¿Qué es NIST Cibersecurity Framework?

22 octubre 2020

Carlos Villamizar R. Director de Operaciones de Colombia

El marco para la mejora de la seguridad cibernética en infraestructuras críticas, mejor conocida en inglés como NIST Cibersecurity Framework, fue emitida inicialmente en los Estados Unidos en febrero de 2.014. Actualmente se encuentra disponible la versión 1.1 liberada en abril de 2.018.

La orientación del marco es ayudar a las empresas de todos los tamaños a comprender, gestionar y reducir los riesgos cibernéticos y proteger sus redes y datos, proporcionando un lenguaje común y un resumen de las mejores prácticas en ciberseguridad.

National Institute of Standards and Technology

Aplicabilidad: El marco es aplicable a organizaciones que dependen en la tecnología, ya sea que su enfoque de seguridad cibernética sea principalmente en tecnología de la información (TI), sistemas de control industrial (ICS), sistemas ciber físicos (CPS) o dispositivos conectados en general, incluido el Internet de las Cosas (IoT)

Estructura: El Marco consta de tres partes: el Núcleo del Marco, los Niveles de Implementación y los Perfiles del Marco.

El Núcleo del Marco es un conjunto de funciones y actividades de seguridad cibernética, resultados esperados y referencias informativas que son comunes en todos los sectores y en la infraestructura crítica. El Núcleo del Marco consta de cinco Funciones simultáneas y continuas: Identificar, Proteger, Detectar, Responder y Recuperar. Cuando se consideran juntas, estas Funciones proporcionan una visión estratégica de alto nivel del ciclo de vida del proceso de gestión de riesgos de la seguridad cibernética de una organización. Cada Función está compuesta de categorías, cada categoría se divide a su vez en subcategorías y cada subcategoría viene acompañada de referencias normativas a otros frameworks o estándares (ISO 27001, CobiT 5, NIST SP-83, ISA62443, entre otros) en los cuales se encuentra mayor nivel de detalle para la implementación de los controles de seguridad cibernética referidos.

A continuación, se muestra cada Función con sus respectivas categorías:

Identificador único de función	Función	Identificador único de categoría	Categoría
ID	Identificar	ID. AM	Gestión de activos
		ID. BE	Entorno empresarial
		ID. GV	Gobernanza
		ID. RA	Evaluación de riesgos
		ID. RM	Estrategia de gestión de riesgos
		ID. SC	Gestión del riesgo de la cadena de suministro
PR	Proteger	PR. AC	Gestión de identidad y control de acceso
		PR. AT	Conciencia y capacitación
		PR. DS	Seguridad de datos
		PR. IP	Procesos y procedimientos de protección de la información
		PR. MA	Mantenimiento
		PR. PT	Tecnología productora
DE	Detectar	DE. AE	Anomalías y eventos
		DE. CM	Vigilancia continua de seguridad
		DE. DP	Procesos de detección
RS	Responder	RS. RP	Comunicaciones
		RS. CO	Análisis
		RS. AN	Análisis
		RS. MI	Mitigación
		RS. IM	Mejoras
RC	Recuperar	RC. RP	Planificación de recuperación
		RC. IM	Mejoras
		RC.CO	Comunicaciones

Los Niveles de Implementación de NIST proporcionan un mecanismo para que las organizaciones puedan ver y comprender las características de su enfoque para gestionar el riesgo de seguridad cibernética, lo que ayudará a priorizar y alcanzar los objetivos de la seguridad cibernética. El marco considera 4 niveles desde el más débil hasta el más robusto: Parcial, Riesgo informado, Repetible y Adaptativo.

El nivel es determinado con base en 3 atributos (Proceso de gestión de riesgos, integración de la gestión de riesgos, y Participación externa) y las características de cada uno ellos que se aprecian en la siguiente imagen:

Proceso de Gestión de Riegos Integración de la gestión de riesgos Participación externa

Parcial

Informado

Repetible

Adaptativo

No formalizado
Ad-hoc
Reactivo

Procesos aprobados pero podrían no ser establecidos como políticas de toda la organización

Actividades de ciberseguridad basadas en objetivos de riesgo

Procesos aprobados y se expresan como políticas

Actividades de ciberseguridad se actualizan regularmente con base en cambios en el perfil de riesgo

Mejor continua que incluye lecciones aprendidas e indicadores predictivos.

