoque basado en familias de controles y categorías de seguridad. Está basado en cinco funciones clave: identificar, proteger, detectar, responder, recuperar. Ofrece controles de seguridad específicos para implementar en función de las necesidades de la organización.
MARCO NIST SP 800-53 Identificar: Desarrollar una comprensión organizacional para la gestión del riesgo de ciberseguridad de: sistemas, activos, datos y capacidades. Proteger: Desarrollar e implementar las protecciones apropiadas para garantizar la entrega de servicios. Detectar: Desarrollar e implementar las actividades apropiadas para identificar cuando ocurra un evento de ciberseguridad. Responder: Desarrollar e implementar las actividades apropiadas para tomar acción en relación con un evento de ciberseguridad detectado. Recuperar: Desarrollar e implementar las actividades apropiadas para mantener planes para la resiliencia y para reestablecer cualesquiera capacidades o servicios que hayan sido afectados durante un evento de ciberseguridad.
MARCO NIST SP 800-53 Ventajas Retos Proporciona un conjunto completo de controles de seguridad recomendados. Guías y recomendaciones detalladas para la implementación de los controles. Ampliamente utilizado y aceptado en el ámbito gubernamental y de la industria en los Estados Unidos. Mejora la seguridad cibernética, promueve la comunicación y la colaboración del equipo, optimiza el tiempo y los recursos, se alinea con los estándares internacionales y establece un proceso estructurado en la gestión del riesgo. La gran cantidad de controles puede resultar abrumadora para algunas organizaciones. Requiere personal con conocimientos especializados para una implementación efectiva.
NORMA ISO 27001 Fundamentos y Objetivos: • Proporciona una metodología basada en el riesgo para establecer, implementar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). Su objetivo principal es proporcionar un marco para proteger la información confidencial y garantizar la confidencialidad, integridad y disponibilidad de la información en todas las formas.
NORMA ISO 27001 Fundamentos y Objetivos: Objetivos: Proporcionar un enfoque estructurado para la gestión de la seguridad de la información basado en la gestión de riesgos. Identificar y evaluar los riesgos de seguridad de la información para establecer controles adecuados. Asegurar la confidencialidad, integridad y disponibilidad de la información. Demostrar el compromiso de la alta dirección con la seguridad de la información. Cumplir con los requisitos legales y regulatorios relacionados con la seguridad de la información. Garantizar la mejora continua y la adaptación a los cambios en la seguridad de la información.
NORMA ISO 27001 Estructura y Componentes: Se estructura en cláusulas y secciones. Incluye requisitos para el contexto de la organización, liderazgo, planificación, soporte, operación, rendimiento y mejora. Componentes principales: Política de seguridad de la información, análisis de riesgos, plan de tratamiento de riesgos, controles de seguridad, revisión por la dirección.
NORMA ISO 27001 Estructura y Componentes: Sus principales componentes son: Contexto de la organización y liderazgo. Planificación del SGSI, incluida la identificación de riesgos y oportunidades. Soporte y recursos para la implementación del SGSI. Implementación y operación del SGSI. Evaluación del desempeño del SGSI. Mejora continua del SGSI
NORMA ISO 27001 Requisitos Comunes relacionados con el diseño del SGSI: Ambas metodologías tienen en común el enfoque en el diseño y la implementación de un sistema que garantice la sostenibilidad y la seguridad en sus respectivos contextos: Identificación de riesgos: Ambos enfoques requieren la identificación de riesgos específicos para su posterior gestión. Mejora continua: Tanto NIST como ISO 27001 promueven la mejora continua de sus sistemas, mediante la revisión y actualización periódica de procesos y políticas.
NORMA ISO 27001 La ISO 27001 sugiere una metodología basada en el ciclo PDCA para el diseño del SGSI: Planificar: Identificar los objetivos del SGSI, identificar riesgos, establecer políticas y procedimientos, y definir roles y responsabilidades. Hacer: Implementar las políticas y procedimientos, capacitar al personal y realizar las actividades planificadas. Verificar: Monitorear y medir el desempeño del SGSI mediante auditorías internas y revisiones de dirección. Actuar: Tomar acciones correctivas y preventivas para mejorar continuamente el SGSI.
NORMA ISO 27001 Metodología y Enfoque: Enfoque basado en el análisis de riesgos y en el ciclo PDCA (Planificar-Hacer-Verificar- Actuar). - Requiere la identificación y evaluación de riesgos para determinar los controles necesarios.
NORMA ISO 27001 Ventajas Retos Enfoque basado en el riesgo y adaptabilidad a diferentes contextos organizacionales. Reconocimiento internacional como estándar para la gestión de seguridad de la información. Fomenta la mejora continua y la adaptación a los cambios. Requiere un proceso más estructurado de análisis de riesgos y planificación. Puede requerir más esfuerzo para adaptarse a requisitos legales y regulatorios específicos de ciertos países.
NORMA ISO 27001 Ventajas Retos Enfoque específico en la seguridad de la información y la gestión de riesgos. Amplia aceptación y reconocimiento a nivel internacional. Integración con otros sistemas de gestión ISO. Requiere una comprensión profunda de los riesgos y amenazas de seguridad de la información en la organización. Implementación y certificación pueden ser un proceso costoso y laborioso.
MARCO NIST SP 800-53 VS NORMA ISO 27001 Identificación y evaluación de riesgos de seguridad de la información. Definición de controles y medidas de seguridad adecuados. Implementación de políticas y procedimientos de seguridad. Asignación de responsabilidades y roles claros en la gestión de la seguridad de la información. Monitoreo y medición del desempeño del SGSI. Realización de auditorías internas y revisión por la dirección. Mejora continua del SGSI basada en retroalimentación y resultados.
NIST SP 800-53 ISO 27001 Fundamento Desarrollado por el National Institute of Standards and Technology (NIST) de los Estados Unidos. Desarrollado por la Organización Internacional de Normalización (ISO) como parte de la serie de estándares ISO/IEC 27000. Objetivo Proporcionar un conjunto completo de controles de seguridad recomendados para proteger la información sensible y crítica. Establecer, implementar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). Estructura Organizado en familias de controles y subcontroles. Estructurado en cláusulas y secciones. Componentes Principales Controles específicos y guías asociadas para cada familia de controles. Política de seguridad de la información, análisis de riesgos, controles de seguridad, etc. Requisitos Comunes ◙ Identificación y evaluación de riesgos. ◙ Identificación y evaluación de riesgos. ◙ Definición de controles y medidas de seguridad. ◙ Implementación de controles de seguridad. ◙ Implementación de políticas y procedimientos de seguridad. ◙ Auditorías internas y revisión por la dirección. ◙ Asignación de responsabilidades y roles claros. ◙ Mejora continua basada en retroalimentación. Metodología y Enfoque Enfoque basado en familias de controles y categorías de seguridad. El marco está basado en cinco funciones clave :identificar, proteger, detectar, responder, recuperar. Enfoque basado en el análisis de riesgos y el ciclo PDCA (Planificar- Hacer-Verificar-Actuar). Ventajas ◙ Proporciona un conjunto completo de controles. ◙ Enfoque basado en el riesgo y adaptabilidad. ◙ Guías detalladas para la implementación. ◙ Reconocimiento internacional como estándar. ◙ Amplia aceptación en el ámbito gubernamental y de la industria en los Estados Unidos. ◙ Fomenta la mejora continua y la adaptación a los cambios. Retos ◙ Cantidad abrumadora de controles para algunas organizaciones. ◙ Proceso estructurado de análisis de riesgos y planificación. ◙ Requiere personal con conocimientos especializados. ◙ Posible esfuerzo adicional para cumplir requisitos legales y regulatorios específicos. CUADRO COMPARATIVO
CONCLUSIONES La norma ISO 27001 Proporciona un Marco estructurado y flexible para establecer, implementar, mantener y mejorar continuamente un SGSI. Su enfoque en la gestión y mejora continua lo convierte en una opción adecuada para organizaciones que priorizan la seguridad integral. NIST SP 800-53 se destaca por su enfoque en la gestión de riesgos y la implementación de controles basados en estándares técnicos. Además, cuenta con una amplia base de conocimientos y soporte de la comunidad de seguridad. Su enfoque detallado y técnico lo convierte en una opción sólida para organizaciones con requisitos específicos. Fortalezas de la norma ISO 27001 y del NIST SP 800-53
CONCLUSIONES Diferencias en el enfoque Una diferencia clave entre ambos es mientras que el NIST se centra en controles técnicos y estándares específicos, la ISO 27001 se enfoca en la gestión y mejora continua del sistema de gestión de la seguridad de la información. Esto significa que el NIST es más detallado y técnico, mientras que la ISO 27001 es más holística y flexible en su enfoque. Diferencias en el alcance Otra diferencia, mientras que el NIST se centra principalmente en la seguridad de la información, la ISO 27001 abarca un espectro más amplio, incluyendo la gestión de riesgos, la continuidad del negocio y la conformidad legal. Esto hace que la ISO 27001 sea una opción más adecuada para organizaciones que buscan una gestión integral de la seguridad de la información.
CONCLUSIONES En última instancia, la elección entre NIST SP 800-53 e ISO 27001 dependerá del contexto y las necesidades específicas de cada organización. Ambas metodologías son valiosas y pueden utilizarse de manera conjunta para fortalecer la seguridad de la información y proteger los activos empresariales de manera efectiva y eficiente.
Gracias !!!

