Marco de ciberseguridad del NIST: Una brújula para navegar en el océano de los ciber riesgos
Tabla de contenidos
A lo largo de nuestras vidas, tenemos la suerte de contar con diferentes mentores, que nos guían por los inescrutables caminos del destino. Padres, abuelos, profesores, jefes, amigos… Todos ellos nos proveen de sabiduría y conocimientos, y nos ayudan a construir nuestra forma de ver el mundo. En el terreno de la ciberseguridad, proyectos como el marco de ciberseguridad del NIST sirven, también, como brújulas para orientar a las organizaciones en el complejo y cambiable océano de los ciber riesgos.
Con esta herramienta, el Instituto Nacional de Estándares y Tecnología de los Estados Unidos (NIST), provee a compañías e instituciones de una base sobre la que comenzar a trabajar en materia de ciberseguridad.
En esencia, el marco de ciberseguridad del NIST es un conjunto de buenas prácticas al que las organizaciones pueden recurrir, para verificar el nivel de riesgo al que están expuestos sus sistemas, en todas las fases de su ciclo de vida. Y, así, implementar programas de seguridad que lo reduzcan al mínimo.
Este framework está compuesto por tres elementos básicos:
- El núcleo del marco de ciberseguridad. Conformado, a su vez, por cinco funciones, 23 categorías y 108 subcategorías.
- Niveles de implementación.
- Perfiles.
Pero el marco de ciberseguridad del NIST no solo se limita a desarrollar estos componentes, sino que aborda cómo pueden las compañías e instituciones emplear el framework para evaluar los riesgos. Así como los pasos que se deben seguir para elaborar un programa de seguridad y la manera en la que se puede usar la herramienta para sacarle el máximo partido.
A continuación, vamos a explorar los aspectos fundamentales del marco de ciberseguridad del NIST y su capacidad para mejorar la posición de las organizaciones en lo que respecta a su seguridad.
1. Un lenguaje común
El NIST se ha convertido en un referente metodológico, en el ámbito de los servicios de ciberseguridad, gracias a su ingente producción de guías, frameworks y materiales. Ese conglomerado de saber es consultado por analistas y organizaciones de todo el mundo. Lo que ha generado su estandarización. Así, las herramientas del NIST, extremadamente generalistas y amplias, son útiles para cualquier tipo de organización, software y hardware. Si bien, es imprescindible combinarlas con otras herramientas y personalizarlas.
En este sentido, el marco de ciberseguridad del NIST sirve como base para ofrecer a todos los actores implicados en la gestión de los riegos un lenguaje común en el que comunicarse.
Gracias a este framework, es posible comprender y gestionar los riesgos de seguridad con facilidad. Consiguiendo que puedan entender y procesar toda la información tanto los expertos como otros profesionales que están inmersos en la seguridad de los sistemas, ya sean internos o externos a la organización.
De ahí que el marco de ciberseguridad del NIST apueste por la sistematización, la practicidad y la adaptabilidad. De cara a ser manejable por cualquier tipo de organización, desde compañías hasta instituciones, pasando por asociaciones. Por cualquier clase de profesionales. Y con objetivos plenamente personalizables.
2. El núcleo del marco de ciberseguridad del NIST
Como su propio nombre aventura, el núcleo es el corazón de este framework. Y proporciona una serie de acciones que se pueden llevar a cabo para mejorar la gestión de los riesgos de seguridad. Dicho de otra forma, el núcleo del marco de ciberseguridad del NIST no es una to-do list que sirve para verificar todas las acciones que hay que llevar a cabo. Sino que se centra en resultados específicos que se pueden lograr para mejorar la protección de los sistemas.
2.1. Elementos del núcleo
El núcleo está conformado, a su vez, por cuatro elementos interrelacionados: las funciones, las categorías, las subcategorías y las referencias informativas. Las funciones ocupan el nivel más alto y las subcategorías el más bajo. De tal forma que las cinco funciones cuentan en su haber con varias categorías y cada una de éstas con subcategorías que precisan con exactitud el resultado que se busca.
Por ejemplo, el resultado «El plan de respuesta se ejecuta durante o después de un incidente» es la subcategoría RS.RP-1, que forma parte de la categoría «Planificación de la respuesta» (RS.RP), incluida, a su vez, en la función general «Responder» (RS). Las referencias informativas que pueden ayudar a las organizaciones a lograr este resultado, se especifican a su lado. Así:
- Las funciones son la clave de bóveda del marco de ciberseguridad del NIST. Sistematizan y sintetizan las actividades de seguridad que propone el framework.
- Las categorías, por su parte, dividen las funciones en grupos de resultados de seguridad. Como Procesos y procedimientos de protección de la información o Tecnologías de protección.
- Las subcategorías, como anunciamos antes, son los resultados específicos que se busca conseguir mediante las actividades de seguridad. No abarcan toda la inmensidad de un área tan compleja. Pero ofrecen un largo listado de resultados clave.
- Las referencias informativas son normas, guías y buenas prácticas, estandarizadas y empleadas mundialmente, para lograr la consecución de los resultados. El marco de ciberseguridad del NIST propone una guía del propio Instituto. Pero también referencia documentos de otros proyectos y entidades como las guías CIS o el framework COBIT.
