4 nov. 2016

Framework de ciberseguridad de NIST

El Instituto Nacional de Estándares y Tecnología (NIST) ha publicado un borrador de una herramienta de auto-evaluación que está diseñada para ayudar a las empresas a medir el impacto y la eficacia de sus iniciativas de gestión de riesgos de seguridad de la información.

Baldrige Cybersecurity Excellence Builder [PDF] es una herramienta de auto-evaluación que se basa en el Baldrige Performance Excellence Program de NIST y los mecanismos de gestión de riesgos de seguridad en el framework de ciberseguridad de NIST. Este programa está diseñado para ayudar a las organizaciones en todo el mundo a guiar sus operaciones, mejorar el rendimiento y lograr resultados sostenibles.
La herramienta está destinada a ayudar a las organizaciones a asegurar sus sistemas y procesos que soportan grandes actividades y funciones de la organización. De acuerdo al NIST, las organizaciones pueden utilizar el programa para:
  • Identificar las actividades críticas relacionadas con la seguridad de la información para la estrategia empresarial y la prestación de servicios críticos;
  • Dar prioridad a las inversiones en la gestión de riesgos de seguridad;
  • Evaluar la eficacia y la eficiencia en el uso de normas de seguridad, directrices y buenas prácticas;
  • Evaluar sus resultados de seguridad; y
  • Identificar las prioridades de mejora.
Tanto el constructor y el marco de trabajo se pueden adaptar para satisfacer las necesidades específicas de una organización.

NIST dice que el constructor guía a los usuarios a través de un proceso que detalla las características y estrategias vinculadas a la seguridad. Una serie de preguntas ayudan a definir los enfoques de la organización hacia la seguridad en las áreas de liderazgo, estrategia, clientes, fuerza de trabajo y operaciones, así como los resultados obtenidos con ellos. NIST recomienda a las organizaciones utilizan el constructor periódicamente, para mantener más alto nivel ciberseguridad.

Por su parte, la herramienta de auto-evaluación ayuda a los usuarios a determinar el nivel de madurez en seguridad, determinando si es reactivo o temprano y maduro. La evaluación completa puede conducir a un plan de acción para el mejoramiento de las prácticas y la gestión de seguridad y la implementación de estas mejoras. También se puede medir el progreso y la eficacia del proceso.
Fuente: Data Breach Today

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!