Crédito: NIST La Administración de Pequeñas Empresas de los Estados Unidos celebra la Semana Nacional de Pequeñas Empresas del 28 de abril al 4 de mayo de 2024. Esta semana reconoce y celebra las importantes contribuciones de la comunidad de las pequeñas empresas a la nación. Las organizaciones de todo el país participan organizando eventos en persona y virtuales, reconociendo a los líderes y creadores de cambios de pequeñas empresas, y destacando los recursos que ayudan a la comunidad de pequeñas empresas a comenzar y escalar de manera más fácil y eficiente sus negocios. Para agregar a las festividades, este blog NIST CyberseCurity Insights muestra la Guía de inicio rápido de Small Business Start de NIST Cybersecurity Framework 2.0, un nuevo recurso diseñado para ayudar a la comunidad de pequeñas y medianas empresas (SMB) a manejar y reducir sus riesgos de ciberseguridad. Has trabajado duro para comenzar y hacer crecer su negocio. ¿Estás tomando los pasos necesarios para protegerlo? A medida que las pequeñas empresas se han vuelto más dependiendo de los datos y la tecnología para operar y escalar un negocio moderno, la ciberseguridad se ha convertido en un riesgo fundamental que debe abordarse junto con otros riesgos comerciales. Esta guía está diseñada para ayudar. Comprender el Marco de Ciberseguridad NIST (CSF) Pasemos primero un paso atrás. Antes de hablar sobre la Guía de inicio rápido de Small Business CSF 2.0, es importante comprender primero su base. El CSF es una guía voluntaria que ayuda a las organizaciones, independientemente del tamaño, el sector o la madurez, comprender mejor, evaluar, priorizar y comunicar sus esfuerzos de seguridad cibernética (esas etapas de comprender, evaluar, priorizar y comunicarse van a volver a enfocar en un momento). El CSF describe los resultados deseables de ciberseguridad que una organización puede aspirar a lograr. Y debido a que cada organización es diferente, el CSF no prescribe resultados ni cómo se pueden lograr. El marco es flexible para que cada organización pueda adaptar su implementación para satisfacer sus propias necesidades, misiones, recursos y riesgos únicos. Es particularmente útil para fomentar la comunicación interna o externa creando un vocabulario común para discutir la gestión de riesgos de ciberseguridad. Publicado por primera vez en 2014, el CSF recientemente se sometió a una revisión significativa. CSF 2.0 se publicó el 26 de febrero de 2024. Junto con el documento actualizado, NIST publicó nuevos materiales complementarios destinados a ayudar a diferentes audiencias a comprender mejor y poner en acción el CSF 2.0. Al introducir la Guía de inicio rápido de Small Business CSF 2.0, la guía proporciona negocios de tamaño pequeño a mediano (SMB), específicamente aquellos que tienen planes modestos o nulos de ciberseguridad, con consideraciones para iniciar su estrategia de gestión de riesgos de ciberseguridad utilizando el CSF 2.0. El CSF a menudo se discute en términos de transporte: «viajar a través del CSF 2.0» o «viaje al CSF». ¿Por qué? Porque la ciberseguridad es un viaje continuo. Considere la guía de inicio rápido de SMB como una rampa de entrada a ese viaje. Crédito: NIST La información incluida en esta guía no es la que abarca o prescriptiva; Está destinado a ofrecer un buen punto de partida para un negocio pequeño o mediano. La guía tampoco está destinada a reemplazar el CSF. Está destinado a ser una introducción. O, como se mencionó anteriormente, una rampa de entrada. ¿Cómo se organiza la guía de inicio rápido de SMB? La guía está organizada por función: 1 página por función. ¿Qué es una función de CSF, puede preguntar? Estas son categorizaciones de resultados de ciberseguridad (lo que desea lograr) en sus niveles más altos. Son: gobernar, identificar, proteger, detectar, responder y recuperarse. Estas funciones, cuando se consideran juntas, proporcionan una visión integral de la gestión del riesgo de ciberseguridad. GOGER: La estrategia, las expectativas y las políticas de gestión de riesgos de ciberseguridad de la organización se establece, comunican y monitorean los identificaciones: los riesgos actuales de seguridad cibernética de la organización se entienden PROTECTO: las salvaguardas