El Instituto Nacional de Estándares y Tecnología (NIST) es una agencia no reguladora que promueve la innovación mediante el fomento de la ciencia, los estándares y la tecnología de la medición. El marco de ciberseguridad del NIST (CSF del NIST) consta de estándares, pautas y mejores prácticas que ayudan a las organizaciones a mejorar su gestión de riesgos de ciberseguridad. 

El diseño del CSF del NIST tiene una flexibilidad que le permite integrarse con los procesos de seguridad existentes dentro de cualquier organización, en cualquier industria. Proporciona un excelente punto de partida para implementar la seguridad de la información y la gestión de riesgos de ciberseguridad en prácticamente cualquier organización del sector privado en los Estados Unidos.

El 12 de febrero de 2013, se emitió la Orden Ejecutiva (EO) 13636, "Mejora de la ciberseguridad de la infraestructura crítica". Esto inició el trabajo del NIST con el sector privado de los EE. UU. para "identificar los estándares de consenso voluntarios existentes y las mejores prácticas de la industria para incorporarlos en un marco de ciberseguridad". El resultado de esta colaboración fue el NIST Cybersecurity Framework, versión 1.0.

La Ley de Mejora de la Ciberseguridad (CEA) de 2014 amplió los esfuerzos del NIST en el desarrollo del marco de ciberseguridad. Hoy en día, el CSF del NIST sigue siendo uno de los marcos de seguridad más utilizados en todas las industrias de los EE. UU.

El NIST Cybersecurity Framework incluye funciones, categorías, subcategorías y referencias informativas. 

Las funciones brindan una descripción general de los protocolos de seguridad de las mejores prácticas. Las funciones no están destinadas a ser pasos de procedimiento, sino que deben realizarse "de manera simultánea y continua para formar una cultura operativa que aborde el riesgo dinámico de ciberseguridad". Las categorías y subcategorías proporcionan planes de acción más concretos para departamentos o procesos específicos dentro de una organización. 

Entre los ejemplos de funciones y categorías del NIST se incluyen los siguientes:

• Identificación: Para protegerse de los ciberataques, el equipo de ciberseguridad necesita un conocimiento profundo de cuáles son los activos y recursos más importantes de la organización. La función de identificación incluye categorías como la gestión de activos, el entorno empresarial, la gestión, la evaluación de riesgos, la estrategia de gestión de riesgos y la gestión de riesgos de la cadena de suministro.
  
  
• Protección: La función de protección cubre gran parte de los controles de seguridad técnicos y físicos para desarrollar e implementar las medidas de protección adecuadas y proteger la infraestructura crítica. Estas categorías son la gestión de identidad y el control de acceso, la concientización y capacitación, la seguridad de datos, los procesos y procedimientos de protección de la información, el mantenimiento y la tecnología de protección.
  
  
• Detección: La función de detección implementa medidas que alertan a una organización sobre los ciberataques. Las categorías de detección incluyen anomalías y eventos, supervisión continua de seguridad y procesos de detección.
  
  
• Respuesta: Las categorías de la función de respuesta garantizan la respuesta adecuada a los ciberataques y otros eventos de ciberseguridad. Las categorías específicas incluyen la planificación de respuesta, las comunicaciones, el análisis, la mitigación y las mejoras.
  
  
• Recuperación: Las actividades de recuperación implementan planes para la resiliencia cibernética y garantizan la continuidad del negocio en caso de producirse un ciberataque, una violación de la seguridad u otro evento de ciberseguridad. Las funciones de recuperación son las mejoras en la planificación de la recuperación y las comunicaciones.

Las referencias informativas del CSF del NIST establecen una correlación directa entre las funciones, categorías, subcategorías y los controles de seguridad específicos de otros marcos. Estos marcos incluyen el Center for Internet Security (CIS) Controls®, COBIT 5, International Society of Automation (ISA) 62443-2-1: 2009, ISA 62443-3-3: 2013, International Organization for Standardization y la International Electrotechnical Commission 27001: 2013 y NIST SP 800-53 Rev.4.

