El Instituto Nacional de Estándares y Tecnología ha actualizado su Marco de Ciberseguridad para 2024. La versión 2.0 del NIST CSF, la primera actualización importante desde que se lanzó el marco hace una década, se creó con el objetivo de ampliar la audiencia principal desde la infraestructura crítica a todos. organizaciones. En general, el NIST CSF tiene como objetivo estandarizar prácticas para garantizar una protección uniforme de todos los activos cibernéticos de EE. UU. La hoja de referencia de TechRepublic sobre el NIST CSF es una descripción general de esta nueva mejor práctica recomendada por el gobierno e incluye pasos para implementar el marco de seguridad. ¿Qué es el marco de ciberseguridad del NIST? El NIST CSF es un conjunto de estándares opcionales, mejores prácticas y recomendaciones para mejorar la ciberseguridad y la gestión de riesgos a nivel organizacional. El objetivo del CSFl es crear un lenguaje común, un conjunto de estándares y una serie de objetivos fácilmente ejecutables para mejorar la ciberseguridad y limitar el riesgo de ciberseguridad. El NIST tiene documentación exhaustiva sobre el CSF en su sitio web, junto con enlaces a preguntas frecuentes, recursos de la industria y otra información necesaria para facilitar la transición empresarial a un mundo CSF. ¿El marco de ciberseguridad del NIST es sólo para uso gubernamental? El marco NIST no es sólo para uso gubernamental: puede adaptarse a empresas de cualquier tamaño. El CSF afecta a cualquiera que tome decisiones sobre ciberseguridad y riesgos de ciberseguridad en sus organizaciones, y a los responsables de implementar nuevas políticas de TI. Los estándares NIST CSF son opcionales, es decir, no hay penalización para las organizaciones que no deseen seguirlos. Sin embargo, esto no significa que el NIST CSF no sea un punto de partida ideal para las organizaciones: se creó con escalabilidad e implementación gradual para que cualquier empresa pueda beneficiarse y mejorar sus prácticas de seguridad y prevenir un evento de ciberseguridad. ¿Se aplica el marco de ciberseguridad del NIST fuera de los Estados Unidos? Aunque el NIST CSF es una publicación del gobierno de EE. UU., puede resultar útil para las empresas a nivel internacional. El NIST CSF está alineado con la Organización Internacional de Normalización y la Comisión Electrotécnica Internacional. La versión 2.0 probablemente será traducida por voluntarios de la comunidad en el futuro, dijo el NIST. Los resultados de ciberseguridad descritos en el CSF son “neutrales en cuanto a sector, país y tecnología”, escribió el NIST en la Versión 2.0. VER: Todas las hojas de trucos de TechRepublic ¿Por qué se creó el marco NIST? El mundo de la ciberseguridad está fragmentado, a pesar de su importancia cada vez mayor para las operaciones comerciales diarias. Las organizaciones no comparten información, los profesionales de TI y los ejecutivos de nivel C eluden sus propias políticas y las organizaciones hablan sus propios lenguajes de ciberseguridad. El objetivo del NIST con la creación del CSF es ayudar a eliminar el caótico panorama de ciberseguridad en el que nos encontramos. ¿Cuándo se creó el Marco de Ciberseguridad del NIST? El expresidente Barack Obama firmó la Orden Ejecutiva 13636 en 2013, titulada Mejora de la ciberseguridad de las infraestructuras críticas, que preparó el escenario para el Marco de Ciberseguridad del NIST que se publicó en 2014. La orden ejecutiva de ciberseguridad de 2017 del expresidente Donald Trump fue un paso más allá e hizo que el marco creado por La orden de Obama en la política del gobierno federal. La versión 2.0 del NIST CSF se creó en conjunto con la Estrategia Nacional de Ciberseguridad de marzo de 2023 bajo la presidencia de Joe Biden. Cobertura de seguridad de lectura obligada ¿Qué hay de nuevo en la versión 2.0 del marco de ciberseguridad del NIST? La versión 2.0 del NIST CSF amplía el alcance del marco desde la infraestructura crítica a organizaciones en todos los sectores y agrega un nuevo énfasis en la gobernanza. La parte de gobernanza posiciona la ciberseguridad como una de las fuentes más importantes de riesgo empresarial que los altos líderes empresariales deberían considerar, junto con las finanzas, la reputación y otros. El NIST CSF 2.0 incluye guías de inicio rápido, herramientas de referencia y guías de perfil organizacional y comunitario. Las herramientas de referencia se crearon para proporcionar a las organizaciones una forma simplificada de implementar el CSF en comparación con la versión 1.1. La versión 2.0 del NIST CSF agrega: La función de «gobierno», que se centra en cómo las organizaciones pueden tomar decisiones informadas con respecto a su estrategia de ciberseguridad. Ejemplos de implementación y referencias informativas, que se actualizarán en línea periódicamente. Perfiles organizacionales, que pueden ayudarlos a determinar su situación actual. estado en términos de ciberseguridad y a qué estado podrían querer pasar. ¿Cuáles son las 6 actividades principales del Marco NIST? A partir de la Versión 2.0 del Marco NIST, estas son las seis actividades principales: identificar, proteger, detectar, responder, recuperar y gobernar. Estas actividades, o funciones, del Marco NIST se utilizan para organizar los esfuerzos de ciberseguridad en el nivel más básico. ¿Cuáles son los cuatro componentes del marco de ciberseguridad del NIST? El marco se divide en cuatro componentes: Núcleo, Perfiles Organizacionales, Niveles y Referencias Informativas. Básico El componente principal es “un conjunto de actividades para lograr resultados específicos de ciberseguridad y hace referencia a ejemplos de orientación para lograr esos resultados”. Además, se divide en tres elementos: funciones, categorías y subcategorías. Funciones: En este apartado se explican las seis funciones: