volver volver
Qué es y cómo tramitar la firma digital de forma gratuita

POR:
Diego Staino
(Cybersecurity Researcher & Trainer)

COMPARTIR

Twitter Facebook Linkedin
REFERENCIAS
TÉCNICOS 24 MAR 23  •  33' LECTURA

NIST Cybersecurity Framework v2.0

En el año 2022 el NIST cumplió 50 años de investigación en materia de ciberseguridad, desarrollando guías de buenas prácticas, estándares, guías de privacidad entre otros recursos. Esto ha permitido asegurar mejor la tecnología existente y proporcionar una plataforma para el desarrollo seguro de las tecnologías del futuro.

Dentro de estos recursos podemos encontrar “Cybersecurity Framework” (CSF), una herramienta muy útil para la reducción de los ciber-riesgos en las organizaciones. El CSF proporciona un lenguaje común y simplificado, se adapta a muchas tecnologías, fases del ciclo de vida, sectores y usos. Tiene un enfoque basado en riesgos y se conforma a partir de estándares internacionales, esto es en parte lo que lo hace altamente reconocido en todo el mundo.

El CSF también está respaldado por múltiples perspectivas, incluyendo la del sector privado y público, y aportes del sector académico, esto garantiza en cierta forma que se tenga en cuenta una amplia gama de opiniones y necesidades. Además, ayuda a alinear los requisitos legales/regulatorios con las prioridades de gestión de riesgos y organizacionales. En resumen nos ayuda a mejorar la seguridad de los sistemas, datos y operaciones en general.



¿Cómo se utiliza el CSF v1.1?

Un proceso típico de implementación de este framework está conformado por los siguientes pasos:

  • Evaluación de riesgos
    • La organización identifica los activos críticos, amenazas y vulnerabilidades relevantes para sus operaciones.
  • Creación de un perfil actual
    • Se releva el estado actual de las actividades realizadas en materia de ciberseguridad (Procesos, controles, operaciones) y se vuelca en un “perfil actual”.
  • Creación de un perfil objetivo
    • Se crea un perfil que describe los objetivos de ciberseguridad.
  • Planificar la mejora
    • Identificada la brecha entre ambos perfiles, se establecen prioridades para mejorar la postura de seguridad de la organización. Se diseña un plan de mejora según los objetivos de la organización y la evaluación de riesgo anterior.
  • Implementación
    • Se implementa el plan de mejora, se asignan recursos y realizan las actividades planificadas.
  • Monitoreo continuo y mejora
    • Se realiza un seguimiento de la postura de seguridad, mejoras continuas a medida que sea necesario y se repite el proceso.
Este Framework es una herramienta flexible que se puede adaptar a las necesidades de cualquier organización, independientemente de su tamaño, sector o complejidad. El proceso de implementación variará según la organización, pero los principios del marco pueden aplicarse en cualquier contexto para mejorar la postura de seguridad.

Versión 2

NIST ha comenzado el proceso de actualización del CSF, desde el 2018 contamos con su versión 1.1. En esta nueva actualización 2.0 se está trabajando sobre la evolución de las amenazas, el mapeo contra estándares y pretende un formato más simple para permitir a las organizaciones abordar los riesgos.

En este proceso, nuevamente, se está confiando activamente en la retroalimentación de los interesados (Comunidad, industria, academia) y buscando diversas opiniones en el proceso de actualización.


Actividades propuestas y realizadas en el marco de la actualización

Dentro de las ideas compartidas durante el Workshop #2 (arriba en línea de tiempo) y también en el paper de concepto de la nueva versión (publicado aquí ) estos son algunos de los potenciales cambios de la nueva versión:

⦁ Reconocer explícitamente el amplio uso del CSF

Sabiendo el amplio uso y relevancia que ha tomado este framework en los últimos años, se pretende realizar un cambio en el enfoque sobre las organizaciones a las que está dirigido. Desde el cambio de título, cambio de alcance para no solo incluir infraestructuras críticas o un mercado en particular sino para todo tipo de organizaciones independientemente del tipo o tamaño de la misma.

De la misma forma se pretende aumentar la colaboración y el compromiso internacional del framework.


⦁ Permanecer como un marco, proporcionando contexto y conexiones con estándares y recursos existentes.

Para la versión 2.0 del CSF no solo se mantendrá el nivel de detalle, también se hará énfasis en relacionarlo claramente con otros marcos del NIST. Se mantendrán referencias entre estos y otros marcos de ciberseguridad reconocidos de forma actualizada y disponibles en línea.

Como en la versión actual, se hará especial hincapié en permanecer neutral en cuanto a tecnología y proveedores, pero reflejando los cambios en las prácticas de ciberseguridad más reconocidas.


https://csrc.nist.gov/projects/olir/informative-reference-catalog


⦁ Incluir orientación actualizada y ampliada sobre la implementación del marco.

Para apoyar a las organizaciones a la introducción del framework, se pretende agregar ejemplos de implementación para las distintas Subcategorías y el desarrollo de plantillas de Perfiles.

Se prioriza la necesidad de mejorar el sitio web del CSF para destacar los recursos de implementación y facilitar su uso.


https://www.nist.gov/cyberframework/getting-started


⦁ Enfatizar la importancia de la gobernanza de la ciberseguridad.

Con el objetivo de resaltar la importancia de las tareas de gestión y gobierno alrededor de todo el proceso de implementación del framework, se propone agregar una nueva Función de Gobernanza que sea transversal. Se espera que esto también mejore la discusión sobre la relación con la gestión de riesgos.


⦁ Destacar la importancia de la “Gestión del riesgo de la cadena de suministro”

Para esta nueva versión se pretende poner especial foco e incorporar específicamente la gestión sobre la cadena de suministros (Cybersecurity Supply Chain Risk Management o CSRC), agregando subcategorías o categorías completas que lo incluyan.

⦁ Avanzar en la comprensión de la medición y evaluación de la ciberseguridad.

No es fácil para las organizaciones generar mediciones claras alrededor de la ciberseguridad, esta nueva versión pretende aclarar de que forma el CSF puede respaldar la medición y evaluación de los programas de ciberseguridad implementados.

Proporcionando ejemplos de medición y evaluaciones, actualizando la guía de medición de rendimiento NIST en materia de Seguridad de la Información (publicada aquí). Además de proporcionar orientación sobre los distintos niveles de Implementación del Marco.

Algunas conclusiones

Se puede notar que la actualización del Framework de Ciberseguridad (CSF) busca acompañar la evolución de las amenazas. La priorización de la función de gobierno, la expansión de la cobertura de la cadena de suministro (impulsada por el notorio foco de los atacantes). Además, se resalta la importancia mantener la neutralidad tecnológica y de mejorar la relación entre el CSF y otros marcos de ciberseguridad.

Se espera que estos cambios permitirán a las organizaciones de diferentes sectores, tipos y tamaños implementar el CSF de manera más óptima y adaptarlo a sus necesidades específicas, aumentando así la seguridad de todo el ecosistema.