Introducido por primera vez hace casi una década como guía técnica de
ciberseguridad para intereses de infraestructura crítica como energía, banca y
hospitales, el Marco de Seguridad Cibernética del Instituto Nacional de
Estándares y Tecnología (NIST) acaba de recibir una actualización y
ahora está dirigido a organizaciones de todos los tamaños.
La nueva versión del popular
NIST Cybersecurity Framework (CSF) v2.0
se ha expandido más allá de las cinco funciones del marco original de un
programa de ciberseguridad eficaz (Identificar, Proteger, Detectar, Responder
y Recuperar) y agregó una sexta, Gobierno.
«Enfatiza que la ciberseguridad es una fuente importante de riesgo
empresarial, junto con los riesgos legales, financieros y de otro tipo como
consideraciones para el liderazgo superior», decían las nuevas directrices del NIST, aún en la fase de borrador.
El nuevo marco también pretende ayudar a apoyar a organizaciones de todos los
tamaños, dijo la agencia.
«Con esta actualización, estamos tratando de reflejar el uso actual del
Marco de Ciberseguridad y también anticipar su uso futuro», dijo Cherilyn Pascoe, principal desarrolladora del marco del NIST. La
nueva versión CSF 2.0, del 8 de agosto, fue desarrollada para ser utilizada por infraestructura
crítica como las industrias bancaria y energética, pero ha demostrado ser útil
en todas partes, desde escuelas y pequeñas empresas hasta gobiernos locales y
extranjeros.
Beneficios comerciales del marco de ciberseguridad 2.0
En una
declaración enviada a Dark Reading, Bud Broomhead, director ejecutivo de Viakoo, explicó que la nueva
actualización del NIST no sólo ayuda a las organizaciones con funciones
básicas de ciberseguridad, sino que también se expande a otras áreas de la
empresa.
Ampliar el alcance del marco NIST a todas las formas de organizaciones (no
solo a la infraestructura crítica) es un reconocimiento de cómo cada
organización enfrenta las amenazas cibernéticas y necesita tener un plan para
gestionar la higiene cibernética y la respuesta a incidentes. La reciente
actualización del NIST ayudará a las organizaciones no sólo a reducir su
panorama de amenazas, sino también a estar mejor posicionadas para los
requisitos de cumplimiento, auditoría y seguros en materia de ciberseguridad.
La actualización es algo que Joseph Carson, científico jefe de seguridad y
CISO asesor de Delinea, elogió como una «actualización excelente».
«Es fantástico ver que el marco pasa de centrarse simplemente en las
organizaciones de infraestructura crítica a adaptarse a las amenazas de
ciberseguridad proporcionando orientación a todos los sectores», dijo Carson en un comunicado.
Esto incluye el nuevo pilar «Gobierno» que reconoce los cambios en la forma en
que las organizaciones ahora responden a las amenazas para respaldar su
estrategia general de ciberseguridad.
El borrador del CSF 2.0 refleja una serie de cambios importantes, que
incluyen:
-
El alcance del marco se ha ampliado (explícitamente) desde la protección de
infraestructuras críticas, como hospitales y plantas de energía, hasta
brindar ciberseguridad a todas las organizaciones, independientemente de su
tipo o tamaño. Esta diferencia se refleja en el título oficial del CSF, que
ha cambiado a «El Marco de Ciberseguridad». -
Hasta ahora, el CSF ha descrito los pilares principales de un programa de
ciberseguridad holístico y exitoso utilizando
cinco funciones principales: Identificar, Proteger, Detectar, Responder y Recuperar. Ahora se agrega
el sexto: Gobierno, que cubre cómo una organización puede tomar y ejecutar
sus propias decisiones internas para respaldar su estrategia de
ciberseguridad. Enfatiza que la ciberseguridad es una fuente importante de
riesgo empresarial, junto con los riesgos legales, financieros y de otro
tipo como consideraciones para el liderazgo superior. -
El borrador proporciona orientación mejorada y ampliada sobre la
implementación del CSF, especialmente para la creación de perfiles que se
adapten a situaciones particulares. La comunidad de ciberseguridad ha
solicitado ayuda para utilizarlo en sectores económicos y casos de uso
específicos, donde los perfiles pueden ayudar. Es importante destacar que el
borrador ahora incluye ejemplos de implementación para las subcategorías de
cada función para ayudar a las organizaciones, especialmente a las empresas
más pequeñas, a utilizar el marco de manera efectiva. -
Un objetivo importante del CSF 2.0 es explicar cómo las organizaciones
pueden aprovechar otros marcos, estándares y directrices tecnológicos, del
NIST y otros lugares, para implementar el CSF. Para reforzar este último
esfuerzo está el lanzamiento de la
herramienta de referencia CSF 2.0. Este recurso en línea permite a los usuarios explorar, buscar y exportar
los datos de
CSF Core
en formatos consumibles por humanos y legibles por máquinas. En el futuro,
esta herramienta proporcionará «Referencias informativas» para mostrar las
relaciones entre el CSF y otros recursos para facilitar el uso del marco
junto con otras orientaciones para gestionar el riesgo de ciberseguridad.
NIST está recopilando comentarios sobre el borrador CSF 2.0 hasta el 4 de
noviembre.
Fuente: NIST | Dark Reading
Los comentarios están cerrados.