El marco de ciberseguridad NIST 2.0: qué es y cómo cumplirlo [+ lista de verificación]
En el Informe de Perspectivas de Seguridad de Keeper 2024, el 92% de los líderes tecnológicos y de seguridad informaron haber observado un aumento en los ciberataques año tras año, y el 95% también informaron que los ciberataques son más sofisticados que nunca.
Con el aumento en la frecuencia y sofisticación de las ciberamenazas, las organizaciones necesitan un enfoque estructurado para gestionar y mitigar estos riesgos de manera efectiva. Aquí es donde entran en juego marcos como el Marco de Ciberseguridad del Instituto Nacional de Estándares y Tecnología (NIST - National Institute of Standards and Technology).
En este artículo del blog, analizaremos qué es el NIST CSF 2.0, sus categorías principales, cómo se relaciona con el NIST 800-53, sus niveles de madurez y mucho más.
¿Qué es el NIST CSF?
El Marco de Ciberseguridad del NIST (CSF) es una colección de estándares, directrices y mejores prácticas diseñadas para ayudar a las organizaciones a gestionar y reducir los riesgos cibernéticos.
El CSF, desarrollado por el NIST, una agencia no reguladora del Departamento de Comercio de EE.UU., proporciona a la industria, organismos gubernamentales y otras organizaciones pautas para comprender, evaluar, priorizar y comunicar mejor sus esfuerzos en ciberseguridad.
Este marco está diseñado para ser flexible y adaptable, permitiendo a organizaciones de cualquier tamaño, industria o nivel de madurez de su programa de ciberseguridad utilizarlo y adaptarlo a sus necesidades específicas de ciberseguridad y perfiles de riesgo.
NIST CSF 2.0
Aunque el NIST CSF ha sido revisado continuamente para mantenerse al día con las amenazas cibernéticas emergentes y los avances tecnológicos, el NIST CSF 2.0 es la primera actualización importante del marco desde su introducción en 2014. La principal diferencia entre la versión más reciente y la original es que el NIST CSF 2.0 tiene como objetivo explícitamente ayudar a todas las organizaciones a gestionar y reducir riesgos, y no solo a aquellas con infraestructuras críticas.
El NIST CSF 2.0 también incluye actualizaciones a las directrices fundamentales del CSF, con un enfoque adicional en la gobernanza y cadenas de suministro, así como una serie de recursos relacionados para ayudar a todas las organizaciones a alcanzar sus objetivos de ciberseguridad.
Fecha de publicación del NIST CSF 2.0
El NIST CSF 2.0 se publicó oficialmente el 26 de febrero de 2024, marcando la primera gran actualización de este marco de ciberseguridad en una década. Esta última versión refleja los comentarios de varios años de debates y comentarios públicos que tuvieron como objetivo hacer el marco más eficiente y relevante para una gama más amplia de usuarios, tanto en EE.UU. como en el extranjero.
La información a continuación refleja la última versión del NIST CSF.
Lectura recomendada
Gestión de riesgos de la cadena de suministro: un desglose del proceso + plantilla de directrices
Categorías del NIST CSF
El NIST CSF 2.0 está organizado en seis funciones clave. Estas funciones representan resultados que pueden ayudar a cualquier organización a comprender, evaluar, priorizar y comunicar mejor sus esfuerzos de ciberseguridad.
Dentro de cada función hay categorías que representan resultados relacionados con la ciberseguridad. Estas categorías conforman colectivamente la función y proporcionan un marco integral para abordar el riesgo de ciberseguridad en toda la organización. Las categorías también se dividen en subcategorías que representan resultados más específicos de actividades técnicas y de gestión. Juntas, forman el núcleo del CSF.
Estas funciones y categorías no son una lista de verificación de acciones que deben tomarse. Las acciones específicas necesarias para lograr un resultado y los responsables de estas acciones varían según la organización.
Por lo tanto, en lugar de prescribir cómo se deben lograr los resultados, el CSF hace referencia a recursos en línea que proporcionan más orientación sobre prácticas y controles que pueden utilizarse para alcanzar estos resultados. Esta suite complementaria de recursos en línea se amplía e incluye ya una serie de guías de inicio rápido (QSG), referencias informativas y ejemplos de implementación.
Las funciones y categorías del NIST CSF 2.0 y sus definiciones se enumeran en la siguiente tabla.
| