Actualizaciones y evolución del marco de ciberseguridad del NIST: ¿Qué hay de nuevo?
El Marco de Ciberseguridad del NIST (CSF), publicado por el Instituto Nacional de Estándares y Tecnología (NIST) de Estados Unidos, es un conjunto de directrices ampliamente utilizado para mitigar los riesgos de ciberseguridad organizacional. Contiene recomendaciones y estándares para ayudar a las organizaciones a identificar y detectar ciberataques y consejos sobre cómo responder, prevenir y recuperarse de incidentes de ciberseguridad.
Desde el lanzamiento inicial de la versión 1.0 en 2014, el NIST CSF ha experimentado dos actualizaciones importantes: la versión 1.1 en 2018 y la versión 2.0 en 2024. Exploremos qué es y qué hace el marco y cómo ha cambiado a lo largo de los años.
Marco de ciberseguridad del NIST, versión 1.0 (2014)
Si bien no se publicó hasta 2014, la historia de la versión 1.0 del CSF del NIST comienza un año antes, en febrero de 2013. En respuesta a la creciente amenaza de ciberataques a la infraestructura crítica, el presidente Barack Obama emitió la Orden Ejecutiva 13636, titulada “Mejora de la infraestructura crítica”, que ordenaba al NIST desarrollar un marco para mejorar la ciberseguridad de la infraestructura crítica en los Estados Unidos.
Luego de un extenso proceso de colaboración con diversas partes interesadas relevantes y varios borradores y revisiones, el NIST publicó la versión 1.0 del CSF en febrero de 2014. Si bien estaba dirigido principalmente a los operadores de infraestructura crítica, este proceso garantizó que el Marco fuera práctico y eficaz para una amplia gama de organizaciones.
El núcleo del marco estaba compuesto por cinco funciones de alto nivel:
- Identificar
- Proteger
- Detectar
- Responder
- Recuperar
Marco de ciberseguridad del NIST, versión 1.1 (2018)
En abril de 2018, el NIST publicó la versión 1.1 del marco de ciberseguridad en respuesta a las necesidades cambiantes de los usuarios. La versión revisada incluía una guía mejorada sobre autenticación y gestión de identidad, autoevaluación y gestión de riesgos de la cadena de suministro . A continuación, se incluye un resumen de esos cambios.
La versión 1.1 de CSF mejoró la categoría de Gestión de identidad, autenticación y control de acceso para brindar orientación más explícita sobre la gestión de identidades y credenciales y aclarar la terminología y las descripciones para ayudar a los usuarios a comprender mejor el marco.
Se podría decir que el cambio más significativo en la versión 1.1 fue la incorporación de la categoría de gestión de riesgos de la cadena de suministro (ID.SC) en la función Identificar. Esta categoría proporciona orientación sobre la evaluación y gestión de los riesgos asociados con proveedores y socios externos.
Otra actualización notable incluyó una guía más detallada para la autoevaluación de la postura , el desempeño y la madurez en materia de ciberseguridad y un mayor énfasis en el desarrollo y uso de métricas para llevar a cabo estas evaluaciones.
La versión 1.1 de CSF sirvió para alinear e integrar mejor el marco con otros estándares y mejores prácticas de ciberseguridad, como ISO/IEC 27001. Esta actualización ayudó a las organizaciones a utilizar múltiples marcos para garantizar la coherencia en sus prácticas de ciberseguridad.
Los usuarios y las partes interesadas también presionaron para que el marco fuera más fácil de usar, lo que llevó a la inclusión de ejemplos prácticos para ayudar a las organizaciones a implementar componentes específicos del marco en situaciones del mundo real. De manera similar, el NIST incluyó recursos y orientación adicionales para ayudar a las pequeñas y medianas empresas a adoptar e implementar el marco.
Todas estas actualizaciones reflejaron un panorama de amenazas modificado y nuevos desafíos en materia de ciberseguridad, lo que garantizó que el Marco siguiera siendo relevante y eficaz.
Marco de ciberseguridad del NIST, versión 2.0 (2024)
Diez años después del lanzamiento de la versión 1.0 de CSF, en febrero de 2024, el NIST realizó importantes actualizaciones al marco. Después de dos años de talleres, borradores y revisiones, la versión 2.0 cambió significativamente el marco existente. Veámoslas con un poco más de detalle.
El cambio más obvio en la versión 2.0 de NIST CSF es la incorporación de una nueva función: Gobernar. Sin embargo, la función Gobernar es más una consolidación de la información de categorías de la versión 1.1 que una función completamente nueva. El resultado principal de este cambio es hacer que la versión 2.0 de NIST sea más fácil de entender que las iteraciones anteriores. Las nuevas categorías de Gobernanza incluyen Contexto organizacional ( GV.OC ), Supervisión ( GV.OV ), Estrategia de gestión de riesgos ( GV.RM ), Roles, responsabilidades y autoridades ( GV.RR ) y Gestión de riesgos de la cadena de suministro de ciberseguridad ( GV.SC ).
Notarás que la función Gobernanza incluye una categoría de gestión de riesgos de la cadena de suministro. Esto representa un mayor énfasis en los riesgos de la cadena de suministro tras una serie de ataques a la cadena de suministro en los últimos años y la predicción de Gartner de que el 45 % de las organizaciones globales sufrirán un ataque a la cadena de suministro en 2025, tres veces más que en 2021.
La versión 2.0 del CSF del NIST incluye una importante actualización de su función Respond. Las categorías ahora incluyen Gestión de incidentes ( RS.MA ), Análisis de incidentes ( RS.AN ), Informes y comunicación de respuesta a incidentes ( RS.CO ) y Mitigación de incidentes ( RS.MI ), y se relacionan con resultados de respuesta a incidentes cibernéticos de alto impacto, en lugar de los resultados de alto nivel incluidos en la versión 1.1.
El NIST también ha ampliado el alcance del Marco en la versión 2.0, rebautizándolo como un marco centrado en la infraestructura crítica a uno que se aplica a todas las industrias. Si bien muchos sectores ya utilizaban el CSF del NIST, la versión 2.0 es el primer reconocimiento oficial de este hecho. El NIST ha adaptado el Marco para que se aplique a cualquier industria y abarca una variedad de organizaciones, independientemente de su tamaño y la madurez de su programa de ciberseguridad.
Si bien no se trata de una actualización del marco, el NIST también ha publicado un conjunto de recursos para ayudar a las organizaciones a implementar la versión 2.0 de CIST CSF. Estos incluyen una herramienta de referencia con capacidad de búsqueda , un catálogo de referencia , perfiles de la comunidad , ejemplos de implementación y guías de inicio rápido .
El CSF del NIST es un marco valioso y en constante evolución que ayuda a las organizaciones de todos los tipos y tamaños a mejorar su postura en materia de ciberseguridad y a protegerse contra una amplia gama de amenazas. Puede ver el marco completo aquí .
Fuente: tripwire