Recomendados

Gestión de Incidentes de Seguridad de la Información - CERT / CSIRT
Gestión de Incidentes de Seguridad de la Información - CERT / CSIRTGestión de Incidentes de Seguridad de la Información - CERT / CSIRT
Gestión de Incidentes de Seguridad de la Información - CERT / CSIRTDaniel Sasia
 
NIST CSF review - Essential Protections (a K12 perspective)
NIST CSF review - Essential Protections (a K12 perspective)NIST CSF review - Essential Protections (a K12 perspective)
NIST CSF review - Essential Protections (a K12 perspective)April Mardock CISSP
 
Helping Utilities with Cybersecurity Preparedness: The C2M2
Helping Utilities with Cybersecurity Preparedness: The C2M2Helping Utilities with Cybersecurity Preparedness: The C2M2
Helping Utilities with Cybersecurity Preparedness: The C2M2Smart Grid Interoperability Panel
 
Cyber Security Standards Compliance
Cyber Security Standards ComplianceCyber Security Standards Compliance
Cyber Security Standards ComplianceDr. Prashant Vats
 
Security architecture
Security architectureSecurity architecture
Security architectureDuncan Unwin
 
Implementing a Security Framework based on ISO/IEC 27002
Implementing a Security Framework based on ISO/IEC 27002Implementing a Security Framework based on ISO/IEC 27002
Implementing a Security Framework based on ISO/IEC 27002pgpmikey
 
Introduction to NIST’s Risk Management Framework (RMF)
Introduction to NIST’s Risk Management Framework (RMF)Introduction to NIST’s Risk Management Framework (RMF)
Introduction to NIST’s Risk Management Framework (RMF)Donald E. Hester
 
Risk Assessment Process NIST 800-30
Risk Assessment Process NIST 800-30Risk Assessment Process NIST 800-30
Risk Assessment Process NIST 800-30timmcguinness
 

