¿Qué es NIST Cibersecurity Framework?

Carlos Villamizar R. Director de Operaciones de Colombia

El marco para la mejora de la seguridad cibernética en infraestructuras críticas, mejor conocida en inglés como NIST Cibersecurity Framework, fue emitida inicialmente en los Estados Unidos en febrero de 2.014. Actualmente se encuentra disponible la versión 1.1 liberada en abril de 2.018.

La orientación del marco es ayudar a las empresas de todos los tamaños a comprender, gestionar y reducir los riesgos cibernéticos y proteger sus redes y datos, proporcionando un lenguaje común y un resumen de las mejores prácticas en ciberseguridad.

Aplicabilidad: El marco es aplicable a organizaciones que dependen en la tecnología, ya sea que su enfoque de seguridad cibernética sea principalmente en tecnología de la información (TI), sistemas de control industrial (ICS), sistemas ciber físicos (CPS) o dispositivos conectados en general, incluido el Internet de las Cosas (IoT)

Estructura: El Marco consta de tres partes: el Núcleo del Marco, los Niveles de Implementación y los Perfiles del Marco.

El Núcleo del Marco es un conjunto de funciones y actividades de seguridad cibernética, resultados esperados y referencias informativas que son comunes en todos los sectores y en la infraestructura crítica. El Núcleo del Marco consta de cinco Funciones simultáneas y continuas: Identificar, Proteger, Detectar, Responder y Recuperar. Cuando se consideran juntas, estas Funciones proporcionan una visión estratégica de alto nivel del ciclo de vida del proceso de gestión de riesgos de la seguridad cibernética de una organización. Cada Función está compuesta de categorías, cada categoría se divide a su vez en subcategorías y cada subcategoría viene acompañada de referencias normativas a otros frameworks o estándares (ISO 27001, CobiT 5, NIST SP-83, ISA62443, entre otros) en los cuales se encuentra mayor nivel de detalle para la implementación de los controles de seguridad cibernética referidos.

A continuación, se muestra cada Función con sus respectivas categorías:

Los Niveles de Implementación de NIST proporcionan un mecanismo para que las organizaciones puedan ver y comprender las características de su enfoque para gestionar el riesgo de seguridad cibernética, lo que ayudará a priorizar y alcanzar los objetivos de la seguridad cibernética. El marco considera 4 niveles desde el más débil hasta el más robusto: Parcial, Riesgo informado, Repetible y Adaptativo.

El nivel es determinado con base en 3 atributos (Proceso de gestión de riesgos, integración de la gestión de riesgos, y Participación externa) y las características de cada uno ellos que se aprecian en la siguiente imagen:

Por último, el Perfil representa los resultados que se basan en las necesidades empresariales que una organización ha seleccionado de las categorías y subcategorías del Marco. El Perfil se puede caracterizar como la alineación de estándares, directrices y prácticas con el Núcleo del Marco en un escenario de implementación particular.

De forma más coloquial se puede decir que el Pefil es una “foto” en el tiempo que muestra el estado actual (o el nivel de estado deseado) de ciberseguridad en una organización o unidad de negocio. La diferencia entre el perfil del estado actual y el perfil de estado deseado permitirá construir una hoja de ruta priorizada para la implementación.

1. Priorización y Alcance. La organización identifica sus objetivos empresariales o de misión y las prioridades organizacionales de alto nivel. Con esta información, la organización toma decisiones estratégicas con respecto a las implementaciones de seguridad cibernética y determina el alcance de los sistemas y activos que respaldan la línea o proceso comercial seleccionado.
2. Orientación. La organización identifica los sistemas y activos relacionados, los requisitos reglamentarios y el enfoque de riesgo general. La organización luego consulta las fuentes para identificar las amenazas y vulnerabilidades aplicables a esos sistemas y activos.
3. Perfil Actual. La organización desarrolla un Perfil Actual en que indica qué resultados de categoría y subcategoría del Núcleo del Marco se están logrando actualmente. Si se logra parcialmente un resultado, tomar nota de este hecho ayudará a respaldar los pasos posteriores al proporcionar información de referencia.
4. Evaluación de riesgos. Esta evaluación puede estar orientada por el proceso de gestión de riesgos general de la organización o actividades previas de evaluación de riesgos. La organización analiza el entorno operativo para discernir la probabilidad de un evento de seguridad cibernética y el impacto que el evento podría tener en la organización. Es importante que las organizaciones identifiquen los riesgos emergentes y utilicen la información de amenazas de seguridad cibernética de fuentes internas y externas para obtener una mejor comprensión del riesgo asociado con los eventos de seguridad cibernética.
5. Perfil Deseado. La organización crea un Perfil Objetivo que se centra en la evaluación de las Categorías y Subcategorías del Marco que describen los resultados deseados de seguridad cibernética de la organización. La organización también puede considerar las influencias y los requisitos de las partes interesadas externas, como las entidades del sector, los clientes y los socios empresariales, al crear un Perfil deseado.
6. Determinar, analizar y priorizar brechas. La organización compara el Perfil Actual y el Perfil Deseado para determinar las brechas. A continuación, crea un plan de acción priorizado para abordar las brechas (que reflejan los impulsores, los costos y los beneficios, y los riesgos de la misión) para lograr los resultados en el Perfil Objetivo. Luego, la organización determina los recursos necesarios para abordar las brechas, que incluyen los fondos y la fuerza laboral. El uso de Perfiles de esta manera alienta a la organización a tomar decisiones informadas sobre las actividades de seguridad cibernética, respalda la gestión de riesgos y permite a la organización realizar mejoras específicas y rentables.
7. Implementar plan de acción. La organización determina qué acciones tomar para abordar las brechas, si las hay, identificadas en el paso anterior y luego ajusta sus prácticas actuales de seguridad cibernética para lograr el Perfil Objetivo. Para proveer más dirección, el Marco identifica ejemplos de referencias informativas sobre las Categorías y Subcategorías, pero las organizaciones deben determinar qué normas, directrices y prácticas, incluidas aquellas que son específicas del sector, funcionan mejor para sus necesidades.

Desde GlobalSUITE Solutions a través de nuestra herramienta GlobalSUITE Information Security acompañamos la puesta en marcha e implementación del framework NIST CSF para clientes interesados en su implementación.