Crédito: NIST La Administración de Pequeñas Empresas de EE. UU. celebra la Semana Nacional de las Pequeñas Empresas del 28 de abril al 4 de mayo de 2024. Esta semana reconoce y celebra las importantes contribuciones de la comunidad de pequeñas empresas a la nación. Organizaciones de todo el país participan organizando eventos presenciales y virtuales, reconociendo a líderes de pequeñas empresas y agentes de cambio, y destacando recursos que ayudan a la comunidad de pequeñas empresas a iniciar y escalar sus negocios de manera más fácil y eficiente. Para aumentar las festividades, este blog de NIST Cybersecurity Insights muestra la Guía de inicio rápido del NIST Cybersecurity Framework 2.0 para pequeñas empresas, un nuevo recurso diseñado para ayudar a la comunidad de pequeñas y medianas empresas (PYMES) a comenzar a administrar y reducir sus riesgos de ciberseguridad. Ha trabajado duro para iniciar y hacer crecer su negocio. ¿Está tomando las medidas necesarias para protegerlo? A medida que las pequeñas empresas se han vuelto más dependientes de los datos y la tecnología para operar y escalar un negocio moderno, la ciberseguridad se ha convertido en un riesgo fundamental que debe abordarse junto con otros riesgos comerciales. Esta guía está diseñada para ayudar. Comprensión del marco de ciberseguridad (CSF) del NIST Primero demos un paso atrás. Antes de hablar sobre la Guía de inicio rápido para pequeñas empresas de CSF 2.0, es importante comprender primero sus fundamentos. El CSF es una guía voluntaria que ayuda a las organizaciones, independientemente de su tamaño, sector o madurez, a comprender, evaluar, priorizar y ​comunicar mejor sus esfuerzos en materia de ciberseguridad (esas etapas de comprender, evaluar, priorizar y comunicar volverán a incluirse en el proceso). centrarse en sólo un momento). El CSF describe qué resultados deseables en materia de ciberseguridad puede aspirar a lograr una organización. Y como cada organización es diferente, el MCA no prescribe resultados ni cómo se pueden lograr. El marco es flexible para que cada organización pueda adaptar su implementación para satisfacer sus propias necesidades, misión, recursos y riesgos únicos. Es particularmente útil para fomentar la comunicación interna o externa mediante la creación de un vocabulario común para discutir la gestión de riesgos de ciberseguridad. Publicado por primera vez en 2014, el MCA ha sido recientemente objeto de una importante revisión. CSF 2.0 se publicó el 26 de febrero de 2024. Junto con el documento actualizado, NIST publicó nuevos materiales complementarios destinados a ayudar a diferentes audiencias a comprender mejor y poner en práctica el CSF 2.0. Presentación de la Guía de inicio rápido para pequeñas empresas del CSF 2.0 La guía proporciona a las pequeñas y medianas empresas (PYMES), específicamente aquellas que tienen planes de ciberseguridad modestos o inexistentes, consideraciones para poner en marcha su estrategia de gestión de riesgos de ciberseguridad utilizando el CSF 2.0. . A menudo se habla del CSF en términos de transporte: “Viaje a través del CSF 2.0” o “Viaje al CSF”. ¿Por qué? Porque la ciberseguridad es un viaje continuo. Considere la Guía de inicio rápido para PYMES como una vía de acceso a ese viaje. Crédito: NIST La información incluida en esta Guía no es exhaustiva ni prescriptiva; está destinado a ofrecer un buen punto de partida para una pequeña o mediana empresa. La Guía tampoco pretende sustituir al MCA. Está destinado a ser una introducción a ello. O, como se mencionó anteriormente, una vía de acceso hacia él. ¿Cómo está organizada la Guía de inicio rápido para PYMES? La Guía está organizada por Función: 1 página por Función. ¿Qué es una función del LCR, te preguntarás? Estas son categorizaciones de resultados de ciberseguridad (lo que se desea lograr) en sus niveles más altos. Ellos son: Gobernar, Identificar, Proteger, Detectar, Responder y Recuperar. Estas Funciones, cuando se consideran en conjunto, brindan una visión integral de la gestión del riesgo de ciberseguridad. Gobernar: se establecen, comunican y monitorean la estrategia, las expectativas y la política de gestión de riesgos de ciberseguridad de la organización. Identificar: se comprenden los riesgos de ciberseguridad actuales de la organización. Proteger: se utilizan salvaguardias para gestionar los riesgos de