Recomendados

Gestión de Incidentes de Seguridad de la Información - CERT / CSIRT
Gestión de Incidentes de Seguridad de la Información - CERT / CSIRTGestión de Incidentes de Seguridad de la Información - CERT / CSIRT
Gestión de Incidentes de Seguridad de la Información - CERT / CSIRTDaniel Sasia
 
NIST CSF review - Essential Protections (a K12 perspective)
NIST CSF review - Essential Protections (a K12 perspective)NIST CSF review - Essential Protections (a K12 perspective)
NIST CSF review - Essential Protections (a K12 perspective)April Mardock CISSP
 
Helping Utilities with Cybersecurity Preparedness: The C2M2
Helping Utilities with Cybersecurity Preparedness: The C2M2Helping Utilities with Cybersecurity Preparedness: The C2M2
Helping Utilities with Cybersecurity Preparedness: The C2M2Smart Grid Interoperability Panel
 
Cyber Security Standards Compliance
Cyber Security Standards ComplianceCyber Security Standards Compliance
Cyber Security Standards ComplianceDr. Prashant Vats
 
Security architecture
Security architectureSecurity architecture
Security architectureDuncan Unwin
 
Implementing a Security Framework based on ISO/IEC 27002
Implementing a Security Framework based on ISO/IEC 27002Implementing a Security Framework based on ISO/IEC 27002
Implementing a Security Framework based on ISO/IEC 27002pgpmikey
 
Introduction to NIST’s Risk Management Framework (RMF)
Introduction to NIST’s Risk Management Framework (RMF)Introduction to NIST’s Risk Management Framework (RMF)
Introduction to NIST’s Risk Management Framework (RMF)Donald E. Hester
 
Risk Assessment Process NIST 800-30
Risk Assessment Process NIST 800-30Risk Assessment Process NIST 800-30
Risk Assessment Process NIST 800-30timmcguinness
 
ISO 27001 (v2013) Checklist
ISO 27001 (v2013) ChecklistISO 27001 (v2013) Checklist
ISO 27001 (v2013) ChecklistIvan Piskunov
 
090476 seguridad desistemas -día01 (1) (1)
090476 seguridad desistemas -día01 (1) (1)090476 seguridad desistemas -día01 (1) (1)
090476 seguridad desistemas -día01 (1) (1)Karin Adaly
 
Cableado Estructurado
Cableado EstructuradoCableado Estructurado
Cableado Estructuradokrototac
 
ISO27001: Implementation & Certification Process Overview
ISO27001: Implementation & Certification Process OverviewISO27001: Implementation & Certification Process Overview
ISO27001: Implementation & Certification Process OverviewShankar Subramaniyan
 
GDPR vs US Regulations: Their differences and Commonalities with ISO/IEC 27701
GDPR vs US Regulations: Their differences and Commonalities with ISO/IEC 27701GDPR vs US Regulations: Their differences and Commonalities with ISO/IEC 27701
GDPR vs US Regulations: Their differences and Commonalities with ISO/IEC 27701PECB
 
Cybersecurity Frameworks for DMZCON23 230905.pdf
Cybersecurity Frameworks for DMZCON23 230905.pdfCybersecurity Frameworks for DMZCON23 230905.pdf
Cybersecurity Frameworks for DMZCON23 230905.pdfAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
iso 27005
iso 27005iso 27005
iso 27005Pamelita TA
 
Introduction to NIST Cybersecurity Framework
Introduction to NIST Cybersecurity FrameworkIntroduction to NIST Cybersecurity Framework
Introduction to NIST Cybersecurity FrameworkTuan Phan
 
ISO 27001 How to use the ISMS Implementation Toolkit.pdf
ISO 27001 How to use the ISMS Implementation Toolkit.pdfISO 27001 How to use the ISMS Implementation Toolkit.pdf
ISO 27001 How to use the ISMS Implementation Toolkit.pdfAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Data Center Security
Data Center SecurityData Center Security
Data Center Securitydevalnaik
 
Cybersecurity Roadmap Development for Executives
Cybersecurity Roadmap Development for ExecutivesCybersecurity Roadmap Development for Executives
Cybersecurity Roadmap Development for ExecutivesKrist Davood - Principal - CIO
 
ISO/IEC 27701, GDPR, and ePrivacy: How Do They Map?
ISO/IEC 27701, GDPR, and ePrivacy: How Do They Map?ISO/IEC 27701, GDPR, and ePrivacy: How Do They Map?
ISO/IEC 27701, GDPR, and ePrivacy: How Do They Map?PECB
 
Cybersecurity for Critical National Infrastructure
Cybersecurity for Critical National InfrastructureCybersecurity for Critical National Infrastructure
Cybersecurity for Critical National InfrastructureDr David Probert
 
An introduction to Cyber Essentials
An introduction to Cyber EssentialsAn introduction to Cyber Essentials
An introduction to Cyber EssentialsJisc
 
CMMC, ISO/IEC 27001, ISO/IEC 27032, and NIST – What You Need to Know
CMMC, ISO/IEC 27001, ISO/IEC 27032, and NIST – What You Need to KnowCMMC, ISO/IEC 27001, ISO/IEC 27032, and NIST – What You Need to Know
CMMC, ISO/IEC 27001, ISO/IEC 27032, and NIST – What You Need to KnowPECB
 
Secure your network - Segmentation and segregation
Secure your network - Segmentation and segregationSecure your network - Segmentation and segregation
Secure your network - Segmentation and segregationMagnus Jansson
 
Gestión de Vulnerabilidades
Gestión de VulnerabilidadesGestión de Vulnerabilidades
Gestión de VulnerabilidadesPablo Palacios
 
