¿Qué es el Marco de Ciberseguridad del NIST? La guía definitiva

El Instituto Nacional de Estándares y Tecnología (NIST) ofrece orientación y mejores prácticas para que las organizaciones las sigan, con el fin de ayudar a empresas, organizaciones sin fines de lucro y otras instituciones del sector privado a mejorar la gestión de riesgos de ciberseguridad. El NIST forma parte del Departamento de Comercio de EE. UU. y es uno de los laboratorios de ciencias físicas más antiguos del país. 

En 2013, el presidente emitió la Orden Ejecutiva 13636, que establecía lo siguiente:

“La política de Estados Unidos es mejorar la seguridad y la resiliencia de la infraestructura crítica de la nación y mantener un entorno cibernético que fomente la eficiencia, la innovación y la prosperidad económica, a la vez que promueva la seguridad, la protección, la confidencialidad empresarial, la privacidad y las libertades civiles”.

Esta orden ejecutiva estableció ciertos requisitos que el NIST aplicó a su marco de ciberseguridad, entre ellos:

• Identificar estándares y lineamientos de seguridad aplicables a todos los sectores de infraestructura crítica.

• Proporcionar un enfoque priorizado, flexible, repetible, basado en el desempeño y rentable.

• Ayudar a los propietarios y operadores de infraestructura crítica a identificar, evaluar y gestionar el riesgo cibernético.

• Permitir la innovación técnica y tener en cuenta las diferencias organizacionales.

• Proporcionar orientación neutral en cuanto a tecnología y permitir que los sectores de infraestructura crítica se beneficien de un mercado competitivo de productos y servicios.

• Incluir orientación para medir el desempeño de la implementación del Marco de Ciberseguridad.

• Identificar áreas de mejora que deberían abordarse mediante la colaboración futura con sectores específicos y organizaciones desarrolladoras de estándares.

¿Por qué esto se ha vuelto tan importante? 

En pocas palabras, el aumento de las amenazas de ciberseguridad afecta a empresas y otras organizaciones todos los días. Sin una única fuente de información confiable, sería casi imposible que las empresas desarrollaran un marco integral y eficaz que les ayude a implementar medidas efectivas para mitigar los riesgos de seguridad. Por eso, el Marco de Ciberseguridad del NIST se ha vuelto tan crucial para las empresas: fomenta soluciones eficientes, innovadoras y resilientes para mantener la seguridad.

En esencia, el Marco de Ciberseguridad del NIST ayuda a organizaciones de todo tipo a comprender, gestionar y reducir mejor los riesgos de ciberseguridad. El resultado final de seguir esta orientación es una mejor protección de redes y datos. El Marco de Ciberseguridad del NIST está estructurado de tal manera que cualquier empresa u organización puede implementarlo para entender mejor en qué enfocar tiempo y recursos a fin de mejorar la protección de ciberseguridad. Se trata de empoderar a las empresas para que protejan con mayor eficacia sus datos, los datos de sus clientes, sus redes y sus empleados.

Aunque el Marco de Ciberseguridad del NIST fue desarrollado por una organización dentro de Estados Unidos, se creó con la idea de una adopción global. Para ello, se ha traducido a muchos idiomas y ha sido adoptado por gobiernos, empresas y organizaciones de todo el mundo.

Desde la versión 1.1 del Marco de Ciberseguridad del NIST, muchas organizaciones y gobiernos han adoptado con éxito el marco, entre ellos:

• Saudi Aramco

• Gobierno de Bermudas

• Dirección Nacional Cibernética de Israel

• Cimpress-FAIR

• Centro multiestatal de intercambio y análisis de información

• Centro Médico de la Universidad de Kansas

• Universidad de Pittsburgh

• ISACA

• Foro japonés intersectorial

• Universidad de Chicago

• Autoridad del Bajo Río Colorado

• Optic Cyber Solutions   

La versión más reciente del Marco de Ciberseguridad (CSF) del NIST está orientada a públicos, sectores industriales y organizaciones de todo tipo y tamaño; desde pequeñas escuelas y organizaciones sin fines de lucro hasta corporaciones empresariales. El marco fue diseñado para que cualquier organización, independientemente de su nivel de sofisticación en ciberseguridad, pueda beneficiarse de la información que presenta.

Según Laurie E. Locascio, directora del NIST y subsecretaria de Comercio para Estándares y Tecnología: 

“El CSF ha sido una herramienta vital para muchas organizaciones, ya que les ayuda a anticipar y afrontar las amenazas de ciberseguridad… El CSF 2.0, que se basa en versiones anteriores, no se trata solo de un documento. Se trata de un conjunto de recursos que pueden personalizarse y usarse de forma individual o combinada a lo largo del tiempo, a medida que cambian las necesidades de ciberseguridad de una organización y evolucionan sus capacidades”. 

La evolución más reciente del Marco de Ciberseguridad del NIST también va más allá del enfoque en la infraestructura crítica y abarca a todas las organizaciones (de todos los tamaños) de cualquier sector.

