¿Qué es el Marco de Ciberseguridad del NIST?
El Instituto Nacional de Estándares y Tecnología (NIST) forma parte del Departamento de Comercio de los Estados Unidos; su misión es promover la innovación y la competitividad industrial estadounidenses mediante el avance de la ciencia de la medición, los estándares y la tecnología, de formas que refuercen la seguridad económica y mejoren nuestra calidad de vida.
El Marco de Ciberseguridad del NIST está diseñado para ayudar a organizaciones de todos los tamaños y sectores —incluidos la industria, las administraciones públicas, el ámbito académico y las entidades sin ánimo de lucro— a gestionar y reducir sus riesgos de ciberseguridad. Resulta útil con independencia del nivel de madurez y del grado de sofisticación técnica de los programas de ciberseguridad de una organización. No obstante, el CSF no adopta un enfoque uniforme aplicable a todas las organizaciones. Cada organización presenta riesgos tanto comunes como específicos, así como diferentes niveles de propensión y tolerancia al riesgo, misiones específicas y objetivos para alcanzar dichas misiones. Inevitablemente, la forma en que las organizaciones implementen el CSF variará.
¿Qué es la versión 2.0 del Marco de Ciberseguridad del NIST?
El Marco de Ciberseguridad (CSF) 2.0 del NIST se publicó el 26 de febrero de 2024. Basándose en versiones anteriores, el CSF 2.0 del NIST contiene nuevas características que destacan la importancia de la gobernanza y las cadenas de suministro. Presta especial atención a garantizar que el CSF sea relevante y fácilmente accesible tanto para las organizaciones más pequeñas como para las de mayor tamaño.
El CSF 2.0 del NIST describe resultados de ciberseguridad de alto nivel que pueden servir a cualquier organización para comprender, evaluar, priorizar y comunicar mejor sus esfuerzos en el ámbito de la ciberseguridad. El CSF no estipula cómo deben lograrse los resultados. Más bien enlaza con recursos disponibles en Internet que brindan orientación adicional sobre las prácticas y los controles que podrían utilizarse para lograr dichos resultados.
¿Cuáles son las principales funciones de la versión 2.0 del Marco de Ciberseguridad del NIST?
Las funciones principales del Marco de Ciberseguridad 2.0 del NIST son gobernar, identificar, proteger, detectar, responder y recuperar. Estas seis funciones proporcionan un enfoque estructurado para gestionar el riesgo de ciberseguridad en todo el ciclo de vida de una organización.
A continuación presentamos una visión más detallada de cada función:
- GOBERNAR (GV):
La estrategia, las expectativas y la política de gestión del riesgo de ciberseguridad de la organización se establecen, comunican y supervisan. La función GOBERNAR proporciona los resultados necesarios para orientar lo que una organización puede hacer para lograr y priorizar los resultados de las otras cinco funciones, en el contexto de su misión y de las expectativas de las partes interesadas. Las actividades de gobernanza son fundamentales para integrar la ciberseguridad en la estrategia más amplia de gestión del riesgo empresarial (ERM, por sus siglas en inglés) de una organización. La función GOBERNAR abarca la comprensión del contexto organizativo; el establecimiento de la estrategia de ciberseguridad y de la gestión del riesgo de la cadena de suministro de ciberseguridad; las funciones, responsabilidades y autoridades; la política; y la supervisión de la estrategia de ciberseguridad. - IDENTIFICAR (ID):
Se comprenden los riesgos actuales de ciberseguridad de la organización. Comprender los activos de la organización (p. ej., datos, hardware, software, sistemas, instalaciones, servicios y personal), sus proveedores y los riesgos de ciberseguridad asociados permite a la organización priorizar sus esfuerzos de acuerdo con su estrategia de gestión del riesgo y con las necesidades de la misión identificadas en la función GOBERNAR. Esta función también incluye la identificación de oportunidades de mejora para las políticas, planes, procesos, procedimientos y prácticas de la organización que apoyan la gestión de riesgos en materia de ciberseguridad para fundamentar los esfuerzos en el marco de las seis funciones. - PROTEGER (PR):
