“Gracias a la alianza con Delta Protect, Atrato ha logrado avances significativos hacia la certificación ISO 27001, fortaleciendo notablemente su seguridad y cumplimiento. El soporte continuo y las asesorías expertas de Delta, combinadas con la innovadora plataforma Apolo, han sido fundamentales para acelerar y optimizar nuestro roadmap, permitiéndonos enfrentar y superar eficazmente cualquier desafío en seguridad de la información.”
“Tras 3 meses de colaboración efectiva con Delta Protect, estamos impresionados con los resultados y la cobertura del programa de Pentesting de CISO As a Service. Hemos detectado y abordado vulnerabilidades clave, mejorando significativamente nuestra seguridad de la información. Los entrenamientos de Ciberseguridad y ejercicios de Phishing han sido cruciales para aumentar la conciencia de nuestros colaboradores. Agradecemos el seguimiento y apoyo continuo de Delta Protect y esperamos alcanzar más objetivos juntos.”
“Nuestra colaboración con Delta Protect marcó un hito en nuestra seguridad digital. Su enfoque meticuloso y detallado en el Pentest reveló vulnerabilidades ocultas que habían pasado inadvertidas, demostrando una eficacia y rapidez impresionante en su resolución. Además, su servicio de CISOaaS transformó nuestra estrategia de ciberseguridad, donde su equipo experto nos guió en el desarrollo de políticas robustas y procesos efectivos.”
“Me complace enormemente relatar la experiencia positiva y enriquecedora que hemos tenido con Delta Protect y su sobresaliente servicio de Chief Information Security Officer as a Service (CISOaaS). Representando al departamento de TI de Sperientia, quiero expresar mi profunda gratitud y aprecio por el alto nivel de calidad y profesionalismo evidenciado en nuestra colaboración con el equipo de Delta Protect. Desde el inicio de nuestra asociación con Delta Protect, hemos observado un compromiso y una excelencia excepcionales, superando ampliamente nuestras expectativas.”
“Mi experiencia con el equipo de especialistas de Delta Protect ha sido tremendamente positiva. En todo momento, han mostrado un alto grado de profesionalismo, experiencia y conocimiento, manejándose con una ética impecable. Su atención al detalle y su disposición para resolver problemas y brindar apoyo han sido imprescindibles. Como CISO, valoro enormemente contar con aliados tan confiables y competentes, que contribuyen significativamente a fortalecer la postura de ciberseguridad de mi compañía.”
Nuestra reciente experiencia con Delta Protect en el pentesting fue excepcional. Nos brindaron asistencia crucial para identificar y fortalecer aspectos de seguridad en variados sistemas e interfaces, abarcando front-end, back-end y aplicaciones móviles. Su enfoque ágil y sumamente profesional fue notable. Sin duda, confiaríamos nuevamente en Delta Protect para asegurar la integridad de nuestros sistemas.
Estoy absolutamente impresionado con la experiencia brindada por Delta Protect. Son, sin duda, el proveedor más responsable y cumplidor que hemos tenido el placer de colaborar.
Mi trayectoria con DeltaProtect se remonta a mi empleo anterior, donde ya tenía contacto con ellos desde el equipo de Ciberseguridad. Solicitamos pruebas de penetración (PT) para aplicaciones web y móviles. Mi experiencia con varios proveedores, grandes y pequeños, me ha demostrado que DeltaProtect se destaca significativamente. Sus informes y hallazgos son superiores, identificando vulnerabilidades que otros proveedores no detectaron. Lo que más valoro es la profundidad de sus pruebas y el enfoque en vulnerabilidades que requieren un análisis más detallado, más allá de los resultados automáticos.
"Delta Protect fue una solución óptima para nosotros. Buscábamos un proveedor bien actualizado técnicamente, que entendiera nuestro modelo de negocio y que nos diera la certeza de poder transmitir solidez a nuestros clientes. El trato del equipo Delta y sus procesos han superado nuestras expectativas, sin duda seguiremos trabajando juntos.”
"¡La experiencia general de trabajar con Delta Protect ha sido simplemente excelente! El equipo responde con velocidad, aclaran todas las preguntas a medida que surgen y el apoyo brindado durante todo el proceso es excelente. Lo Recomendaría sin dudarlo.”
