Desempaquetar el marco de ciberseguridad 2.0 del NIST

El marco de ciberseguridad (CSF) del NIST ayuda a las organizaciones a mejorar la gestión de riesgos utilizando un lenguaje común que se centra en los controladores del negocio para mejorar la ciberseguridad.

NIST CSF 1.0 se lanzó en febrero de 2014 y la versión 1.1 en abril de 2018. En febrero de 2024, el NIST lanzó su iteración más reciente de CSF: 2.0. El camino hacia CSF 2.0 comenzó con una solicitud de información (RFI) en febrero de 2022. Durante los dos años siguientes, el NIST involucró a la comunidad de ciberseguridad a través de análisis, talleres, comentarios y revisión de borradores para refinar los estándares existentes y crear un nuevo modelo que refleje los desafíos de seguridad en evolución.

Si bien el núcleo del CSF sigue siendo el mismo, hay varias adiciones notables a la nueva versión. Esto es lo que las empresas necesitan saber sobre la nueva infraestructura, cómo afecta las Operaciones y cómo los equipos de TI pueden aplicar eficazmente la versión 2.0 de CSF a las operaciones diarias.

El primero es la introducción de la función "Govern", que sustenta las cinco funciones del marco original del NIST: identificar, proteger, detectar, responder y recuperar. Como señala la documentaciónoriginal de CSF 1.0, "estas funciones no están destinadas a formar un camino serial ni a conducir a un estado final estático deseado. Más bien, las funciones se pueden realizar de forma simultánea y continua para formar una cultura operativa que aborde el riesgo de seguridad dinámico”.

Como resultado, las funciones a menudo se representan como un círculo de cinco partes que rodea el marco CST central. Cada función conduce a la siguiente, y ninguna función es independiente de otra.

NIST CSF 2.0 mantiene estas funciones, pero agrega Govern como un anillo interno completo ubicado debajo de las cinco funciones externas. Govern se enfoca en garantizar que las otras funciones se alineen con las necesidades del negocio, sean evaluadas regularmente por los equipos de operaciones y sean administradas por ejecutivos de seguridad.

En otras palabras, Govern busca aportar liderazgo a la conversación sobre seguridad. Si bien esto ya está sucediendo en la mayoría de las empresas, CSF 2.0 lo convierte en una prioridad.

Las dos primeras versiones de CSF priorizaron la infraestructura crítica. Si bien otras industrias y agencias adoptaron el marco, fue diseñado principalmente para reducir el impacto de los incidentes de ciberseguridad en el sector de infraestructura crítica.

Sin embargo, la amplia adopción de la infraestructura dejó claro que las prácticas y procesos se aplicaban a organizaciones públicas y privadas de todos los sectores e industrias. Como resultado, NIST CSF 2.0 ofrece mejores prácticas ampliadas ampliamente aplicables a empresas de cualquier tamaño y tipo.

Por ejemplo, el nuevo CSF recomienda que todas las empresas creen perfiles organizacionales que describan las posturas de ciberseguridad actuales y objetivo. Esto permite a las empresas establecer objetivos y definir la práctica necesaria para alcanzar estos objetivos. El nuevo marco también destaca el papel de los perfiles de la comunidad. Estos perfiles se crean para abordar los intereses y objetivos compartidos de ciberseguridad de múltiples organizaciones que ocupan la misma dirección o subsector, emplean tecnologías similares o tienen Experiencia de tipos de amenazas parecidos.

Con su enfoque en la gobernanza mejorada y las mejores prácticas ampliadas, el nuevo NIST CSF puede ayudar a las empresas a mejorar la seguridad y reducir el riesgo. Para implementar eficazmente este marco, las organizaciones se benefician de un enfoque de cuatro frentes.

