El marco de ciberseguridad 2.0 del NIST, en detalle

El marco de ciberseguridad (CSF) del NIST ayuda a las organizaciones a mejorar la gestión de riesgos utilizando un lenguaje común que se centra en los factores impulsores del negocio para mejorar la ciberseguridad.

El CSF 1.0 del NIST se publicó en febrero de 2014 y la versión 1.1 en abril de 2018. En febrero de 2024, el NIST publicó su última versión del CSF: la 2.0. El camino hacia el CSF 2.0 comenzó con una solicitud de información (RFI) en febrero de 2022. Durante los dos años siguientes, el NIST involucró a la comunidad de ciberseguridad a través de análisis, talleres, comentarios y borradores de revisión para perfeccionar las normas existentes y crear un nuevo modelo que reflejara los retos de seguridad en constante evolución.

Aunque el núcleo del CSF sigue siendo el mismo, hay varias adiciones notables en la nueva versión. Esto es lo que las empresas deben saber sobre el nuevo marco, cómo afecta a las operaciones y cómo los equipos de TI pueden aplicar eficazmente el CSF versión 2.0 a las operaciones diarias.

En primer lugar, se introduce la función “Gobernar”, que sustenta las cinco funciones del marco NIST original: Identificar, Proteger, Detectar, Responder y Recuperar. Tal y como se indica en la documentación original del CSF 1.0, “estas funciones no pretenden formar una ruta secuencial ni conducir a un estado final estático deseado. Más bien, las funciones pueden realizarse de forma simultánea y continua para formar una cultura operativa que aborde el riesgo dinámico de seguridad”.

Como resultado, las funciones se representan a menudo como un círculo de cinco partes que rodea el marco CST central. Cada función conduce a la siguiente, y ninguna función es independiente de otra.

El NIST CSF 2.0 mantiene estas funciones, pero añade “Gobernar” como un anillo interior completo situado debajo de las cinco funciones exteriores. “Gobernar” se centra en garantizar que las demás funciones se ajusten a las necesidades empresariales, sean evaluadas periódicamente por los equipos de operaciones y sean gestionadas por los responsables de seguridad.

En otras palabras, “Gobernar” busca incorporar el liderazgo al debate sobre la seguridad. Aunque esto ya ocurre en la mayoría de las empresas, el CSF 2.0 lo convierte en una prioridad.

Las dos primeras versiones del CSF daban prioridad a las infraestructuras críticas. Aunque otros sectores y organismos adoptaron el marco, este se diseñó principalmente para reducir el impacto de los incidentes de ciberseguridad en el sector de las infraestructuras críticas.

Sin embargo, la amplia adopción del marco dejó claro que las prácticas y los procesos se aplicaban a organizaciones públicas y privadas de todos los sectores e industrias. Como resultado, el NIST CSF 2.0 ofrece buenas prácticas ampliadas que se pueden aplicar de forma generalizada a empresas de cualquier tamaño y tipo.

Por ejemplo, el nuevo CSF recomienda que todas las empresas creen perfiles organizativos que describan su postura actual y objetivo en materia de ciberseguridad. Esto permite a las empresas establecer objetivos y definir las prácticas necesarias para alcanzarlos. El nuevo marco también destaca el papel de los perfiles comunitarios. Estos perfiles se crean para abordar los intereses y objetivos comunes en materia de ciberseguridad de múltiples organizaciones que ocupan el mismo sector o subsector, utilizan tecnologías similares o experimentan tipos de amenazas similares.

Con su enfoque en la mejora del gobierno y la ampliación de las buenas prácticas, el nuevo CSF del NIST puede ayudar a las empresas a mejorar la seguridad y reducir los riesgos. Para implementar eficazmente este marco, las organizaciones se benefician de un enfoque en cuatro frentes.

