Mapping Relationships Between Documentary Standards, Regulations, Frameworks, and Guidelines: Developing Cybersecurity and Privacy Concept Mappings

Mapping-Relationships-Between-Documentary-Standards-Regulations-Frameworks-and-Guidelines-Developing-Cybersecurity-and-Privacy-Concept-Mappings.jpg

Un concepto es una «unidad de conocimiento creada por una combinación única de características». En ciberseguridad y privacidad, hay muchos tipos de conceptos, incluyendo controles, requisitos, recomendaciones, resultados, tecnologías, funciones, procesos, técnicas, roles y habilidades. El término mapeo indica que un concepto está relacionado con otro concepto. Muchas de las correspondencias existentes no caracterizan sus relaciones. En otras palabras, no indican cómo se relacionan los dos conceptos. Por ejemplo, un mapeo puede decir que el control Identity Governance de una norma de ciberseguridad «está relacionado con» el control AC-2, Account Management, de NIST. Sin embargo, este mapeo no indica cómo se relaciona un concepto con otro. Sin embargo, este mapeo no indica si los dos controles son equivalentes, si uno ayuda a lograr el otro, si uno es un prerrequisito o componente del otro, o si se superponen. El mapeo se realiza a menudo como un ejercicio abstracto (por ejemplo, «mapear de A a B») sin determinar, documentar o comunicar explícitamente el propósito, los casos de uso, el alcance, la audiencia u otros supuestos del mapeo. El resultado es que los usuarios deben adivinar su significado y contexto. Este tipo de cartografías ahorran un poco de tiempo a los usuarios al indicarles información potencialmente relevante. Los usuarios de estas correspondencias deben leer y comprender los conceptos de ambos documentos en sus respectivos contextos para entender la naturaleza de la relación. Esto pone de relieve otro problema: la falta de coherencia y transparencia en las hipótesis y los enfoques cartográficos seguidos por los expertos en la materia (PYME) que crean las correspondencias. Las correspondencias son menos valiosas y más difíciles de utilizar y mantener si no se indica claramente por qué se han correspondido dos conceptos. Este documento describe un enfoque que el NIST utilizaría y otras partes podrían utilizar para mapear los elementos de las normas documentales, reglamentos, marcos y directrices a las publicaciones del NIST, como las subcategorías CSF.

 

El NIST tiene la intención de utilizar este enfoque para futuros mapeos que impliquen publicaciones de ciberseguridad y privacidad del NIST que se presentarán a través del proceso de Referencias Informativas Nacionales en Línea (OLIR) del NIST para su alojamiento en la Herramienta de Referencia de Ciberseguridad y Privacidad (CPRT) en línea del NIST. Siguiendo este enfoque, el NIST y otros en la comunidad de estándares de ciberseguridad y privacidad pueden establecer conjuntamente un único sistema de conceptos a lo largo del tiempo que vincule los conceptos de ciberseguridad y privacidad de muchas fuentes en un conjunto cohesivo y consistente de mapeos de relaciones dentro de la CPRT del NIST. El planteamiento se basa en el sistema de conceptos y en las normas terminológicas, así como en la experiencia sobre la información que la comunidad de la ciberseguridad y la privacidad encontraría más valiosa. Siguiendo este enfoque, el NIST y otros miembros de la comunidad de normas de ciberseguridad y privacidad pueden establecer conjuntamente un único sistema de conceptos a lo largo del tiempo que vincule conceptos de ciberseguridad y privacidad de muchas fuentes en un conjunto coherente y cohesivo de correspondencias de relaciones. Los mapeos pueden ser utilizados por diferentes audiencias para describir mejor los aspectos interrelacionados del corpus global de ciberseguridad y privacidad. El NIST tiene la intención de que el enfoque se utilice para mapear las relaciones entre las publicaciones de ciberseguridad y privacidad del NIST que se presentarán al Programa Nacional de Referencias Informativas en Línea (OLIR) del NIST para su alojamiento en la Herramienta de Referencia de Ciberseguridad y Privacidad (CPRT) en línea del NIST.

 

El informe busca comprender cómo se relacionan entre sí los elementos de diversas fuentes de contenido sobre ciberseguridad y privacidad es un reto permanente para las personas de casi todas las organizaciones. Este documento explica el enfoque propuesto por el NIST para identificar y documentar las relaciones entre conceptos tales como controles, requisitos, recomendaciones, resultados, tecnologías, funciones, procesos, técnicas, roles y habilidades. El informe se centra en la creación de mapas conceptuales que visualizan las interrelaciones entre estándares documentales, regulaciones, marcos de trabajo y pautas relacionadas con la ciberseguridad y la privacidad. Este esfuerzo busca proporcionar una comprensión más clara y organizada de cómo estos elementos se entrelazan en el contexto de la seguridad cibernética y la protección de la privacidad, lo que puede ser de gran utilidad para la formulación de políticas, la toma de decisiones y la implementación de estrategias efectivas en estas áreas críticas.

Para leer más ingrese a:

https://csrc.nist.gov/pubs/ir/8477/ipd

https://nvlpubs.nist.gov/nistpubs/ir/2023/NIST.IR.8477.ipd.pdf

¡Haz clic para puntuar esta entrada!
(Votos: 0 Promedio: 0)

Compartir artículo

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Busca los documentos, noticias y tendencias más relevantes del sector eléctrico

Buscador de documentos
Buscador de noticias y tendencias

Banco de Información

Descripción del semáforo tecnológico

Los documentos se clasifican en varios colores tipo semáforo tecnológico que indican el nivel de implementación de la tecnología en el país

Tecnología en investigación que no ha sido estudiado o reglamentado por entidades del sector.

La tecnología se aplica de manera focal y se encuentra en estudio por parte de las entidades del sector.

La tecnología se aplica de manera escalable y se encuentran políticas y regulaciones focales establecidas.

La tecnología se aplica a través de servicios  y se encuentran políticas y regulaciones transversales establecidas.

La tecnología se aplica de manera generalizada  y se tiene un despliegue masivo de esta.

Para acceder a todos los documentos publicados y descargarlos ingresa aquí