El alcance y la escala ampliados de CSF 2.0 pueden dificultar que las empresas de cualquier tamaño implementen de manera efectiva las nuevas recomendaciones. Para las empresas más pequeñas, el soporte de TI limitado puede afectar el desarrollo de nuevas prácticas, mientras que las organizaciones más grandes pueden tener dificultades con la complejidad de sus entornos de TI.

Para ayudar a optimizar el proceso, las empresas deben hacer el mejor uso de los recursos disponibles, tales como:

• Guía de inicio rápido de CSF 2.0 para crear perfiles organizacionales
• La herramienta de referencia de búsqueda CSF 2.0
• El catálogo de referencia informativa del NIST
• Ejemplos de implementación de CSF 2.0

El siguiente paso en la lista es conseguir que los líderes participen. Si bien CSF 2.0 se diseñó teniendo en cuenta la gobernanza y la supervisión, muchos altos ejecutivos no técnicos pueden tener un conocimiento limitado de la infraestructura y su impacto. Como resultado, es una buena idea que los líderes de TI, como CTO, CIO y CISO, y sus equipos se sienten con los miembros de la junta y discutan el impacto de CSF 2.0. Esta también es una oportunidad para garantizar que los objetivos comerciales y las estrategias de seguridad estén alineados.

Además, estas reuniones brindan la oportunidad de definir métricas de seguridad clave, determinar cómo se recopilarán y crear un cronograma detallado para la recopilación, la elaboración de informes y la acción. Al hacer que los líderes formen parte de la conversación desde el comienzo de la implementación del CSF, las empresas sientan las bases para una visibilidad sostenida.

Como parte de la nueva función Govern, CSF 2.0 incluye nuevas subsecciones sobre la gestión de proveedores y distribuidores. Por ejemplo, GV.SC-04 se centra en conocer y priorizar a los proveedores por su importancia para las operaciones, mientras que GV.SC-06 habla de la planificación y la diligencia debida necesarias antes de entablar relaciones con terceros. Finalmente, la subsección GV.SC-10 puede ayudar a las empresas a planificar la terminación de una relación con un proveedor o socio.

Dado el creciente riesgo y el impacto de la comprometida de terceros, estas evaluaciones son críticas. Si los proveedores o vendedores con acceso a datos críticos de la empresa se ven comprometidos debido a malas prácticas de ciberseguridad, las organizaciones están en riesgo, independientemente de su propio cumplimiento de CSF 2.0.

Para respaldar las cinco funciones existentes y proporcionar los datos necesarios para informar sobre las nuevas iniciativas de gobernanza, las empresas necesitan herramientas de gestión y supervisión capaces de detectar amenazas potenciales, rastrear indicadores de compromiso (IOC) y tomar medidas para reducir el riesgo total.

Por ejemplo, las herramientas de inteligencia de amenazas pueden ayudar a las organizaciones a identificar patrones y objetivos de ataque comunes, lo que a su vez brinda a los equipos los datos que necesitan para crear y desplegar contramedidas efectivas. Estos datos también ayudan a vincular el gasto en seguridad con resultados comerciales medibles.

Si bien CSF 2.0 es la versión más reciente de la infraestructura de ciberseguridad del NIST, no es la última. Como señaló el NIST, la infraestructura está diseñada como un documento vivo que evoluciona para satisfacer las necesidades emergentes de ciberseguridad y ayudar a las empresas a navegar por entornos de amenazas cambiantes.

En la práctica, esto significa mover de las mejores prácticas a las prácticas comunes. Por ejemplo, donde las versiones 1.0 y 1.1 proporcionaron las mejores prácticas para la infraestructura crítica, la versión 2.0 las incluye como prácticas comunes para todas las organizaciones al tiempo que define una nueva mejor práctica: la gobernanza. Con el tiempo, esta práctica se convertirá en un lugar común, preparando el escenario para nuevos desarrollos que ayuden a las organizaciones a mejorar el descubrimiento de amenazas, mejorar la respuesta a incidentes y reducir el riesgo total.