ISO 27001 Checklist - Internal Audit - Clause 9.2 - 59 checklist Questions
ISO 27001 Checklist - Internal Audit - Clause 9.2 - 59 checklist QuestionsISO 27001 Checklist - Internal Audit - Clause 9.2 - 59 checklist Questions
ISO 27001 Checklist - Internal Audit - Clause 9.2 - 59 checklist Questionshimalya sharma
 
Security Incident and Event Management (SIEM) - Managed and Hosted Solutions ...
Security Incident and Event Management (SIEM) - Managed and Hosted Solutions ...Security Incident and Event Management (SIEM) - Managed and Hosted Solutions ...
Security Incident and Event Management (SIEM) - Managed and Hosted Solutions ...Sirius
 
5.4 it security audit (mauritius)
5.4 it security audit (mauritius)5.4 it security audit (mauritius)
5.4 it security audit (mauritius)Corporate Registers Forum
 
Iso 27001
Iso 27001Iso 27001
Iso 27001karen figueroa hrderera
 
Iso 27001
Iso 27001Iso 27001
Iso 27001karen figueroa hrderera
 

Más contenido relacionado

La actualidad más candente

ISO 27001 (v2013) Checklist
ISO 27001 (v2013) ChecklistISO 27001 (v2013) Checklist
ISO 27001 (v2013) ChecklistIvan Piskunov
 
090476 seguridad desistemas -día01 (1) (1)
090476 seguridad desistemas -día01 (1) (1)090476 seguridad desistemas -día01 (1) (1)
090476 seguridad desistemas -día01 (1) (1)Karin Adaly
 
Cableado Estructurado
Cableado EstructuradoCableado Estructurado
Cableado Estructuradokrototac
 
ISO27001: Implementation & Certification Process Overview
ISO27001: Implementation & Certification Process OverviewISO27001: Implementation & Certification Process Overview
ISO27001: Implementation & Certification Process OverviewShankar Subramaniyan
 
GDPR vs US Regulations: Their differences and Commonalities with ISO/IEC 27701
GDPR vs US Regulations: Their differences and Commonalities with ISO/IEC 27701GDPR vs US Regulations: Their differences and Commonalities with ISO/IEC 27701
GDPR vs US Regulations: Their differences and Commonalities with ISO/IEC 27701PECB
 
Introduction to NIST Cybersecurity Framework
Introduction to NIST Cybersecurity FrameworkIntroduction to NIST Cybersecurity Framework
Introduction to NIST Cybersecurity FrameworkTuan Phan
 
Data Center Security
Data Center SecurityData Center Security
Data Center Securitydevalnaik
 
ISO/IEC 27701, GDPR, and ePrivacy: How Do They Map?
ISO/IEC 27701, GDPR, and ePrivacy: How Do They Map?ISO/IEC 27701, GDPR, and ePrivacy: How Do They Map?
ISO/IEC 27701, GDPR, and ePrivacy: How Do They Map?PECB
 
Cybersecurity for Critical National Infrastructure
Cybersecurity for Critical National InfrastructureCybersecurity for Critical National Infrastructure
Cybersecurity for Critical National InfrastructureDr David Probert
 
An introduction to Cyber Essentials
An introduction to Cyber EssentialsAn introduction to Cyber Essentials
An introduction to Cyber EssentialsJisc
 
CMMC, ISO/IEC 27001, ISO/IEC 27032, and NIST – What You Need to Know
CMMC, ISO/IEC 27001, ISO/IEC 27032, and NIST – What You Need to KnowCMMC, ISO/IEC 27001, ISO/IEC 27032, and NIST – What You Need to Know
CMMC, ISO/IEC 27001, ISO/IEC 27032, and NIST – What You Need to KnowPECB
 
Secure your network - Segmentation and segregation
Secure your network - Segmentation and segregationSecure your network - Segmentation and segregation
Secure your network - Segmentation and segregationMagnus Jansson
 
Gestión de Vulnerabilidades
Gestión de VulnerabilidadesGestión de Vulnerabilidades
Gestión de VulnerabilidadesPablo Palacios
 
ISO 27001 Checklist - Internal Audit - Clause 9.2 - 59 checklist Questions
ISO 27001 Checklist - Internal Audit - Clause 9.2 - 59 checklist QuestionsISO 27001 Checklist - Internal Audit - Clause 9.2 - 59 checklist Questions
ISO 27001 Checklist - Internal Audit - Clause 9.2 - 59 checklist Questionshimalya sharma
 
Security Incident and Event Management (SIEM) - Managed and Hosted Solutions ...
Security Incident and Event Management (SIEM) - Managed and Hosted Solutions ...Security Incident and Event Management (SIEM) - Managed and Hosted Solutions ...
Security Incident and Event Management (SIEM) - Managed and Hosted Solutions ...Sirius
 

La actualidad más candente (20)

ISO 27001 (v2013) Checklist
ISO 27001 (v2013) ChecklistISO 27001 (v2013) Checklist
ISO 27001 (v2013) Checklist
 
090476 seguridad desistemas -día01 (1) (1)
090476 seguridad desistemas -día01 (1) (1)090476 seguridad desistemas -día01 (1) (1)
090476 seguridad desistemas -día01 (1) (1)
 
Cableado Estructurado
Cableado EstructuradoCableado Estructurado
Cableado Estructurado
 
ISO27001: Implementation & Certification Process Overview
ISO27001: Implementation & Certification Process OverviewISO27001: Implementation & Certification Process Overview
ISO27001: Implementation & Certification Process Overview
 
