"Año del Diálogo y Reconciliación Nacional"

“Facultad de ingeniería en informática y sistemas”

NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY (NIST)

DOCENTE : Ing. MARCHAND NIÑO, Williiam Rogelio

AUTOR : UNZUETA DIEGO, Jean Fernando.

CURSO : SEGURIDAD INFORMÁTICA I

SEMESTRE : 2018 – II

Tingo María, Septiembre del 2018

 Contenido
INTRODUCCIÓN ....................................................................................................... 3
I. Aspectos Generales .......................................................................................... 4
1.1. Misión ............................................................................................................ 4
1.2. Visión ............................................................................................................ 4
1.3. Competencias centrales ................................................................................ 4
1.4. Valores centrales .......................................................................................... 4
II. HISTORIA ........................................................................................................ 5
2.1. Primer Director ................................................................................................. 5
2.2. Fundación ........................................................................................................ 5
2.3. Código Nacional de Seguridad Eléctrica .......................................................... 5
2.4. Seguridad para el hogar................................................................................... 6
2.5. Estándar de cifrado avanzado ......................................................................... 6
III. COMUNICACIONES AVANZADAS, REDES Y SISTEMAS DE DATOS
CIENTÍFICOS .............................................................................................................. 6
3.1 Alianza para redes 5G .......................................................................................... 6
3.2 Estándares biométricos para el cumplimiento de la ley ....................................... 7
3.3 Marco de seguridad cibernética ........................................................................... 7
3.4 Sistemas de control industrial Ciberseguridad .................................................... 8
3.5 Usabilidad de Software ........................................................................................ 8
IV. CIBERSEGURIDAD Y PRIVACIDAD .............................................................. 9
4.1 Marco de seguridad cibernética ........................................................................... 9
4.2 Sistemas de control industrial Ciberseguridad .................................................. 10
4.3 Seguridad en línea mediante encriptación fuerte ............................................... 10
4.4 Seguridad de la bomba de infusión inalámbrica ................................................ 11
V. POLÍTICAS Y AVISOS .................................................................................. 12
5.1 Programa de privacidad ..................................................................................... 12
5.2 Ley de Privacidad de 1974 ............................................................................... 12
5.3 Ley de Gobierno Electrónico de 2002 ............................................................ 13
VI. BIBLIOGRAFÍA ............................................................................................. 14

2
 INTRODUCCIÓN

El Instituto Nacional de Estándares y Tecnología (NIST) fue fundado en 1901 y ahora

es parte del Departamento de Comercio de los Estados Unidos. NIST es uno de los
laboratorios de ciencias físicas más antiguos del país. El Congreso estableció la
agencia para eliminar un gran desafío a la competitividad industrial de los Estados
Unidos en ese momento: una infraestructura de medición de segunda categoría que
estaba rezagada con respecto a las capacidades del Reino Unido, Alemania y otros
rivales económicos.

Desde la red de energía eléctrica inteligente y los registros electrónicos de salud hasta
los relojes atómicos, los nanomateriales avanzados y los chips de computadora,
innumerables productos y servicios dependen de alguna manera de la tecnología, la
medición y los estándares proporcionados por el Instituto Nacional de Estándares y
Tecnología.

Hoy en día, las mediciones NIST admiten las tecnologías más pequeñas para las
creaciones más grandes y complejas hechas por el hombre, desde dispositivos a
nanoescala tan pequeños que decenas de miles pueden caber en el extremo de un
solo cabello humano hasta rascacielos resistentes a terremotos y redes de
comunicación globales.

3
 I. Aspectos Generales

1.1. Misión

Promover la innovación y la competitividad industrial de los EE. UU. Avanzando

en la ciencia de la medición, los estándares y la tecnología de manera que
mejore la seguridad económica y mejore nuestra calidad de vida.

1.2. Visión

NIST será el líder mundial en la creación de soluciones de medición críticas y la

promoción de estándares equitativos. Nuestros esfuerzos estimulan la
innovación, fomentan la competitividad industrial y mejoran la calidad de vida.

1.3. Competencias centrales

 Ciencia de la medición
 Rigurosa trazabilidad
 Desarrollo y uso de estándares

1.4. Valores centrales

NIST es una organización con valores fuertes, reflejada tanto en nuestra historia
como en nuestro trabajo actual. El liderazgo y el personal de NIST mantendrán
estos valores para garantizar un entorno de alto rendimiento que sea seguro y
respetuoso de todos.