Cuando se creó el Marco de Ciberseguridad del NIST, el objetivo era mantener una interacción continua con las partes interesadas del gobierno, la industria y el ámbito académico. Para crear este marco, el NIST realizó actividades de difusión y talleres en todo el país, así como una Solicitud de información (RFI) y una Solicitud de comentarios (RFC). Su objetivo inicial era triple:

• Identificar estándares, pautas, marcos y mejores prácticas de ciberseguridad existentes.

• Especificar brechas de alta prioridad.

• Desarrollar planes de acción para abordar esas brechas.

El período de comentarios para recopilar información finalizó el 8 de abril de 2013, y el NIST recibió más de 270 respuestas a la Solicitud de información. A partir de esas respuestas, el NIST desarrolló la agenda de su primer taller sobre el Marco de Ciberseguridad, que se realizó en Washington D. C. con el objetivo de generar interés, aumentar la concientización y ofrecer información sobre el proceso de desarrollo colaborativo. Los temas del taller incluyeron la Orden Ejecutiva, los objetivos de desarrollo y la reafirmación del proceso que se usaría para desarrollar el marco.

El segundo taller se llevó a cabo entre el 29 y el 31 de mayo de 2013 en la Universidad Carnegie Mellon, con una agenda basada en el análisis de la RFI inicial. Los objetivos eran definir y aclarar mejor la información que habían recibido, y fomentar el debate sobre varios temas relacionados con la seguridad. Una vez concluido este taller, el NIST analizó la información recopilada y creó resúmenes que se compartieron con los sectores industriales y se usaron para crear el borrador inicial del Marco de Ciberseguridad.

El primer borrador del Marco de Ciberseguridad del NIST se publicó el 2 de julio de 2013.

Tras la publicación, el NIST realizó varios talleres orientados a debatir y perfeccionar la versión inicial. El 12 de febrero de 2014, se publicó la versión 1.0 del Marco de Ciberseguridad del NIST.

El Marco de Ciberseguridad del NIST consta de varias funciones principales, que ofrecen una visión general de las mejores prácticas. Estas funciones no están pensadas para considerarse pasos procedimentales, sino para usarse a fin de abordar la naturaleza dinámica de los riesgos de ciberseguridad.

Gobernar

Esta función proporciona resultados que ayudan a orientar lo que una organización puede hacer para priorizar las funciones restantes en el contexto de su misión y las expectativas de las partes interesadas.

Identificar

La función de identificar plantea la necesidad de desarrollar una comprensión organizacional de los riesgos de ciberseguridad para los sistemas, activos, datos y capacidades. Este elemento se centra en el negocio, para que pueda priorizar sus esfuerzos de manera coherente con su estrategia de gestión de riesgos.

Proteger

Esta función respalda la capacidad de una organización para proteger activos y prevenir o reducir la probabilidad de que ocurra un evento de ciberseguridad, así como el impacto que este podría causar.

Detectar

Esta función permite descubrir y analizar oportunamente anomalías, indicadores de compromiso y otros eventos adversos que indican que un evento de ciberseguridad ha ocurrido o podría ocurrir.

Responder

Esta función ayuda a contener cualquier efecto de un incidente de ciberseguridad, abarcando la gestión, el análisis, la mitigación, la elaboración de informes y la comunicación de incidentes.

Recuperar

Esta función se enfoca en la restauración oportuna de las operaciones comerciales normales, con el fin de reducir los efectos de un incidente de ciberseguridad y permitir la comunicación necesaria (y adecuada) durante la recuperación.

El objetivo final de estas funciones es ofrecer una visión estratégica y de alto nivel de cómo una organización se prepara, reacciona y se recupera ante eventos de ciberseguridad.

Con una comprensión sólida de lo que hace el Marco de Ciberseguridad del NIST y de cómo ha evolucionado, probablemente te preguntes cuál es la mejor manera de implementarlo. 

El NIST recomienda un enfoque de 7 pasos para la implementación, que se ve así:

1. Priorizar y definir el alcance - Prioriza los objetivos y activos de tu organización que deben protegerse.

2. Orientar - Familiarízate, junto con tu equipo, con los procesos, sistemas y componentes dentro del alcance, así como con las regulaciones clave de cumplimiento que deben seguir.

3. Crear un perfil actual - Indica qué resultados de control del marco ya se están logrando dentro de tu organización y luego crea una lista de lo que aún debe integrarse.

4. Realizar una evaluación de riesgos - Analiza tu entorno operativo para determinar la probabilidad de que ocurran eventos de ciberseguridad, así como el impacto que podrían tener.

5. Crear un perfil objetivo - Enfócate en la evaluación de las categorías y subcategorías del Marco de Ciberseguridad para ayudarte a describir los resultados de ciberseguridad deseados.

6. Determinar, analizar y priorizar brechas - Determina las brechas de ciberseguridad que existan en tu organización. A partir de este análisis, podrás crear un plan priorizado para abordar esas necesidades.

