Las 4 claves del Marco de Ciberseguridad del NIST v2
Tabla de contenidos
El Marco de Ciberseguridad del NIST v2 pone el foco en la importancia de la gobernanza y la cadena de suministro a la hora de reducir los riesgos de seguridad
A la velocidad de vértigo con la que se mueve el mundo hoy en día, en menos de una década pueden hacerse producido transformaciones de enorme calado. Sobre todo, en un ámbito tan dinámico como el de la ciberseguridad. Por eso, el National Institute of Standards and Technology (NIST), una agencia gubernamental de Estados Unidos, acaba de hacer público el borrador de la versión 2 de su Marco de Ciberseguridad, que vio la luz en el año 2014.
Durante los últimos nueve años, esta herramienta ha sido empleada por miles de compañías y expertos en ciberseguridad en todo el planeta para acometer con éxito la gestión de riesgos.
El Marco de Ciberseguridad del NIST v2 tiene como misión adaptar esta herramienta de trabajo a los enormes cambios que se han producido en el panorama de amenazas durante los últimos años y ayudar, así, a las organizaciones de todo el mundo y de toda clase de sectores a mejorar sus capacidades defensivas, prevenir incidentes de seguridad y, en caso de que se produzcan, gestionarlos con éxito.
En este artículo, vamos a desgranar las cuatro claves del Marco de Ciberseguridad del NIST v2, destacando las principales novedades incorporadas, sus características básicas y los diferentes usos que les pueden dar las compañías a la hora de gestionar los riesgos, mediante la puesta en marcha de servicios de ciberseguridad avanzados.
Actualmente, el borrador del framework se encuentra en la fase de exposición pública, de cara a que la comunidad de ciberseguridad pueda proponer algún cambio antes de la publicación de su versión final.
1. Principales novedades del Marco de Ciberseguridad del NIST v2
El principal aliciente para diseñar el Marco de Ciberseguridad del NIST v2 fue la constatación, por parte del instituto, de que la versión 1 de la herramienta estaba siendo usada no solo por las organizaciones para la que fue concebida, es decir, compañías de sectores críticos como la banca o la energía; sino que miles de empresas de una amplia variedad de sectores económicos recurrían al marco para acometer la gestión de los riesgos de ciberseguridad.
Este hecho, junto con todas las transformaciones tecnológicas y el incremento de las vulnerabilidades, las ciberamenazas y los ataques, han llevado al NIST a realizar una revisión integral del framework para incrementar su usabilidad y adaptabilidad y contribuir a que la herramienta siga siendo una aliada clave para expertos en ciberseguridad, empresas e instituciones públicas.
1.1. Una herramienta multisectorial y global
Como consecuencia de lo que venimos de señalar, la primera novedad a destacar del Marco de Ciberseguridad del NIST v2 es que ha ampliado su enfoque:
- Ya no hace énfasis solo en los riesgos de seguridad de las infraestructuras críticas, sino que se tienen en cuenta a todo tipo de organizaciones, de cara a cubrir todos los sectores económicos. Lo cual es consecuente con el hecho de que los actores hostiles no solo atacan a compañías y administraciones de ámbitos especialmente críticos o sensibles, sino que toda clase de organización puede ser atacada.
- Aunque el NIST es una organización gubernamental de Estados Unidos, es consciente de su posición como referente metodológico global. Por ello, en el Marco de Ciberseguridad del NIST v2 no solo se incide en la necesidad de securizar las infraestructuras críticas estadounidenses. La herramienta está pensada, ahora, para ser de gran utilidad para empresas y administraciones de cualquier parte del planeta.
1.2. Poner en relación el Marco de Ciberseguridad con otros recursos
En el transcurso de la última década, el NIST ha desarrollado y publicado múltiples recursos para ayudar a los expertos en ciberseguridad y las organizaciones a afrontar los grandes desafíos que han ido surgiendo en materia de ciberseguridad.
Por eso, a la hora de preparar la nueva versión del Marco de Ciberseguridad se ha procedido a una actualización de la herramienta a la luz del conocimiento generado en recursos como:
- El Marco de Privacidad.
- El Marco de Desarrollo Seguro de Software.
- La guía para gestionar los riesgos de la cadena de suministro.
- El Marco de gestión de los riesgos de la Inteligencia Artificial.
- Etc.
Toda esta documentación fue el fruto de múltiples investigaciones para proporcionar herramientas con las que gestionar cuestiones capitales para la ciberseguridad como los ataques de cadena de suministro, la seguridad desde el diseño o los desafíos que trae consigo el auge de los sistemas de Inteligencia Artificial.
