El Instituto Nacional de Normas y Tecnología de EE.UU. (NIST) ha publicado un borrador del Marco de Ciberseguridad 2.0 para que el público lo comente antes de su publicación en 2024.
¿Qué cambia? El alcance del marco se ha ampliado para que pueda ser utilizado por todos los sectores y ya no se limita a las organizaciones de infraestructuras críticas.
El borrador 2.0 aborda las amenazas actuales prestando mayor atención a cuestiones como la seguridad de la cadena de suministro y elevando la importancia del gobierno corporativo como nueva función del marco.
Ampliación del enfoque de las infraestructuras críticas de EE.UU. a las organizaciones globales
Publicado por primera vez por el NIST en 2014, el “Marco para mejorar la ciberseguridad de las infraestructuras críticas (CSF)” se centraba en la seguridad de las infraestructuras críticas de Estados Unidos. Sin embargo, resultó útil para organizaciones de todos los tamaños, sectores y etapas empresariales.
Así pues, el Marco de Ciberseguridad 2.0 ha eliminado el enfoque en las infraestructuras críticas y ha cambiado el título por el término comúnmente conocido “Marco de Ciberseguridad (CSF)”. El cambio refleja la relevancia global del marco, que abarca a organizaciones de todo el mundo.
¿Por qué es importante el NIST 2.0 para los que lo conocen?
El Marco de Ciberseguridad del NIST es una poderosa herramienta para las empresas y organizaciones que buscan mejorar la seguridad de su información y gestionar mejor sus riesgos de ciberseguridad.
Al adoptar un enfoque uniforme de normas establecidas y prácticas recomendadas por el sector, las empresas pueden utilizar el CSF del NIST como prueba de que sus redes y sistemas están protegidos frente a las ciberamenazas.
Adherirse al NIST CSF puede facilitar el cumplimiento de otras normas y marcos de seguridad, como el PCI DSS y la Ley Sarbanes-Oxley (SOX). La aplicación de las normas de seguridad enumeradas en el NIST 800-53 alinea directamente a una organización con la Ley Federal de Modernización de la Seguridad de la Información (FISMA) y la Publicación 200 del Estándar Federal de Procesamiento de la Información (FIPS 200).
¿Qué novedades hay en la versión 2.0?
El borrador del CSF 2.0 incluye muchos cambios significativos para reforzar las defensas contra las ciberamenazas modernas y avanzadas. A continuación, se indican los cambios más notables:
Para hacer hincapié en la gobernanza de la ciberseguridad, en el borrador 2.0 se ha añadido una sexta función, Gobernar. Gobernar se une a las cinco funciones básicas existentes del NIST CSF: Identificar, Proteger, Detectar, Responder y Recuperar. Con esta nueva función, la atención se centra en las personas, los procesos y la tecnología de cada organización necesarios para tomar y ejecutar decisiones de ciberseguridad. Aunque la versión anterior del CSF especificaba lo que había que hacer, no se centraba en las personas que supervisaban esas tareas ni en las políticas y procedimientos que regían esos controles.
La función Gobernar introduce una nueva categoría para la gestión del riesgo de la cadena de suministro y el desarrollo de software seguro. Esta categoría se divide en 10 subcategorías y permite a las organizaciones identificar, establecer, gestionar y supervisar eficazmente los procesos de gestión de riesgos de la cadena de suministro.
El borrador 2.0 actualiza los recursos y las Referencias Informativas de las versiones anteriores del CSF. Esto incluye referencias al Marco de Privacidad del NIST, al Marco de la Fuerza Laboral del NICE para la Ciberseguridad (SP 800-181), al Marco de Desarrollo Seguro de Software (SP 800- 218), a las Prácticas de Gestión de Riesgos de la Cadena de Suministro de Ciberseguridad para Sistemas y Organizaciones (SP 800-161r1), a la Guía de Medición del Rendimiento para la Seguridad de la Información (SP 800-55), a la serie Integración de la Ciberseguridad y la Gestión de Riesgos Empresariales (NIST IR 8286), y al Marco de Gestión de Riesgos de la Inteligencia Artificial (AI 100-1).
El NIST ha lanzado la Herramienta de Referencia CSF 2.0, que ofrece versiones legibles por humanos y máquinas del Marco de Ciberseguridad 2.0 y permite a los usuarios ver y exportar partes de las funciones, categorías, subcategorías y ejemplos de aplicación del borrador utilizando términos de búsqueda clave. En su forma finalizada, la herramienta incluirá Referencias Informativas, que ayudarán a mostrar la relación entre el CSF y otros marcos, normas, directrices y recursos de ciberseguridad.
Para facilitar la adopción del CSF, el NIST proporciona una mayor orientación sobre la implementación del CSF mediante Ejemplos de Implementación, que ofrecen casos de uso en el mundo real y orientación práctica para cada una de las subcategorías de la función, ayudando a las organizaciones a implementar el marco de forma eficaz. Del mismo modo, la orientación sobre los Perfiles del Marco se ha ampliado considerablemente para ofrecer asesoramiento sobre cómo y con qué fin se podrían utilizar los Perfiles, ayudando a las organizaciones a adaptar el MCA a sus contextos organizativos únicos.
Calendario para la finalización del borrador del MCA 2.0
El NIST organizó el tercer y último taller sobre el CSF 2.0 los días 19 y 20 de septiembre de 2023. Aunque no tiene intención de publicar otro borrador del CSF 2.0 para comentarios, se aceptan comentarios y opiniones del público sobre el Borrador del Marco de Ciberseguridad 2.0 del NIST y los ejemplos de implementación relacionados a través de cyberframework@nist.gov hasta el 4 de noviembre de 2023.
Conclusión
El Informe de Sophos sobre Adversarios Activos de mitad de año reveló el panorama cambiante de las técnicas cibernéticas sofisticadas, como el compromiso de credenciales, el aprovechamiento de vulnerabilidades, el compromiso del servidor AD, el acceso no autorizado a RDP y mucho más. El cambio en el panorama de las amenazas es rápido, y las organizaciones deben adoptar marcos como el CSF para navegar por el laberinto de las ciberamenazas.
En un momento en el que el panorama de las amenazas está evolucionando, es inevitable una renovación de la principal guía de ciberseguridad del mundo. Creado en estrecha colaboración con la comunidad, se espera que el CSF 2.0 garantice que más organizaciones puedan gestionar y mejorar sus programas de ciberseguridad para defenderse de las amenazas avanzadas.
Sophos puede ayudar a las organizaciones en sus esfuerzos por alinearse con el CSF del NIST y otros marcos de ciberseguridad. Ofrecemos un enfoque que da prioridad a la prevención y que reduce las infracciones, adapta las defensas en respuesta a los ataques y mejora la detección y la respuesta. Gracias a nuestra potente plataforma XDR, Sophos ofrece ciberseguridad como servicio con Sophos MDR, que proporciona detección y respuesta a amenazas 24/7, caza de amenazas dirigida por expertos y respuesta a incidentes a gran escala, todo ello adaptable a las necesidades específicas de cualquier organización.