GDPR vs US Regulations: Their differences and Commonalities with ISO/IEC 27701
GDPR vs US Regulations: Their differences and Commonalities with ISO/IEC 27701GDPR vs US Regulations: Their differences and Commonalities with ISO/IEC 27701
GDPR vs US Regulations: Their differences and Commonalities with ISO/IEC 27701
 
Cybersecurity Frameworks for DMZCON23 230905.pdf
Cybersecurity Frameworks for DMZCON23 230905.pdfCybersecurity Frameworks for DMZCON23 230905.pdf
Cybersecurity Frameworks for DMZCON23 230905.pdf
 
iso 27005
iso 27005iso 27005
iso 27005
 
Introduction to NIST Cybersecurity Framework
Introduction to NIST Cybersecurity FrameworkIntroduction to NIST Cybersecurity Framework
Introduction to NIST Cybersecurity Framework
 
ISO 27001 How to use the ISMS Implementation Toolkit.pdf
ISO 27001 How to use the ISMS Implementation Toolkit.pdfISO 27001 How to use the ISMS Implementation Toolkit.pdf
ISO 27001 How to use the ISMS Implementation Toolkit.pdf
 
Data Center Security
Data Center SecurityData Center Security
Data Center Security
 
Cybersecurity Roadmap Development for Executives
Cybersecurity Roadmap Development for ExecutivesCybersecurity Roadmap Development for Executives
Cybersecurity Roadmap Development for Executives
 
ISO/IEC 27701, GDPR, and ePrivacy: How Do They Map?
ISO/IEC 27701, GDPR, and ePrivacy: How Do They Map?ISO/IEC 27701, GDPR, and ePrivacy: How Do They Map?
ISO/IEC 27701, GDPR, and ePrivacy: How Do They Map?
 
Cybersecurity for Critical National Infrastructure
Cybersecurity for Critical National InfrastructureCybersecurity for Critical National Infrastructure
Cybersecurity for Critical National Infrastructure
 
An introduction to Cyber Essentials
An introduction to Cyber EssentialsAn introduction to Cyber Essentials
An introduction to Cyber Essentials
 
CMMC, ISO/IEC 27001, ISO/IEC 27032, and NIST – What You Need to Know
CMMC, ISO/IEC 27001, ISO/IEC 27032, and NIST – What You Need to KnowCMMC, ISO/IEC 27001, ISO/IEC 27032, and NIST – What You Need to Know
CMMC, ISO/IEC 27001, ISO/IEC 27032, and NIST – What You Need to Know
 
Secure your network - Segmentation and segregation
Secure your network - Segmentation and segregationSecure your network - Segmentation and segregation
Secure your network - Segmentation and segregation
 
Gestión de Vulnerabilidades
Gestión de VulnerabilidadesGestión de Vulnerabilidades
Gestión de Vulnerabilidades
 
ISO 27001 Checklist - Internal Audit - Clause 9.2 - 59 checklist Questions
ISO 27001 Checklist - Internal Audit - Clause 9.2 - 59 checklist QuestionsISO 27001 Checklist - Internal Audit - Clause 9.2 - 59 checklist Questions
ISO 27001 Checklist - Internal Audit - Clause 9.2 - 59 checklist Questions
 
Security Incident and Event Management (SIEM) - Managed and Hosted Solutions ...
Security Incident and Event Management (SIEM) - Managed and Hosted Solutions ...Security Incident and Event Management (SIEM) - Managed and Hosted Solutions ...
Security Incident and Event Management (SIEM) - Managed and Hosted Solutions ...
 
5.4 it security audit (mauritius)
5.4 it security audit (mauritius)5.4 it security audit (mauritius)
5.4 it security audit (mauritius)
 

Similar a Marco NIST SP 800-53 vs Norma ISO 27001

Iso 27001 Jonathan Blas
Iso 27001 Jonathan BlasIso 27001 Jonathan Blas
Iso 27001 Jonathan BlasJonathanBlas
 
PILARES DE SEGURIDAD NIST - ISO-IEC 27000.pdf
PILARES DE SEGURIDAD NIST - ISO-IEC 27000.pdfPILARES DE SEGURIDAD NIST - ISO-IEC 27000.pdf
PILARES DE SEGURIDAD NIST - ISO-IEC 27000.pdfDIFESAMU
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocioFabián Descalzo
 
Taller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la InformaciónTaller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la InformaciónDavid Eliseo Martinez Castellanos
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosGonzalo de la Pedraja
 
gestion-de-riesgos-iso-27005-completo_compress.pdf
gestion-de-riesgos-iso-27005-completo_compress.pdfgestion-de-riesgos-iso-27005-completo_compress.pdf
gestion-de-riesgos-iso-27005-completo_compress.pdfcarlosandres865046
 
Seguridad-auditoria
Seguridad-auditoriaSeguridad-auditoria
Seguridad-auditoriaJohan Retos
 
La norma ISO 27001
La norma ISO 27001La norma ISO 27001
La norma ISO 27001Samary Páez
 

Similar a Marco NIST SP 800-53 vs Norma ISO 27001 (20)

Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
I S O 27001
I S O 27001I S O 27001
I S O 27001
 
S8-SCPC.pptx
S8-SCPC.pptxS8-SCPC.pptx
S8-SCPC.pptx
 
Iso 27001 Jonathan Blas
Iso 27001 Jonathan BlasIso 27001 Jonathan Blas
Iso 27001 Jonathan Blas
 
PILARES DE SEGURIDAD NIST - ISO-IEC 27000.pdf
PILARES DE SEGURIDAD NIST - ISO-IEC 27000.pdfPILARES DE SEGURIDAD NIST - ISO-IEC 27000.pdf
PILARES DE SEGURIDAD NIST - ISO-IEC 27000.pdf
 