El Marco de Ciberseguridad del NIST v2 se enriquece de todo este conocimiento para ofrecer a las compañías una aproximación integral a la gestión de riesgos.
1.3. Facilitar la implementación del framework
La razón de ser del Marco de Seguridad del NIST v2 es resultar útil para las compañías a la hora de poner coto a las amenazas y los riesgos. Por ello, se han introducido mejoras que persiguen facilitar la implementación del framework en el seno de las organizaciones:
- Se proporcionan ejemplos de implementación para conseguir los resultados de seguridad.
- Se ha profundizado en las orientaciones que figuran en la guía para ayudar a las empresas a elaborar sus perfiles y mejorar su implementación.
- Han sido incorporadas plantillas que ayudan a las empresas a crear sus perfiles y sus planes de acción, de cara a lograr los resultados de seguridad buscados.
1.4. Gobernanza de la ciberseguridad y gestión de la cadena de suministro
Una de las novedades más relevantes del Marco de Ciberseguridad del NIST v2 es la inclusión de una nueva función en su núcleo: gobernar, que cubre aspectos como:
- El contexto de la compañía.
- La gestión de riesgos de la cadena de suministro, que dispone de su propia categoría.
- Roles, responsabilidades y autoridades dentro de la organización.
- Políticas, procesos y procedimientos de seguridad.
- Supervisión de los programas de seguridad.
A mayores, se explica cómo integrar el Marco de Ciberseguridad del NIST v2 con el Marco de Privacidad y con la guía de gestión del riesgo empresarial y se ha procedido a incorporar las mejores prácticas en materia de desarrollo seguro de software.
Asimismo, se ha dotado de mayor protagonismo a las personas, procesos y tecnologías que intervienen en la aplicación del marco.
1.5. Clarificación de los niveles y los perfiles
Finalmente, también se han incorporado una serie de cambios que contribuyen a:
- Aclarar y sistematizar los niveles del Marco de Ciberseguridad del NIST v2, centrándolos en tres aspectos clave: gobernanza, gestión de riesgos y cuestiones relacionadas con terceros como los proveedores IT.
- Destacar la importancia de la mejora continua a través de la creación de una nueva categoría en la función de identificación.
- Facilitar el desarrollo y actualización de los perfiles y los planes de acción de las compañías.
2. Optimizar la gestión de los riesgos de ciberseguridad
Todas las novedades que venimos de resumir, están pensadas para garantizar no solo que el Marco de Ciberseguridad del NIST v2 se adapte a las características y necesidades de cualquier organización, sino también para poder acoger usos aún no previstos y para proseguir las tareas puestas en marcha por la versión original de la herramienta:
- Consolidar un lenguaje común en todo el mundo a la hora de hablar de ciberseguridad.
- Poner a disposición de las organizaciones una metodología sistematizada para gestionar los riesgos de seguridad.
- Facilitar la comunicación entre profesionales y equipos técnicos y no técnicos (por ejemplo, departamentos legales o gabinetes de comunicación).
- Proponer actuaciones que se pueden incorporar a las estrategias de ciberseguridad y adaptarse a las necesidades y objetivos de cada organización.
El marco parte de la idea de que cada organización tiene sus propias características, necesidades, objetivos o recursos. De tal manera que cada compañía tiene que hacer frente a amenazas, vulnerabilidades y riesgos diferentes. Además, las peculiaridades y los requisitos normativos de cada sector también son distintos. Por ello, el Marco de Ciberseguridad del NIST v2 está pensado como una herramienta abierta y voluble, que propone una serie de resultados de seguridad, ordenados en funciones y categorías, como veremos en el siguiente apartado, para ayudar a cualquier compañía a:
- Entender y evaluar. Comprender la postura de ciberseguridad de una organización, detectar brechas de seguridad y evaluar los progresos para eliminarlas. Además de alinear las cuestiones políticas, empresariales y tecnológicas para gestionar los riesgos de forma integral.
- Priorizar oportunidades y acciones para reducir los riesgos, teniendo en cuenta los objetivos empresariales y los requisitos legales.
- Comunicarse interna y externamente sobre los riesgos, capacidades, necesidades y expectativas.
3. Las 6 funciones esenciales del Marco de Ciberseguridad del NIST v2
Como apuntamos a la hora de desgranar las principales novedades del Marco de Ciberseguridad del NIST v2, esta herramienta cuenta con un núcleo que se estructura en torno a seis grandes funciones de ciberseguridad que se desarrollan de forma continua y concurrente.
