Como profesionales de la seguridad de la información, a menudo escuchamos acrónimos que se lanzan con poca explicación de lo que significan. Dos de estas siglas son CIS y NIST. Aunque ambos marcos tienen un papel en la ciberseguridad, hay diferencias clave entre el CIS y el NIST. En esta entrada del blog, exploraremos estas diferencias y explicaremos por qué es importante comprenderlas. No se pierdan la oportunidad.
El Center for Internet Security (CIS) es una organización sin ánimo de lucro fundada en 1999. El CIS es más conocido por su trabajo sobre los Controles CIS, un conjunto de buenas prácticas para asegurar los sistemas y los datos. El CIS también ofrece otra serie de recursos, como referencias de seguridad, formación y certificaciones.
Por otro lado, el NIST es una agencia federal del Departamento de Comercio de los Estados Unidos. Fundado en 1901, la misión del NIST es “promover la innovación y la competitividad industrial de Estados Unidos mediante el avance de la ciencia, las normas y la tecnología de las mediciones”. En los últimos años, el NIST se ha implicado cada vez más en la ciberseguridad, publicando orientaciones sobre temas que van desde la gestión de riesgos a la gestión de identidades.
Diferencias entre el CIS y el NIST
Ahora que hemos proporcionado algunos antecedentes de cada organización, veamos con más detalle las principales diferencias entre ellas.
Misión
Como se ha señalado, el CIS se centra en la ciberseguridad, mientras que la misión del NIST es más amplia. Los tipos de recursos que ofrece cada organización muestran esta diferencia. Por ejemplo, el CIS ofrece recursos como referencias de seguridad e inteligencia sobre amenazas, mientras que el NIST se centra más en desarrollar normas y orientaciones.
Acérquese a
Otra diferencia clave es el enfoque que cada organización da a su trabajo. El CIS adopta un enfoque pragmático, trabajando con empresas y otras partes interesadas para desarrollar herramientas y recursos de uso en el mundo real. El NIST, por su parte, adopta un enfoque más orientado a la investigación, realizando estudios y experimentos para comprender mejor los problemas de ciberseguridad.
Tamaño
El CIS es una organización mucho más pequeña que el NIST, con una plantilla de poco más de 100 personas. Por otro lado, el NIST tiene una plantilla de más de 3.000 personas.
Impacto
Por último, cabe señalar que los dos marcos tienen distintos niveles de impacto. Numerosas empresas y organizaciones de todo el mundo utilizan el SIC, mientras que las agencias gubernamentales estadounidenses adoptan principalmente las normas y directrices del NIST.
Similitudes entre el NIST y el CIS
A pesar de las diferencias clave, el NIST y el CIS comparten algunas similitudes.
1. Ambas organizaciones comenzaron a finales de los años 90.
2. Ambos ofrecen recursos sobre diversos temas de ciberseguridad.
3. Ambos tienen un alcance global. Empresas de más de 170 países utilizan el SIA, mientras que organizaciones de todo el mundo utilizan las normas y directrices del NIST.
¿Por qué es importante entender la diferencia?
Como profesionales de la seguridad de la información, es importante entender la diferencia entre el CIS y el NIST. Aunque ambos marcos desempeñan un papel en la ciberseguridad, adoptan enfoques diferentes. Entender estas diferencias puede ayudarle a elegir los recursos adecuados para sus necesidades. Hay algunas razones.
1. Si busca recursos sobre un tema concreto, saber a qué marco recurrir le ahorrará tiempo y le ayudará a encontrar la información más relevante.
2. Si está considerando seguir una carrera en ciberseguridad, entender los diferentes enfoques de cada marco le dará una mejor idea de cuál es el más adecuado para usted.
3. Y, por último, si está trabajando con otros en iniciativas de ciberseguridad, es importante tener claro qué recursos de la organización está utilizando para que todos estén en la misma página.
¿Cómo decidir cuál elegir para su empresa?
No hay una respuesta fácil; depende de una serie de factores, como el tamaño, el sector y la ubicación de tu empresa. Sin embargo, tanto el CIS como el NIST ofrecen valiosos recursos que pueden ayudarle a mejorar su postura de ciberseguridad. Si no estás seguro de por dónde empezar, te recomendamos que revises los sitios web de ambas organizaciones para ver lo que ofrecen.
El resultado final:
CIS y NIST son dos de los marcos más importantes en ciberseguridad. Ambas ofrecen una gran cantidad de recursos sobre diversos temas, pero adoptan enfoques diferentes en su trabajo. Entender la diferencia entre ellos es importante para cualquiera que trabaje o esté interesado en la ciberseguridad. ¿No estás seguro de qué normas de ciberseguridad aplicar a tu organización? SMS Datacenter puede ayudarte a identificar y seguir las mejores directrices para tu empresa.