Marco de ciberseguridad 2.0 del NIST: novedades y cómo empezar

Por Phil Muncaster • 3 October 2023

La gestión del riesgo cibernético no puede vivir en el vacío. Y si bien las mejores prácticas de alto nivel pueden seguir siendo en gran medida las mismas durante un período de años, tanto el panorama de amenazas como los desafíos que enfrentan los equipos de cumplimiento han evolucionado significativamente durante la última década. Es por eso que una de las pautas más populares que existen es la actualización.

El Instituto Nacional de Estándares y Tecnología (NIST) Marco de ciberseguridad (CSF) se publicó por primera vez en 2014 tras una orden ejecutiva del entonces presidente Barack Obama. Ya se publica su primera actualización significativa. La esperanza es que ayude a las organizaciones globales a enfrentar los desafíos de hoy y de mañana y al mismo tiempo sea más sencillo de usar que el CSF original. Hay mucho de qué ser optimista.

Antecedentes del LCR

El CSF es voluntario y estaba inicialmente destinado a organizaciones de infraestructura nacional crítica (CNI). Sin embargo, su claridad y minuciosidad al resaltar las mejores prácticas de ciberseguridad lo convirtieron en uno de los marcos más populares entre las organizaciones estadounidenses y globales, cualquiera que sea su sector.

Se basa en cinco funciones clave:

Identificar:

Crear un registro de los activos de hardware, software y datos de la organización. Publicar un política describiendo roles y responsabilidades para cualquier persona con acceso a datos críticos, incluidos socios y proveedores. Además, cree un procedimiento para la respuesta y remediación de incidentes.

Proteger:

Controles físicos y técnicos para salvaguarda de activos críticos. Podría incluir copias de seguridad, educación del usuario, cifrado, controles de acceso y actualizaciones periódicas.

Detectar:

Supervise el acceso no autorizado y la actividad inusual de la red.

Responder:

Construir un plan para la notificación de incidentes (a clientes, reguladores, accionistas, etc.), continuidad del negocio e investigación de incidentes. Este plan debe probarse periódicamente.

Recuperar:

Repare y restaure los activos/servicios afectados después de una infracción y mantenga informados a los empleados y clientes. Mejorar la ciberresiliencia a través del aprendizaje.

Como parte del marco, el NIST también creó cuatro niveles para ayudar a las empresas a evaluar su madurez en la implementación del CSF (Parcial, Informado sobre el riesgo, Repetible, Adaptativo). E incluía una guía paso a paso para crear un Gestión sistemática del riesgo, programa. A grandes rasgos, esto es lo siguiente:

Alcanzar el proyecto e identificar prioridades.
Orientarse para comprender las regulaciones relevantes de la industria y las amenazas cibernéticas.
Crear un perfil para ilustrar cómo se maneja actualmente el riesgo en la organización.
Realizar una evaluación de riesgos para comprender la probabilidad y la gravedad de un evento de ciberseguridad que podría afectar a la organización.
Cree un perfil de destino que servirá como objetivo final del equipo de seguridad.
Identificar las brechas entre los perfiles actuales y los de destino para crear un plan de acción, incluidos los recursos necesarios.
Implementar el plan de acción.

¿Qué hay de nuevo para 2024?

Lanzado en agosto de 2023, la versión borrador del CSF (v 2.0) realiza varias actualizaciones importantes al documento original. Entre ellos, los más importantes son los intentos de ampliar el uso del marco, mejorar la orientación sobre la implementación y enfatizar la importancia de la gobernanza:

Un nuevo pilar de gobierno

Esto cubre el contexto organizacional; estrategia de gestión de riesgos; la seguridad cibernética riesgo de la cadena de suministro gestión; roles, responsabilidades y autoridades; políticas, procesos y procedimientos; y supervisión. Además, se ofrece orientación sobre la integración del CSF con el marco de privacidad de NIST y NIST IR 8286.

Orientación ampliada sobre el uso

CSF 2.0 introduce más ejemplos de implementación. También revisa los perfiles del marco para facilitar su uso durante los proyectos. Se incluyen plantillas nocionales que las organizaciones pueden utilizar o adaptar para crear perfiles y planes de acción.

Ampliación del LCR

El título oficial se ha cambiado de Marco para mejorar la ciberseguridad de las infraestructuras críticas al CSF, más comúnmente utilizado. El alcance se ha actualizado para reflejar el uso por parte de todas las organizaciones, no solo de aquellas que operan CNI.

