El Marco de Ciberseguridad del Instituto Nacional de Estándares y Tecnología (NIST) ofrece un conjunto integral de pautas diseñadas para abordar los riesgos de seguridad organizacional. Aunque es voluntario, el marco sirve como una poderosa guía para crear sistemas robustos que mitiguen las amenazas de seguridad digital y protejan la integridad de las redes y los activos de datos. Además, recientemente se lanzó una nueva versión del marco, NIST 2.0. ¿Qué puede ofrecer el marco? ¿Y cuáles son las principales diferencias entre la nueva versión y la anterior?
Entendiendo el marco de ciberseguridad del NIST: un estándar global para la seguridad digital
El marco de ciberseguridad del NIST, originario de Estados Unidos y lanzado el 12 de febrero de 2014, trasciende las fronteras geográficas debido a su aplicabilidad universal. En constante evolución, el marco se enriquece con los comentarios de diversos actores, incluidos negocios, organismos gubernamentales y el ámbito académico, lo que asegura su continua mejora y relevancia.
Este marco es una herramienta invaluable de prevención, y la prevención es clave para reducir la superficie de ataque de tu negocio, ahorrándote recursos y dinero valiosos al evitar posibles ataques antes de que ocurran. Aunque es comprensible sentirse reacio a seguir otro conjunto de medidas y reglas, especialmente si son voluntarias, es fundamental considerar sus ventajas a largo plazo.
Presentando NIST 2.0: mejora en la gobernanza y gestión de riesgos de la cadena de suministro
En 2024, se presentó la nueva versión del marco NIST. Una de las principales incorporaciones en la versión 2.0 es la nueva función "Govern" (Gobernar), que enfatiza la importancia de la gobernanza en ciberseguridad, subrayando que es un riesgo crítico para la empresa, comparable con el riesgo financiero y reputacional.
Esta función, que consolida roles y responsabilidades previamente dispersos, simplifica la estructura del marco, elevando el número total de funciones clave a seis: identificar, proteger, detectar, responder, recuperar y ahora gobernar. Es importante destacar que las funciones Responder y Recuperar reciben una atención reforzada, abordando brechas que existían en versiones anteriores. Además, con el aumento de los ataques a la cadena de suministro desde el lanzamiento inicial del marco en 2014, NIST ha puesto un mayor énfasis en la gestión de riesgos de ciberseguridad en la cadena de suministro (SCRM) en esta última versión.
Explicamos las seis funciones clave del marco:
- Gobernar = La estrategia de gestión de riesgos de ciberseguridad de la organización, sus expectativas y políticas son establecidas, comunicadas y monitoreadas.
- Identificar = Se comprenden los riesgos actuales de ciberseguridad de la organización.
- Proteger = Se utilizan medidas de protección para gestionar los riesgos de ciberseguridad de la organización.
- Detectar = Se identifican y analizan los posibles ataques y compromisos de ciberseguridad.
- Responder = Se toman acciones respecto a un incidente de ciberseguridad detectado.
- Recuperar = Se restauran los activos y operaciones afectados por un incidente de ciberseguridad.
Fuente: NIST E-book
Implementación Práctica: adaptando las pautas de NIST a las necesidades de tu negocio
El punto de partida óptimo es la página web dedicada a las referencias informativas. Es esencial reconocer que ni tú ni tu negocio están obligados a seguir cada referencia. Algunas medidas pueden no aplicarse a tu negocio o puede que ya tengas protocolos efectivos en su lugar. Simplemente selecciona lo que se alinee con tus necesidades y descarta lo demás.
Al aplicar las referencias informativas, puedes evaluar a qué nivel de implementación del marco perteneces, según el grado en que sigues los principios individuales y cómo percibes los posibles riesgos de ciberseguridad. También debes definir el perfil de tu marco. Esto te mostrará dónde están tus brechas y te permitirá crear un plan de implementación priorizado.
También puedes optar por seguir la hoja de ruta del marco NIST, que presenta 14 categorías a las que deberías dedicar tu atención:
- Mecanismos de Confianza
- Ciclo de Vida de un Ciberataque
- Fuerza Laboral de Ciberseguridad
- Gestión de Riesgos de la Cadena de Suministro Cibernética
- Alineación de Ciberseguridad en Agencias Federales
- Gobernanza y Gestión de Riesgos Empresariales
- Gestión de Identidades
- Aspectos Internacionales, Impactos y Alineación
- Medición de la Ciberseguridad
- Ingeniería de Privacidad
- Técnicas de Referencia
- Conciencia y Recursos para Pequeñas Empresas
- Internet de las Cosas (IoT)
- Desarrollo Seguro de Software
Tal vez pienses que tu negocio es demasiado pequeño para beneficiarse de un sistema tan amplio de pautas y reglas. Pero, incluso si eres el negocio más pequeño, puedes beneficiarte del cumplimiento con NIST. Como se mencionó anteriormente, al aplicar medidas preventivas, puedes ahorrarte gastos mucho mayores en el futuro al prevenir un ataque antes de que tenga oportunidad de causar daño. Para las pequeñas empresas, NIST preparó una página web especial que explica qué hacer y cómo, al comenzar con este marco.
¿Aún no sabes por dónde empezar?
Para las organizaciones o individuos que encuentren el Marco de Ciberseguridad NIST (CSF) demasiado complejo para implementar, los Controles CIS (Center for Internet Security) podrían ser un punto de partida más accesible. Los Controles CIS son un conjunto de acciones priorizadas que brindan una guía específica y práctica sobre cómo mejorar la ciberseguridad, haciéndolos más instructivos y fáciles de seguir para aquellos que son nuevos en los marcos de ciberseguridad. Estos controles ofrecen un enfoque paso a paso para la ciberseguridad que puede servir como base antes de hacer la transición al marco más completo del NIST CSF.
Una de las mayores ventajas del marco radica en su adaptabilidad para ajustarse a las necesidades y metodologías únicas de cualquier empresa. Sus recomendaciones sirven para complementar tu programa de seguridad digital existente y las estrategias de gestión de riesgos, señalando áreas para mejorar o sugiriendo pasos completamente nuevos cuando sea necesario. Además, es una herramienta valiosa para facilitar las discusiones con la alta dirección sobre la seguridad digital y los riesgos asociados.