A su vez, estas funciones se dividen en categorías y resultados de seguridad, denominados sub-categorías, para facilitar su implementación y contribuir a que las empresas aborden los riesgos de seguridad de forma integral. Finalmente, el framework incluye referencias metodológicas y buenas prácticas para ayudar a las empresas a lograr los resultados.
El Marco de Ciberseguridad del NIST v2 no solo incorpora la función de gobernanza, sino que lleva a cabo una reorganización de las categorías y subcategorías de todas las funciones, con el objetivo de que resulten más claras, estén mejor sistematizadas y puedan ser implementadas y evaluadas con facilidad.
3.1. Gobernar
Esta función ocupa una posición central dentro del Marco de Ciberseguridad del NIST v2, ya que gira en torno a la puesta en marcha y monitorización continua de la estrategia de gestión de riesgos de ciberseguridad, las expectativas y las políticas de seguridad. Los resultados vinculados a esta función sirven para determinar cómo se priorizan y logran los resultados de las otras cinco funciones.
El Marco de Ciberseguridad del NIST v2 propone hasta 31 resultados que se pueden alcanzar en materia de gobernanza, estructurados en torno a seis grandes categorías:
- Contexto organizacional.
- Estrategia de gestión de los riesgos.
- Gestión de los riesgos de la cadena de suministro.
- Roles, responsabilidades y autoridades.
- Políticas, procesos y procedimientos.
- Supervisión de los resultados de las actividades de gestión de los riesgos, de cara a mejorar y ajustar la estrategia.
3.2. Identificar
Está función está centrada en determinar cuáles son los actuales riesgos de ciberseguridad de una organización. Para ello, es imprescindible comprender todos los activos críticos de la compañía (datos, software, sistemas…), ponerlos en relación con los riesgos y gestionar los recursos de forma eficaz para priorizar tanto los activos como los riesgos.
Las tres categorías que conforman la función de identificar agrupan 20 resultados y son:
- Gestión de los activos
- Evaluación de riesgos
- Mejora
3.3. Proteger
Para proteger los activos críticos es fundamental poner en marcha mecanismos y controles de seguridad que optimicen las capacidades defensivas y reduzcan la probabilidad de sufrir un incidente de seguridad. Entre los resultados incluidos en esta función se encuentran la gestión de las identidades, la autenticación y el control de acceso o la resiliencia de la infraestructura IT ante un ciberataque.
Dentro de la función de proteger podemos encontrarnos con hasta cinco categorías, que agrupan a 23 resultados:
- Gestión de las identidades, la autenticación y el control de acceso
- Concienciación y formación de los profesionales
- Seguridad de los datos
- Seguridad de las plataformas
- Resiliencia de la infraestructura tecnológica
3.4. Detectar
Una función esencial de toda estrategia de seguridad es la detección de ataques. Para ello es fundamental contar con mecanismos para descubrir y analizar comportamientos anómalos, indicadores de compromiso y otros eventos que sirvan para identificar que se está sufriendo un incidente de seguridad.
Los 11 resultados de la función detectar se estructuran en torno a dos categorías:
- Monitorización continua
- Análisis de eventos adversos
3.5. Responder
Además de detectar ataques e incidentes de seguridad es imprescindible disponer de las herramientas para responder frente a ellos y lograr contener su impacto en la compañía. En esta función se incluyen resultados como la mitigación de incidentes y la realización de informes sobre los mismos.
La función de responder se articula en torno a 13 resultados divididos en cuatro categorías:
- Gestión de incidentes
- Análisis de incidentes
- Informes y comunicación de la respuesta a los incidentes
- Mitigación de los incidentes
3.6. Recuperar
La última función del Marco de Ciberseguridad del NIST v2 es la recuperación de la normalidad tras un incidente de seguridad. Restablecer los activos y las operaciones que se hayan visto afectados y posibilitar una comunicación fluida durante las labores de recuperación son dos aspectos clave de esta función.
En esta función se contemplan ocho resultados distribuidos en dos categorías:
- Ejecución del plan de recuperación de incidentes
- Comunicación de la recuperación de incidentes
4. Cómo usar el Marco de Ciberseguridad del NIST v2
Hasta el momento hemos incidido en el hecho de que el Marco de Ciberseguridad del NIST v2 ha sido concebido como una herramienta abierta que puede adaptarse a las necesidades y objetivos de cualquier organización a la hora de gestionar los riesgos de seguridad. Asimismo, también hemos apuntado algunos conceptos que son cruciales a la hora de pasar de la teoría a la práctica y usar la herramienta, como los perfiles o los niveles.