 Perseverancia: Adoptamos una visión a largo plazo, planificamos el futuro

con conocimiento científico e imaginación para garantizar el impacto y la
relevancia continua para nuestros grupos de interés.
 Integridad: somos éticos, honestos, independientes y brindamos una
perspectiva objetiva.
 Inclusividad: trabajamos en colaboración para aprovechar la diversidad de
personas e ideas, tanto dentro como fuera del NIST, para lograr las mejores
soluciones a los desafíos multidisciplinarios.

4
  Excelencia: aplicamos rigor y pensamiento crítico para lograr resultados de
clase mundial y mejora continua en todo lo que hacemos.

II. HISTORIA

2.1. Primer Director

El director fundador Dr. Samuel Wesley Stratton fue en muchos sentidos el padre
del Instituto Nacional de Estándares y Tecnología (NIST). Los argumentos
apasionados de Stratton para el establecimiento de un laboratorio de estándares
nacional ganaron a un Congreso renuente, que también lo designó como su
primer director, un puesto que ocupó durante 21 años. Un líder comprometido, la
visión de Stratton ha tenido una profunda y duradera influencia en la misión de
NIST.

2.2. Fundación

Siguiendo el llamado de los científicos e industriales de la nación de medición de

estándares, el Congreso de los EE.UU. Fundó NIST el 3 de marzo de 1901; la
incipiente agencia reunió rápidamente los estándares de electricidad, longitud y
masa, temperatura, luz y tiempo, y creó un sistema para transferir esos valores al
público.

2.3. Código Nacional de Seguridad Eléctrica

La generación de electricidad dependía de la extracción de carbón, y la industria

del carbón fue una de las primeras en usar iluminación eléctrica. Debido a que las
chispas eléctricas en una mina de carbón podrían llevar a un desastre, la industria
llegó al NIST en 1909 para ayudar a desarrollar estándares de seguridad. Los
resultados de la investigación del NIST se publicaron como el primer código de
seguridad eléctrica modelo de la nación en 1915.

5
2.4. Seguridad para el hogar

Desde 1915 hasta finales de la década de 1970, el NIST publicó guías para el
consumidor sobre temas que van desde cómo configurar adecuadamente un
reloj hasta la conservación de la energía. Una de las guías más populares del
NIST, Seguridad para el hogar, publicada en 1918, ilustraba entre otras cosas,
la forma correcta de usar un extintor de incendios.

2.5. Estándar de cifrado avanzado

Después de una competencia de 3 años entre algunos de los criptógrafos más

importantes del mundo, el NIST seleccionó el algoritmo de Rijindael como el
nuevo estándar de cifrado avanzado (AES) del país. Reemplazando el
envejecimiento estándar de cifrado de datos (DES), que fue adoptado en 1977,
el AES es un algoritmo público diseñado para proteger la información sensible
hasta inicios del siglo XXI.

III. COMUNICACIONES AVANZADAS, REDES Y SISTEMAS DE DATOS

CIENTÍFICOS

Las actividades de NIST ayudan a permitir comunicaciones fijas e inalámbricas

seguras, confiables y de alta velocidad que son críticas para la competitividad
económica y la seguridad de los EE. UU. NIST se compromete a ayudar a resolver
los desafíos de medición y validación de los campos que se mueven rápidamente,
incluidas las aplicaciones de "Internet de las cosas" (IoT), los drones y los futuros
sistemas de inteligencia artificial / aprendizaje automático.

3.1 Alianza para redes 5G

La próxima generación de tecnología de comunicaciones inalámbricas permitirá
que muchos más dispositivos envíen información mucho más rápido, haciendo
posible todo, desde la realidad virtual hasta los automóviles sin conductor. NIST
trabaja con la industria y la academia para comprender cómo se comportan esas

6
 tecnologías, de modo que las redes inalámbricas de próxima generación se
puedan implementar antes y con una mejor experiencia de usuario.

NIST lanzó la Alianza de Modelo de Canal 5G mmWave para acelerar el

desarrollo y el uso de mediciones y modelos precisos para la tecnología de
comunicaciones de próxima generación. Al reunir a los investigadores de
múltiples partes interesadas, incluidas las empresas de tecnología de las
comunicaciones, la academia y el gobierno, el NIST está acelerando la
innovación 5G.

3.2 Estándares biométricos para el cumplimiento de la ley

La seguridad fronteriza, las investigaciones de delitos, las verificaciones de
antecedentes y el control de acceso dependen de que ciertas organizaciones
puedan intercambiar datos biométricos sin interrupciones, como las huellas
dactilares. NIST dirigió el desarrollo de un estándar que hizo posible este
intercambio al proporcionar un lenguaje común y un formato estandarizado para
datos biométricos e información sobre cómo se recopiló.

