En mayo de 2020, NIST publicó actividades fundamentales de ciberseguridad para fabricantes de dispositivos IoT (NIST IR 8259), que describe las actividades recomendadas de ciberseguridad que los fabricantes deben considerar realizar antes de que sus dispositivos IoT se vendan a los clientes. Estas actividades fundamentales de ciberseguridad pueden ayudar a los fabricantes a disminuir los esfuerzos relacionados con la ciberseguridad que los clientes necesitan, lo que a su vez puede reducir la prevalencia y la gravedad de los compromisos del dispositivo IoT y los ataques realizados utilizando dispositivos comprometidos. En los casi cinco años transcurridos desde que se lanzó este documento, se ha publicado en tres idiomas (inglés, español y portugués), descargado más de 40,000 veces, y fue felicitado por dos entradas adicionales en la serie: Capacidad de capacidad cibernética IoT Cibersecurity Baseline (NIST IR 8259A) e IoT no technical de soporte de soporte básico (Bas base NIST IR 8259B). NIST IR 8259A y NIST IR 8259B Complemento Las actividades descritas en NISTIR 8259 con capacidades técnicas específicas y actividades de apoyo no técnicas que los fabricantes deben considerar en sus diseños de productos y soporte para ayudar a garantizar que se aborden la preparación de los clientes y las necesidades de ciberseguridad y los objetivos NIST IR 8259 introducidos a los conceptos para ayudar a los fabricantes y a los clientes a los clientes que tienen la propiedad de los clientes de los centros de cibersidad de los objetivos de la red. o sistema para funcionar. Sin embargo, los conceptos de IoT adicionales han llamado la atención a través de los esfuerzos de NIST para construir sobre los fundamentos de la serie NIST IR 8259 que pueden ser útiles para agregar a NIST IR 8259. NIST busca discusiones y comentarios de la comunidad a medida que comenzamos el esfuerzo de actualizar NIST IR 8259 en nuestra próxima serie de talleres de diciembre … ¡y más allá! Elabore la ciberseguridad para varios sectores y casos de uso (por ejemplo, casos de uso de la agencia federal y la marca de fideicomiso cibernético de EE. UU.). NIST IR 8259 sirve como un documento fundamental para todas estas publicaciones, lo que proporciona la base conceptual y contextual para su orientación. Pero en su extensión de la guía, estas publicaciones posteriores también introducen nuevos conceptos. Estas publicaciones incluyen: Guía de seguridad cibernética del dispositivo IoT para el gobierno federal (NIST SP 800-213): una aplicación de la serie NIST IR 8259 al gobierno federal, incorporando ciberseguridad del producto en la guía de gestión de riesgos del sistema de información de NIST. Este documento analiza la relación entre la ciberseguridad del producto y la evaluación de riesgos. Además, el catálogo de requisitos de seguridad cibernética del dispositivo IoT (NIST SP 800-213A) proporciona la lista más detallada de capacidades que podrían ser necesarias de los dispositivos y sus fabricantes para hacer que esos dispositivos sean seguros. Este catálogo proporciona muchas capacidades adicionales, que van mucho más allá de las líneas de base, incluida una nueva capacidad técnica (es decir, seguridad del dispositivo). Este documento de línea de base del consumidor llevó a la expansión explícita de conceptos a considerar directamente un producto y todos sus componentes necesarios, como una aplicación móvil, puerta de enlace o backend remoto. Requisitos de ciberseguridad recomendados para productos de enrutador de grado consumidor (NIST IR 8425A): este informe incluye resultados de seguridad cibernética para productos de enrutador de grado consumidor y requisitos asociados de las normas del enrutador, demostrando cómo las normas y otras orientaciones pueden proporcionar la base para los requisitos que demuestren la satisfacción de la capacidad de ciberseguridad o los estados de resultados de los resultados de los resultados de los resultados (conceptos (conceptos (conceptos (los conceptos de los conceptos de la capacidad de la satisfacción de la satisfacción o los conceptos de la capacidad de los productos de la capacidad de los conceptos o los conceptos de los conceptos (los conceptos de los conceptos (los conceptos de la capacidad de los productos. CSWP 33). Una discusión de conceptos importantes para desarrollar e implementar productos de IoT seguros para cualquier sector o caso de uso, incluida la arquitectura de productos de IoT, la implementación, los roles y las perspectivas de seguridad cibernética. NIST propone revisar NIST IR 8259 para alinearse mejor con los conceptos introducidos en estas publicaciones. Además, algunos temas han aparecido constantemente en nuestras discusiones con la comunidad que consideramos áreas potenciales para agregar a un NIST IR 8259 revisado, que incluyen: ampliar las discusiones de un enfoque en dispositivos IoT individuales a consideraciones de productos de IoT enteros (y productos conectados) para reflejar mejor la amplia variedad de aplicaciones y casos de uso que existen. Desarrollar la relación entre la evaluación de riesgos y las actividades de modelado de amenazas. Aborde las diferentes consideraciones de seguridad cibernética entre TI, IoT, OT e IOT identifican ideas, consideraciones, enfoques, etc. para IoT basado en el marco de privacidad NIST, los sistemas físicos Cyber ​​Cyber/marco de IoT, el marco de seguridad cibernética NIST 2.0 y el marco de desarrollo de software NIST. tecnologías más directamente (es decir, tecnología inmersiva, inteligencia artificial). Descubra cualquier relación que pueda existir entre la reparabilidad de los productos conectados y la seguridad cibernética. Aproveche la orientación sobre el equilibrio 8259 podría incorporar o expandirse en una revisión. Estamos en las primeras etapas de este esfuerzo y buscamos pensamientos y comentarios de la comunidad. Si desea interactuar con el equipo o compartir sus ideas, envíenos un correo electrónico a iotsecurity [at] nist.gov (iotsecurity[at]nist[dot]Gobierno). ¿Aprender a aprender más? Únase a nosotros el 4 de diciembre de 2024 en el Centro de Excelencia NIST National CyberSecurity (NCCOE) para discutir estos temas en un evento durante todo el día. La mañana consistirá en un coloquio de oradores del sector público y privado, mientras que la tarde consistirá en sesiones guiadas para facilitar las discusiones interactivas entre los asistentes. Registre aquí antes del viernes 22 de noviembre para asistir a la persona.