Perfil de inteligencia artificial generativa El documento “NIST AI 600-1, Marco de gestión de riesgos de inteligencia artificial: perfil de inteligencia artificial generativa” describe un marco integral para la gestión de riesgos asociados con la inteligencia artificial generativa. Cubre varios aspectos, como términos del glosario, categorización de riesgos y acciones para gobernar, mapear, medir y gestionar los riesgos de manera efectiva. El documento enfatiza la importancia de documentar los detalles del modelo de IA, medir e informar los resultados, verificar la calibración y la solidez de las técnicas de explicación y establecer roles y responsabilidades claros para la respuesta a incidentes en los sistemas GAI que involucran a múltiples organizaciones. También destaca la importancia de desarrollar políticas para monitorear las evaluaciones de impacto, establecer términos de uso y servicio y promover la transparencia a través de informes estandarizados de incidentes en el ecosistema de IA. Además, aborda la participación de actores de IA en la notificación de incidentes, técnicas de reproducibilidad, reevaluación de modelos y revisión de acuerdos y contratos de nivel de servicio relacionados con propiedades intelectuales de terceros. El marco tiene como objetivo mejorar la transparencia, la rendición de cuentas y las prácticas de gestión de riesgos en el despliegue y operación de sistemas de inteligencia artificial generativa. Vistas: 0
Etiqueta: NIST
El Manual proporciona acciones sugeridas para lograr los resultados establecidos en el Marco de Gestión de Riesgos de IA (AI RMF) Core (Tablas 1 a 4 en AI RMF1.0). Las sugerencias están alineadas con cada subcategoría dentro de las cuatro funciones de AI RMF (gobernar, mapear, medir, gestionar). El Playbook no es una lista de verificación ni un conjunto de pasos a seguir en su totalidad. Las sugerencias del Playbook son voluntarias. Las organizaciones pueden utilizar esta información tomando prestadas tantas (o tan pocas) sugerencias como se apliquen a sus intereses o casos de uso en la industria. Vistas: 0
El Centro de Análisis e Intercambio de Información Multiestatal (MS-ISAC) ofrece esta guía a los participantes de la Revisión Nacional de Ciberseguridad (NCSR) y a los miembros de MSISAC, como un recurso para ayudar con la aplicación y el avance de las políticas de ciberseguridad. Las plantillas de políticas son proporcionada por cortesía del Estado de Nueva York y del Estado de California. Las plantillas se pueden personalizar y utilizar como resumen de una política organizacional, y el usuario final debe agregar detalles adicionales. El conjunto de preguntas NCSR representa el Marco de Ciberseguridad del Instituto Nacional de Estándares y Tecnología (NIST CSF). Esta guía brinda la correlación entre 49 de las subcategorías del NIST CSF y las plantillas estándar y de políticas aplicables. Una subcategoría NIST está representada por texto, como «ID.AM-5». Esto representa la función NIST de Identificar y la categoría de Gestión de activos. Para obtener información adicional sobre los servicios proporcionados por el Centro de Análisis e Intercambio de Información Multiestatal (MS-ISAC), consulte la siguiente página: https://www.cisecurity.org/ms-isac/services/. Estas plantillas de políticas también están asignadas a los recursos que proporcionan MS-ISAC y CIS, recursos de código abierto y capacitación gratuita de FedVTE: https://www.cisecurity.org/wp-content/uploads/2019/11/Cybersecurity-Resources-Guide .pdf.Descargo de responsabilidad: Es posible que estas políticas no hagan referencia a la revisión NIST aplicable más reciente; sin embargo, pueden usarse como plantilla de referencia para los usuarios finales. Estas plantillas de políticas no deben ser utilizadas por ninguna organización con fines lucrativos o monetarios. Vistas: 0