Los investigadores de NIST, en asociación con la academia, la industria y otras

organizaciones federales, desarrollaron el primer estándar aprobado por el
Instituto Nacional de Estándares Estadounidenses para establecer
especificaciones técnicas para el intercambio de datos de huellas dactilares
entre organizaciones.

3.3 Marco de seguridad cibernética

Más que nunca, las organizaciones deben equilibrar un panorama de amenazas
cibernéticas en rápida evolución frente a la necesidad de cumplir con los
requisitos comerciales. Para ayudar a estas organizaciones a gestionar su riesgo
de ciberseguridad, el NIST convocó a las partes interesadas para desarrollar
un Marco de seguridad cibernética que aborde las amenazas y respalde las
empresas. Si bien las principales partes interesadas del Marco son los
propietarios del sector privado de EE. UU. Y los operadores de infraestructura
crítica, su base de usuarios ha crecido para incluir comunidades y organizaciones
en todo el mundo.

7
 El Marco no solo ayuda a las organizaciones a comprender sus riesgos de
seguridad cibernética (amenazas, vulnerabilidades e impactos), sino cómo
reducir estos riesgos con medidas personalizadas. El Marco también les ayuda a
responder y recuperarse de los incidentes de seguridad cibernética, lo que los
lleva a analizar las causas de raíz y considerar cómo puede realizar
mejoras. Empresas de todo el mundo han adoptado el uso del Framework, que
incluye JP Morgan Chase, Microsoft, Boeing, Intel, el Banco de Inglaterra, Nippon
Telegraph and Telephone Corporation y el Ontario Energy Board.

3.4 Sistemas de control industrial Ciberseguridad

A pesar de las amenazas de ataques cibernéticos en los sistemas industriales
controlados por computadora, las empresas de servicios públicos y otros usuarios
de estos sistemas pueden dudar en adoptar tecnologías de seguridad comunes
debido a su impacto en el rendimiento del sistema. NIST desarrolló una guía para
ayudar a la industria a comprender e implementar enfoques de ciberseguridad
para protegerlos de estas amenazas.

La Guía del NIST para sistemas de control industrial (ICS) La seguridad ayuda a
la industria a fortalecer la ciberseguridad de sus sistemas controlados por
computadora. Estos sistemas se usan en industrias tales como servicios públicos
y manufactura para automatizar o controlar remotamente la producción, manejo
o distribución de productos. Al proporcionar orientación sobre cómo adaptar los
controles de seguridad tradicionales de TI para acomodar los requisitos únicos de
rendimiento, confiabilidad y seguridad de ICS, NIST ayuda a la industria a reducir
la vulnerabilidad de los sistemas controlados por computadora a ataques
maliciosos, fallas de equipos y otras amenazas.

3.5 Usabilidad de Software

Las empresas de todas las industrias necesitan un software que sus empleados
y clientes puedan aprender a usar sin errores, pero durante años no hubo manera
de que evaluaran la usabilidad del software antes o después de la compra. Los
expertos en usabilidad de NIST reunieron a cientos de organizaciones para
desarrollar un estándar internacional de informes para mejorar la usabilidad del
software.

8
 Desde el desarrollo del CIF, NIST ha seguido liderando la mejora de la
usabilidad del software. En colaboración con la Organización Internacional de
Normalización (ISO), NIST ha desarrollado otros formatos de industria
comunes que se basan en un proceso de diseño centrado en el usuario. Este
proceso consta de cuatro pasos que cubren el entorno en el que se utilizará el
sistema, el propósito del sistema, cómo el sistema cumple con los requisitos y
la evaluación del sistema.

IV. CIBERSEGURIDAD Y PRIVACIDAD

Las actividades de seguridad cibernética y privacidad de NIST refuerzan la

seguridad del entorno digital. Los esfuerzos sostenidos de divulgación del NIST
respaldan la aplicación efectiva de estándares y mejores prácticas que permiten
la adopción de seguridad cibernética y privacidad práctica.

4.1 Marco de seguridad cibernética

Más que nunca, las organizaciones deben equilibrar un panorama de amenazas
cibernéticas en rápida evolución frente a la necesidad de cumplir con los
requisitos comerciales. Para ayudar a estas organizaciones a gestionar su riesgo
de ciberseguridad, el NIST convocó a las partes interesadas para desarrollar
un Marco de seguridad cibernética que aborde las amenazas y respalde las
empresas. Si bien las principales partes interesadas del Marco son los
propietarios del sector privado de EE. UU. Y los operadores de infraestructura
crítica, su base de usuarios ha crecido para incluir comunidades y organizaciones
en todo el mundo.