ciberseguridad de la organización. Detectar: ​​se encuentran y analizan posibles ataques y compromisos de ciberseguridad. .Responder: se toman medidas relacionadas con un incidente de ciberseguridad detectado. Recuperar: se restauran los activos y operaciones afectados por un incidente de ciberseguridad. En cada página de la Guía, los lectores pueden esperar encontrar información que les ayudará a comprender mejor la Función y ponerla en práctica. Cada página está organizada en cuatro secciones principales: Acciones a considerar, Primeros pasos, Preguntas a considerar y Recursos adicionales. Exploremos cada sección con más profundidad: 1. Acciones a considerar: como se mencionó anteriormente, el CSF ayuda a las organizaciones a comprender, evaluar, priorizar y comunicar mejor sus esfuerzos de ciberseguridad. Es por eso que las “Acciones a considerar” de la Guía están organizadas en esas etapas. Las secciones Comprender y Evaluar brindan acciones para ayudar a los lectores a comprender la postura de ciberseguridad actual o objetivo de parte o la totalidad de una organización, determinar brechas y evaluar el progreso para abordarlas. brechas. La sección Priorizar incluirá acciones para ayudar a los lectores a identificar, organizar y priorizar acciones para gestionar los riesgos de ciberseguridad que se alineen con la misión de la organización, los requisitos legales y reglamentarios y las expectativas de gobernanza y gestión de riesgos. La sección Comunicar proporciona acciones para comunicarse dentro y fuera del organización sobre los riesgos, capacidades, necesidades y expectativas de ciberseguridad. Después de cada acción a considerar hay un paréntesis (ver imagen a continuación), que documenta a qué parte del Marco de Ciberseguridad Núcleo hace referencia la acción. El Núcleo es un conjunto de resultados de ciberseguridad organizados por Función, Categoría y Subcategoría. En el caso que se muestra a continuación (GV.OC-01), “GV” es la Función (Gobierno), “OC” es la Categoría (Contexto Organizacional) y “01” es la designación de Subcategoría. Cada acción a considerar se vincula con el núcleo del marco de ciberseguridad. Crédito: NIST 2. Primeros pasos: esta área profundiza en un concepto específico dentro de la Función. Por ejemplo, como se muestra en la imagen a continuación, se proporcionan dos tablas de planificación para ayudar a las empresas a comenzar a pensar en la documentación de su estrategia de gobernanza. Por supuesto, las empresas necesitarán personalizar estas tablas para satisfacer sus propias necesidades, pero proporcionan un punto de referencia para comenzar. Crédito: NIST Para aquellos que quieran profundizar en la orientación del NIST sobre un tema específico, también se incluye una inmersión técnica profunda en cada página. Estos recursos son un componente importante porque esta Guía de inicio rápido para PYMES no pretende ser el destino final en el viaje de una empresa hacia una mejor gestión de riesgos de ciberseguridad. A medida que una empresa crece, sus necesidades cambian y su dependencia de la conectividad y la tecnología aumenta, su enfoque de la gestión de riesgos de ciberseguridad deberá volverse más sofisticado. Estos recursos pueden ayudar en ese viaje. 3. Preguntas a considerar: esta sección se incluye en cada página para alentar a los lectores a interactuar con el contenido y comenzar a pensar en preguntas importantes relacionadas con la gestión de riesgos de ciberseguridad. No son todas las preguntas que una empresa debería hacerse, pero proporcionan un punto de partida para el debate. Estas preguntas, y la Guía en su conjunto, también pueden servir como punto de partida para el debate entre el propietario de una empresa y quien haya elegido para ayudarle a reducir sus riesgos de ciberseguridad, como un proveedor de servicios de seguridad gestionados (MSSP). Crédito: NIST 4. Recursos relacionados: esta sección final proporciona algunos recursos adicionales para la exploración continua del tema. Se eligió cada recurso porque amplía específicamente el contenido de la página o agrega información o herramientas adicionales que son prácticas. Todos los recursos provienen del NIST u otras agencias federales y están diseñados específicamente para la comunidad de pequeñas empresas. ¿Querer aprender más? Participe en nuestro trabajo de ciberseguridad para PYMES del NIST