Marco de ciberseguridad del NIST

Marco de ciberseguridad patrocinado por el gobierno de EE. UU.

El Marco de Ciberseguridad del NIST ( CSF ) es un conjunto de directrices voluntarias diseñadas para ayudar a las organizaciones a evaluar y mejorar su capacidad para prevenir, detectar y responder a los riesgos de ciberseguridad. Desarrollado por el Instituto Nacional de Estándares y Tecnología de los EE. UU . (NIST), el marco se publicó inicialmente en 2014 para sectores de infraestructura crítica, pero desde entonces ha sido ampliamente adoptado en varias industrias, incluidas las empresas gubernamentales y privadas a nivel mundial. El marco integra estándares, directrices y mejores prácticas existentes para proporcionar un enfoque estructurado para la gestión de riesgos de ciberseguridad.

El CSF se compone de tres componentes principales: el núcleo, los niveles de implementación y los perfiles. El núcleo describe cinco funciones clave de ciberseguridad (identificar, proteger, detectar, responder y recuperar), cada una de las cuales se divide a su vez en categorías y subcategorías específicas. Estas funciones ofrecen un enfoque de alto nivel y orientado a los resultados para gestionar los riesgos de ciberseguridad. Los niveles de implementación ayudan a las organizaciones a evaluar la sofisticación de sus prácticas de ciberseguridad, mientras que los perfiles permiten la personalización en función del perfil de riesgo y las necesidades únicas de una organización.

Desde su creación, el CSF ha experimentado varias actualizaciones para reflejar la naturaleza cambiante de la ciberseguridad. La versión 1.1, publicada en 2018, introdujo mejoras relacionadas con la gestión de riesgos de la cadena de suministro y los procesos de autoevaluación. La actualización más reciente, la versión 2.0, se publicó en 2024, ampliando la aplicabilidad del marco y añadiendo nuevas orientaciones sobre la gobernanza de la ciberseguridad y las prácticas de mejora continua.

El marco de ciberseguridad del NIST se utiliza a nivel internacional y se ha traducido a varios idiomas. Sirve como punto de referencia para los estándares de ciberseguridad y ayuda a las organizaciones a alinear sus prácticas con estándares globales reconocidos, como ISO/IEC 27001 y COBIT . Si bien ha sido ampliamente elogiado, el marco ha sido criticado por el costo y la complejidad que implica su implementación, en particular para las pequeñas y medianas empresas.

Descripción general

El Marco de Ciberseguridad del NIST (CSF, por sus siglas en inglés) es un conjunto de pautas desarrolladas por el Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés) de los Estados Unidos para ayudar a las organizaciones a gestionar y mitigar los riesgos de ciberseguridad. Se basa en estándares, pautas y mejores prácticas existentes para brindar un enfoque flexible y escalable para la ciberseguridad. ^[1] El marco proporciona una taxonomía de alto nivel de los resultados de la ciberseguridad y ofrece una metodología para evaluar y gestionar esos resultados. ^[2] Además, aborda la protección de la privacidad y las libertades civiles en un contexto de ciberseguridad. ^[3]

El CSF se ha traducido a varios idiomas y es ampliamente utilizado por gobiernos, empresas y organizaciones de diversos sectores. ^{[4] [5]} Según una encuesta de 2016, el 70% de las organizaciones consideran que el Marco de Ciberseguridad del NIST es una buena práctica para la seguridad informática, aunque algunas han señalado que su implementación puede requerir una inversión significativa. ^[6]

El marco está diseñado para ser flexible y adaptable, brindando orientación de alto nivel que permite a las organizaciones individuales determinar los detalles de la implementación en función de sus necesidades únicas y perfiles de riesgo. ^[7]