La guía del Marco de Ciberseguridad del NIST v2 profundiza en algunos usos de la herramienta que permiten abordar cuestiones de vital importancia como la fijación y consecución de los objetivos empresariales en materia de ciberseguridad o la gestión de la cadena de suministro.
4.1. Creación de perfiles
Para facilitar la aplicación del núcleo del Marco de Ciberseguridad del NIST v2 y alcanzar los resultados de seguridad, las empresas pueden confeccionar dos tipos de perfiles:
- El perfil actual de la compañía. Es decir, el conjunto de resultados que la organización ya está consiguiendo con su actual estrategia de seguridad.
- El perfil objetivo. Es decir, los resultados de seguridad que se desean alcanzar, teniendo en cuenta los objetivos empresariales, los recursos disponibles y los riesgos específicos a los que se enfrenta la organización. Mediante el perfil objetivo las empresas pueden anticiparse a los cambios normativos, por ejemplo, la futura aprobación del reglamento de la IA en la Unión Europea, así como a la implementación de una nueva tecnología o a las principales tendencias detectadas por los profesionales de Threat Intelligence.
4.1.1. Paso a paso
El Marco de Ciberseguridad del NIST v2 desgrana el proceso de crear y usar los perfiles a través de cinco grandes pasos:
- Definir el caso de uso de los perfiles: por qué se crean los perfiles; cómo se organiza la compañía; cuáles son los activos a tener en cuenta a la hora de elaborar los perfiles; quiénes deberán desarrollar, revisar y trabajar con los perfiles; qué personas establecerán las expectativas y objetivos de seguridad.
- Recopilar toda la información necesaria para elaborar los perfiles: políticas de la compañía, prioridades en la gestión de riesgos, recursos, requisitos legales, estándares…
- Crear los perfiles actuales y los objetivos, incluyendo la información necesaria para cada uno de los resultados seleccionados. En esta fase es importante considerar los riesgos del estado actual de seguridad para priorizar las medidas a implementar de cara a alcanzar el perfil objetivo.
- Analizar las diferencias entre los perfiles y crear un plan de acción. Este paso sirve para tomar decisiones eficaces que sirvan para mejorar la gestión de los riesgos teniendo en cuenta la relación coste/beneficio.
- Implementación del plan de acción y actualización de los perfiles. El plan de acción ha de permitir a la organización acometer con éxito las brechas de seguridad y caminar hacia los resultados recogidos en el perfil objetivo. Mejorar el programa de seguridad de una compañía es un trabajo continuo y de largo recorrido, de ahí que sea necesario actualizar el perfil actual para observar si se están logrando obtener los resultados esperados. Asimismo, el perfil objetivo también ha de actualizarse para adaptar los objetivos de seguridad a un panorama de amenazas cambiante y cada vez más complejo. El plan de acción ha de modificarse en función de los cambios introducidos en los perfiles.
4.2. Selección de niveles
Además del núcleo (y sus elementos) y de los perfiles hay otro concepto clave a la hora de usar el Marco de Ciberseguridad del NIST v2: los niveles.
Como ya hemos apuntado a lo largo del artículo, cada compañía es un mundo y sus riesgos de seguridad, recursos y deberes legales son diferentes. Los niveles permiten a las organizaciones evaluar cualitativamente sus prácticas de seguridad, teniendo en cuenta que no todas las compañías deben aspirar a alcanzar el nivel más alto, porque o carecen de recursos o el coste/beneficio no es operativo. Los niveles son:
- Parcial
- Riesgo informado
- Repetible
- Adaptable
Además, los niveles ayudan a las compañías establecer una hoja de ruta para abordar tres grandes áreas de su estrategia de ciberseguridad:
- Gobernanza del riesgo
- Gestión del riesgo
- Riesgos de terceros
Así, los niveles evidencian los resultados de una organización y sirven, también, para comprender el esfuerzo que ha de llevarse a cabo para subir de nivel en las áreas que venimos de describir.
Además, son de utilidad a la hora de crear y actualizar los perfiles ya que, si se desea alcanzar un determinado nivel, por ejemplo, en la gobernanza del riesgo, el perfil objetivo ha de incluir los resultados necesarios para alcanzar ese nivel.
En este sentido, los niveles son útiles para acometer la toma de decisiones en materia de ciberseguridad teniendo en cuenta los objetivos de negocio y los recursos disponibles.