La respuesta a incidentes es una parte fundamental de la gestión de riesgos de ciberseguridad y debe integrarse en todas las operaciones organizacionales. Las seis funciones del CSF 2.0 desempeñan funciones vitales en la respuesta a incidentes: Gobernar, identificar y proteger ayudan a las organizaciones a prevenir algunos incidentes, prepararse para manejar los incidentes que ocurren, reducir el impacto de esos incidentes y mejorar la respuesta a incidentes y las prácticas de gestión de riesgos de ciberseguridad basadas en lecciones aprendidas de esos incidentes. Detectar, responder y recuperar ayuda a las organizaciones a descubrir, gestionar, priorizar, contener, erradicar y recuperarse de incidentes de ciberseguridad, así como a realizar informes, notificaciones y otras comunicaciones relacionadas con incidentes. Muchas personas, equipos y terceros desempeñan una amplia variedad de funciones y responsabilidades en todas las funciones que respaldan la respuesta a incidentes de una organización. Las organizaciones no tienen control directo sobre las tácticas y técnicas utilizadas por sus adversarios, ni están seguras sobre el momento de un incidente futuro, aparte de saber que otro incidente es inevitable. Sin embargo, las organizaciones pueden utilizar un marco o modelo de ciclo de vida de respuesta a incidentes que mejor se adapte a ellas para desarrollar prácticas sólidas de gestión de riesgos de ciberseguridad que reduzcan sus riesgos a niveles aceptables. Esta publicación adopta las funciones, categorías y subcategorías del CSF 2.0 como su nuevo estándar de alto nivel. modelo de respuesta a incidentes. Esto proporciona una taxonomía común que ya se utiliza ampliamente para comunicar sobre respuesta a incidentes y gestión y gobernanza de riesgos de ciberseguridad. Esto también permite a las organizaciones acceder a una variedad de recursos en línea asignados a cada función, categoría y subcategoría a través de la herramienta de referencia de privacidad y ciberseguridad (CPRT) del NIST. Estos recursos incluyen asignaciones a otros estándares y directrices de respuesta a incidentes y gestión de riesgos de ciberseguridad, así como fuentes de orientación de implementación que las organizaciones pueden optar por utilizar según sea necesario. Vistas: 0
El Instituto Nacional de Estándares y Tecnología ha actualizado su Marco de Ciberseguridad para 2024. La versión 2.0 del NIST CSF, la primera actualización importante desde que se lanzó el marco hace una década, se creó con el objetivo de ampliar la audiencia principal desde la infraestructura crítica a todos. organizaciones. En general, el NIST CSF tiene como objetivo estandarizar prácticas para garantizar una protección uniforme de todos los activos cibernéticos de EE. UU. La hoja de referencia de TechRepublic sobre el NIST CSF es una descripción general de esta nueva mejor práctica recomendada por el gobierno e incluye pasos para implementar el marco de seguridad. ¿Qué es el marco de ciberseguridad del NIST? El NIST CSF es un conjunto de estándares opcionales, mejores prácticas y recomendaciones para mejorar la ciberseguridad y la gestión de riesgos a nivel organizacional. El objetivo del CSFl es crear un lenguaje común, un conjunto de estándares y una serie de objetivos fácilmente ejecutables para mejorar la ciberseguridad y limitar el riesgo de ciberseguridad. El NIST tiene documentación exhaustiva sobre el CSF en su sitio web, junto con enlaces a preguntas frecuentes, recursos de la industria y otra información necesaria para facilitar la transición empresarial a un mundo CSF. ¿El marco de ciberseguridad del NIST es sólo para uso gubernamental? El marco NIST no es sólo para uso gubernamental: puede adaptarse a empresas de cualquier tamaño. El CSF afecta a cualquiera que tome decisiones sobre ciberseguridad y riesgos de ciberseguridad en sus organizaciones, y a los responsables de implementar nuevas políticas de TI. Los estándares NIST CSF son opcionales, es decir, no hay penalización para las organizaciones que no deseen seguirlos. Sin embargo, esto no significa que el NIST CSF no sea un punto de partida ideal para las organizaciones: se creó con escalabilidad e implementación gradual para que cualquier empresa pueda beneficiarse y mejorar sus prácticas de seguridad y prevenir un evento de ciberseguridad. ¿Se aplica el marco de ciberseguridad del NIST fuera de los Estados Unidos? Aunque el NIST CSF es una publicación del gobierno de EE. UU., puede resultar útil para las empresas a nivel internacional. El NIST CSF está alineado con la Organización Internacional de Normalización y la Comisión Electrotécnica Internacional. La versión 2.0 probablemente será traducida por voluntarios de la comunidad en el futuro, dijo el NIST. Los resultados de ciberseguridad descritos en el CSF son “neutrales en cuanto a sector, país y tecnología”, escribió el NIST en la Versión 2.0. VER: Todas las hojas de trucos de TechRepublic ¿Por qué se creó el marco NIST? El mundo de la ciberseguridad está fragmentado, a pesar de su