"El servicio de Delta Protect es altamente profesional. Quedamos muy satisfechos con el resultado. Ofrecieron acompañamiento en todo momento para encontrar y solucionar las vulnerabilidades que encontraron en nuestro sistema.”
Marco de ciberseguridad del NIST: qué es y cómo implementarlo en tu pyme o startup
Ciberseguridad y Cumplimiento Simplificado para Startups y PYMEs en México y LATAM 🔐
Qué es el marco de ciberseguridad del NIST y cómo puedes implementarlo en tu pyme o startup
Conclusiones
Cyber Security researcher y profesional en tecnologías de la información con una fuerte preocupación por la privacidad y los derechos digitales. Como Hacker Ético y Purple Teamer, desarrollando e implementando controles y evaluaciones de seguridad basados en amenazas reales (“Threat-informed defense”), maximizando la operatividad y costos de implementación. Especialista en tecnologías Cloud e infraestructura, incluyendo arquitectura, evaluaciones, mejores prácticas, deployments y seguridad operacional.
Ciberseguridad y Cumplimiento Simplificado para Startups y PYMEs en México y LATAM 🔐
La ciberseguridad es un tema cada vez más importante en esta era digital, sobre todo para las pymes y las startups. A través del marco de ciberseguridad del NIST las empresas pueden mejorar su seguridad cibernética, ya que proporciona las mejores prácticas y medidas para prevenir, detectar y responder ante las ciberamenazas.
Si eres CEO de una pyme o startup y estás interesado en implementar el marco de ciberseguridad del NIST en tu empresa, te recomendamos seguir leyendo. ¡Protege tu negocio y los datos de tus clientes a partir de hoy!
¿Qué es el marco de ciberseguridad del NIST?
El marco de ciberseguridad del NIST (National Institute of Standards and Technology o Instituto Nacional de Estándares y Tecnología) o el NIST Cybersecurity Framework (NIST CSF), comprende un conjunto de estándares y buenas prácticas a los que diversas organizaciones pueden recurrir para gestionar los riesgos de seguridad cibernética que afectan a sus sistemas y, con ello, implementar estrategias que ayuden a reducirlos.
Las herramientas que provee este manual son sumamente generales, lo que hace posible que se adapten a todo tipo de empresas e instituciones, y a cualquier hardware o software. En este sentido, funciona como un lenguaje común para que las partes interesadas en la gestión de la ciberseguridad puedan comunicarse con facilidad.
La implementación del marco no es obligatoria, pero se usa como referencia para medir o implementar controles de seguridad, ya que ofrece numerosas ventajas: mejora la seguridad cibernética, promueve la comunicación y la colaboración del equipo, optimiza el tiempo y los recursos, se alinea con los estándares internacionales y establece un proceso estructurado en la gestión del riesgo.
Breve reseña histórica
Debido al incremento en los ciberataques a infraestructuras críticas en Estados Unidos, en febrero del 2013 se delegó al NIST el desarrollo de un marco de trabajo que permitiera la reducción de los riesgos cibernéticos asociados a estos entornos y el resultado de esto fue el marco del NIST publicado en febrero del 2014.
No obstante, el marco recopila y agrupa los controles de seguridad cibernética ya existentes en los principales estándares de la industria, como el NIST SP 800-53, ISO 27001, COBIT 5, entre otros. Lo que constituye en una herramienta adaptable a cualquier empresa para aplicar las mejores prácticas de gestión de riesgos.
Estructura del marco de ciberseguridad del NIST
El marco de ciberseguridad del NIST está compuesto por tres partes principales: el núcleo del marco o framework core, los niveles de implementación o tiers y los perfiles del marco.
Núcleo del marco
El núcleo del marco está compuesto por actividades y objetivos de ciberseguridad, clasificados en categorías y alineados con estándares de la industria. Tiene como función facilitar la comunicación entre equipos multidisciplinarios utilizando un lenguaje sencillo y fácil de entender.
Está dividido en tres partes: Funciones, Categorías y Subcategorías. Las funciones agrupan las principales actividades de ciberseguridad en un nivel superior: Identificar, Proteger, Detectar, Responder y Recuperar (los cuales explicaremos en la siguiente subsección).
Las categorías, que se dividen en 23, constan de las cinco funciones mencionadas anteriormente y exponen la amplia gama de objetivos de ciberseguridad para una empresa, cubriendo los aspectos técnicos, las personas y los procesos, enfocándose en los resultados.
