Carlos Villamizar R. Director de Operaciones de Colombia
El marco para la mejora de la seguridad cibernética en infraestructuras críticas, mejor conocida en inglés como NIST Cibersecurity Framework, fue emitida inicialmente en los Estados Unidos en febrero de 2.014. Actualmente se encuentra disponible la versión 1.1 liberada en abril de 2.018.
La orientación del marco es ayudar a las empresas de todos los tamaños a comprender, gestionar y reducir los riesgos cibernéticos y proteger sus redes y datos, proporcionando un lenguaje común y un resumen de las mejores prácticas en ciberseguridad.
National Institute of Standards and Technology
Aplicabilidad: El marco es aplicable a organizaciones que dependen en la tecnología, ya sea que su enfoque de seguridad cibernética sea principalmente en tecnología de la información (TI), sistemas de control industrial (ICS), sistemas ciber físicos (CPS) o dispositivos conectados en general, incluido el Internet de las Cosas (IoT)
Estructura: El Marco consta de tres partes: el Núcleo del Marco, los Niveles de Implementación y los Perfiles del Marco.
El Núcleo del Marco es un conjunto de funciones y actividades de seguridad cibernética, resultados esperados y referencias informativas que son comunes en todos los sectores y en la infraestructura crítica. El Núcleo del Marco consta de cinco Funciones simultáneas y continuas: Identificar, Proteger, Detectar, Responder y Recuperar. Cuando se consideran juntas, estas Funciones proporcionan una visión estratégica de alto nivel del ciclo de vida del proceso de gestión de riesgos de la seguridad cibernética de una organización. Cada Función está compuesta de categorías, cada categoría se divide a su vez en subcategorías y cada subcategoría viene acompañada de referencias normativas a otros frameworks o estándares (ISO 27001, CobiT 5, NIST SP-83, ISA62443, entre otros) en los cuales se encuentra mayor nivel de detalle para la implementación de los controles de seguridad cibernética referidos.
A continuación, se muestra cada Función con sus respectivas categorías:
| Identificador único de función | Función | Identificador único de categoría | Categoría |
| ID | Identificar | ID. AM | Gestión de activos |
| ID. BE | Entorno empresarial | ||
| ID. GV | Gobernanza | ||
| ID. RA | Evaluación de riesgos | ||
| ID. RM | Estrategia de gestión de riesgos | ||
| ID. SC | Gestión del riesgo de la cadena de suministro | ||
| PR | Proteger | PR. AC | Gestión de identidad y control de acceso |
| PR. AT | Conciencia y capacitación | ||
| PR. DS | Seguridad de datos | ||
| PR. IP | Procesos y procedimientos de protección de la información | ||
| PR. MA | Mantenimiento | ||
| PR. PT | Tecnología productora | ||
| DE | Detectar | DE. AE | Anomalías y eventos |
| DE. CM | Vigilancia continua de seguridad | ||
| DE. DP | Procesos de detección | ||
| RS | Responder | RS. RP | Comunicaciones |
| RS. CO | Análisis | ||
| RS. AN | Análisis | ||
| RS. MI | Mitigación | ||
| RS. IM | Mejoras | ||
| RC | Recuperar | RC. RP | Planificación de recuperación |
| RC. IM | Mejoras | ||
| RC.CO | Comunicaciones |
Los Niveles de Implementación de NIST proporcionan un mecanismo para que las organizaciones puedan ver y comprender las características de su enfoque para gestionar el riesgo de seguridad cibernética, lo que ayudará a priorizar y alcanzar los objetivos de la seguridad cibernética. El marco considera 4 niveles desde el más débil hasta el más robusto: Parcial, Riesgo informado, Repetible y Adaptativo.
El nivel es determinado con base en 3 atributos (Proceso de gestión de riesgos, integración de la gestión de riesgos, y Participación externa) y las características de cada uno ellos que se aprecian en la siguiente imagen:
| Parcial | Informado | Repetible | Adaptativo |
| No formalizado Ad-hoc Reactivo |
Procesos aprobados pero podrían no ser establecidos como políticas de toda la organización
Actividades de ciberseguridad basadas en objetivos de riesgo |
Procesos aprobados y se expresan como políticas
Actividades de ciberseguridad se actualizan regularmente con base en cambios en el perfil de riesgo |
Mejor continua que incluye lecciones aprendidas e indicadores predictivos.