Identificar, proteger, detectar, responder, recuperar y gobernar. Juntas, estas seis funciones forman un enfoque de alto nivel para proteger los sistemas y responder a las amenazas. Piense en ellas como sus tareas básicas de gestión de incidentes. Categorías: cada función contiene categorías que se utilizan para identificar tareas o desafíos específicos dentro de ella. Por ejemplo, la función de protección podría incluir control de acceso, gestión de identidad, seguridad de datos y seguridad de plataforma. Subcategorías: Son divisiones adicionales de categorías con objetivos específicos. La categoría de seguridad de los datos podría dividirse en tareas como proteger los datos en reposo, en tránsito y en uso o crear, proteger, mantener y probar copias de seguridad. Perfiles organizacionales Los perfiles son tanto esquemas del estado actual de ciberseguridad de una organización como hojas de ruta hacia los objetivos del CSF para posturas de seguridad más sólidas. El NIST dijo que tener múltiples perfiles, tanto actuales como objetivos, puede ayudar a una organización a encontrar puntos débiles en sus implementaciones de ciberseguridad y facilitar el paso de niveles inferiores a superiores. Los perfiles ayudan a conectar las funciones, categorías y subcategorías con los requisitos comerciales, la tolerancia al riesgo y los recursos de la organización más grande a la que sirve. Niveles Hay cuatro niveles de implementación y, si bien los documentos del CSF no los consideran niveles de madurez, los niveles más altos se consideran una implementación más completa de los estándares del CSF para proteger la infraestructura crítica. NIST considera que los niveles son útiles para informar los perfiles actuales y de destino de una organización. Nivel 1: denominada implementación parcial, las organizaciones del Nivel 1 tienen una postura de ciberseguridad reactiva y ad hoc para proteger sus datos. Tienen poca conciencia del riesgo de ciberseguridad organizacional y cualquier plan implementado a menudo se realiza de manera inconsistente. Nivel 2: En el nivel llamado informado sobre riesgos, las organizaciones pueden estar aprobando medidas de ciberseguridad, pero la implementación aún es poco sistemática. Son conscientes de los riesgos, tienen planes y cuentan con los recursos adecuados para protegerse de una violación de datos, pero no han llegado a un punto proactivo. Nivel 3: El tercer nivel se llama repetible, lo que significa que una organización ha implementado los estándares NIST CSF en toda la empresa y es capaz de responder repetidamente a las crisis cibernéticas. La política se aplica de manera consistente y los empleados están informados de los riesgos. Nivel 4: llamado adaptativo, este nivel indica la adopción total del NIST CSF. Las organizaciones adaptables no sólo están preparadas para responder a las amenazas cibernéticas: detectan amenazas de forma proactiva y predicen problemas en función de las tendencias actuales y su arquitectura de TI. Referencias informativas y otros recursos en línea Las Referencias informativas proporcionadas con la Versión 2.0 del CSF son documentación, pasos para la ejecución, estándares y otras pautas. Un buen ejemplo en la categoría de actualización manual de Windows sería un documento que describa los pasos para actualizar manualmente las PC con Windows. En la versión 2.0, las referencias informativas, los ejemplos de implementación y las guías de inicio rápido se pueden encontrar a través del sitio web del NIST CSF o del documento CSF. ¿Cuándo se actualiza el marco de ciberseguridad del NIST? A medida que cambian las necesidades de las organizaciones, el NIST planea actualizar continuamente el CSF para mantenerlo relevante. Las actualizaciones del CSF se realizan como parte de la conferencia anual del NIST sobre el CSF y tienen en cuenta los comentarios de los representantes de la industria, por correo electrónico y mediante solicitudes de comentarios y solicitudes de información que el NIST envía a grandes organizaciones. ¿Qué organizaciones pueden utilizar el marco de ciberseguridad del NIST? El NIST CSF afecta a todos los que tocan una computadora por motivos comerciales. Los equipos de TI y los CXO son responsables de implementarlo; los empleados regulares son responsables de seguir los estándares de seguridad de su organización; y los líderes empresariales son responsables de capacitar a sus equipos de seguridad para proteger su infraestructura crítica. Específicamente, la nueva función de gobierno del NIST CSF 2.0 incluye canales de comunicación entre ejecutivos, gerentes y profesionales: cualquiera que tenga interés en la salud tecnológica de la empresa. El grado en que el NIST CSF afectará a la persona promedio tampoco disminuirá con el tiempo, al menos no hasta que se implemente de manera generalizada y se convierta en el nuevo estándar en la planificación de la ciberseguridad. ¿Cómo puedo implementar el marco de ciberseguridad del NIST? Comience a trabajar en la implementación del CSF visitando el sitio web del Marco de ciberseguridad del NIST. De particular interés para los tomadores de decisiones de TI y los profesionales de seguridad es la página de Recursos Marco del NIST, donde encontrará metodologías, pautas de implementación, estudios de casos, materiales educativos, perfiles de ejemplo y más. «El CSF no prescribe cómo se deben lograr los resultados», señala el NIST en el marco. «Más bien, enlaza con recursos en línea que brindan orientación adicional sobre prácticas y controles que podrían usarse para lograr esos resultados». El NIST CSF puede mejorar la postura de seguridad de organizaciones grandes y pequeñas, y potencialmente podría posicionarlo como líder en prácticas de ciberseguridad con visión de futuro o prevenir un evento catastrófico de ciberseguridad.
Deja una respuesta