Las subcategorías son declaraciones basadas en los resultados y hay 108, las cuales proporcionan datos para crear y mejorar un programa de ciberseguridad.
Niveles de implementación
Los niveles de implementación describen el grado de rigor con el que una organización adopta los estándares de ciberseguridad y qué tan bien están acoplados están los procesos para la mitigación de los riesgos de ciberseguridad. Existen 4 niveles:
Parcial
En este nivel, la empresa ya empezó a implementar el marco de ciberseguridad del NIST, pero todavía no ha completado todas las actividades necesarias.
Los negocios que se encuentran en este nivel tienen una comprensión limitada de sus activos de información y los riesgos asociados. Pueden contar con algunos controles de seguridad, pero estos no están integrados en una estrategia formal y no se mantienen regularmente.
Riesgo informado
Las empresas que se encuentran en este nivel, tienen una comprensión más clara de la gestión de activos y los riesgos asociados, pero todavía no está establecida como una política global.
La estrategia se documenta y se comienza a formar y educar al personal sobre las buenas prácticas de seguridad y establecer una estrategia de gestión de riesgos.
Repetible
Se establecen procedimientos formales y bien definidos para gestionar la seguridad de la información.
La empresa ya puede aplicar herramientas de monitoreo y análisis para supervisar constantemente los sistemas y detectar cualquier actividad sospechosa.
Adaptado
En el nivel más alto, la empresa pudo integrar las prácticas de ciberseguridad en todos los aspectos de su operación.
Los procesos de gestión de riesgos están automatizados, hay una comprensión completa de los activos de información y se busca mejorar la efectividad del programa de seguridad.
Perfiles del marco
Los perfiles del marco buscan alinear las funciones, categorías y subcategorías con los requisitos y objetivos empresariales, y su tolerancia al riesgo. Tienen la finalidad de describir el estado actual o deseado de las actividades de ciberseguridad.
El perfil actual indica los resultados obtenidos hasta ahora, mientras que el perfil objetivo presenta los resultados necesarios para alcanzar los objetivos de gestión de riesgos de ciberseguridad.
Funciones del marco de ciberseguridad del NIST
Las funciones incluidas en el núcleo del marco representan los pilares fundamentales de un programa de ciberseguridad completo y exitoso. Estas explican de forma sistemática y concreta los procesos de detección de vulnerabilidades y protección de la información que deben llevarse a cabo de forma continua y concurrente. Consta de 5 funciones:
Identificar
Permite a cada empresa comprender su contexto organizacional, los recursos con los que cuenta y los posibles riesgos de ciberseguridad a los que están expuestos. Esto incluye:
- Determinar y registrar los activos de información de la empresa, incluyendo hardware, software, datos y redes.
- Identificar las vulnerabilidades y las amenazas cibernéticas potenciales para los activos.
- Examinar los riesgos cibernéticos y definir los controles de seguridad adecuados para los activos.
- Plantear los requisitos legales necesarios para la empresa en relación con la ciberseguridad.
- Establecer una comprensión clara de los objetivos de la empresa con respecto a la ciberseguridad.
Proteger
Describe las medidas y protocolos de seguridad que deben tomarse para mantener las funciones de la infraestructura crítica. Se relaciona, por tanto, con la capacidad de prevenir un ataque cibernético.
- Implementar control de accesos y copias de seguridad adecuados para proteger los activos de la empresa.
- Aplicar las políticas de seguridad de la información y los procedimientos correspondientes para garantizar la protección de los activos.
- Ejecutar medidas técnicas de seguridad, como firewalls, sistemas de detección de intrusiones y software de seguridad de endpoints.
- Proporcionar formación y sensibilización sobre la seguridad cibernética al personal para fomentar una cultura de seguridad.
Detectar
Son las acciones que permiten identificar un ataque cibernético cuando ocurre.
- Implementar sistemas de monitoreo de seguridad para detectar las posibles amenazas cibernéticas.
- Realizar evaluaciones de seguridad y pruebas de penetración periódicamente para identificar las vulnerabilidades a tiempo.
- Establecer un proceso para informar y registrar los incidentes de seguridad cibernética.
Responder
Son las medidas que deben tomarse una vez se detecta un ciberataque, con la finalidad de contenerlo.