La versión 1.0 del marco se publicó en 2014, dirigida principalmente a los operadores de infraestructura crítica . En 2017 se publicó un borrador público de la versión 1.1 para comentarios, y la versión final se publicó el 16 de abril de 2018. La versión 1.1 mantuvo la compatibilidad con el marco original, al tiempo que introdujo orientación adicional en áreas como la gestión de riesgos de la cadena de suministro. La versión 2.0, publicada en 2024, amplió aún más el alcance del marco e introdujo nuevas directrices sobre autoevaluación y gobernanza de la ciberseguridad. ^[8]

El marco consta de tres componentes principales: el "núcleo", los "perfiles" y los "niveles". El núcleo proporciona un conjunto integral de actividades, resultados y referencias relacionadas con diversos aspectos de la ciberseguridad. Los niveles de implementación ayudan a las organizaciones a evaluar sus prácticas y su nivel de sofisticación en materia de ciberseguridad, mientras que los perfiles permiten a las organizaciones adaptar el marco a sus requisitos específicos y evaluaciones de riesgos. ^[9]

Las organizaciones suelen empezar por desarrollar un "perfil actual" para describir sus prácticas y resultados de ciberseguridad existentes. A partir de ahí, pueden crear un "perfil objetivo" para describir el estado futuro deseado y definir los pasos necesarios para lograrlo. Alternativamente, las organizaciones pueden adoptar un perfil de referencia basado en su sector o en las necesidades específicas de la industria.

Las investigaciones indican que el Marco de Ciberseguridad del NIST tiene el potencial de influir en los estándares de ciberseguridad tanto dentro de los Estados Unidos como a nivel internacional, en particular en sectores donde los estándares formales de ciberseguridad aún están surgiendo. Esta influencia podría fomentar mejores prácticas internacionales de ciberseguridad, lo que beneficiaría a las empresas que operan a través de las fronteras y contribuiría a los esfuerzos globales en materia de ciberseguridad. ^[10]

Funciones y categorías de actividades de ciberseguridad

Versión 1.1 del NIST

El Marco de Ciberseguridad del NIST organiza su material "central" en cinco "funciones" que se subdividen en un total de 23 "categorías". Para cada categoría, define una serie de subcategorías de resultados de ciberseguridad y controles de seguridad , con un total de 108 subcategorías.

Para cada subcategoría, también proporciona "Recursos informativos" que hacen referencia a secciones específicas de una variedad de otras normas de seguridad de la información , incluidas ISO 27001 , COBIT , NIST SP 800-53, ANSI/ISA-62443 y el Consejo de controles críticos de seguridad cibernética (CCS CSC, ahora administrado por el Centro para la seguridad de Internet ). Aparte de las publicaciones especiales (SP), la mayoría de las referencias informativas requieren una membresía paga o una compra para acceder a sus respectivas guías. El costo y la complejidad del marco han dado lugar a proyectos de ley de ambas cámaras del Congreso que ordenan al NIST crear guías del marco de seguridad cibernética que sean más accesibles para las pequeñas y medianas empresas. ^{[11] [12]}

A continuación se presentan las funciones y categorías, junto con sus identificadores y definiciones únicos, tal como se establece en el documento marco. ^[13]

Identificar

"Desarrollar la comprensión organizacional para gestionar el riesgo de ciberseguridad para sistemas, activos, datos y capacidades".

