NIST Cybersecurity Framework

¿A quién va dirigido?

El marco de ciberseguridad del NIST o NIST Cybersecurity Framework (NIST CSF) puede ser utilizado por cualquier organización pública o privada, grande o pequeña, para la mejora de su ciberseguridad. Aunque en su origen estaba orientado a la mejora de la ciberseguridad de las infraestructuras críticas, puede ser utilizado por cualquier tipo de organización.

¿Qué es?

El NIST Cybersecurity Framework es un marco publicado por el Instituto Nacional de Estándares y Tecnología (NIST, National Institute of Standards and Technology) de los Estados Unidos de América, que fue publicado inicialmente en 2014 como apoyo a la Ley de Mejora de la Seguridad Cibernética de aquel país. Se trata de una guía para gestionar y reducir los riesgos relacionados con la ciberseguridad. Actualmente está en vigor la versión 1.1 liberada en 2018:

• El núcleo del marco define:
  • Las 5 funciones en las que se debería articular la ciberseguridad (Identificar, Proteger, Detectar, Responder y Recuperar
  

  Ilustración 1: https://www.nist.gov/cyberframework

  • Las categorías que componen cada una de dichas funciones, y que determinan los resultados que se deberían obtener en cada una de esas funciones.
  • Las subcategorías en que se dividen cada una de las categorías, y que establecen los resultados específicos que las medidas de seguridad deberían proporcionar.
  • Las referencias informativas, que para cada subcategoría determinan conjuntos de medidas de seguridad que, provenientes de otros modelos de referencia (ISO 27001, CIS Cybersecurity Controls, etc.), proporcionarían los resultados específicos considerados.
• Los niveles de implementación, que establece el nivel en el que las prácticas de gestión de riesgos de ciberseguridad de una organización presentan las características definidas por el núcleo del marco.
• El perfil de implementación, que sirve para definir la alineación de las funciones, categorías y subcategorías de cada organización con los requisitos de la organización, su tolerancia al riesgo y sus recursos.

De este modo, el marco establece las bases para que cualquier organización pueda evaluar su ciberseguridad y establecer un plan de mejora de la ciberseguridad, a partir de la concreción de su perfil de implementación actual y la definición del perfil a alcanzar en un plazo establecido.

Objetivos

Los objetivos del NIST Cybersecurity Framework se pueden resumir en los siguientes puntos:

• Proporcionar un enfoque constante e iterativo para identificar, evaluar y administrar el riesgo de seguridad.
• Articular las prácticas de gestión de riesgos previstas.
• Analizar y evaluar las medidas de gestión de riesgos de ciberseguridad.
• Fortalecer las medidas de ciberseguridad implantadas.

En definitiva, el objetivo general del marco es que las organizaciones sepan cómo reducir y gestionar mejor sus riesgos de ciberseguridad.

Beneficios de utilizarlo

Utilizar el NIST Cybersecurity Framework como marco de referencia para la ciberseguridad le va a permitir a cualquier organización:

• Describir su postura actual de ciberseguridad.
• Describir su objetivo deseado en ciberseguridad.
• Identificar y priorizar las oportunidades de mejora dentro del contexto de un proceso continuo y repetible.
• Evaluar el progreso hacia el objetivo deseado.
• Disponer de un lenguaje común para poder comunicarse con todas las partes interesadas internas y externas en relación con los riesgos de ciberseguridad.

Factores a tener en cuenta para la adopción de un programa de mejora de la ciberseguridad basado en el NIST CSF

• El tamaño de la organización.
• El contexto y las características sectoriales y operativas de la organización
• Los procesos, servicios e infraestructuras tecnológicas involucradas
• El apetito de riesgo de la organización
• Las medidas de seguridad existentes
• Los procesos de gestión de riesgos desplegados
• Otros aspectos organizativos.