Iso27001
Iso27001Iso27001
Iso27001
 
Estandares auditoria
Estandares auditoriaEstandares auditoria
Estandares auditoria
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio
 
Taller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la InformaciónTaller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la Información
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
 
gestion-de-riesgos-iso-27005-completo_compress.pdf
gestion-de-riesgos-iso-27005-completo_compress.pdfgestion-de-riesgos-iso-27005-completo_compress.pdf
gestion-de-riesgos-iso-27005-completo_compress.pdf
 
Normas leyes
Normas leyesNormas leyes
Normas leyes
 
Gestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativoGestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativo
 
Seguridad-auditoria
Seguridad-auditoriaSeguridad-auditoria
Seguridad-auditoria
 
La norma ISO 27001
La norma ISO 27001La norma ISO 27001
La norma ISO 27001
 
La norma ISO 27001
La norma ISO 27001La norma ISO 27001
La norma ISO 27001
 
Curso SGSI
Curso SGSICurso SGSI
Curso SGSI
 
Presetacion redes ip
Presetacion redes ipPresetacion redes ip
Presetacion redes ip
 
Administracion seguridad
Administracion seguridadAdministracion seguridad
Administracion seguridad
 

Último

Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA241531640
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son241514984
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaarkananubis
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativaAdrianaMartnez618894
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMidwarHenryLOZAFLORE
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELmaryfer27m
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptMiguelAtencio10
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxJOSEFERNANDOARENASCA
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx241522327
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx241523733
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxNombre Apellidos
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...FacuMeza2
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxazmysanros90
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.241514949
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 

Último (20)

Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en mina
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativa
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptx
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFEL
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.ppt
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptx
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptx
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 

