Inicio
Temas
¿Qué es el marco de ciberseguridad del NIST?
El Instituto Nacional de Estándares y Tecnología (NIST) es una agencia no reguladora que promueve la innovación mediante el fomento de la ciencia, los estándares y la tecnología de la medición. El marco de ciberseguridad del NIST (CSF del NIST) consta de estándares, pautas y mejores prácticas que ayudan a las organizaciones a mejorar su gestión de riesgos de ciberseguridad.
El diseño del CSF del NIST tiene una flexibilidad que le permite integrarse con los procesos de seguridad existentes dentro de cualquier organización, en cualquier industria. Proporciona un excelente punto de partida para implementar la seguridad de la información y la gestión de riesgos de ciberseguridad en prácticamente cualquier organización del sector privado en los Estados Unidos.
El 12 de febrero de 2013, se emitió la Orden Ejecutiva (EO) 13636, "Mejora de la ciberseguridad de la infraestructura crítica". Esto inició el trabajo del NIST con el sector privado de los EE. UU. para "identificar los estándares de consenso voluntarios existentes y las mejores prácticas de la industria para incorporarlos en un marco de ciberseguridad". El resultado de esta colaboración fue el NIST Cybersecurity Framework, versión 1.0.
La Ley de Mejora de la Ciberseguridad (CEA) de 2014 amplió los esfuerzos del NIST en el desarrollo del marco de ciberseguridad. Hoy en día, el CSF del NIST sigue siendo uno de los marcos de seguridad más utilizados en todas las industrias de los EE. UU.
El NIST Cybersecurity Framework incluye funciones, categorías, subcategorías y referencias informativas.
Las funciones brindan una descripción general de los protocolos de seguridad de las mejores prácticas. Las funciones no están destinadas a ser pasos de procedimiento, sino que deben realizarse "de manera simultánea y continua para formar una cultura operativa que aborde el riesgo dinámico de ciberseguridad". Las categorías y subcategorías proporcionan planes de acción más concretos para departamentos o procesos específicos dentro de una organización.
Entre los ejemplos de funciones y categorías del NIST se incluyen los siguientes:
Las referencias informativas del CSF del NIST establecen una correlación directa entre las funciones, categorías, subcategorías y los controles de seguridad específicos de otros marcos. Estos marcos incluyen el Center for Internet Security (CIS) Controls®, COBIT 5, International Society of Automation (ISA) 62443-2-1: 2009, ISA 62443-3-3: 2013, International Organization for Standardization y la International Electrotechnical Commission 27001: 2013 y NIST SP 800-53 Rev.4.
El CSF del NIST no indica cómo inventariar los dispositivos y sistemas físicos o cómo inventariar las plataformas y aplicaciones de software; solo proporciona una lista de verificación de las tareas que deben realizarse. Una organización puede elegir su propio método sobre cómo realizar el inventario. Si una organización necesita más orientación, puede consultar las referencias informativas a los controles relacionados en otras normas complementarias. Hay mucha libertad en el CSF para elegir las herramientas que mejor se adapten a las necesidades de gestión de riesgos de ciberseguridad de una organización.
Para ayudar a las organizaciones del sector privado a medir su progreso hacia la implementación del marco de ciberseguridad del NIST, el marco identifica cuatro niveles de implementación:
El marco de ciberseguridad del NIST proporciona una guía paso a paso sobre cómo establecer o mejorar su programa de gestión de riesgos de seguridad de la información:
Los servicios de gestión, riesgo y conformidad de IBM le ayudan a evaluar su actual gestión de seguridad en relación con sus requisitos y objetivos empresariales.
En un nivel básico, la seguridad de red es la operación de proteger datos, aplicaciones, dispositivos y sistemas que están conectados a la red.
La tecnología y las mejores prácticas de ciberseguridad protegen los sistemas importantes y la información confidencial de una cantidad cada vez mayor de amenazas en constante evolución.