La organización continuamente se adapta a un panorama cambiante de amenazas y tecnologías y responde de manera eficaz

Parcial	Informado	Repetible	Adaptativo
Conciencia limitada sobre riesgos La organización implementa la gestión del riesgo de seguridad cibernética de forma irregular, caso por caso	Existe conciencia del riesgo de seguridad cibernética a nivel organizacional Se lleva a cabo evaluación de riesgos pero NO es recurrente	Se han definido e implementado políticas y procedimientos Hay un enfoque consistente para monitorear y gestionar el riesgo Se cuenta con personal competente La alta dirección comunica regularmente sobre ciberriesgos	La gestión de riesgos de ciberseguridad es parte de la cultura organizacional. Existe alineación entre riesgos de seguridad y los objetivos del negocio, El riesgo es monitoreado como cualquier otro tipo de riesgos (p. ej. Riesgo Operativo) El presupuesto de la organización se basa en la comprensión del entorno al riesgo actual y previsto, y su tolerancia al riesgo

Parcial	Informado	Repetible	Adaptativo
La organización NO colabora, ni recibe/comparte información con otras entidades Se desconocen los riesgos de la CS	La organización colabora y recibe alguna información de otras entidades, pero no comparte.. Es consciente de los riesgos de la CS, pero no actúa de forma consistente sobre dichos riesgos.	La organización recibe y comparte información con otras entidades. Es consciente de los riesgos de la CS y actúa de forma consistente sobre dichos riesgos.	Utiliza información en tiempo real o casi en tiempo real para comprender y actuar de forma coherente sobre los riesgos de CS. Comunica de manera proactiva, utilizando mecanismos formales e informales para desarrollar y mantener relaciones sólidas de la CS.

Por último, el Perfil representa los resultados que se basan en las necesidades empresariales que una organización ha seleccionado de las categorías y subcategorías del Marco. El Perfil se puede caracterizar como la alineación de estándares, directrices y prácticas con el Núcleo del Marco en un escenario de implementación particular.

De forma más coloquial se puede decir que el Pefil es una “foto” en el tiempo que muestra el estado actual (o el nivel de estado deseado) de ciberseguridad en una organización o unidad de negocio. La diferencia entre el perfil del estado actual y el perfil de estado deseado permitirá construir una hoja de ruta priorizada para la implementación.

7 pasos para seguir la hoja de ruta del marco NIST

Priorización y Alcance. La organización identifica sus objetivos empresariales o de misión y las prioridades organizacionales de alto nivel. Con esta información, la organización toma decisiones estratégicas con respecto a las implementaciones de seguridad cibernética y determina el alcance de los sistemas y activos que respaldan la línea o proceso comercial seleccionado.
Orientación. La organización identifica los sistemas y activos relacionados, los requisitos reglamentarios y el enfoque de riesgo general. La organización luego consulta las fuentes para identificar las amenazas y vulnerabilidades aplicables a esos sistemas y activos.
Perfil Actual. La organización desarrolla un Perfil Actual en que indica qué resultados de categoría y subcategoría del Núcleo del Marco se están logrando actualmente. Si se logra parcialmente un resultado, tomar nota de este hecho ayudará a respaldar los pasos posteriores al proporcionar información de referencia.
Evaluación de riesgos. Esta evaluación puede estar orientada por el proceso de gestión de riesgos general de la organización o actividades previas de evaluación de riesgos. La organización analiza el entorno operativo para discernir la probabilidad de un evento de seguridad cibernética y el impacto que el evento podría tener en la organización. Es importante que las organizaciones identifiquen los riesgos emergentes y utilicen la información de amenazas de seguridad cibernética de fuentes internas y externas para obtener una mejor comprensión del riesgo asociado con los eventos de seguridad cibernética.
Perfil Deseado. La organización crea un Perfil Objetivo que se centra en la evaluación de las Categorías y Subcategorías del Marco que describen los resultados deseados de seguridad cibernética de la organización. La organización también puede considerar las influencias y los requisitos de las partes interesadas externas, como las entidades del sector, los clientes y los socios empresariales, al crear un Perfil deseado.
Determinar, analizar y priorizar brechas. La organización compara el Perfil Actual y el Perfil Deseado para determinar las brechas. A continuación, crea un plan de acción priorizado para abordar las brechas (que reflejan los impulsores, los costos y los beneficios, y los riesgos de la misión) para lograr los resultados en el Perfil Objetivo. Luego, la organización determina los recursos necesarios para abordar las brechas, que incluyen los fondos y la fuerza laboral. El uso de Perfiles de esta manera alienta a la organización a tomar decisiones informadas sobre las actividades de seguridad cibernética, respalda la gestión de riesgos y permite a la organización realizar mejoras específicas y rentables.
Implementar plan de acción. La organización determina qué acciones tomar para abordar las brechas, si las hay, identificadas en el paso anterior y luego ajusta sus prácticas actuales de seguridad cibernética para lograr el Perfil Objetivo. Para proveer más dirección, el Marco identifica ejemplos de referencias informativas sobre las Categorías y Subcategorías, pero las organizaciones deben determinar qué normas, directrices y prácticas, incluidas aquellas que son específicas del sector, funcionan mejor para sus necesidades.

