El NIST ofrece un amplio conjunto de directrices diseñadas para abordar los riesgos de seguridad de las organizaciones.
Comprender el Marco de Ciberseguridad del NIST: Un estándar global para la seguridad digital
El Marco de Ciberseguridad del NIST, originario de Estados Unidos y publicado el 12 de febrero de 2014, trasciende las fronteras geográficas debido a su aplicabilidad universal. En continua evolución, se nutre de los comentarios de diversas partes interesadas, incluidas las empresas, los organismos gubernamentales y el mundo académico, lo que garantiza su continuo perfeccionamiento y pertinencia.
El marco es una herramienta de prevención inestimable, y la prevención es clave para reducir la superficie de ataque de su empresa, ahorrándole en última instancia valiosos recursos y dinero al frustrar posibles ataques antes de que se produzcan. Aunque es comprensible sentirse reacio a adherirse a otro conjunto de medidas y normas -especialmente voluntarias-, es esencial considerar sus ventajas a largo plazo.
Presentamos NIST 2.0: Gobernanza mejorada y gestión de riesgos en la cadena de suministro
En 2024, se presentó la nueva versión del marco NIST . Una adición clave en la versión 2.0 es la nueva función "Gobernanza", que hace hincapié en la importancia de la gobernanza en la ciberseguridad, subrayando que es un riesgo empresarial crítico a la par que las finanzas y la reputación.
Esta función, que consolida funciones y responsabilidades anteriormente dispersas, simplifica la estructura del marco, elevando el número total de funciones básicas a seis: Identificar, Proteger, Detectar, Responder, Recuperar y, ahora, Gobernar. En particular, las funciones de Respuesta y Recuperación reciben mayor atención, abordando lagunas anteriores. Además, con el aumento de los ataques a la cadena de suministro desde el lanzamiento inicial del marco en 2014, el NIST ha puesto un mayor énfasis en la Gestión de Riesgos de la Cadena de Suministro de Ciberseguridad (SCRM) en esta última versión.
El libro electrónico oficial del Marco de Ciberseguridad 2.0 del NIST explica las seis funciones básicas del marco:
- Gobernar = Se establecen, comunican y supervisan la estrategia, las expectativas y la política de gestión de riesgos de ciberseguridad de la organización.
- Identificar = Se conocen los riesgos actuales de ciberseguridad de la organización.
- Proteger = Se utilizan salvaguardas para gestionar los riesgos de ciberseguridad de la organización.
- Detectar = Se detectan y analizan posibles ataques y compromisos de ciberseguridad
- Responder = Se toman medidas en relación con un incidente de ciberseguridad detectado.
- Recuperar = Se restauran los activos y operaciones afectados por un incidente de ciberseguridad.
Fuente: NIST E-book
Implementación práctica: Adaptar las directrices del NIST a las necesidades de tu empresa
El punto de partida óptimo es la página web dedicada a las referencias informativas. Es esencial reconocer que ni tu ni tu empresa están obligados a adherirse a todas las referencias. Es posible que algunas medidas no apliquen o que ya dispongas de protocolos eficaces. Simplemente selecciona lo que se ajuste a tus necesidades.
Al aplicar las referencias informativas, puede evaluar a qué nivel de aplicación del marco pertenece en función del grado en que sigue los principios individuales y considera los posibles riesgos de ciberseguridad. También debe definir su perfil del marco. Eso le mostrará dónde están sus lagunas y le permitirá crear un plan de implantación priorizado.
También puede optar por seguir la hoja de ruta del marco del NIST, que presenta 14 categorías a las que debes dedicar tu atención:
- Mecanismos de confianza
- Ciclo de vida del ciberataque
- Personal de ciberseguridad
- Gestión de riesgos de la cadena de suministro cibernética
- Alineación de la ciberseguridad de las agencias federales
- Gobernanza y gestión de riesgos empresariales
- Gestión de identidades
- Aspectos internacionales, impacto y alineación
- Medición de la ciberseguridad
- Ingeniería de la privacidad
- Técnicas de referenciación
- Concienciación y recursos para las pequeñas empresas
- Internet de las cosas (IoT)
- Desarrollo de software seguro
Tal vez pienses que tu empresa es demasiado pequeña para beneficiarse de un sistema tan amplio de directrices y normas. Pero aunque sea la empresa más pequeña, puede beneficiarse del cumplimiento de las normas del NIST. Como ya se ha mencionado, aplicando medidas preventivas, puedes ahorrarte en el futuro gastos varias veces superiores al evitar un ataque antes de que tenga la oportunidad de causar daños. Para las pequeñas empresas, el NIST ha preparado una página web especial en la que se explica qué hacer, y cómo, cuando se empieza con ello.
¿Aún no sabes por dónde empezar?
Para las organizaciones o particulares que consideren que el Marco de Ciberseguridad del NIST (CSF) es demasiado complejo de aplicar, los Controles del Centro para la Seguridad en Internet (CIS) pueden ser un punto de partida más accesible. Los Controles CIS son un conjunto de acciones priorizadas que proporcionan orientación específica y práctica sobre cómo mejorar la ciberseguridad, haciéndolos más instructivos y fáciles de seguir para aquellos que son nuevos en los marcos de ciberseguridad. Estos controles ofrecen un enfoque paso a paso de la ciberseguridad que puede servir de base antes de pasar al más completo NIST CSF.
Una de las mayores ventajas del marco reside en su adaptabilidad para ajustarse a las necesidades y metodologías únicas de cualquier empresa. Sus recomendaciones sirven para complementar el programa de seguridad digital y las estrategias de gestión de riesgos existentes, señalando áreas de mejora o sugiriendo pasos totalmente nuevos cuando sea necesario. Además, constituye una valiosa herramienta para facilitar los debates con la alta dirección sobre la seguridad digital y los riesgos asociados.