La organización continuamente se adapta a un panorama cambiante de amenazas y tecnologías y responde de manera eficaz |
| Parcial | Informado | Repetible | Adaptativo |
| Conciencia limitada sobre riesgos La organización implementa la gestión del riesgo de seguridad cibernética de forma irregular, caso por caso |
Existe conciencia del riesgo de seguridad cibernética a nivel organizacional Se lleva a cabo evaluación de riesgos pero NO es recurrente |
Se han definido e implementado políticas y procedimientos Hay un enfoque consistente para monitorear y gestionar el riesgo Se cuenta con personal competente La alta dirección comunica regularmente sobre ciberriesgos |
La gestión de riesgos de ciberseguridad es parte de la cultura organizacional. Existe alineación entre riesgos de seguridad y los objetivos del negocio, El riesgo es monitoreado como cualquier otro tipo de riesgos (p. ej. Riesgo Operativo) El presupuesto de la organización se basa en la comprensión del entorno al riesgo actual y previsto, y su tolerancia al riesgo |
| Parcial | Informado | Repetible | Adaptativo |
| La organización NO colabora, ni recibe/comparte información con otras entidades Se desconocen los riesgos de la CS |
La organización colabora y recibe alguna información de otras entidades, pero no comparte.. Es consciente de los riesgos de la CS, pero no actúa de forma consistente sobre dichos riesgos. |
La organización recibe y comparte información con otras entidades. Es consciente de los riesgos de la CS y actúa de forma consistente sobre dichos riesgos. |
Utiliza información en tiempo real o casi en tiempo real para comprender y actuar de forma coherente sobre los riesgos de CS. Comunica de manera proactiva, utilizando mecanismos formales e informales para desarrollar y mantener relaciones sólidas de la CS. |
Por último, el Perfil representa los resultados que se basan en las necesidades empresariales que una organización ha seleccionado de las categorías y subcategorías del Marco. El Perfil se puede caracterizar como la alineación de estándares, directrices y prácticas con el Núcleo del Marco en un escenario de implementación particular.
De forma más coloquial se puede decir que el Pefil es una “foto” en el tiempo que muestra el estado actual (o el nivel de estado deseado) de ciberseguridad en una organización o unidad de negocio. La diferencia entre el perfil del estado actual y el perfil de estado deseado permitirá construir una hoja de ruta priorizada para la implementación.
7 pasos para seguir la hoja de ruta del marco NIST
- Priorización y Alcance. La organización identifica sus objetivos empresariales o de misión y las prioridades organizacionales de alto nivel. Con esta información, la organización toma decisiones estratégicas con respecto a las implementaciones de seguridad cibernética y determina el alcance de los sistemas y activos que respaldan la línea o proceso comercial seleccionado.
- Orientación. La organización identifica los sistemas y activos relacionados, los requisitos reglamentarios y el enfoque de riesgo general. La organización luego consulta las fuentes para identificar las amenazas y vulnerabilidades aplicables a esos sistemas y activos.
- Perfil Actual. La organización desarrolla un Perfil Actual en que indica qué resultados de categoría y subcategoría del Núcleo del Marco se están logrando actualmente. Si se logra parcialmente un resultado, tomar nota de este hecho ayudará a respaldar los pasos posteriores al proporcionar información de referencia.
- Evaluación de riesgos. Esta evaluación puede estar orientada por el proceso de gestión de riesgos general de la organización o actividades previas de evaluación de riesgos. La organización analiza el entorno operativo para discernir la probabilidad de un evento de seguridad cibernética y el impacto que el evento podría tener en la organización. Es importante que las organizaciones identifiquen los riesgos emergentes y utilicen la información de amenazas de seguridad cibernética de fuentes internas y externas para obtener una mejor comprensión del riesgo asociado con los eventos de seguridad cibernética.
- Perfil Deseado. La organización crea un Perfil Objetivo que se centra en la evaluación de las Categorías y Subcategorías del Marco que describen los resultados deseados de seguridad cibernética de la organización. La organización también puede considerar las influencias y los requisitos de las partes interesadas externas, como las entidades del sector, los clientes y los socios empresariales, al crear un Perfil deseado.
- Determinar, analizar y priorizar brechas. La organización compara el Perfil Actual y el Perfil Deseado para determinar las brechas. A continuación, crea un plan de acción priorizado para abordar las brechas (que reflejan los impulsores, los costos y los beneficios, y los riesgos de la misión) para lograr los resultados en el Perfil Objetivo. Luego, la organización determina los recursos necesarios para abordar las brechas, que incluyen los fondos y la fuerza laboral. El uso de Perfiles de esta manera alienta a la organización a tomar decisiones informadas sobre las actividades de seguridad cibernética, respalda la gestión de riesgos y permite a la organización realizar mejoras específicas y rentables.
- Implementar plan de acción. La organización determina qué acciones tomar para abordar las brechas, si las hay, identificadas en el paso anterior y luego ajusta sus prácticas actuales de seguridad cibernética para lograr el Perfil Objetivo. Para proveer más dirección, el Marco identifica ejemplos de referencias informativas sobre las Categorías y Subcategorías, pero las organizaciones deben determinar qué normas, directrices y prácticas, incluidas aquellas que son específicas del sector, funcionan mejor para sus necesidades.
Desde GlobalSUITE Solutions a través de nuestra herramienta GlobalSuite Information Security acompañamos la puesta en marcha e implementación del framework NIST CSF para clientes interesados en su implementación.
