¿Qué es el marco de ciberseguridad del NIST?

El Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU. es una agencia no reguladora que promueve la innovación mediante el avance de la ciencia de medición, los estándares y la tecnología.

El CSF del NIST es lo suficientemente flexible como para integrarse con los procesos de seguridad existentes dentro de cualquier organización, en cualquier industria. Proporciona un excelente punto de partida para implementar la seguridad de la información y la gestión de riesgos de ciberseguridad en prácticamente cualquier organización del sector privado en Estados Unidos.

El 12 de febrero de 2013, se emitió la Orden Ejecutiva (EO) 13636 "Mejorar la ciberseguridad de la infraestructura crítica". Esto inició el trabajo del NIST con el sector privado de EE. UU. para "identificar las normas de consenso voluntario existentes y las mejores prácticas de la industria para incorporarlas en un marco de ciberseguridad". El resultado de esta colaboración fue la versión 1.0 del marco de ciberseguridad del NIST.

La Ley de Mejora de la Ciberseguridad (CEA) de 2014 amplió los esfuerzos del NIST en el desarrollo del marco de ciberseguridad. Hoy en día, el CSF del NIST sigue siendo uno de los marcos de seguridad más adoptados en todas las industrias de Estados Unidos.

El marco de ciberseguridad del NIST incluye funciones, categorías, subcategorías y referencias informativas.

Las funciones ofrecen una visión general de los protocolos de seguridad de las mejores prácticas. Las funciones no están destinadas a ser pasos de procedimiento, sino que se realizan "de manera simultánea y continua para formar una cultura operativa que aborda el riesgo dinámico de ciberseguridad". Las categorías y subcategorías proporcionan planes de acción más concretos para departamentos o procesos específicos dentro de una organización.

Algunos ejemplos de funciones y categorías del NIST son:

• Identificar: para protegerse contra los ataques cibernéticos, el equipo de ciberseguridad necesita una comprensión profunda de los activos y recursos más importantes de la organización. La función de identificación incluye categorías, como gestión de activos, entorno empresarial, gobernanza, evaluación de riesgos, estrategia de gestión de riesgos y gestión de riesgos de la cadena de suministro.
  
  
• Proteger: la función de protección cubre gran parte de los controles de seguridad técnica y física para desarrollar e implementar salvaguardas adecuadas y proteger la infraestructura crítica. Estas categorías son gestión de identidad y control de acceso, concientización y capacitación, seguridad de datos, procesos y procedimientos de protección de la información, mantenimiento y tecnología de protección.
  
  
• Detectar: la función de detección implementa medidas que alertan a una organización sobre ataques cibernéticos. Las categorías incluyen anomalías y eventos, seguridad, monitoreo continuo y procesos de detección.
  
  
• Responder: Las categorías de funciones de respuesta garantizan la respuesta adecuada a los ciberataques y otros eventos de ciberseguridad. Categorías específicas incluyen planificación de respuesta, comunicaciones, análisis, mitigación y mejoras.
  
  
• Recuperación: las actividades de recuperación implementan planes de resiliencia cibernética y garantizan la continuidad de negocio en caso de un ataque cibernético, una violación de seguridad u otro evento de ciberseguridad. Las funciones de recuperación son mejoras en la planeación de la recuperación y comunicaciones.

Las referencias informativas del CSF del NIST establecen una correlación directa entre las funciones, categorías, subcategorías y los controles de seguridad específicos de otros marcos. Estos marcos incluyen:

1. The Center for Internet Security (CIS) Controls®
2. COBIT 5
3. International Society of Automation (ISA) 62443-2-1:2009
4. ISA 62443-3-3:2013
5. International Organization for Standardization e International Electrotechnical Commission 27001:2013
6. NIST SP 800-53 Rev. 4
   

El CSF del NIST no dice cómo inventariar los dispositivos y sistemas físicos o cómo inventariar las plataformas y aplicaciones de software; simplemente proporciona una lista de verificación de tareas para completar. Una organización puede elegir su propio método sobre cómo realizar el inventario.

Si una organización necesita más orientación, puede consultar las referencias informativas a los controles relacionados en otras normas complementarias. Hay mucha libertad en el CSF para seleccionar las herramientas que mejor se adapten a las necesidades de gestión de riesgos de ciberseguridad de una organización.

Para ayudar a las organizaciones del sector privado a medir su progreso hacia la implementación del marco de ciberseguridad del NIST, el marco identifica cuatro niveles de implementación:

• Nivel 1; parcial: la organización está familiarizada con el CSF del NIST y podría haber implementado algunos aspectos de control en algunas áreas de la infraestructura. La implementación de actividades y protocolos de ciberseguridad ha sido reactiva en lugar de planificada. La organización tiene una concientización limitada de los riesgos de ciberseguridad y carece de los recursos y procesos para habilitar la seguridad de la información.
  
  
• Nivel 2; informado sobre el riesgo: la organización es más consciente de los riesgos de ciberseguridad y comparte información de manera informal. Carece de un proceso de gestión de riesgos de ciberseguridad planificado, repetible y proactivo en toda la organización.
  
  
• Nivel 3; repetible: la organización y sus altos ejecutivos son conscientes de los riesgos de ciberseguridad. Han implementado un plan de gestión de riesgos de ciberseguridad repetible en toda la organización. El equipo de ciberseguridad ha creado un plan de acción para monitorear y responder eficazmente a los ciberataques.
  
  
• Nivel 4; adaptativo: la organización ahora es ciberresiliente y utiliza lecciones aprendidas e indicadores predictivos para prevenir ciberataques. El equipo de ciberseguridad mejora y avanza continuamente en las tecnologías y prácticas de ciberseguridad de la organización y se adapta a los cambios en las amenazas de forma rápida y eficiente. Existe un enfoque en toda la organización para la gestión de riesgos de seguridad de la información con toma de decisiones, políticas, procedimientos y procesos informados sobre los riesgos. Las organizaciones adaptables incorporan la gestión de riesgos de ciberseguridad en las decisiones presupuestarias y la cultura organizacional.

El marco de ciberseguridad del NIST proporciona una guía paso a paso sobre cómo establecer o mejorar su programa de gestión de riesgos de seguridad de la información:

1. Priorizar y dar alcance: crear una idea clara del alcance del proyecto e identifique las prioridades. Establecer los objetivos comerciales o de misión de alto nivel, y las necesidades comerciales, y determinar la tolerancia al riesgo de la organización.
   
   
2. Orientar: evaluar los activos y sistemas de la organización e identificar las regulaciones aplicables, el enfoque de riesgo y las amenazas para la organización.
   
   
3. Crear un perfil actual: un perfil actual es una instantánea de cómo la organización está gestionando el riesgo según lo definido por las categories y subcategorías del CSF.
   
   
4. Realizar una evaluación de riesgos: evaluar el entorno operativo, los riesgos emergentes y la información de amenazas de ciberseguridad para determinar la probabilidad y gravedad de un evento de ciberseguridad.
   
   
5. Crear un perfil objetivo: un perfil objetivo representa el objetivo de gestión de riesgos del equipo de seguridad de la información.
   
   
6. Determine, analice y priorice las brechas: al identificar las brechas entre el perfil actual y el objetivo, el equipo de seguridad de la información puede crear un plan de acción, incluidos hitos medibles y recursos (personas, presupuesto, tiempo) necesarios para llenar estos vacíos.
   
   
7. Implementar el plan de acción: implementar el plan de acción definido en el Paso 6.