- Desarrollar un plan de respuesta ante las posibles amenazas para garantizar una respuesta rápida y efectiva cuando sucedan.
- Establecer un equipo que lleve la investigación de los incidentes sucedidos.
- Implementar nuevas medidas acordes a lo investigado para prevenir futuras amenazas.
- Contactar con las partes interesadas, incluidos los reguladores y clientes, para conversar sobre los incidentes y las medidas tomadas para actuar contra ellos.
Recuperar
Define las actividades necesarias para restaurar los servicios que pudieran verse afectados por un ataque.
- Desarrollar un plan de continuidad para restaurar los sistemas y los datos afectados por un incidente de seguridad cibernética.
- Realizar pruebas constantemente sobre el plan de continuidad para garantizar que siempre sea efectivo y se pueda implementar de inmediato.
- Implementar medidas para garantizar la continuidad de la empresa y minimizar el impacto de una amenaza.
- Analizar y optimizar los procedimientos de protección de la información en función de las lecciones aprendidas.
¿Cómo implementar el marco de ciberseguridad del NIST en tu pyme o startup?
El marco de ciberseguridad del NIST está diseñado para ser adaptado a todo tipo de organización o empresa. Puede ser utilizado para revisar y mejorar las prácticas de ciberseguridad que ya se implementan, o para crear un nuevo programa de ciberseguridad desde cero.
Los siguientes 7 pasos pueden guiar la creación de un programa de seguridad cibernética:
Priorizar y determinar el alcance
Definir los objetivos comerciales y las prioridades claves de la empresa para establecer el alcance del programa de seguridad cibernética, además de determinar qué procesos o líneas de negocio serán abordadas.
Orientación
Reconocer los sistemas y los activos involucrados, los requisitos regulatorios y el enfoque de riesgo para luego consultar diferentes fuentes y determinar las amenazas y las vulnerabilidades.
Crear un perfil actual
Desarrollar un perfil actual para indicar qué resultados de categoría y subcategoría del núcleo del marco se ha alcanzado hasta el momento. Si un resultado se alcanzó de forma parcial, anotar esta información, ya que puede resultar útil para la toma de decisiones en los siguientes pasos.
Realizar una evaluación de riesgos
Examinar el entorno operativo para definir la probabilidad y el impacto de eventos de ciberseguridad. Para entender el riesgo de dichos eventos, es recomendable identificar los riesgos emergentes y acudir a fuentes internas y externas de información sobre seguridad cibernética
Crear un perfil objetivo
Elaborar un perfil objetivo enfocado en las categorías y subcategorías del marco. Es necesario, tomar en cuenta las demandas y expectativas de las partes interesadas externas, como los clientes, los socios empresariales, etc.
Determinar, analizar y priorizar las brechas
Se comparan el perfil actual y el objetivo para identificar las brechas y elaborar un plan de acción para abordarlas, tomando en cuenta los costos, beneficios y riesgos. Luego, se determinan los fondos y fuerza laboral necesarios para abordar dicha brecha.
Implementar el plan de acción
Emplear el plan de acción para cerrar las brechas identificadas y tomar las medidas necesarias para actualizar los controles de seguridad, políticas y procedimientos, además de capacitar a los empleados.
La ciberseguridad es un tema complejo y en constante evolución, por lo que requiere conocimientos especializados, como lo tiene un CISO as a service de Delta Protect, para garantizar que se implementen los controles adecuados y se aborden los riesgos de manera efectiva de la empresa.
El marco de ciberseguridad del NIST es una herramienta esencial para ayudar a las empresas de cualquier tipo y tamaño contra las amenazas cibernéticas, ya que mejora la capacidad de detectar y responder ante dichas amenazas.
En Delta Protect simplificamos la ciberseguridad y el cumplimiento de tu empresa. Si quieres saber de qué otras formas podemos optimizar la ciberseguridad de tu empresa, agenda una demo de Apolo con nuestros expertos.
Cyber Security researcher y profesional en tecnologías de la información con una fuerte preocupación por la privacidad y los derechos digitales. Como Hacker Ético y Purple Teamer, desarrollando e implementando controles y evaluaciones de seguridad basados en amenazas reales (“Threat-informed defense”), maximizando la operatividad y costos de implementación. Especialista en tecnologías Cloud e infraestructura, incluyendo arquitectura, evaluaciones, mejores prácticas, deployments y seguridad operacional.