importancia cada vez mayor para las operaciones comerciales diarias. Las organizaciones no comparten información, los profesionales de TI y los ejecutivos de nivel C eluden sus propias políticas y las organizaciones hablan sus propios lenguajes de ciberseguridad. El objetivo del NIST con la creación del CSF es ayudar a eliminar el caótico panorama de ciberseguridad en el que nos encontramos. ¿Cuándo se creó el Marco de Ciberseguridad del NIST? El expresidente Barack Obama firmó la Orden Ejecutiva 13636 en 2013, titulada Mejora de la ciberseguridad de las infraestructuras críticas, que preparó el escenario para el Marco de Ciberseguridad del NIST que se publicó en 2014. La orden ejecutiva de ciberseguridad de 2017 del expresidente Donald Trump fue un paso más allá e hizo que el marco creado por La orden de Obama en la política del gobierno federal. La versión 2.0 del NIST CSF se creó en conjunto con la Estrategia Nacional de Ciberseguridad de marzo de 2023 bajo la presidencia de Joe Biden. Cobertura de seguridad de lectura obligada ¿Qué hay de nuevo en la versión 2.0 del marco de ciberseguridad del NIST? La versión 2.0 del NIST CSF amplía el alcance del marco desde la infraestructura crítica a organizaciones en todos los sectores y agrega un nuevo énfasis en la gobernanza. La parte de gobernanza posiciona la ciberseguridad como una de las fuentes más importantes de riesgo empresarial que los altos líderes empresariales deberían considerar, junto con las finanzas, la reputación y otros. El NIST CSF 2.0 incluye guías de inicio rápido, herramientas de referencia y guías de perfil organizacional y comunitario. Las herramientas de referencia se crearon para proporcionar a las organizaciones una forma simplificada de implementar el CSF en comparación con la versión 1.1. La versión 2.0 del NIST CSF agrega: La función de «gobierno», que se centra en cómo las organizaciones pueden tomar decisiones informadas con respecto a su estrategia de ciberseguridad. Ejemplos de implementación y referencias informativas, que se actualizarán en línea periódicamente. Perfiles organizacionales, que pueden ayudarlos a determinar su situación actual. estado en términos de ciberseguridad y a qué estado podrían querer pasar. ¿Cuáles son las 6 actividades principales del Marco NIST? A partir de la Versión 2.0 del Marco NIST, estas son las seis actividades principales: identificar, proteger, detectar, responder, recuperar y gobernar. Estas actividades, o funciones, del Marco NIST se utilizan para organizar los esfuerzos de ciberseguridad en el nivel más básico. ¿Cuáles son los cuatro componentes del marco de ciberseguridad del NIST? El marco se divide en cuatro componentes: Núcleo, Perfiles Organizacionales, Niveles y Referencias Informativas. Básico El componente principal es “un conjunto de actividades para lograr resultados específicos de ciberseguridad y hace referencia a ejemplos de orientación para lograr esos resultados”. Además, se divide en tres elementos: funciones, categorías y subcategorías. Funciones: En este apartado se explican las seis funciones: Identificar, proteger, detectar, responder, recuperar y gobernar. Juntas, estas seis funciones forman un enfoque de alto nivel para proteger los sistemas y responder a las amenazas. Piense en ellas como sus tareas básicas de gestión de incidentes. Categorías: cada función contiene categorías que se utilizan para identificar tareas o desafíos específicos dentro de ella. Por ejemplo, la función de protección podría incluir control de acceso, gestión de identidad, seguridad de datos y seguridad de plataforma. Subcategorías: Son divisiones adicionales de categorías con objetivos específicos. La categoría de seguridad de los datos podría dividirse en tareas como proteger los datos en reposo, en tránsito y en uso o crear, proteger, mantener y probar copias de seguridad. Perfiles organizacionales Los perfiles son tanto esquemas del estado actual de ciberseguridad de una organización como hojas de ruta hacia los objetivos del CSF para posturas de seguridad más sólidas. El NIST dijo que tener múltiples perfiles, tanto actuales como objetivos, puede ayudar a una organización a encontrar puntos débiles en sus implementaciones de ciberseguridad y facilitar el paso de niveles inferiores a superiores. Los perfiles ayudan a conectar las funciones, categorías y subcategorías con los requisitos comerciales, la tolerancia al riesgo y los recursos de la organización