Introducido por primera vez hace casi una década como guía técnica de ciberseguridad para intereses de infraestructura crítica como energía, banca y hospitales, el Marco de Seguridad Cibernética del Instituto Nacional de Estándares y Tecnología (NIST) acaba de recibir una actualización y ahora está dirigido a organizaciones de todos los tamaños.
La nueva versión del popular NIST Cybersecurity Framework (CSF) v2.0 se ha expandido más allá de las cinco funciones del marco original de un programa de ciberseguridad eficaz (Identificar, Proteger, Detectar, Responder y Recuperar) y agregó una sexta, Gobierno.
"Enfatiza que la ciberseguridad es una fuente importante de riesgo empresarial, junto con los riesgos legales, financieros y de otro tipo como consideraciones para el liderazgo superior", decían las nuevas directrices del NIST, aún en la fase de borrador.
El nuevo marco también pretende ayudar a apoyar a organizaciones de todos los tamaños, dijo la agencia. "Con esta actualización, estamos tratando de reflejar el uso actual del Marco de Ciberseguridad y también anticipar su uso futuro", dijo Cherilyn Pascoe, principal desarrolladora del marco del NIST. La nueva versión CSF 2.0, del 8 de agosto, fue desarrollada para ser utilizada por infraestructura crítica como las industrias bancaria y energética, pero ha demostrado ser útil en todas partes, desde escuelas y pequeñas empresas hasta gobiernos locales y extranjeros.
Beneficios comerciales del marco de ciberseguridad 2.0
En una declaración enviada a Dark Reading, Bud Broomhead, director ejecutivo de Viakoo, explicó que la nueva actualización del NIST no sólo ayuda a las organizaciones con funciones básicas de ciberseguridad, sino que también se expande a otras áreas de la empresa.
Ampliar el alcance del marco NIST a todas las formas de organizaciones (no solo a la infraestructura crítica) es un reconocimiento de cómo cada organización enfrenta las amenazas cibernéticas y necesita tener un plan para gestionar la higiene cibernética y la respuesta a incidentes. La reciente actualización del NIST ayudará a las organizaciones no sólo a reducir su panorama de amenazas, sino también a estar mejor posicionadas para los requisitos de cumplimiento, auditoría y seguros en materia de ciberseguridad.
La actualización es algo que Joseph Carson, científico jefe de seguridad y CISO asesor de Delinea, elogió como una "actualización excelente". "Es fantástico ver que el marco pasa de centrarse simplemente en las organizaciones de infraestructura crítica a adaptarse a las amenazas de ciberseguridad proporcionando orientación a todos los sectores", dijo Carson en un comunicado.
Esto incluye el nuevo pilar "Gobierno" que reconoce los cambios en la forma en que las organizaciones ahora responden a las amenazas para respaldar su estrategia general de ciberseguridad.
El borrador del CSF 2.0 refleja una serie de cambios importantes, que incluyen:
- El alcance del marco se ha ampliado (explícitamente) desde la protección de infraestructuras críticas, como hospitales y plantas de energía, hasta brindar ciberseguridad a todas las organizaciones, independientemente de su tipo o tamaño. Esta diferencia se refleja en el título oficial del CSF, que ha cambiado a "El Marco de Ciberseguridad".
- Hasta ahora, el CSF ha descrito los pilares principales de un programa de ciberseguridad holístico y exitoso utilizando cinco funciones principales: Identificar, Proteger, Detectar, Responder y Recuperar. Ahora se agrega el sexto: Gobierno, que cubre cómo una organización puede tomar y ejecutar sus propias decisiones internas para respaldar su estrategia de ciberseguridad. Enfatiza que la ciberseguridad es una fuente importante de riesgo empresarial, junto con los riesgos legales, financieros y de otro tipo como consideraciones para el liderazgo superior.
- El borrador proporciona orientación mejorada y ampliada sobre la implementación del CSF, especialmente para la creación de perfiles que se adapten a situaciones particulares. La comunidad de ciberseguridad ha solicitado ayuda para utilizarlo en sectores económicos y casos de uso específicos, donde los perfiles pueden ayudar. Es importante destacar que el borrador ahora incluye ejemplos de implementación para las subcategorías de cada función para ayudar a las organizaciones, especialmente a las empresas más pequeñas, a utilizar el marco de manera efectiva.
- Un objetivo importante del CSF 2.0 es explicar cómo las organizaciones pueden aprovechar otros marcos, estándares y directrices tecnológicos, del NIST y otros lugares, para implementar el CSF. Para reforzar este último esfuerzo está el lanzamiento de la herramienta de referencia CSF 2.0. Este recurso en línea permite a los usuarios explorar, buscar y exportar los datos de CSF Core en formatos consumibles por humanos y legibles por máquinas. En el futuro, esta herramienta proporcionará "Referencias informativas" para mostrar las relaciones entre el CSF y otros recursos para facilitar el uso del marco junto con otras orientaciones para gestionar el riesgo de ciberseguridad.
NIST está recopilando comentarios sobre el borrador CSF 2.0 hasta el 4 de noviembre.
Fuente: NIST | Dark Reading