1.2.2 NIST (National Institute of Standars and Technology)
El Instituto Nacional de Estándares y Tecnologías publica buenas prácticas relacionadas con distintas tecnologías. La "serie 800" se orienta a la seguridad y otra serie de guías 1800 se dedica a la ciberseguridad.
Guía 800-39: dedicada a la gestión de reisgos de seguridad en los sistemas de seguridad. Proporciona una guía en la integración de la gestión del riesgo.
En el capítulo 2 describe:
- Los componentes de un gestor de riesgos
- Una aproximación a varios niveles para llevar a cabo la gestión.
- La gestión de riesgos a nivel de organización.
- La gestión de riesgos a nivel de los procesos de negocio u objetivos de la empresa.
- La gestión de riesgos a nivel de los sistemas de información.
- Riesgos relacionados con la confianza y la confidencialidad.
- Los efectos de la cultura de la organización sobre los riesgos.
- Relaciones entre los conceptos clave de gestión de riegos.
En el capítulo 3 describe un ciclo de vida par la gestión de los riesgos en los sitemas de la información incluyendo:
- Una visión global del proceso de gestión de riesgos.
- Como las organizaciones establecen el contexto necesario para la toma de decisiones relacionadas con los riesgos.
- Como las organizaciones evalúan el riesgo.
- Como las organizaciones responden ante un riesgo.
- Como las organizaciones monitorizan de forma continua los riesgos.
Guía 800-53: orientada hacia los controles de seguridad derivados del análisis de riesgos en una organización. Se basa en una aproximación a varios niveles.
En el capítulo 2 se describen
- Gestión del riesgo a varios niveles.
- La estructura de los riesgos así como su clasificación en varias familias conceptuales.
- Las líneas base de los controles como punto inicial para orquestar el proceso.
- El uso de controles más habituales y la herencia de las capacidades de seguridad.
- Proveedores de servicios y entornos externos.
- Garantías y confianza.
- Revisiones y extensiones a los controles de seguridad y las líneas base de control.
Todos estos niveles están organizados en 18 familias de controles de seguridad:
- Control de acceso.
- Concienciación y formación
- Auditoría y formación.
- Evaluación de la seguridad y autorización.
- Gestión de configuraciones.
- Planes de contingencia.
- Identificación y autenticación.
- Respuesta ante incidentes.
- Mantenimiento.
- Protección de los medios.
- Protección física y ambiental.
- Planificación.
- Seguridad del personal.
- Análisis de riesgo.
- Adquisición de sistemas y servicios.
- Protección de las comunicaciones y los sistemas.
- Integridad de la información y los sistemas.
- Gestión de programas.
En el capítulo 3 de la guía 800-53 se describe el proceso de seleccionar y describir los controles de seguridad:
- Seleccionar las líneas base apropiadas para los controles.
- Seguir los controles base, incluyendo el solapamiento entre ellos.
- Documentar el proceso de selección de controles de seguridad.
- Aplicar el proceso de selección a los sistemas nuevos y los sistemas heredados.