7. Implementar tu plan de acción - Toma medidas e implementa el plan que creaste para abordar todos los problemas descubiertos en los pasos anteriores.

Algo que debes tener en cuenta es que el marco no es rígido. De hecho, ofrece suficiente flexibilidad para integrarse con tus procesos de seguridad existentes. Deberías ver cómo funciona dentro de los siete pasos indicados arriba.

Debido a la forma en que el NIST presenta los siete pasos para implementar el marco, las organizaciones obtienen una visión general amplia de los riesgos a los que son susceptibles, cómo planificar en función de esos riesgos, cómo mejorar la comunicación en toda la organización y cómo fortalecer el cumplimiento. La educación sobre las debilidades de una organización y cómo mitigarlas es uno de los beneficios clave del Marco del NIST.

Según la Comisión Federal de Comercio, el Marco del NIST “ayuda a empresas de todos los tamaños a comprender, gestionar y reducir mejor su riesgo de ciberseguridad, y a proteger sus redes y datos”.

El NIST entiende que cada organización es diferente e incluso ofrece 3 consejos para mantener seguras tus contraseñas (que deberían considerarse universales).

El Marco de Ciberseguridad del NIST puede ser complejo. Es importante comprender por completo las funciones principales antes de pasar a los siete pasos mencionados arriba. Para garantizar el éxito a largo plazo, es fundamental fomentar una cultura de ciberseguridad dentro de tu organización; de lo contrario, encontrarás resistencia ante lo que podría ser un cambio drástico en procesos y sistemas.

Otros desafíos incluyen:

• Limitaciones de recursos: es posible que actualmente no cuentes con el personal capaz de implementar estos cambios.

• Lo más probable es que tengas que dedicar tiempo a personalizar el Marco de Ciberseguridad para que se adapte mejor a tu organización.

• Las amenazas siempre evolucionan, lo que significa que tus prácticas de seguridad tendrán que mantenerse al día.

• Conviene integrar el Marco de Ciberseguridad con cualquier proceso existente que ya tengas implementado.

• Puede ser difícil fomentar la participación de las partes interesadas, lo que se relaciona directamente con impulsar una cultura de ciberseguridad capaz de responder a estas exigencias.

Hay cuatro niveles de implementación del NIST, que son:

• Nivel 1Parcial - Empresas con procedimientos de seguridad bajo demanda o inexistentes.

• Nivel 2Informado por riesgos - Empresas que conocen las amenazas que enfrentan y tienen algunas políticas implementadas, pero carecen de una estrategia coordinada.

• Nivel 3Repetible - Empresas con prácticas recomendadas de gestión de riesgos y ciberseguridad que cuentan con aprobación ejecutiva. Estas empresas suelen compararse con la competencia e incluso trabajan con otras organizaciones para asegurarse de que sus prácticas estén alineadas.

• Nivel 4Adaptable - Empresas en sectores altamente regulados (como banca y atención médica) que contribuyen de forma rutinaria a una amplia concientización sobre riesgos.

Según el NIST, el Perfil del Marco de Ciberseguridad "es la alineación de las Funciones, Categorías y Subcategorías con los requisitos de negocio, la tolerancia al riesgo y los recursos de la organización". Estos perfiles ayudan a las organizaciones a establecer una hoja de ruta para reducir los riesgos de ciberseguridad. 

El NIST ofrece una plantilla personalizable de perfil organizacional del Marco de Ciberseguridad, así como una lista de perfiles de la comunidad que se pueden usar.

Ten en cuenta que el Marco de Ciberseguridad del NIST está diseñado como un documento vivo que depende de actualizaciones periódicas que reflejen el panorama siempre cambiante de la ciberseguridad y las amenazas emergentes. Por eso, es fundamental que las organizaciones se mantengan al día sobre las amenazas más recientes, para que el Marco de Ciberseguridad pueda evolucionar según las necesidades actuales y mejorar continuamente. 

Para asegurarte de que tu organización pueda evolucionar con el Marco de Ciberseguridad del NIST, podrías considerar cómo crear el mejor conjunto de tecnologías de ciberseguridad para tu empresa, como una forma de asegurarte de poder aprovechar la mejor tecnología capaz de evolucionar con el Marco de Ciberseguridad.

No hace falta decir que la seguridad se ha convertido en una de las áreas de enfoque más importantes para las organizaciones. Sin prácticas sólidas de gestión de riesgos de ciberseguridad, las empresas podrían ser víctimas de innumerables amenazas existentes. Con la ayuda del Marco de Ciberseguridad del NIST, junto con una planificación y comunicación cuidadosas, la seguridad de tu organización podría mejorar enormemente. Aborda el Marco de Ciberseguridad del NIST de manera integral, sigue los 7 pasos y mantente siempre listo para actualizarte y evolucionar, para que tu organización esté mejor protegida contra los riesgos de ciberseguridad.

¿Listo para comenzar hoy? Considera adoptar una solución de gestión de contraseñas para que tu organización empiece con el pie derecho. Consulta los planes Bitwarden Business, contacta a ventas y compara los precios de los planes.