• Gestión de activos (ID.AM): Los datos, el personal, los dispositivos, los sistemas y las instalaciones que permiten a la organización alcanzar sus objetivos comerciales se identifican y gestionan de acuerdo con su importancia relativa para los objetivos comerciales y la estrategia de riesgo de la organización.
• Entorno empresarial (ID.BE): Se comprenden y priorizan la misión, los objetivos, las partes interesadas y las actividades de la organización; esta información se utiliza para fundamentar las funciones, las responsabilidades y las decisiones de gestión de riesgos en materia de ciberseguridad.
• Gobernanza (ID.GV):- Las políticas, procedimientos y procesos para gestionar y monitorear los requisitos regulatorios, legales, de riesgo, ambientales y operativos de la organización se comprenden e informan la gestión del riesgo de ciberseguridad.
• Evaluación de riesgos (ID.RA): La organización comprende el riesgo de ciberseguridad para las operaciones organizacionales (incluida la misión, las funciones, la imagen o la reputación), los activos organizacionales y las personas.
• Estrategia de Gestión de Riesgos (ID.RM): Se establecen las prioridades, restricciones, tolerancias de riesgo y suposiciones de la organización y se utilizan para respaldar las decisiones de riesgo operacional.
• Gestión de riesgos de la cadena de suministro (ID.SC): las prioridades, restricciones, tolerancias de riesgo y suposiciones de la organización se establecen y se utilizan para respaldar las decisiones de riesgo asociadas con la gestión de riesgos de la cadena de suministro. La organización cuenta con procesos para identificar, evaluar y gestionar los riesgos de la cadena de suministro.

Proteger

"Desarrollar e implementar las salvaguardas apropiadas para garantizar la prestación de servicios de infraestructura críticos".

• Control de acceso (PR.AC): El acceso a los activos y las instalaciones asociadas está limitado a usuarios, procesos o dispositivos autorizados y a actividades y transacciones autorizadas.
• Concientización y capacitación (PR.AT): El personal y los socios de la organización reciben educación sobre concientización sobre seguridad cibernética y están capacitados adecuadamente para realizar sus tareas y responsabilidades relacionadas con la seguridad de la información, de acuerdo con las políticas, los procedimientos y los acuerdos relacionados.
• Seguridad de datos (PR.DS): La información y los registros (datos) se gestionan de acuerdo con la estrategia de riesgo de la organización para proteger la confidencialidad, integridad y disponibilidad de la información.
• Procesos y procedimientos de protección de la información (PR.IP): Se mantienen y utilizan políticas de seguridad (que abordan el propósito, el alcance, los roles, las responsabilidades, el compromiso de la gestión y la coordinación entre las entidades de la organización), procesos y procedimientos para gestionar la protección de los sistemas y activos de información.
• Mantenimiento (PR.MA): El mantenimiento y las reparaciones de los componentes del sistema de información y control industrial se realizan de acuerdo con las políticas y los procedimientos.
• Tecnología de protección (PR.PT): Las soluciones de seguridad técnica se gestionan para garantizar la seguridad y resiliencia de los sistemas y activos, de acuerdo con las políticas, procedimientos y acuerdos relacionados.

Detectar

“Desarrollar e implementar las actividades adecuadas para identificar la ocurrencia de un evento de ciberseguridad”.

• Anomalías y eventos (DE.AE): La actividad anómala se detecta de manera oportuna y se comprende el impacto potencial de los eventos.
• Monitoreo Continuo de Seguridad (DE.CM): El sistema de información y los activos son monitoreados a intervalos discretos para identificar eventos de ciberseguridad y verificar la efectividad de las medidas de protección.
• Procesos de detección (DE.DP): Los procesos y procedimientos de detección se mantienen y prueban para garantizar un conocimiento oportuno y adecuado de los eventos anómalos.

Responder

“Desarrollar e implementar las actividades apropiadas para tomar acción ante un incidente de ciberseguridad detectado”.

• Planificación de respuesta (RS.RP): se ejecutan y mantienen procesos y procedimientos de respuesta para garantizar una respuesta oportuna a los eventos de ciberseguridad detectados.
• Comunicaciones (RS.CO): Las actividades de respuesta se coordinan con las partes interesadas internas y externas, según corresponda, para incluir el apoyo externo de los organismos encargados de hacer cumplir la ley.
• Análisis (RS.AN): Se realiza un análisis para garantizar una respuesta adecuada y apoyar las actividades de recuperación.
• Mitigación (RS.MI): Se realizan actividades para prevenir la expansión de un evento, mitigar sus efectos y erradicar el incidente.
• Mejoras (RS.IM): Las actividades de respuesta organizacional se mejoran incorporando lecciones aprendidas de actividades de detección/respuesta actuales y anteriores.