2.2. Funciones concurrentes y continuas
Las funciones básicas del marco de ciberseguridad del NIST no conforman una serie lineal, que parte de la primera fase (Identificar) y termina en la quinta (Recuperar). Sino que se deben realizar de manera concurrente y continua. Si la organización logra interiorizar estas funciones en todos sus departamentos y áreas, podrá desarrollar una cultura empresarial que facilite la gestión integral de los riesgos.
2.2.1. Identificar
Esta función consiste en desarrollar una comprensión organizacional para la gestión de los riesgos de seguridad. Lo cual incluye:
- Identificar los procesos y activos críticos empresariales. Es decir, aquellos imprescindibles para garantizar la continuidad de negocio.
- Comprender los flujos de información de documentos y saber en dónde están ubicados los datos, en especial los más sensibles.
- Inventariar el hardware y software de la organización.
- Diseñar políticas de seguridad, en las que se estipule cómo se van a proteger los activos y procesos críticos y qué responsabilidades asume cada profesional o equipo.
- Detectar amenazas y vulnerabilidades. Es fundamental que se cuente con mecanismos para detectar todos los riesgos, así como con herramientas óptimas para responder frente a ellos.
2.2.2. Proteger
Mediante esta función se desarrolla e implementan las protecciones necesarias para garantizar la entrega de los servicios críticos. Esta función es fundamental en un escenario en el que se produce un ataque o una vulneración de los activos de la empresa. Y con ella se busca:
- Gestionar el acceso a los activos y la información. Implementando acciones como la autenticación de usuarios.
- Salvaguardar los datos sensibles. Es fundamental cifrarlos y verificar su integridad para asegurarse de que no se han hecho cambios maliciosos.
- Hacer backups de manera recurrente.
- Securizar los dispositivos. Instalar cortafuegos, controlar los cambios en las configuraciones…
- Identificar y remediar vulnerabilidades de los dispositivos.
- Formar y concienciar a los usuarios en materia de ciberseguridad.
2.2.3. Detectar
La función de detección pretende poner en marcha las acciones adecuadas para identificar los ataques cuando sucedan. Para ello se debe:
- Testear y actualizar los mecanismos de detección.
- Conocer con precisión los flujos de datos de la empresa. De tal forma que la organización sea capaz de identificar los acontecimientos inesperados.
- Monitorizar los archivos de registro.
- Ser capaces de comprender la amplitud e impacto del evento.
2.2.4. Responder
No basta con detectar y analizar los ataques, sino que es fundamental, también, poder responder ante ellos y contener, así, su impacto. En este sentido, esta función hace hincapié en:
- Probar los planes de respuesta.
- Actualizar permanentemente los planes de respuesta, incorporando los conocimientos aprendidos.
- Coordinarse con todos los actores involucrados, no solo con los que formen parte de la empresa, sino también con los externos, como los proveedores.
2.2.5. Recuperar
Esta función se centra en la necesidad de desarrollar y poner en marcha planes de resiliencia y de restablecimiento de los servicios que se puedan ver afectados por un evento de ciberseguridad. Para ello es fundamental:
- Establecer mecanismos de comunicación eficaces.
- Actualizar los planes de recuperación recurrentemente.
- Gestionar las relaciones públicas y proteger la reputación de la empresa.
3. Perfiles
El perfil del marco de ciberseguridad del NIST es el resultado de aunar las funciones, categorías y subcategorías del núcleo con los intereses, objetivos y necesidades de la organización. Para ello, una compañía puede trazar su perfil actual, es decir, qué resultados de ciberseguridad está logrando ya. Y, también, diseñar su perfil objetivo. O, dicho de otra forma, los resultados que aspira conseguir, en función de sus características y recursos.
La comparación entre un perfil y otro, mostrará las brechas existentes y que deben subsanarse de cara a alcanzar los resultados deseados en la gestión de riesgos. Asimismo, esta comparativa permitirá a la compañía priorizar sus recursos para obtener los resultados que vayan en consonancia con su estrategia empresarial. No solo en materia de ciberseguridad, sino en términos globales.
De esta forma, los perfiles se convierten en una funcionalidad excepcional para personalizar el framework, priorizando los resultados que sean de interés para la organización. De ahí que apuntáramos, al inicio del artículo, que el marco de ciberseguridad del NIST no es una check-list, sino un documento sistematizado que ofrece una base para evaluar y optimizar la gestión de los riesgos.
4. Niveles de implementación
Los niveles vienen a complementar al núcleo y los perfiles. Mediante estos, la organización puede evaluar cualitativamente sus prácticas de seguridad. Existen cuatro niveles:
- Parcial
- Riesgo informado
- Repetible
- Adaptable
Cada nivel visibiliza un mayor nivel de sofisticación de los procesos que lleva a cabo la organización. Estos cuatro niveles se aplican a tres elementos clave:
- Proceso de gestión de riesgos.
- Programa integrado de gestión de riesgos.
- Participación externa.
