¿Qué es el Marco de Ciberseguridad del NIST?

El Instituto Nacional de Estándares y Tecnología (NIST) es una agencia no reguladora que promueve la innovación mediante el avance de la ciencia de la medición, los estándares y la tecnología.

El CSF del NIST es lo suficientemente flexible como para integrarse en los procesos de seguridad de cualquier organización, independientemente de su sector. Constituye un excelente punto de partida para implementar la gestión de riesgos de seguridad de la información y la ciberseguridad en prácticamente cualquier empresa privada de Estados Unidos.

El 12 de febrero de 2013 se promulgó la Orden Ejecutiva (EO) 13636, denominada "Mejora de la ciberseguridad de las infraestructuras críticas". Esto inició el trabajo del NIST con el sector privado de EE. UU. para "identificar los estándares de consenso voluntarios existentes y las buenas prácticas del sector para incorporarlos en un marco de ciberseguridad". El resultado de esta colaboración fue el Marco de Ciberseguridad del NIST, versión 1.0.

La Ley de Mejora de la Ciberseguridad (CEA) de 2014 amplió los esfuerzos del NIST en el desarrollo de este marco. En la actualidad, el CSF del NIST sigue siendo uno de los marcos de seguridad más ampliamente adoptados en todos los sectores de EE. UU.

El marco de ciberseguridad del NIST incluye funciones, categorías, subcategorías y referencias informativas.

Las funciones ofrecen una visión general de los protocolos de seguridad de buenas prácticas. Estas funciones no están pensadas para ser pasos procedimentales, sino que se llevan a cabo de forma simultánea y continua para crear una cultura operativa que aborde el riesgo dinámico de la ciberseguridad. Las categorías y subcategorías proporcionan planes de acción más concretos para departamentos o procesos específicos dentro de una organización.

Algunos ejemplos de funciones y categorías del NIST son:

• Identificar: para protegerse contra los ciberataques, el equipo de ciberseguridad necesita un conocimiento profundo de los activos y recursos más importantes de la organización. La función de identificación incluye categorías como la gestión de activos, el entorno empresarial, el gobierno, la evaluación de riesgos, la estrategia de gestión de riesgos y la gestión de riesgos de la cadena de suministro.
  
  
• Proteger: la función de protección abarca gran parte de los controles de seguridad técnicos y físicos para desarrollar e implementar salvaguardas adecuadas y proteger la infraestructura crítica. Estas categorías son la gestión de identidades y el control de acceso, la concienciación y la formación, la seguridad de los datos, los procesos y procedimientos de protección de la información, el mantenimiento y la tecnología de protección.
  
  
• Detectar: la función de detección implementa medidas que alertan a una organización sobre los ciberataques. Las categorías de detección incluyen anomalías y eventos de seguridad, monitorización continua y procesos de detección.
  
  
• Responder: las categorías de funciones de respuesta garantizan la respuesta adecuada a los ciberataques y otros eventos de ciberseguridad. Las categorías específicas incluyen la planificación de respuestas, las comunicaciones, el análisis, la mitigación y las mejoras.
  
  
• Recuperación: las actividades de recuperación implementan planes de ciberresiliencia y garantizan la continuidad del negocio en caso de ciberataque, violación de seguridad u otro evento de ciberseguridad. Las funciones de recuperación son la mejora de la planificación de la recuperación y las comunicaciones.

Las referencias informativas del CSF del NIST establecen una correlación directa entre las funciones, categorías, subcategorías y los controles de seguridad específicos de otros marcos. Estos marcos incluyen:

1. Controles del Center for Internet Security (CIS)
2. COBIT 5
3. Sociedad Internacional de Automatización (ISA) 62443-2-1:2009
4. ISA 62443-3-3:2013
5. Organización Internacional de Normalización y Comisión Electrotécnica Internacional 27001:2013
6. NIST SP 800-53 Rev. 4
   

El CSF del NIST no especifica cómo realizar el inventario de los dispositivos y sistemas físicos ni de las plataformas y aplicaciones de software, sino que simplemente proporciona una lista de tareas que deben completarse. Cada organización puede elegir su propio método para llevarlo a cabo.

Si una organización necesita más orientación, puede consultar las referencias informativas a los controles relacionados en otras normas complementarias. Hay mucha libertad en el CSF para seleccionar las herramientas que mejor se adapten a las necesidades de gestión de riesgos de ciberseguridad de una organización.

Para ayudar a las organizaciones del sector privado a medir su progreso en la implementación del Marco de Ciberseguridad del NIST, este identifica cuatro niveles de implementación:

• Nivel 1 – Parcial: la organización está familiarizada con el NIST CSF y podría haber implementado algunos aspectos de control en algunas áreas de la infraestructura. La implementación de actividades y protocolos de ciberseguridad ha sido reactiva en lugar de planificada. La organización tiene una conciencia limitada de los riesgos de ciberseguridad y carece de los procesos y recursos para permitir la seguridad de la información.
  
  
• Nivel 2 – Información sobre riesgos: la organización es más consciente de los riesgos de ciberseguridad y comparte información de manera informal. Sin embargo, carece de un proceso de gestión de riesgos de ciberseguridad planificado, repetible y proactivo para toda la organización.
  
  
• Nivel 3 – Repetible: la organización y sus altos ejecutivos son conscientes de los riesgos de ciberseguridad. Han implementado un plan de gestión de riesgos de ciberseguridad repetible en toda la organización. El equipo de ciberseguridad ha creado un plan de acción para monitorizar y responder eficazmente a los ciberataques.
  
  
• Nivel 4 – Adaptativo: la organización ahora es ciberresiliente y utiliza las lecciones aprendidas y los indicadores predictivos para prevenir los ciberataques. El equipo de ciberseguridad mejora y actualiza continuamente las tecnologías y prácticas de ciberseguridad de la organización, y se adapta con rapidez y eficacia a los cambios en las amenazas. La organización tiene un enfoque global para la gestión de riesgos de seguridad de la información, con toma de decisiones, políticas, procedimientos y procesos basados en el riesgo. Las organizaciones adaptativas integran la gestión de riesgos de ciberseguridad en la toma de decisiones presupuestarias y en la cultura empresarial.

El Marco de Ciberseguridad del NIST proporciona una guía paso a paso sobre cómo establecer o mejorar su programa de gestión de riesgos de seguridad de la información:

1. Priorizar y definir el alcance: cree una idea clara del alcance del proyecto e identifique las prioridades. Establezca los objetivos empresariales o de misión de alto nivel, las necesidades empresariales y determine la tolerancia al riesgo de la organización.
   
   
2. Orientar: evalúe los activos y sistemas de la organización e identifique la normativa aplicable, el enfoque de riesgo y las amenazas para la organización.
   
   
3. Crear un perfil actual: un perfil actual es una instantánea de cómo la organización gestiona el riesgo según lo definido por las categorías y subcategorías del CSF.
   
   
4. Realizar una evaluación de riesgos: evalúe el entorno operativo, los riesgos emergentes y la información sobre amenazas a la ciberseguridad para determinar la probabilidad y la gravedad de un incidente de este tipo.
   
   
5. Crear un perfil objetivo: un perfil objetivo representa el objetivo de gestión de riesgos del equipo de seguridad de la información.
   
   
6. Determinar, analizar y priorizar las brechas: al identificar las brechas entre el perfil actual y el objetivo, el equipo de seguridad de la información puede crear un plan de acción, incluidos hitos medibles y recursos (personas, presupuesto, tiempo) necesarios para llenar estos vacíos.
   
   
7. Implementar el plan de acción: implemente el plan de acción definido en el paso 6.