Recuperar

“Desarrollar e implementar las actividades apropiadas para mantener los planes de resiliencia y restaurar cualquier capacidad o servicio que se haya visto afectado debido a un incidente de ciberseguridad”.

• Planificación de recuperación (RC.RP): Se ejecutan y mantienen procesos y procedimientos de recuperación para garantizar la restauración oportuna de los sistemas o activos afectados por eventos de ciberseguridad.
• Mejoras (RC.IM): La planificación y los procesos de recuperación se mejoran incorporando las lecciones aprendidas en actividades futuras.
• Comunicaciones (RC.CO): Las actividades de restauración se coordinan con partes internas y externas, como centros de coordinación, proveedores de servicios de Internet, propietarios de sistemas atacantes, víctimas, otros CSIRT y proveedores.

Actualizaciones

En 2021, el NIST publicó Medidas de seguridad para el uso de "software crítico para la EO" según la Orden Ejecutiva (EO) 14028 para describir las medidas de seguridad destinadas a proteger mejor el uso de software crítico para la EO implementado en los entornos operativos de las agencias. ^[14]

Viaje a CSF 2.0

El Marco de Ciberseguridad del NIST está pensado para ser un documento vivo, lo que significa que se actualizará y mejorará con el tiempo para mantenerse al día con los cambios en la tecnología y las amenazas de ciberseguridad, así como para integrar las mejores prácticas y las lecciones aprendidas. Desde el lanzamiento de la versión 1.1 en 2018, las partes interesadas han brindado comentarios sobre la necesidad de actualizar el Marco de Ciberseguridad. En febrero de 2022, el NIST publicó una solicitud de información sobre las formas de mejorar el Marco de Ciberseguridad y, en enero de 2023, publicó un documento conceptual posterior con los cambios propuestos. Más recientemente, el NIST publicó su borrador de debate: El núcleo del Marco de Ciberseguridad 2.0 del NIST con ejemplos de implementación y solicitó que se enviaran comentarios públicos antes del 4 de noviembre de 2023. ^[15]

Cambios principales

A continuación se muestra una lista de los principales cambios realizados en el marco desde la versión 1.1 a la 2.0: ^[16]

1. El título del marco ha cambiado de "Marco para mejorar la ciberseguridad de la infraestructura crítica" a "Marco de ciberseguridad". El alcance del marco se ha actualizado para reflejar la gran cantidad de organizaciones que lo utilizan.
2. Se han añadido ejemplos de implementación para proporcionar procesos prácticos y orientados a la acción que ayuden a los usuarios a lograr las subcategorías del CSF. Además, se han revisado y ampliado los perfiles del marco para demostrar los diversos propósitos de los perfiles.
3. Se ha añadido una nueva función, Gobernanza, para proporcionar un contexto organizativo y los roles y responsabilidades asociados con el desarrollo de un modelo de gobernanza de la ciberseguridad. También hay una categoría adicional en esta función centrada en la gestión de riesgos de la cadena de suministro de ciberseguridad.
4. La última actualización también proporciona mayor información sobre las evaluaciones de ciberseguridad al dar mayor importancia a la mejora continua de la seguridad a través de una nueva Categoría de Mejora en la Función de Identificación.

Véase también

• Ciberseguridad
• Normas de seguridad cibernética
• Privacidad
• Protección de infraestructura crítica
• ISO/IEC 27001:2013 : una norma de seguridad de la información de la Organización Internacional de Normalización
• COBIT : Objetivos de control para la información y tecnologías relacionadas: un marco relacionado de ISACA
• Publicación especial 800-53 del NIST : "Controles de seguridad y privacidad para sistemas y organizaciones de información federales".
• Marco de gestión de riesgos : marco de riesgos exigido por el gobierno federal de EE. UU. (con un alcance más amplio que la ciberseguridad)

Referencias

 Este artículo incorpora material de dominio público del Marco de ciberseguridad del NIST (PDF) . Instituto Nacional de Estándares y Tecnología .