más grande a la que sirve. Niveles Hay cuatro niveles de implementación y, si bien los documentos del CSF no los consideran niveles de madurez, los niveles más altos se consideran una implementación más completa de los estándares del CSF para proteger la infraestructura crítica. NIST considera que los niveles son útiles para informar los perfiles actuales y de destino de una organización. Nivel 1: denominada implementación parcial, las organizaciones del Nivel 1 tienen una postura de ciberseguridad reactiva y ad hoc para proteger sus datos. Tienen poca conciencia del riesgo de ciberseguridad organizacional y cualquier plan implementado a menudo se realiza de manera inconsistente. Nivel 2: En el nivel llamado informado sobre riesgos, las organizaciones pueden estar aprobando medidas de ciberseguridad, pero la implementación aún es poco sistemática. Son conscientes de los riesgos, tienen planes y cuentan con los recursos adecuados para protegerse de una violación de datos, pero no han llegado a un punto proactivo. Nivel 3: El tercer nivel se llama repetible, lo que significa que una organización ha implementado los estándares NIST CSF en toda la empresa y es capaz de responder repetidamente a las crisis cibernéticas. La política se aplica de manera consistente y los empleados están informados de los riesgos. Nivel 4: llamado adaptativo, este nivel indica la adopción total del NIST CSF. Las organizaciones adaptables no sólo están preparadas para responder a las amenazas cibernéticas: detectan amenazas de forma proactiva y predicen problemas en función de las tendencias actuales y su arquitectura de TI. Referencias informativas y otros recursos en línea Las Referencias informativas proporcionadas con la Versión 2.0 del CSF son documentación, pasos para la ejecución, estándares y otras pautas. Un buen ejemplo en la categoría de actualización manual de Windows sería un documento que describa los pasos para actualizar manualmente las PC con Windows. En la versión 2.0, las referencias informativas, los ejemplos de implementación y las guías de inicio rápido se pueden encontrar a través del sitio web del NIST CSF o del documento CSF. ¿Cuándo se actualiza el marco de ciberseguridad del NIST? A medida que cambian las necesidades de las organizaciones, el NIST planea actualizar continuamente el CSF para mantenerlo relevante. Las actualizaciones del CSF se realizan como parte de la conferencia anual del NIST sobre el CSF y tienen en cuenta los comentarios de los representantes de la industria, por correo electrónico y mediante solicitudes de comentarios y solicitudes de información que el NIST envía a grandes organizaciones. ¿Qué organizaciones pueden utilizar el marco de ciberseguridad del NIST? El NIST CSF afecta a todos los que tocan una computadora por motivos comerciales. Los equipos de TI y los CXO son responsables de implementarlo; los empleados regulares son responsables de seguir los estándares de seguridad de su organización; y los líderes empresariales son responsables de capacitar a sus equipos de seguridad para proteger su infraestructura crítica. Específicamente, la nueva función de gobierno del NIST CSF 2.0 incluye canales de comunicación entre ejecutivos, gerentes y profesionales: cualquiera que tenga interés en la salud tecnológica de la empresa. El grado en que el NIST CSF afectará a la persona promedio tampoco disminuirá con el tiempo, al menos no hasta que se implemente de manera generalizada y se convierta en el nuevo estándar en la planificación de la ciberseguridad. ¿Cómo puedo implementar el marco de ciberseguridad del NIST? Comience a trabajar en la implementación del CSF visitando el sitio web del Marco de ciberseguridad del NIST. De particular interés para los tomadores de decisiones de TI y los profesionales de seguridad es la página de Recursos Marco del NIST, donde encontrará metodologías, pautas de implementación, estudios de casos, materiales educativos, perfiles de ejemplo y más. «El CSF no prescribe cómo se deben lograr los resultados», señala el NIST en el marco. «Más bien, enlaza con recursos en línea que brindan orientación adicional sobre prácticas y controles que podrían usarse para lograr esos resultados». El NIST CSF puede mejorar la postura de seguridad de organizaciones grandes y pequeñas, y potencialmente podría posicionarlo como líder en prácticas de ciberseguridad con visión de futuro o prevenir un evento catastrófico de ciberseguridad.