4.3. Mejora de la comunicación a nivel interno y externo
Disponer de flujos de comunicación eficaces es clave en el éxito de las compañías y, en lo que respecta a la ciberseguridad, es de vital importancia. El Marco de Ciberseguridad del NIST v2 ha sido diseñado para contribuir a mejorar la comunicación:
- En el conjunto de la organización. Es fundamental mejorar la comunicación en torno a las expectativas, los recursos y la planificación en materia de ciberseguridad, para que ejecutivos, managers de procesos de negocio y personas encargadas de la implementación de las medidas y las operaciones puedan compartir información de manera fluida y tomar decisiones eficaces para cumplir con los objetivos empresariales, salvaguardar los activos y garantizar la continuidad de negocio.
- Con las partes interesadas externas. En un contexto como el actual, en el que los ataques de cadena de suministro son una de las principales amenazas a las que tienen que hacer frente las compañías, la comunicación con todas las partes que intervienen en la cadena es esencial. El Marco de Ciberseguridad del NIST v2 se puede usar para:
- Indicar a los proveedores los requisitos de gestión de la ciberseguridad de la compañía.
- Informar sobre el estatus de los requisitos de ciberseguridad, por ejemplo, a una entidad regulatoria.
- Entender mejor la postura de ciberseguridad de la organización, teniendo en cuenta los riesgos sistémicos a los que se enfrenta.
- Identificar las prioridades de ciberseguridad propias del sector económico en el que opera la compañía.
- Compartir información sobre las prácticas de ciberseguridad que se llevan a cabo con posibles clientes y socios comerciales, de cara a clarificar la postura de ciberseguridad de la compañía antes de llegar a un acuerdo.
- Establecer modelos de responsabilidad compartida con las compañías que proveen servicios Cloud.
4.4. Gestión de los riesgos de ciberseguridad a través de las cadenas de suministro
Finalmente, el Marco de Ciberseguridad del NIST v2 puede ser usado en la gestión de los riesgos de seguridad de las cadenas de suministro y la comunicación con terceros involucrados en ellas.
La relevancia y complejidad de las cadenas de suministro actuales tiene como consecuencia directa que la gestión de los riesgos de la cadena de suministro sea una cuestión crítica para las organizaciones que adquieren, proveen, desarrollan o integran productos y servicios tecnológicos.
Para ello, se puede usar el Marco de Ciberseguridad del NIST v2 de dos formas: solo acometiendo los riesgos de la cadena de suministro a la hora de realizar la función de gobernar, o incluyendo la gestión de estos riesgos en el resto de funciones del framework.
4.4.1. Función Gobernar
La nueva función de gobernar incluye, como ya apuntamos antes, una categoría centrada en la gestión de los riesgos de las cadenas de suministro.
Esta categoría recoge hasta 10 resultados que se pueden alcanzar para mejorar la forma en que se gestionan los riesgos relacionados con las cadenas de suministro. Por ejemplo, establecer un programa y una estrategia de gestión de esta clase de riesgos, llevar a cabo análisis de los proveedores IT y priorizarlos en función de su nivel de criticidad o incluir a proveedores y terceros relevantes en los planes de respuesta y recuperación de incidentes.
4.4.2. La importancia de la cadena de suministro en el resto de funciones
- Identificar. Es crucial identificar, validar y registrar vulnerabilidades asociadas a los proveedores de productos o servicios IT.
- Proteger. Por ejemplo, a la hora de autenticar a los usuarios, llevando a cabo un registro de logs continuo y que sea monitorizado permanentemente, o integrando prácticas de desarrollo seguro de software en el ciclo de vida del desarrollo de software de los proveedores.
- Detectar. Mediante el monitoreo continuo de la infraestructura IT, teniendo en cuenta también el hardware y software de terceros.
- Responder. Poner en marcha los planes de respuesta si un producto o servicio se ve comprometido.
- Recuperar. Ejecutar las tareas de recuperación del plan de respuesta a incidentes cuando estén implicados productos o servicios comprometidos y proceder a restaurarlos, realizando una verificación de su integridad.
En definitiva, el Marco de Ciberseguridad del NIST v2 es una herramienta abierta que se adapta a las necesidades, objetivos, especificidades y recursos de cada empresa o institución para ayudarlas a optimizar sus estrategias de seguridad y gestionar de forma eficaz los riesgos de ciberseguridad.
Tarlogic Security ofrece a las compañías un asesoramiento integral en la aplicación del Marco de Ciberseguridad del NIST v2 y un amplio catálogo de servicios de ciberseguridad avanzados para lograr los resultados esperados y fortalecer las capacidades defensivas de la compañía frente a los ciberataques.
Este artículo forma parte de una serie de articulos sobre NIST