Inicio
Topics
¿Qué es el marco de ciberseguridad del NIST?
El Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés) es una agencia no reguladora que promueve la innovación mediante avances en metrología, normas y tecnología. El Marco de Ciberseguridad del NIST (NIST CSF, NIST Cybersecurity Framework) consta de normas, pautas y mejores prácticas que ayudan a las organizaciones a mejorar su gestión del riesgo de ciberseguridad.
El NIST CSF está diseñado para ser lo suficientemente flexible como para integrarse con los procesos de seguridad existentes de cualquier organización, en cualquier sector. Proporciona un excelente punto de partida para implementar gestión de riesgos de ciberseguridad y seguridad de la información en prácticamente cualquier organización del sector privado en los Estados Unidos.
El 12 de febrero de 2013 se emitió la Orden Ejecutiva (EO) 13636, "Mejora de la seguridad cibernética eninfraestructuras críticas", que supuso el inicio de la colaboración entre el NIST y el sector privado en EE. UU. para "identificar las normas de consenso y las mejores prácticas del sector de uso voluntario para crear un marco de ciberseguridad". El resultado de esta colaboración fue la versión 1.0 del Marco de Ciberseguridad del NIST.
La Ley de Mejora de la Seguridad Cibernética (CEA, Cybersecurity Enhancement Act) de 2014 amplió la labor del NIST para incluir el desarrollo del Marco de Ciberseguridad. Actualmente, el NIST CSF sigue siendo uno de los marcos de seguridad más ampliamente adoptados en todos los sectores de EE. UU.
El Marco de Ciberseguridad del NIST incluye funciones, categorías, subcategorías y referencias informativas.
Las funciones proporcionan una descripción general de los protocolos de seguridad de las mejores prácticas. Las funciones no están destinadas a ser pasos de un proceso que haya que seguir, sino que se deben realizar "concurrente y continuamente para formar una cultura operativa que aborde el riesgo dinámico de ciberseguridad". Las categorías y subcategorías proporcionan planes de acción más concretos para departamentos o procesos específicos dentro de una organización.
Algunos ejemplos de funciones y categorías del NIST incluyen:
Las referencias informativas del NIST CSF establecen correlaciones directas entre las funciones, las categorías, las subcategorías y los controles de seguridad específicos de otros marcos. Estos marcos incluyen Center for Internet Security (CIS) Controls®, COBIT 5, International Society of Automation (ISA) 62443-2-1:2009, ISA 62443-3-3:2013, International Organization for Standardization e International Electrotechnical Commission 27001:2013 y NIST SP 800-53 Rev. 4.
El NIST CSF no indica cómo inventariar los dispositivos y sistemas físicos o las plataformas y aplicaciones de software; simplemente proporciona una lista de comprobación de las tareas que deben completarse. Cada organización puede elegir su propio método para realizar el inventario. Si una organización necesita más directrices, puede consultar las referencias informativas a controles relacionados de otras normas complementarias. El CSF da mucha libertad para elegir las herramientas que mejor se adapten a las necesidades de gestión de riesgos de ciberseguridad de una organización.
Para ayudar a las organizaciones del sector privado a medir su progreso en la implementación del Marco de Ciberseguridad del NIST, el marco identifica cuatro niveles de implementación:
El Marco de Ciberseguridad del NIST proporciona una guía paso a paso sobre cómo establecer o mejorar su programa de gestión de riesgos de seguridad de la información:
Los servicios de gobierno, riesgo y conformidad de IBM le ayudan a evaluar su gobierno de seguridad actual en función de los requisitos y objetivos de su empresa.
Básicamente, la seguridad de red es la actividad dirigida a la protección de datos, aplicaciones, dispositivos y sistemas que están conectados a la red.
La tecnología de ciberseguridad y las mejores prácticas protegen los sistemas más importantes y la información confidencial ante un volumen cada vez mayor de amenazas en constante evolución.