Fases del programa de mejora de la ciberseguridad basado en el NIST CSF

Fase 1. Lanzar el proyecto

El desarrollo de un programa de mejora de la ciberseguridad debe contar con la implicación de la alta dirección de la organización, que deberá destinar los recursos humanos, económicos y materiales necesarios no sólo para el desarrollo del programa de mejora sino también para mantener y consolidar los niveles de ciberseguridad que se vayan alcanzando en cada momento.

Fase 2. Determinar la postura actual de ciberseguridad (“As Is”)

La organización deberá evaluar su situación actual en materia de ciberseguridad, con el fin de determinar su actual postura de ciberseguridad. Para ello:

• Deberá analizar cada una de las funciones, categorías y subcategorías del marco y determinar si está obteniendo los resultados previstos por el citado marco, definiendo de ese modo el perfil de implementación del marco.
• Deberá analizar su proceso de gestión de riesgos de ciberseguridad y determinar el actual nivel de implementación del marco:
  • Nivel 1: Parcial
  • Nivel 2: Riesgo informado
  • Nivel 3: Repetible
  • Nivel 4: Adaptable

Fase 3. Determinar la postura de ciberseguridad objetivo (“To Be”)

La organización deberá llevar a cabo un análisis de los resultados de la postura actual de ciberseguridad (“As Is”) y determinar la postura de ciberseguridad objetivo (“To Be”), considerando:

• La eficacia de su ciberseguridad actual
• El apetito de riesgo de la organización
• El contexto externo de la ciberseguridad
• El plazo de referencia a utilizar
• Los recursos disponibles

Como consecuencia de dicha reflexión, la organización deberá determinar:

• El perfil de implementación objetivo (de las funciones, categorías y subcategorías del marco)
• El nivel de implementación objetivo (del proceso de gestión de riesgos de ciberseguridad)

Fase 4. Determinar el Plan de Acción

Una vez establecida la postura de ciberseguridad objetivo, la organización deberá llevar a cabo un análisis de las diferencias entre dicha postura de ciberseguridad y la actual y determinar:

• Los proyectos que es necesario ejecutar para evolucionar desde la postura de ciberseguridad actual hasta la postura objetivo.
• La planificación temporal de dichos proyectos a lo largo del periodo definido por la organización para evolucionar desde el perfil de implementación actual hasta el perfil de implementación objetivo.
• Las acciones que se deben desarrollar para evolucionar desde el nivel de implementación actual hasta el nivel de implementación objetivo.
• Los niveles de implementación y perfiles de implementación que se deben ir alcanzando en los hitos intermedios de referencia establecidos en el programa de proyectos.

Fase 5. Ejecución y seguimiento

Una vez diseñado el plan de acción se deberá llevar a cabo su ejecución, realizándose evaluaciones periódicas con el fin de determinar si el programa de proyectos se está desarrollando de acuerdo con lo previsto y si en los hitos intermedios de referencia se van alcanzando los niveles de implementación y perfiles de implementación previstos.

¿Dónde recibir asesoramiento o contratar el desarrollo de un programa de mejora de la ciberseguridad basado en el NIST CSF?

Desde el BCSC, se pone a disposición tanto de los organismos públicos como de las empresas privadas el “Libro Blanco de la Ciberseguridad en Euskadi”, un documento que recoge la visión de conjunto de nuestro ecosistema local con diferentes perspectivas de innovación, investigación, emprendimiento, etc. y en el que se incluye el catálogo de proveedores de ciberseguridad que ofrecen este tipo de servicios, con el objetivo de que las organizaciones interesadas en demandarlos tengan un punto de referencia que contribuya a facilitar la toma de decisiones.

El catálogo sirve de resumen o instantánea del mercado de la ciberseguridad en Euskadi, siendo un listado vivo, revisado y actualizado periódicamente, dada la constante evolución y el avance en la digitalización de los servicios y las oportunidades que se generan.

BCSC Libro Blanco

Referencias

Descarga el marco de ciberseguridad del NIST en español: https://www.nist.gov/document/frameworkesmellrev20181102mncleanpdf