El Marco integra los estándares de la industria y las mejores prácticas para ayudar
a las organizaciones a administrar sus riesgos de seguridad
cibernética. Proporciona un lenguaje común que permite al personal de todos los
niveles dentro de una organización, y en todos los puntos de una cadena de
suministro, desarrollar una comprensión compartida de sus riesgos de
ciberseguridad. NIST trabajó con expertos del sector privado y del gobierno para

9
 crear el Marco, que se lanzó a principios de 2014. El esfuerzo fue tan bueno que
el Congreso lo ratificó como responsabilidad del NIST en la Ley de Mejora
de la Ciberseguridad de 2014.

El Marco no solo ayuda a las organizaciones a comprender sus riesgos de

seguridad cibernética (amenazas, vulnerabilidades e impactos), sino cómo
reducir estos riesgos con medidas personalizadas. El Marco también les
ayuda a responder y recuperarse de los incidentes de seguridad cibernética,
lo que los lleva a analizar las causas de raíz y considerar cómo puede realizar
mejoras. Empresas de todo el mundo han adoptado el uso del Framework, que
incluye JP Morgan Chase, Microsoft, Boeing, Intel, el Banco de Inglaterra,
Nippon Telegraph and Telephone Corporation y el Ontario Energy Board.

4.2 Sistemas de control industrial Ciberseguridad

A pesar de las amenazas de ataques cibernéticos en los sistemas industriales
controlados por computadora, las empresas de servicios públicos y otros usuarios
de estos sistemas pueden dudar en adoptar tecnologías de seguridad comunes
debido a su impacto en el rendimiento del sistema. NIST desarrolló una guía para
ayudar a la industria a comprender e implementar enfoques de ciberseguridad
para protegerlos de estas amenazas.

La investigación de NIST se centra en la conectividad de dispositivos y redes y

en cómo fortalecer las defensas del sistema y del dispositivo. Más recientemente,
el NIST elaboró una guía sobre cómo los usuarios de ICS pueden aplicar los
enfoques de seguridad cibernética descritos en otro producto NIST ampliamente
utilizado, los controles de seguridad y privacidad para sistemas y organizaciones
de información federales . Con esta información, los servicios públicos, las
compañías químicas, los fabricantes de alimentos, los fabricantes de automóviles
y otros usuarios de ICS pueden adaptar y perfeccionar estos controles de
seguridad para satisfacer sus necesidades de seguridad especializadas.

4.3 Seguridad en línea mediante encriptación fuerte

La informática móvil, el comercio electrónico y la proliferación de dispositivos
conectados aportan beneficios sin precedentes a nuestras vidas. Pero para

10
 proteger a las personas, las empresas y el gobierno de los riesgos que presentan,
necesitamos un cifrado sólido. NIST proporciona herramientas confiables y
orientación para aumentar el uso del cifrado.

NIST tiene estándares criptográficos para una variedad de necesidades de

TI. Desde que se desarrolló el primer estándar de encriptación de datos para
sistemas federales y transacciones financieras en la década de 1970, el trabajo
de NIST en criptografía ha evolucionado continuamente para satisfacer las
necesidades del cambiante panorama de TI. Hoy, la criptografía NIST se usa en
todas partes, desde tabletas y teléfonos celulares hasta cajeros automáticos y
datos federales secretos.

4.4 Seguridad de la bomba de infusión inalámbrica

Las bombas de infusión fueron una vez instrumentos independientes que
interactuaban solo con el paciente o el proveedor médico. Con las mejoras
tecnológicas diseñadas para mejorar el cuidado del paciente, las nuevas
versiones inalámbricas de las bombas están conectadas a una variedad de
sistemas, redes y otros dispositivos, lo que puede generar riesgos de seguridad
cibernética. A través de la colaboración con la industria, el Centro Nacional de
Excelencia en Ciberseguridad (NCCoE) del NIST demostró un enfoque que los
proveedores de atención médica pueden utilizar para mejorar la seguridad y
mejorar la seguridad y la entrega de la atención médica a los pacientes.

La seguridad de las bombas de infusión inalámbricas en las organizaciones de

atención médica , NIST Special Publication 1800-8, muestra cómo los
profesionales biomédicos, de redes, de ciberseguridad y de TI pueden configurar
y desplegar bombas de infusión inalámbricas para reducir el riesgo de
ciberseguridad. Además, el trabajo en este proyecto resultó en el descubrimiento
de características de seguridad que beneficiarían a otros productos médicos. El
trabajo de NCCoE ha llevado a varios fabricantes de bombas de infusión
inalámbricas a comenzar a incorporar mayores capacidades de seguridad en la
próxima generación de bombas.

