¿Qué es?
NIST es el acrónimo de Instituto Nacional de Estándares y Tecnología (National Institute of Standards and Technology, en inglés) perteneciente al Departamento de Comercio de EE.UU. El marco de miberseguridad del NIST (NIST Cibersecurity Framework) tiene el objetivo de ayudar a las empresas a comprender mejor los riesgos de ciberseguridad, gestionarlos y reducirlos a través un estándar de buenas prácticas.
El marco es aplicable a organizaciones dependientes de la tecnología, y su enfoque de seguridad se centra en tecnologías de la información (TI), sistemas de control industrial (ICS), sistemas ciberfísicos (CPS), Internet de las Cosas (IoT), …
Beneficios
- Comprender los riesgos de ciberseguridad en las organizaciones
- Aprender a identificar, administrar y reducir los riesgos de ciberseguridad
- Mejorar la protección de redes y datos
El Marco se estructura en tres partes: núcleo del marco, niveles de implementación y perfiles del marco.
- Núcleo del marco
El núcleo del marco es un conjunto de funciones, actividades, categorías y referencias informativas comunes a todos los sectores de las infraestructuras críticas. Consta de 5 funciones: identificar, proteger, detectar, responder y recuperar. Juntas, proporcionan una estrategia de alto nivel para la gestión de riesgos de ciberseguridad en una organización.
A continuación, se muestra una tabla con cada función y sus respectivas categorías:
| ID de función | Función | ID de categoría | Categoría |
|---|---|---|---|
| ID | Identificar | ID.AM ID.BE ID.GV ID.RA ID.RM ID.SC |
Gestión de activos Entorno empresarial Gobernanza Evaluación de riesgos Estrategia de gestión de riesgos Gestión del riesgo de la cadena de suministro |
| PR | Proteger | PR.AC PR.AT PR.DS PR.IP PR.MA PR.PT |
Gestión de identidad y control de acceso Conciencia y capacitación Seguridad de datos Procesos y procedimientos de protección de la información Mantenimiento Tecnología protectora |
| DE | Detectar | DE.AE DE.CM DE.DP |
Anomalías y eventos Vigilancia continua de seguridad Procesos de detección |
| RS | Responder | RS.RP RS.CO RS.AN RS.MI RS.IM |
Planificación de recuperación Comunicaciones Análisis Mitigación Mejoras |
| RC | Recuperar | RC.RP RC.IM RC.CO |
Planificación de recuperación Mejoras Comunicaciones |
- Niveles de implementación
Los niveles de implementación del marco establecen un contexto sobre cómo una organización evalúa y gestiona los riesgos de seguridad. Los niveles ayudan a determinar en qué medida la gestión del riesgo se basa en las necesidades de la empresa y se integran en las prácticas generales de gestión. Los niveles establecidos en la implementación son los siguientes:
-
- Nivel 1. Parcial
- Nivel 2. Riesgo Informado
- Nivel 3. Repetible
- Nivel 4. Adaptable
- Perfil del marco
El perfil del marco permite establecer una hoja de ruta para reducir el riesgo de seguridad (alineando los requisitos empresariales y los objetivos sectoriales) y tener en cuenta los requisitos legales, normativos y las mejores prácticas de la industria.
Dada la complejidad de muchas organizaciones, pueden coexistir múltiples perfiles, alineados con componentes particulares y reconociendo sus necesidades individuales. Por ejemplo, un perfil actual y un perfil objetivo al que se aspira.
Pasos para la implementación del marco de ciberseguridad NIST
En la implementación del marco de ciberseguridad NIST se definen una serie de pasos a seguir:
- Paso 1 – Priorización y definición de alcance: Identificar los objetivos, misión del negocio y prioridades de alto nivel en términos organizacionales. Este entorno puede ser toda la organización, una línea de negocio en particular o un proceso, teniendo presente que cada uno de estos elementos puede tener diferentes niveles de tolerancia al riesgo.
- Paso 2 – Orientación: Se identifican los sistemas, activos, requerimientos regulatorios, amenazas y vulnerabilidades vinculadas al entorno definido.
- Paso 3 – Crear un perfil actual: Se define un perfil actual a través de las funciones del marco básico para obtener los resultados de implementación de controles en el entorno.
- Paso 4 – Ejecutar un análisis de riesgos: Se ejecuta un análisis de riesgos que permita determinar la probabilidad y el impacto de incidentes de ciberseguridad en el entorno analizado.
- Paso 5 – Crear un perfil objetivo: Se establecen los objetivos de ciberseguridad a cubrir.
- Paso 6 – Determinar, analizar y priorizar las brechas detectadas: A través del análisis entre el perfil actual y el perfil objetivo se establece un plan de trabajo priorizando el coste/beneficio.
- Paso 7 – Implementar el plan de acción: Se procede con el plan de acción establecido en fases previas y se monitoriza su cumplimiento.