Marco NIST SP 800-53 vs Norma ISO 27001

  • 1. MARCO NIST SP 800-53 VS NORMA ISO 27001 La seguridad de la información es un aspecto crítico para cualquier organización en la era digital actual. La creciente amenaza de ciberataques, el robo de datos y las vulnerabilidades en los sistemas informáticos hacen que la protección de la información sea una prioridad para salvaguardar los activos y la reputación de la empresa. En este contexto, analizaremos dos metodologías ampliamente reconocidas y utilizadas para el diseño de un Sistema de Gestión de Seguridad de la Información (SGSI) son el marco NIST SP 800-53 y la norma ISO 27001. Ambas ofrecen enfoques estructurados y basados en el riesgo para proteger la información sensible y garantizar la continuidad del negocio. En esta guía comparativa, exploraremos los fundamentos y objetivos de ambas metodologías, así como su estructura y componentes principales. También examinaremos los requisitos comunes relacionados con el diseño del SGSI y la metodología y enfoque sugeridos por cada marco para su implementación.
  • 2. MARCO NIST SP 800-53 Fundamentos y Objetivos: • Se basa en proporcionar una guía y un conjunto completo de controles de seguridad recomendados para proteger la información sensible y crítica en sistemas y organizaciones.
  • 3. MARCO NIST SP 800-53 Fundamentos y Objetivos: • Se basa en proporcionar una guía y un conjunto completo de controles de seguridad recomendados para proteger la información sensible y crítica en sistemas y organizaciones. Objetivos: Identificar y definir controles de seguridad adecuados para salvaguardar la información. Proporcionar orientación y recomendaciones para implementar y mantener los controles de seguridad. Establecer una base sólida para la gestión de riesgos de seguridad de la información. Ayudar a las organizaciones a cumplir con las leyes, regulaciones y políticas de seguridad aplicables. Promover la mejora continua de la seguridad de la información en todas las áreas.
  • 4. MARCO NIST SP 800-53 Estructura y Componentes: El marco de ciberseguridad del NIST está compuesto por tres partes principales: el núcleo del marco o framework core, los niveles de implementación o tiers y los perfiles del marco. El núcleo del marco está compuesto por actividades y objetivos de ciberseguridad, clasificados en categorías y alineados con estándares de la industria. Está dividido en tres partes: Funciones, Categorías y Subcategorías. Los niveles de implementación describen el grado de rigor con el que una organización adopta los estándares de ciberseguridad y qué tan bien están acoplados están los procesos para la mitigación de los riesgos de ciberseguridad. Los perfiles del marco buscan alinear las funciones, categorías y subcategorías con los requisitos y objetivos empresariales, y su tolerancia al riesgo. Tienen la finalidad de describir el estado actual o deseado de las actividades de ciberseguridad.
  • 5.
  • 6. MARCO NIST SP 800-53 Estructura y Componentes: La metodología NIST SP 800-53 es un conjunto de controles de seguridad que se utilizan para proteger la información en sistemas de información. La metodología se divide en varias secciones, incluyendo: Gestión de acceso Gestión de identidad y autenticación Gestión de configuración y cambio Gestión de incidentes y continuidad del negocio
  • 7. MARCO NIST SP 800-53 Familia de Controles: Acceso Controles Específicos: AC-2: Control de Acceso Confidencialidad AC-3: Control de Acceso para la Autenticación AC-4: Control de Acceso de Información Privilegiada AC-5: Control de Acceso de Sesiones AC-6: Control de Acceso Uso Inicial AC-7: Control de Acceso de Usuarios Desconocidos AC-8: Control de Acceso de Auditoría AC-9: Control de Acceso Procedimientos de Autenticación AC-10: Control de Acceso de Envío de Controles AC-11: Control de Acceso Sincronización de Reloj
  • 8. MARCO NIST SP 800-53 Guías Asociadas: SP 800-53A Rev. 4: Guía para la Evaluación de Controles de Seguridad SP 800-63B: Directrices para Autenticadores Digitales SP 800-73-4: Perfiles de Interfaces de Interoperabilidad para Tarjetas Inteligentes de Identificación Personal (PIV) SP 800-79-2: Guía para el Ciclo de Vida de Certificados Digitales SP 800-157: Límites de Fuerza de Autenticación SP 800-160 Vol. 1: Ingeniería de Sistemas de Seguridad Cibernética
  • 9. MARCO NIST SP 800-53 Familia de Controles: Auditoría y Rendición de Cuentas Controles Específicos: AU-2: Evento de Auditoría de Acceso AU-3: Evento de Auditoría de Contenido AU-4: Evento de Auditoría Generación AU-5: Evento de Auditoría Revisión y Análisis AU-6: Evento de Auditoría Registra Selección AU-7: Evento de Auditoría Registra Transferencia AU-8: Evento de Auditoría Registra Conservación AU-9: Evento de Auditoría Retención AU-10: Evento de Auditoría Protección AU-11: Evento de Auditoría de Rendimiento
  • 10. MARCO NIST SP 800-53 Guías Asociadas: SP 800-92: Guía de Computación Forense SP 800-12 Rev. 1: Guía para el Control de Acceso de Computadoras SP 800-137: Información de Soporte de Seguridad de Red SP 800-155: Guía para la Evaluación de Eventos de Seguridad SP 800-156: Guía para el Desarrollo de Controles de Auditoría y Responsabilidad SP 800-192: Guía para la Gestión de Eventos y Registros
  • 11. MARCO NIST SP 800-53 Metodología y Enfoque: El marco de ciberseguridad NIST es también una metodología con un enfoque destinado a reducir riesgos que se vinculan a amenazas cibernéticas. Amenazas que pueden comprometer la información y salud de los sistemas informáticos de una organización. Enfoque basado en familias de controles y categorías de seguridad. Está basado en cinco funciones clave: identificar, proteger, detectar, responder, recuperar. Ofrece controles de seguridad específicos para implementar en función de las necesidades de la organización.
  • 12. MARCO NIST SP 800-53 Identificar: Desarrollar una comprensión organizacional para la gestión del riesgo de ciberseguridad de: sistemas, activos, datos y capacidades. Proteger: Desarrollar e implementar las protecciones apropiadas para garantizar la entrega de servicios. Detectar: Desarrollar e implementar las actividades apropiadas para identificar cuando ocurra un evento de ciberseguridad. Responder: Desarrollar e implementar las actividades apropiadas para tomar acción en relación con un evento de ciberseguridad detectado. Recuperar: Desarrollar e implementar las actividades apropiadas para mantener planes para la resiliencia y para reestablecer cualesquiera capacidades o servicios que hayan sido afectados durante un evento de ciberseguridad.
  • 13. MARCO NIST SP 800-53 Ventajas Retos Proporciona un conjunto completo de controles de seguridad recomendados. Guías y recomendaciones detalladas para la implementación de los controles. Ampliamente utilizado y aceptado en el ámbito gubernamental y de la industria en los Estados Unidos. Mejora la seguridad cibernética, promueve la comunicación y la colaboración del equipo, optimiza el tiempo y los recursos, se alinea con los estándares internacionales y establece un proceso estructurado en la gestión del riesgo. La gran cantidad de controles puede resultar abrumadora para algunas organizaciones. Requiere personal con conocimientos especializados para una implementación efectiva.
  • 14. NORMA ISO 27001 Fundamentos y Objetivos: • Proporciona una metodología basada en el riesgo para establecer, implementar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). Su objetivo principal es proporcionar un marco para proteger la información confidencial y garantizar la confidencialidad, integridad y disponibilidad de la información en todas las formas.
