El Marco de ciberseguridad (CSF) 2.0 del NIST proporciona orientación a
la industria, las agencias gubernamentales y otras organizaciones para
gestionar los riesgos de ciberseguridad. Ofrece una taxonomía de resultados de
ciberseguridad de alto nivel que cualquier organización puede utilizar,
independientemente de su tamaño, sector o madurez, para comprender, evaluar,
priorizar y comunicar mejor sus esfuerzos de ciberseguridad.
El
Cybersecurity Framework (CSF) 2.0
está diseñado para ayudar a organizaciones de todos los tamaños y sectores
(incluidos la industria, el gobierno, el mundo académico y las organizaciones
sin fines de lucro) a gestionar y reducir sus riesgos de ciberseguridad. Es
útil independientemente del nivel de madurez y la sofisticación técnica de los
programas de ciberseguridad de una organización. Sin embargo, el CSF no adopta
un enfoque único para todos. Cada organización tiene riesgos comunes y únicos,
así como distintos apetitos y tolerancias de riesgo, misiones específicas y
objetivos para lograr esas misiones.
Por necesidad, la forma en que las organizaciones implementan el CSF cambiará.
El CSF no describe cómo se deben lograr los resultados. Más bien, enlaza con
recursos en línea que brindan orientación adicional sobre prácticas y
controles que podrían usarse para lograr esos resultados.
Idealmente, el CSF se utilizará para abordar los riesgos de ciberseguridad
junto con otros riesgos de la empresa, incluidos aquellos de naturaleza
financiera, de privacidad, de cadena de suministro, reputacionales,
tecnológicos o físicos.
El CSF describe los resultados deseados que deben ser comprendidos por una
audiencia amplia, incluidos ejecutivos, gerentes y profesionales,
independientemente de su experiencia en ciberseguridad.
Debido a que estos resultados son neutrales en cuanto a sectores, países y
tecnologías, brindan a una organización la flexibilidad necesaria para abordar
sus riesgos, tecnologías y consideraciones de misión únicos. Los resultados se
asignan directamente a una lista de posibles controles de seguridad para su
consideración inmediata para mitigar los riesgos de ciberseguridad.
Aunque no es prescriptivo, el CSF proporciona sugerencias sobre cómo se pueden
lograr resultados específicos en un conjunto cada vez mayor de recursos en
línea que complementan el CSF, incluida una serie de Guías de inicio rápido
(QSG).
Además, diversas herramientas ofrecen formatos descargables para ayudar a las
organizaciones que optan por automatizar algunos de sus procesos. Los QSG
sugieren formas iniciales de utilizar el CSF y brindan recursos relacionados.
Estos recursos complementarios deben verse como una «cartera de CSF» para
ayudar a gestionar y reducir los riesgos.
Partiendo de versiones anteriores, CSF 2.0 contiene nuevas características que
resaltan la importancia de la gobernanza y las cadenas de suministro. Se
presta especial atención a los QSG para garantizar que el CSF sea relevante y
fácilmente accesible tanto para las organizaciones más pequeñas como para sus
contrapartes más grandes.
El NIST ahora proporciona ejemplos de implementación y referencias
informativas, que están disponibles en línea y se actualizan periódicamente.
La creación de perfiles organizacionales actuales y del estado objetivo ayuda
a las organizaciones a comparar dónde están y dónde quieren o necesitan estar
y les permite implementar y evaluar controles de seguridad más rápidamente.
Los riesgos de ciberseguridad se expanden constantemente y su gestión debe ser
un proceso continuo. Esto es cierto independientemente de si una organización
recién está comenzando a enfrentar sus desafíos de ciberseguridad o si ha
estado activa durante muchos años con un equipo de ciberseguridad sofisticado
y con buenos recursos. El CSF está diseñado para ser valioso para cualquier
tipo de organización y se espera que proporcione orientación adecuada durante
un largo tiempo.
Se proporciona un conjunto de recursos en línea que complementan el CSF y
están disponibles a través del sitio web del NIST CSF:
-
Referencias informativas
que señalan fuentes de orientación sobre cada resultado de estándares,
directrices, marcos, regulaciones, políticas, etc., globales existentes. -
Ejemplos de implementación
que ilustran formas potenciales de lograr cada resultado. -
Guías de inicio rápido
que brindan orientación práctica sobre el uso del CSF y sus recursos en
línea, incluida la transición de versiones anteriores del CSF a la versión
2.0. -
Perfiles comunitarios y plantillas de perfiles organizacionales
que ayudan a una organización a poner en práctica el CSF y establecer
prioridades para gestionar los riesgos de ciberseguridad.
Una organización puede utilizar el núcleo, los perfiles y los niveles
del CSF con recursos complementarios para comprender, evaluar, priorizar y
comunicar los riesgos de ciberseguridad.
Los comentarios están cerrados.