11
 V. POLÍTICAS Y AVISOS

5.1 Programa de privacidad

NIST se compromete a salvaguardar la privacidad personal. La confianza
individual en la privacidad y seguridad de la información de identificación personal
es la base de la confianza en el gobierno y el comercio en el siglo XXI. Como
empleador, recopilador de datos sobre millones de personas y empresas,
desarrollador de estándares de gestión de la información y asesor federal en
políticas de gestión de la información, el Departamento se esfuerza por ser un
líder en mejores prácticas de privacidad y política de privacidad. Para promover
este objetivo, NIST asigna una alta prioridad a las consideraciones de privacidad
en todos los sistemas, programas y políticas.

 Protección de la información
 Declaración de privacidad de NIST / Aviso de seguridad / Declaración de
accesibilidad
 Leyes de privacidad, políticas y orientación
 Oficina de Privacidad y Gobierno Abierto de Commerce
 Consejo Federal de Privacidad

El Director de Privacidad es responsable del desarrollo y mantenimiento de

políticas de privacidad, procedimientos y orientación esenciales para
salvaguardar la recopilación, acceso, uso, difusión y almacenamiento de
información de identificación personal (PII), información identificable de negocios
(BII) y Privacidad Actuar de acuerdo con la Ley de Privacidad de 1974, la Ley de
Gobierno Electrónico de 2002, la Ley Federal de Modernización de la Seguridad
de la Información (FISMA) de 2014, y las políticas y directrices emitidas por el
Presidente y la Oficina de Administración y Presupuesto (OMB).

5.2 Ley de Privacidad de 1974

La Ley de Privacidad de 1974, 5 USC § 552a, establece un código de prácticas

de información justas que rige la recopilación, el mantenimiento, el uso y la
diseminación de información sobre individuos que se mantiene en los sistemas

12
 de registros de las agencias federales. Un sistema de registros es un grupo de
registros bajo el control de una agencia de la cual la información se recupera por
el nombre del individuo o por algún identificador asignado al individuo.

La Ley de Privacidad exige que las agencias notifiquen al público sus sistemas
de registros mediante publicación en el Registro Federal. La Ley de Privacidad
prohíbe la divulgación de un registro sobre un individuo de un sistema de registros
sin el consentimiento por escrito de la persona, a menos que la divulgación sea
conforme a una de las doce excepciones legales. Las reglas que eximen a los
sistemas de registros de ciertos requisitos de la Ley de Privacidad están en 28
CFR Parte 16, Subparte E La Ley también proporciona a las personas un medio
para buscar acceso y enmendar sus registros, y establece varios requisitos de
mantenimiento de registros de la agencia.

 NIST Sistema de Registros Avisos

 Acta de Libertad de Información
 Solicitudes de la Ley de Privacidad

5.3 Ley de Gobierno Electrónico de 2002

La disponibilidad de información, desde la información personal hasta la

información pública, se facilita aún más debido a los cambios tecnológicos en las
computadoras, las redes digitalizadas, el acceso a Internet y la creación de
nuevos productos de información. La Ley de Gobierno Electrónico de 2002
reconoció que estos avances también tienen ramificaciones importantes para la
protección de la información personal contenida en los registros y sistemas
gubernamentales.

Las Evaluaciones de Impacto de Privacidad ("PIA") son requeridas por la Sección

208 de la Ley de Gobierno Electrónico para todas las agencias del gobierno
federal que desarrollan o adquieren nueva tecnología de información que
involucra la recopilación, mantenimiento o diseminación de información en forma
identificable o que hacen cambios sustanciales a tecnología de información
existente que maneja información en forma identificable. La Oficina de

13
 Administración y Presupuesto proporciona a las agencias orientación sobre la
implementación de las disposiciones de la Ley de Gobierno Electrónico de 2002.
Una PIA es un análisis de cómo se recopila, almacena, protege, comparte y
gestiona la información en forma identificable. El objetivo de una PIA es demostrar
que los propietarios y desarrolladores del sistema han incorporado protecciones
de privacidad a lo largo de todo el ciclo de vida de un sistema. La Ley requiere
que una agencia haga públicos los PIA,

 Evaluaciones de impacto de privacidad de NIST

VI. BIBLIOGRAFÍA

 https://www.nist.gov/

14