El alcance y la escala ampliados del CSF 2.0 pueden dificultar a las empresas de cualquier tamaño la implementación eficaz de las nuevas recomendaciones. En el caso de las empresas más pequeñas, el soporte de TI limitado puede afectar al desarrollo de nuevas prácticas, mientras que las organizaciones más grandes pueden tener dificultades con la complejidad de sus entornos de TI.

Para ayudar a agilizar el proceso, las empresas deben aprovechar al máximo los recursos disponibles, tales como:

• La guía de inicio rápido del CSF 2.0 para crear perfiles organizativos
• La herramienta de referencia de con función de búsqueda del CSF 2.0
• El catálogo de referencia informativo del NIST
• Ejemplos de implementación del CSF 2.0

El siguiente paso es involucrar a los líderes. Aunque el CSF 2.0 se diseñó teniendo en cuenta el gobierno y la supervisión, es posible que muchos ejecutivos del equipo directivo sin conocimientos técnicos tengan un conocimiento limitado del marco y su impacto. Por ello, es una buena idea que los responsables de TI (como los CTO, los CIO y los CISO) y sus equipos se reúnan con los miembros del consejo de administración para debatir el impacto del CSF 2.0. Esta es también una oportunidad para garantizar que los objetivos empresariales y las estrategias de seguridad estén alineados.

Además, estas reuniones brindan la oportunidad de definir métricas de seguridad clave, determinar cómo se recopilarán y crear un calendario detallado para la recopilación, la presentación de informes y la acción. Al hacer que los líderes formen parte de la conversación desde el principio de la implementación del CSF, las empresas sientan las bases para una visibilidad sostenida.

Como parte de la nueva función Gobernar, el CSF 2.0 incluye nuevas subsecciones sobre la gestión de proveedores y distribuidores. Por ejemplo, la GV.SC-04 se centra en conocer y priorizar a los proveedores según su importancia para las operaciones, mientras que la GV.SC-06 se refiere a la planificación y la diligencia debida necesarias antes de establecer relaciones con terceros. Por último, la subsección GV.SC-10 puede ayudar a las empresas a planificar la rescisión de una relación con un proveedor o partner.

Dado el creciente riesgo e impacto del compromiso de terceros, estas evaluaciones son críticas. Si los proveedores o vendedores con acceso a datos críticos de la empresa se ven comprometidos debido a prácticas deficientes de ciberseguridad, las organizaciones corren un riesgo, independientemente de su propio cumplimiento del CSF 2.0.

Para respaldar las cinco funciones existentes y proporcionar los datos necesarios para informar sobre las nuevas iniciativas de gobierno, las empresas necesitan herramientas de gestión y monitorización capaces de detectar amenazas potenciales, rastrear indicadores de compromiso (IOC) y tomar medidas para reducir el riesgo total.

Por ejemplo, las herramientas de inteligencia de amenazas pueden ayudar a las organizaciones a identificar patrones y objetivos de ataque comunes, lo que a su vez proporciona a los equipos los datos que necesitan para crear e implementar contramedidas eficaces. Estos datos también ayudan a vincular el gasto en seguridad con resultados empresariales medibles.

Aunque el CSF 2.0 es la versión más reciente del marco de ciberseguridad del NIST, no es la última. Tal y como señala el NIST, el marco está diseñado como un documento vivo que evoluciona para satisfacer las necesidades emergentes en materia de ciberseguridad y ayudar a las empresas a navegar por entornos de amenazas cambiantes.

En la práctica, esto significa pasar de las buenas prácticas a las prácticas comunes. Por ejemplo, mientras que las versiones 1.0 y 1.1 proporcionaban buenas prácticas para infraestructuras críticas, la versión 2.0 las incluye como prácticas comunes para todas las organizaciones, a la vez que define una nueva buena práctica: el gobierno. Con el tiempo, esta práctica se convertirá en algo habitual, sentando las bases para nuevos avances que ayuden a las organizaciones a mejorar la detección de amenazas, mejorar la respuesta a incidentes y reducir el riesgo total.