Como profesionales de la seguridad de la información, a menudo escuchamos acrónimos que se lanzan con poca explicación de lo que significan. Dos de estas siglas son CIS y NIST. Aunque ambos marcos tienen un papel en la ciberseguridad, hay diferencias clave entre el CIS y el NIST. En esta entrada del blog, exploraremos esas diferencias y explicaremos por qué es importante entenderlas. No se pierdan la oportunidad.
El Center for Internet Security (CIS) es una organización sin ánimo de lucro fundada en 1999. El CIS es más conocido por su trabajo sobre los Controles CIS, un conjunto de buenas prácticas para asegurar los sistemas y los datos. El CIS también ofrece otra serie de recursos, como referencias de seguridad, formación y certificaciones.
Por otro lado, el NIST es una agencia federal del Departamento de Comercio de los Estados Unidos. Fundado en 1901, la misión del NIST es «promover la innovación y la competitividad industrial de Estados Unidos mediante el avance de la ciencia, las normas y la tecnología de las mediciones». En los últimos años, el NIST se ha implicado cada vez más en cuestiones de ciberseguridad, publicando orientaciones sobre todo tipo de temas, desde la gestión de riesgos hasta la gestión de la identidad.
Diferencias entre el CIS y el NIST
Ahora que hemos proporcionado algunos antecedentes de cada organización, veamos con más detalle las principales diferencias entre ellas.
Misión
Como hemos mencionado, el CIS se centra específicamente en la ciberseguridad, mientras que la misión del NIST tiene un alcance más amplio. Los tipos de recursos que ofrece cada organización muestran esta diferencia. Por ejemplo, el CIS ofrece recursos como referencias de seguridad e información sobre amenazas, mientras que el NIST se centra más en el desarrollo de normas y orientaciones.
Acérquese a
Otra diferencia clave es el enfoque que cada organización da a su trabajo. El CIS adopta un enfoque pragmático, trabajando con las empresas y otras partes interesadas para desarrollar herramientas y recursos que se utilicen en el mundo real. El NIST, por su parte, adopta un enfoque más orientado a la investigación, realizando estudios y experimentos para comprender mejor los problemas de ciberseguridad.
Tamaño
El CIS es una organización mucho más pequeña que el NIST, con una plantilla de poco más de 100 personas. Por otro lado, el NIST tiene una plantilla de más de 3.000 personas.
Impacto
Por último, cabe señalar que los dos marcos tienen distintos niveles de impacto. Numerosas empresas y organizaciones de todo el mundo utilizan el SIC, mientras que las agencias gubernamentales estadounidenses adoptan principalmente las normas y directrices del NIST.
Similitudes entre el NIST y el CIS
A pesar de las principales diferencias entre ellos, el NIST y el CIS tienen algunas similitudes.
1. Ambas organizaciones comenzaron a finales de los años 90.
2. Ambos ofrecen recursos sobre diversos temas de ciberseguridad.
3. Ambos tienen un alcance global. Empresas de más de 170 países utilizan el CIS, mientras que organizaciones de todo el mundo utilizan las normas y directrices del NIST.
¿Por qué es importante entender la diferencia?
Como profesionales de la seguridad de la información, es importante entender la diferencia entre el CIS y el NIST. Aunque ambos marcos desempeñan un papel en la ciberseguridad, adoptan enfoques diferentes en su trabajo. Entender estas diferencias puede ayudarle a elegir los recursos adecuados para sus necesidades. Hay algunas razones.
1. Si busca recursos sobre un tema concreto, saber a qué marco recurrir le ahorrará tiempo y le ayudará a encontrar la información más relevante.
2. Si está considerando seguir una carrera en ciberseguridad, entender los diferentes enfoques de cada marco le dará una mejor idea de cuál es el más adecuado para usted.
3. Y, por último, si está trabajando con otros en iniciativas de ciberseguridad, es importante tener claro qué recursos de la organización está utilizando para que todos estén en la misma página.
¿Cómo decidir cuál elegir para su empresa?
No hay una respuesta fácil y depende de varios factores, como el tamaño de su empresa, su sector y su ubicación. Sin embargo, tanto el CIS como el NIST ofrecen valiosos recursos que pueden ayudarle a mejorar su postura de ciberseguridad. Si no está seguro de por dónde empezar, le recomendamos que consulte los sitios web de ambas organizaciones y vea lo que ofrecen.
El resultado final:
CIS y NIST son dos de los marcos más importantes en el ámbito de la ciberseguridad. Ambas ofrecen una gran cantidad de recursos sobre diversos temas, pero adoptan enfoques diferentes en su trabajo. Entender la diferencia entre ellos es importante para cualquiera que trabaje o esté interesado en la ciberseguridad. ¿No está seguro de qué conjunto de normas de ciberseguridad implementar para su organización? SMS Datacenter puede ayudarle a identificar y seguir las mejores directrices para su negocio.