Desde GlobalSUITE Solutions a través de nuestra herramienta GlobalSuite Information Security acompañamos la puesta en marcha e implementación del framework NIST CSF para clientes interesados en su implementación.

Ciberseguridad, Seguridad

Cookie	Duración	Descripción
_GRECAPTCHA		Esta cookie es establecida por Google. Además de ciertas cookies estándar de Google, reCAPTCHA establece una cookie necesaria (_GRECAPTCHA) cuando se ejecuta con el fin de proporcionar su análisis de riesgos.
viewed_cookie_policy		La cookie es establecida por el complemento GDPR Cookie Consent para almacenar si el usuario ha consentido o no el uso de cookies. No almacena ningún dato personal.

Cookie	Duración	Descripción
_dc_gtm_UA-965325-8	1 minute	No description
afl_wc_utm_cookie_expiry	3 months	No description available.
afl_wc_utm_sess_landing	3 months	No description available.
afl_wc_utm_sess_visit	3 months	No description available.
AnalyticsSyncHistory	1 month	No description
bridge_sid_Xy0yMDM3OTQ4Nzkz	2 hours	No description
bridge_uid_Xy0yMDM3OTQ4Nzkz	1 year	No description
li_gc	2 years	No description
oribi_cookie_test	session	No description
oribi_session	2 hours	No description available.
oribi_user_guid	1 year	No description available.
prism_224354013	1 month	No description
TS01ad8345	session	No description
UserMatchHistory		Linkedin - Se utiliza para rastrear a los visitantes en múltiples sitios web, con el fin de presentar publicidad relevante basada en las preferencias del visitante.

Cookie	Duración	Descripción
_ga		La cookie _ga, instalada por Google Analytics, calcula los datos de visitantes, sesiones y campañas y también realiza un seguimiento del uso del sitio para el informe analítico del sitio. La cookie almacena información de forma anónima y asigna un número generado aleatoriamente para reconocer a los visitantes únicos.
_ga_XWPV7VHQKR		Esta cookie es instalada por Google Analytics.
_gcl_au		Proporcionado por Google Tag Manager para experimentar la eficiencia publicitaria de los sitios web que utilizan sus servicios.
_gid		Instalada por Google Analytics, _gid cookie almacena información sobre cómo los visitantes utilizan un sitio web, al tiempo que crea un informe analítico del rendimiento del sitio web. Algunos de los datos que se recopilan incluyen el número de visitantes, su fuente y las páginas que visitan de forma anónima.
_hjAbsoluteSessionInProgress	30 minutes	No description available.
_hjFirstSeen		Esto es establecido por Hotjar para identificar la primera sesión de un nuevo usuario. Almacena un valor verdadero/falso, indicando si esta fue la primera vez que Hotjar vio a este usuario. Es utilizado por los filtros de grabación para identificar nuevas sesiones de usuario.
_hjid		Esta es una cookie de Hotjar que se establece cuando el cliente aterriza por primera vez en una página utilizando el script de Hotjar.
_hjIncludedInPageviewSample	2 minutes	No description available.
_hjTLDTest		No hay descripción disponible.
CONSENTIMIENTO		Estas cookies se establecen a través de videos incrustados de youtube. Registran datos estadísticos anónimos sobre, por ejemplo, cuántas veces se muestra el video y qué configuraciones se utilizan para la reproducción. No se recopilan datos confidenciales a menos que inicie sesión en su cuenta de Google, en ese caso sus opciones están vinculadas con su cuenta, por ejemplo, si hace clic en "me gusta" en un video.

Cookie	Duración	Descripción
bcookie		LinkedIn establece esta cookie desde los botones de compartir de LinkedIn y las etiquetas de anuncios para reconocer el ID del navegador.
Lang		Esta cookie se utiliza para almacenar las preferencias de idioma de un usuario para servir contenido en ese idioma almacenado la próxima vez que el usuario visite el sitio web.
lidc		LinkedIn establece la cookie lidc para facilitar la selección del centro de datos.

¿Qué es NIST Cibersecurity Framework?

7 pasos para seguir la hoja de ruta del marco NIST

Security

Risk management

Business continuity

Compliance management

Privacy Data Protection

Audit Management

More Articles

Cómo implementar un marco de riesgos de TI

NERC-CIP Cumplimiento de la normativa

Las siete filtraciones de datos de 2020

Search

Últimos posts