  • 15. NORMA ISO 27001 Fundamentos y Objetivos: Objetivos: Proporcionar un enfoque estructurado para la gestión de la seguridad de la información basado en la gestión de riesgos. Identificar y evaluar los riesgos de seguridad de la información para establecer controles adecuados. Asegurar la confidencialidad, integridad y disponibilidad de la información. Demostrar el compromiso de la alta dirección con la seguridad de la información. Cumplir con los requisitos legales y regulatorios relacionados con la seguridad de la información. Garantizar la mejora continua y la adaptación a los cambios en la seguridad de la información.
  • 16. NORMA ISO 27001 Estructura y Componentes: Se estructura en cláusulas y secciones. Incluye requisitos para el contexto de la organización, liderazgo, planificación, soporte, operación, rendimiento y mejora. Componentes principales: Política de seguridad de la información, análisis de riesgos, plan de tratamiento de riesgos, controles de seguridad, revisión por la dirección.
  • 17. NORMA ISO 27001 Estructura y Componentes: Sus principales componentes son: Contexto de la organización y liderazgo. Planificación del SGSI, incluida la identificación de riesgos y oportunidades. Soporte y recursos para la implementación del SGSI. Implementación y operación del SGSI. Evaluación del desempeño del SGSI. Mejora continua del SGSI
  • 18. NORMA ISO 27001 Requisitos Comunes relacionados con el diseño del SGSI: Ambas metodologías tienen en común el enfoque en el diseño y la implementación de un sistema que garantice la sostenibilidad y la seguridad en sus respectivos contextos: Identificación de riesgos: Ambos enfoques requieren la identificación de riesgos específicos para su posterior gestión. Mejora continua: Tanto NIST como ISO 27001 promueven la mejora continua de sus sistemas, mediante la revisión y actualización periódica de procesos y políticas.
  • 19. NORMA ISO 27001 La ISO 27001 sugiere una metodología basada en el ciclo PDCA para el diseño del SGSI: Planificar: Identificar los objetivos del SGSI, identificar riesgos, establecer políticas y procedimientos, y definir roles y responsabilidades. Hacer: Implementar las políticas y procedimientos, capacitar al personal y realizar las actividades planificadas. Verificar: Monitorear y medir el desempeño del SGSI mediante auditorías internas y revisiones de dirección. Actuar: Tomar acciones correctivas y preventivas para mejorar continuamente el SGSI.
  • 20. NORMA ISO 27001 Metodología y Enfoque: Enfoque basado en el análisis de riesgos y en el ciclo PDCA (Planificar-Hacer-Verificar- Actuar). - Requiere la identificación y evaluación de riesgos para determinar los controles necesarios.
  • 21. NORMA ISO 27001 Ventajas Retos Enfoque basado en el riesgo y adaptabilidad a diferentes contextos organizacionales. Reconocimiento internacional como estándar para la gestión de seguridad de la información. Fomenta la mejora continua y la adaptación a los cambios. Requiere un proceso más estructurado de análisis de riesgos y planificación. Puede requerir más esfuerzo para adaptarse a requisitos legales y regulatorios específicos de ciertos países.
  • 22. NORMA ISO 27001 Ventajas Retos Enfoque específico en la seguridad de la información y la gestión de riesgos. Amplia aceptación y reconocimiento a nivel internacional. Integración con otros sistemas de gestión ISO. Requiere una comprensión profunda de los riesgos y amenazas de seguridad de la información en la organización. Implementación y certificación pueden ser un proceso costoso y laborioso.
  • 23. MARCO NIST SP 800-53 VS NORMA ISO 27001 Identificación y evaluación de riesgos de seguridad de la información. Definición de controles y medidas de seguridad adecuados. Implementación de políticas y procedimientos de seguridad. Asignación de responsabilidades y roles claros en la gestión de la seguridad de la información. Monitoreo y medición del desempeño del SGSI. Realización de auditorías internas y revisión por la dirección. Mejora continua del SGSI basada en retroalimentación y resultados.
  • 24. NIST SP 800-53 ISO 27001 Fundamento Desarrollado por el National Institute of Standards and Technology (NIST) de los Estados Unidos. Desarrollado por la Organización Internacional de Normalización (ISO) como parte de la serie de estándares ISO/IEC 27000. Objetivo Proporcionar un conjunto completo de controles de seguridad recomendados para proteger la información sensible y crítica. Establecer, implementar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). Estructura Organizado en familias de controles y subcontroles. Estructurado en cláusulas y secciones. Componentes Principales Controles específicos y guías asociadas para cada familia de controles. Política de seguridad de la información, análisis de riesgos, controles de seguridad, etc. Requisitos Comunes ◙ Identificación y evaluación de riesgos. ◙ Identificación y evaluación de riesgos. ◙ Definición de controles y medidas de seguridad. ◙ Implementación de controles de seguridad. ◙ Implementación de políticas y procedimientos de seguridad. ◙ Auditorías internas y revisión por la dirección. ◙ Asignación de responsabilidades y roles claros. ◙ Mejora continua basada en retroalimentación. Metodología y Enfoque Enfoque basado en familias de controles y categorías de seguridad. El marco está basado en cinco funciones clave :identificar, proteger, detectar, responder, recuperar. Enfoque basado en el análisis de riesgos y el ciclo PDCA (Planificar- Hacer-Verificar-Actuar). Ventajas ◙ Proporciona un conjunto completo de controles. ◙ Enfoque basado en el riesgo y adaptabilidad. ◙ Guías detalladas para la implementación. ◙ Reconocimiento internacional como estándar. ◙ Amplia aceptación en el ámbito gubernamental y de la industria en los Estados Unidos. ◙ Fomenta la mejora continua y la adaptación a los cambios. Retos ◙ Cantidad abrumadora de controles para algunas organizaciones. ◙ Proceso estructurado de análisis de riesgos y planificación. ◙ Requiere personal con conocimientos especializados. ◙ Posible esfuerzo adicional para cumplir requisitos legales y regulatorios específicos. CUADRO COMPARATIVO
  • 25. CONCLUSIONES La norma ISO 27001 Proporciona un Marco estructurado y flexible para establecer, implementar, mantener y mejorar continuamente un SGSI. Su enfoque en la gestión y mejora continua lo convierte en una opción adecuada para organizaciones que priorizan la seguridad integral. NIST SP 800-53 se destaca por su enfoque en la gestión de riesgos y la implementación de controles basados en estándares técnicos. Además, cuenta con una amplia base de conocimientos y soporte de la comunidad de seguridad. Su enfoque detallado y técnico lo convierte en una opción sólida para organizaciones con requisitos específicos. Fortalezas de la norma ISO 27001 y del NIST SP 800-53
  • 26. CONCLUSIONES Diferencias en el enfoque Una diferencia clave entre ambos es mientras que el NIST se centra en controles técnicos y estándares específicos, la ISO 27001 se enfoca en la gestión y mejora continua del sistema de gestión de la seguridad de la información. Esto significa que el NIST es más detallado y técnico, mientras que la ISO 27001 es más holística y flexible en su enfoque. Diferencias en el alcance Otra diferencia, mientras que el NIST se centra principalmente en la seguridad de la información, la ISO 27001 abarca un espectro más amplio, incluyendo la gestión de riesgos, la continuidad del negocio y la conformidad legal. Esto hace que la ISO 27001 sea una opción más adecuada para organizaciones que buscan una gestión integral de la seguridad de la información.
  • 27. CONCLUSIONES En última instancia, la elección entre NIST SP 800-53 e ISO 27001 dependerá del contexto y las necesidades específicas de cada organización. Ambas metodologías son valiosas y pueden utilizarse de manera conjunta para fortalecer la seguridad de la información y proteger los activos empresariales de manera efectiva y eficiente.