El CSF del NIST no indica cómo inventariar los dispositivos y sistemas físicos o cómo inventariar las plataformas y aplicaciones de software; solo proporciona una lista de verificación de las tareas que deben realizarse. Una organización puede elegir su propio método sobre cómo realizar el inventario. Si una organización necesita más orientación, puede consultar las referencias informativas a los controles relacionados en otras normas complementarias. Hay mucha libertad en el CSF para elegir las herramientas que mejor se adapten a las necesidades de gestión de riesgos de ciberseguridad de una organización.

Para ayudar a las organizaciones del sector privado a medir su progreso hacia la implementación del marco de ciberseguridad del NIST, el marco identifica cuatro niveles de implementación:

• Nivel 1 - Parcial: La organización está familiarizada con el CSF del NIST y puede haber implementado algunos aspectos de control en algunas áreas de la infraestructura. La implementación de actividades y protocolos de ciberseguridad ha sido reactiva y no planificada. La organización tiene un conocimiento limitado de los riesgos de ciberseguridad y carece de los procesos y recursos para habilitar la seguridad de la información.
  
  
• Nivel 2 - Riesgo informado: La organización es más consciente de los riesgos de ciberseguridad y comparte información de manera informal. Carece de un proceso de gestión de riesgos de ciberseguridad planificado,  repetible y proactivo en toda la organización.
  
  
• Nivel 3 - Repetible: La organización y sus altos ejecutivos son conscientes de los riesgos de ciberseguridad. Han implementado un plan de gestión de riesgos de ciberseguridad repetible en toda la organización. El equipo de ciberseguridad ha creado un plan de acción para supervisar y responder de manera efectiva a los ciberataques.
  
  
• Nivel 4 - Adaptable: La organización ahora es ciberresiliente y utiliza las lecciones adquiridas y los indicadores predictivos para evitar ciberataques. El equipo de ciberseguridad mejora y fomenta continuamente las tecnologías y prácticas de ciberseguridad de la organización y se adapta a los cambios en las amenazas de forma rápida y eficiente. Existe un enfoque de la gestión de riesgos de la seguridad de la información en toda la organización con toma de decisiones, políticas, procedimientos y procesos informados por el riesgo. Las organizaciones adaptables incorporan la gestión del riesgo de ciberseguridad en las decisiones presupuestarias y la cultura organizativa.

El marco de ciberseguridad del NIST proporciona una guía paso a paso sobre cómo establecer o mejorar su programa de gestión de riesgos de seguridad de la información:

1. Prioridades y alcance: cree una idea clara del alcance del proyecto e identifique las prioridades. Establezca los objetivos de la misión o los objetivos comerciales de alto nivel, las necesidades del negocio y determine la tolerancia al riesgo de la organización.
   
   
2. Orientación: haga un balance de los activos y sistemas de la organización e identifique las regulaciones aplicables, el enfoque del riesgo y las amenazas a las que estaría expuesta la organización.
   
   
3. Cree un perfil actual: un perfil actual es un ejemplo de cómo la organización está gestionando el riesgo en la actualidad, según lo definido por las categorías y subcategorías del CSF.
   
   
4. Realice una evaluación de riesgos: evalúe el entorno operativo, los riesgos emergentes y la información sobre amenazas de ciberseguridad para determinar la probabilidad y gravedad de un evento de ciberseguridad que pueda afectar a la organización.
   
   
5. Cree un perfil objetivo: un perfil objetivo representa la meta de gestión de riesgos del equipo de seguridad de la información.
   
   
6. Determine, analice y priorice las brechas: al identificar las brechas entre el perfil actual y el perfil objetivo, el equipo de seguridad de la información puede crear un plan de acción que incluya hitos y recursos medibles (personas, presupuesto, tiempo) necesarios para cubrir estas brechas.
   
   
7. Implemente un plan de acción: implemente el plan de acción definido en el Paso 6.