Se emplean salvaguardas para gestionar los riesgos de ciberseguridad de la organización. Una vez que los activos y los riesgos se han identificado y priorizado, la función PROTEGER respalda la capacidad de asegurar dichos activos para prevenir o reducir la probabilidad y el impacto de eventos adversos de ciberseguridad, así como para aumentar la probabilidad y el impacto de aprovechar oportunidades. Los resultados que abarca esta función incluyen la gestión de identidades, la autenticación y el control de accesos; la sensibilización y la formación; la seguridad de los datos; la seguridad de las plataformas (es decir, la seguridad del hardware, el software y los servicios de las plataformas físicas y virtuales); y la resiliencia de la infraestructura tecnológica. - DETECTAR (DE):
Se identifican y analizan posibles ataques y compromisos de ciberseguridad. La función DETECTAR permite el descubrimiento y análisis oportunos de anomalías, indicadores de compromiso y otros eventos potencialmente adversos que puedan indicar la ocurrencia de ataques e incidentes de ciberseguridad. Esta función respalda unas actividades de respuesta a incidentes y recuperación eficaces. - RESPONDER (RS):
Se adoptan medidas en relación con un incidente de ciberseguridad detectado. La función RESPONDER respalda la capacidad de contener los efectos de los incidentes de ciberseguridad. Los resultados de esta función abarcan la gestión de incidentes, el análisis, la mitigación, la elaboración de informes y la comunicación. - RECUPERAR:
Se restauran los activos y las operaciones afectadas por un incidente de ciberseguridad. La función RECUPERAR respalda la restauración oportuna de las operaciones normales para reducir los efectos de los incidentes de ciberseguridad y permitir una comunicación adecuada durante los esfuerzos de recuperación.
¿Qué organizaciones pueden recurrir al CSF 2.0 del NIST?
El marco CSF 2.0 del NIST se ha elaborado prestando especial atención a los sectores vitales para la seguridad nacional y económica, como la energía, la banca, las comunicaciones y la defensa. Ha demostrado ser lo suficientemente flexible como para que lo adopten voluntariamente empresas y organizaciones grandes y pequeñas de todos los sectores industriales, así como las administraciones federales, estatales y locales.
¿Cuáles son las sanciones por incumplimiento del Marco de Ciberseguridad (CSF) 2.0 del NIST?
La adhesión al Marco de Ciberseguridad del NIST 2.0 es voluntaria. Sin embargo, demostrar que una organización sigue las mejores prácticas del Marco del NIST puede proporcionar una capa de defensa frente a las multas impuestas por normativas como el RGPD, al evidenciar los esfuerzos de buena fe de la organización en materia de seguridad de la información.
¿Cómo puede ayudar Thales a cumplir el marco CSF 2.0 del NIST?
Thales puede ayudar a las empresas a cumplir con el CSF 2.0 del NIST abordando los requisitos esenciales en materia de ciberseguridad y automatizando la seguridad, reduciendo de este modo la carga de los equipos de seguridad y de cumplimiento normativo. Puede encontrar más información aquí.
Otras normativas clave en materia de protección de datos y seguridad
PCI HSM
MANDATO | EN VIGOR
La especificación PCI HSM define un conjunto de estándares de cumplimiento de seguridad lógica y física para los HSM, específicamente orientados al sector de los pagos. La certificación de cumplimiento PCI HSM depende del cumplimiento de dichos estándares.
DORA
REGLAMENTO | EN VIGOR
DORA tiene como objetivo reforzar la seguridad informática de las entidades financieras para garantizar que el sector financiero en Europa sea resiliente frente al creciente volumen y gravedad de los ciberataques.
Leyes de notificación de brechas de datos
REGLAMENTO | EN VIGOR
Los requisitos de notificación de brechas de datos tras la pérdida de información personal han sido promulgados por países de todo el mundo. Varían según la jurisdicción, pero casi universalmente incluyen una cláusula de «puerto seguro».
GLBA
REGLAMENTO | EN VIGOR
La Ley Gramm-Leach-Bliley (GLBA), también conocida como la Ley de Modernización de los Servicios Financieros de 1999, exige que las instituciones financieras expliquen a sus clientes sus prácticas de intercambio de información y protejan los datos sensibles.