para administrar los riesgos de seguridad cibernética de la organización se utilizan. por un incidente de ciberseguridad. En cada página de la guía, los lectores pueden esperar encontrar información para ayudarlo a comprender mejor la función y ponerla en acción. Cada página se organiza en cuatro secciones principales: acciones a considerar, comenzar, preguntas a considerar y recursos adicionales. Explore cada sección con más profundidad: 1. Acciones a considerar: Como se mencionó anteriormente, el CSF ayuda a las organizaciones a comprender, evaluar, priorizar y comunicar mejor las organizaciones. Es por eso que las «acciones para considerar» de la guía se organizan en esas etapas. Las secciones Comprender y Evaluar proporcionan acciones para ayudar a los lectores a comprender la postura de ciberseguridad actual o objetivo de parte o la totalidad de una organización, determinar las brechas y evaluar el progreso hacia abordar esas brechas. La sección de priorización incluirá acciones para ayudar a los lectores a identificar, organizar y priorizar acciones para gestionar los riesgos de seguridad cibernética que se alinean con la misión, los requisitos legales y regulatorios de la organización, y las expectativas de gestión de riesgos y gobernanza. La sección Comunicar proporciona acciones para comunicarse dentro y fuera de la organización sobre los riesgos de seguridad cibernética, las capacidades, las necesidades y las expectativas y las expectativas. Seguir cada acción a considerar es una paréntesis (ver la imagen a continuación), que documenta qué parte del marco de ciberseguridad centra la referencia de la acción. El núcleo es un conjunto de resultados de ciberseguridad organizados por función, categoría y subcategoría. En el caso que se muestra a continuación (GV.OC-01) «GV» es la función (gobernar), «OC» es la categoría (contexto organizacional) y «01» es la designación de la subcategoría. Cada acción para considerar los lazos con el núcleo del marco de seguridad cibernética. Crédito: NIST 2. Comenzando: esta área profundiza en un concepto específico dentro de la función. Por ejemplo, como se muestra en la imagen a continuación, se proporcionan dos tablas de planificación para ayudar a las empresas a comenzar a pensar en documentar su estrategia de gobierno. Las empresas, por supuesto, necesitarán personalizar estas tablas para satisfacer sus propias necesidades, pero estos proporcionan un punto de referencia para comenzar. Crédito: NIST Para aquellos que desean profundizar en la orientación NIST sobre un tema específico, también se incluye una inmersión técnica profunda en cada página. Estos recursos son un componente importante porque esta guía de inicio rápido de SMB no pretende ser el destino final en el viaje de un negocio para mejorar la gestión de riesgos de ciberseguridad. A medida que crece un negocio, a medida que sus necesidades cambian, y a medida que aumenta su dependencia de la conectividad y la tecnología, su enfoque para la gestión del riesgo de ciberseguridad deberá volverse más sofisticado. Estos recursos pueden ayudar en ese viaje. 3. Preguntas a considerar: esta sección se incluye en cada página para alentar a los lectores a interactuar con el contenido y comenzar a pensar en preguntas importantes relacionadas con la gestión de riesgos de ciberseguridad. No son todas las preguntas que una empresa debería hacerse, sino que proporcionan un punto de partida para la discusión. Estas preguntas, y la guía en general, también pueden servir como un mensaje de discusión entre el propietario de un negocio y quien haya elegido ayudarlos a reducir sus riesgos de seguridad cibernética, como un proveedor de servicios de seguridad administrado (MSSP). Crédito: NIST 4. Recursos relacionados: esta sección final proporciona algunos recursos adicionales para la exploración continua del tema. Se eligió cada recurso porque se expande específicamente en el contenido de la página o agrega ideas o herramientas adicionales que se pueden procesar. Todos los recursos son de NIST u otras agencias federales y están diseñados específicamente para la comunidad de pequeñas empresas. ¿Quieres aprender más? Comprometerse con nuestro trabajo de ciberseguridad de SMB NIST