1. Gordon, Lawrence A; Loeb, Martin P; Zhou, Lei (1 de enero de 2020). "Integración del análisis de costo-beneficio en el marco de ciberseguridad del NIST a través del modelo Gordon-Loeb". Journal of Cybersecurity . 6 (tyaa005). doi : 10.1093/cybsec/tyaa005 . ISSN  2057-2085.
2. "Lograr resultados exitosos con el marco de ciberseguridad del NIST". GovLoop . 13 de febrero de 2019 . Consultado el 12 de junio de 2021 .
3. HealthITSecurity (10 de febrero de 2016). «HIMSS: NIST Cybersecurity Framework Positive, Can Improve» (El marco de ciberseguridad del NIST es positivo y puede mejorar) . Consultado el 2 de agosto de 2016 .
4. "Marco de ciberseguridad del NIST".
5. "El taller muestra la evolución del marco de ciberseguridad del NIST". FedScoop . 7 de abril de 2016 . Consultado el 2 de agosto de 2016 .
6. "La adopción del marco de ciberseguridad del NIST se ve obstaculizada por los costos, según una encuesta". Information Week Dark Reading . 30 de marzo de 2016 . Consultado el 2 de agosto de 2016 .
7. Gordon, Lawrence A; Loeb, Martin P; Zhou, Lei (1 de enero de 2020). "Integración del análisis de costo-beneficio en el marco de ciberseguridad del NIST a través del modelo Gordon-Loeb". Revista de ciberseguridad . 6 (1). doi : 10.1093/cybsec/tyaa005 . ISSN  2057-2085.
8. "El NIST publica la versión 2.0 del emblemático marco de ciberseguridad". NIST . 26 de febrero de 2024.
9. Justin Seitz (14 de abril de 2021). Black Hat Python: Programación en Python para hackers. No Starch Press. ISBN 978-1718501126.
10. Shackelford, Scott J; Proia, Andrew A; Martell, Brenton; Craig, Amanda N (2015). "¿Hacia un estándar global de atención en materia de ciberseguridad?: exploración de las implicaciones del marco de ciberseguridad del NIST de 2014 para la configuración de prácticas de ciberseguridad nacionales e internacionales razonables". Revista de Derecho Internacional de Texas . 50 (2/3): 305–355. SSRN  2446631. ProQuest  1704865080.
11. "Ley de Ciberseguridad de la Calle Principal de 2017". congress.gov . Consultado el 5 de octubre de 2017 .
12. "Ley de Ciberseguridad para Pequeñas Empresas del NIST de 2017". congress.gov . Consultado el 5 de octubre de 2017 .
13. "Marco para mejorar la ciberseguridad de infraestructuras críticas, versión 1.1" (Documento). Instituto Nacional de Estándares y Tecnología. 16 de abril de 2018. doi : 10.6028/nist.cswp.04162018 .
14. "Medidas de seguridad para el uso de software "crítico para la EO"". NIST . 12 de mayo de 2021.
15. "El marco de ciberseguridad 2.0 del NIST". NIST . 2023. doi :10.6028/NIST.CSWP.29.ipd . Consultado el 20 de octubre de 2023 .
16. "Borrador público: El marco de ciberseguridad 2.0 del NIST" (PDF) . NIST . Consultado el 20 de octubre de 2023 .

Enlaces externos

• Sitio web oficial
• Aprovechar el poder del marco de ciberseguridad del NIST
• NISTIR 8374 (borrador): Perfil del marco de ciberseguridad para la gestión de riesgos de ransomware (borrador preliminar)
• Referencias informativas Inicio
• Mapeo de relaciones derivadas
• Catálogo informativo de referencia