Además, hay un mayor énfasis en la seguridad de la cadena de suministro, con nuevos vínculos con NIST SP 800-55. La importancia de la mejora continua también recibe más peso a través de una nueva categoría de "mejora" en el pilar Identificar.

Un paso en la dirección correcta

En general, los expertos acogen con satisfacción la actualización del MCA. Joseph Carson, científico jefe de seguridad y CISO asesor de Delinea, dice a ISMS.online que después de casi una década, se necesitaba una nueva versión para tener en cuenta los cambios en el panorama de amenazas.

"Ampliarlo a más organizaciones es el enfoque correcto para reforzar la resiliencia frente a la amplia gama de ciberamenazas que enfrentan", añade. Simplificar el CSF también facilitará la adopción del marco, permitiendo que más organizaciones aumenten su nivel de protección de seguridad”.
El director general de Netography, Martin Roesch, también elogia el nuevo pilar "Gobierno".

"Agregar gobernanza al marco de ciberseguridad del NIST es un paso clave para ayudar a las organizaciones a demostrar que su infraestructura está alineada con sus políticas en un momento dado, y permite a los equipos de seguridad tener una forma de medir la eficacia con la que está operando su sistema", afirma. ISMS.online.

"Al ampliar el alcance del CSF y mejorar las pautas de implementación, el NIST está brindando a un grupo más amplio de organizaciones una hoja de ruta sólida para lograr el éxito en la seguridad de la información y la gestión de riesgos, independientemente del tamaño o la industria vertical".

Sin embargo, al mismo tiempo, Roesch sostiene que algunas organizaciones pueden tener dificultades para aplicar los principios de gobernanza a sus entornos, "especialmente si tienen diversas tecnologías, sistemas y procesos". También advierte que las limitaciones de recursos pueden impedir el monitoreo continuo necesario para “establecer y mantener una gobernanza sólida de la ciberseguridad” en un contexto de arquitecturas de seguridad de red en rápida evolución. Describe la gobernanza de las redes sociales, en particular, como una “caja de Pandora” de desafíos de privacidad y seguridad.

Por lo tanto, implementar incluso un MCA simplificado y más fácil de usar puede ser un desafío para algunas organizaciones. Pero un sistema de gestión de seguridad de la información (ISMS) podría ayudar, dice Carson de Delinea.

“Puede esbozar ejemplos de cómo utilizar el Herramienta de referencia CSF 2.0 y dar una idea de cómo son las implementaciones en el mundo real”, afirma. "A medida que más organizaciones observen a sus pares implementar e implementar exitosamente el CSF, y cómo se relacionan con la herramienta de referencia, se alentará a otras a seguirlo rápidamente".

Phil Muncaster

Phil Muncaster ha sido periodista de TI durante 20 años. Comenzó como reportero en el título de TI empresarial IT Week en 2005 y ascendió al puesto de editor de noticias antes de dejarlo para seguir una carrera independiente. Desde entonces, Phil ha escrito para títulos como The Register, donde trabajó como corresponsal en Asia mientras residía en Hong Kong durante más de dos años, MIT Technology Review, SC Magazine, Infosecurity Magazine y otros.

Lea más de Phil Muncaster

La seguridad cibernética 6 de enero de 2026

Cinco tendencias de seguridad y cumplimiento a tener en cuenta en 2026

¿Cómo podrían ser los próximos 12 meses para los profesionales de la ciberseguridad y el cumplimiento normativo? Hemos analizado las noticias y analizado las predicciones de la industria...

Phil Muncaster

La seguridad cibernética 11 December 2025

¿Es inevitable una brecha de seguridad de inteligencia artificial en 2026?

¿Es inevitable una vulneración de seguridad de la IA agente en 2026?

Puede que hayan pasado tres años desde que el lanzamiento de ChatGPT desencadenó una nueva carrera tecnológica, pero ahora todas las miradas están puestas en la IA agentica. Sus promotores afirman que...

Phil Muncaster

Seguridad de la información 9 December 2025

Un año en cumplimiento: cinco cosas que aprendimos en 2025

Un año de cumplimiento normativo: cinco cosas que aprendimos en 2025

Los últimos 12 meses han demostrado una vez más que el panorama de la ciberseguridad suele estar plagado de incidentes. Las brechas de seguridad importantes cuestan a las organizaciones...

Phil Muncaster