Así, si una organización tiene un nivel 1 en lo que respecta al Proceso de gestión de riesgos, quiere decir que las prácticas no están sistematizadas y se gestionan las vulnerabilidades de manera reactiva. En cambio, si en lo que respecta al Programa integrado de gestión de riesgos se encuentra en el nivel 2, estaríamos ante una compañía que es consciente de los riesgos a nivel organizacional, pero que no ha puesto en marcha políticas para gestionarlos en toda la organización y la comunicación es meramente informal. Mientras que, si en lo que respecta a la Participación externa, el nivel vuelve a ser 1, significaría que la organización no colabora ni recibe información de ninguna otra entidad y desconoce los riesgos asociados a la cadena de suministros.
A la luz de lo que venimos de exponer, ¿todas las organizaciones deberían aspirar a un nivel 4? La respuesta es que no. Si bien el nivel 1 debe evitarse, porque implica un nivel de exposición a los ataques muy alto, el paso de un nivel inferior a uno superior debe responder a la estrategia empresarial, las características de la compañía, el contexto y los recursos disponibles. Es decir, los niveles están pensados para respaldar la toma de decisiones e influir en la elaboración del perfil objetivo.
5. Evaluación del riesgo de seguridad
El marco de ciberseguridad del NIST tiene como misión ayudar a las empresas a optimizar la gestión de los riesgos y mejorar, así, la seguridad de sus sistemas y activos. Los resultados, los perfiles y los niveles de implementación, permiten a las compañías evaluar sus acciones y políticas de seguridad actuales, confrontarlas con sus recursos y objetivos y planear perfiles objetivo y niveles de implementación.
Por ello, el framework se ha convertido en una excelente herramienta para que cualquier organización evalúe su gestión de los riesgos. Así como la eficacia de la inversión que se ha realizado para obtener los resultados que se persiguen. El NIST sostiene que, mediante esta herramienta, una compañía puede:
- Tomar decisiones sobre los niveles de implementación de los diferentes elementos. Tras determinar los niveles actuales.
- Dar prioridad a los resultados de seguridad que se alineen con los objetivos y necesidades de la compañía, elaborando perfiles objetivo.
- Comparar los perfiles actuales con los objetivos. Y, así, observar y analizar si las medidas puestas en marcha están sirviendo para obtener los resultados deseados.
- Medir si se están implementando las guías técnicas referenciadas para cada resultado de seguridad en el framework.
6. Optimización o creación de un programa de seguridad
El documento en el que se desarrolla el marco de ciberseguridad del NIST cuenta con una sección (la tercera) dedicada a poner ejemplos de cómo se puede emplear la herramienta para mejorar la seguridad de las organizaciones.
Algunas cuestiones ya las hemos abordado previamente, como la evaluación de los progresos al comparar el perfil actual con el objetivo. Otras están orientadas a la mejora de la comunicación con proveedores de servicios o a dotar a las empresas de todo el conocimiento que necesitan a la hora de efectuar la compra de productos o servicios.
6.1. De la priorización a la implementación
De entre todos estos ejemplos, cabe destacar la creación o mejora del programa de seguridad de la organización, en siete pasos:
- Priorización y alcance. Se establecen los objetivos empresariales y se establecen los niveles de implementación. El framework permite a las compañías optar por niveles de implementación objetivo diferentes para cada línea de negocio, en función de sus necesidades y características.
- Orientación. Se identifican los sistemas y activos relacionados y se consultan las fuentes para detectar vulnerabilidades y riesgos.
- Creación de un perfil actual. De tal forma que se sepa el estado actual de la gestión de riesgos.
- Realización de una evaluación de riesgos. El objetivo es determinar la probabilidad de que un evento suceda, así como su posible impacto en la organización.
- Diseño de un perfil objetivo. En función de los objetivos establecidos y los riesgos descubiertos, se emplea el framework para diseñar un perfil objetivo con los resultados esperados y relacionado con el nivel de implementación escogido.
- Detección y priorización de las brechas. Al comparar los dos perfiles es posible determinar las brechas existentes. Y, acto seguido, crear un plan de actuación y distribuir los recursos para ejecutarlo.
- Implementación del plan de acción. Se redirigen las prácticas de seguridad para alcanzar los resultados esperados. Para ello, se puede recurrir a las guías técnicas facilitadas por el NIST para cada resultado.
En definitiva, el marco de seguridad del NIST es una herramienta al servicio de las organizaciones de todo el mundo para evaluar sus procesos y prácticas. Así como para determinar cómo mejorarlos. Además, su manejo contribuye a que las empresas tomen decisiones plenamente informadas sobre sus proveedores, la compra de productos y servicios y el establecimiento y optimización de sus programas de seguridad.
Este artículo forma parte de una serie de articulos sobre NIST
- Metodología NIST: Sustento para los analistas de ciberseguridad
- Marco de ciberseguridad del NIST: Una brújula para navegar en el océano de los ciber riesgos
- Marco de ciberseguridad del NIST como estrategia de prevención de ataques de ransomware
- Las 4 claves del Marco de Ciberseguridad del NIST v2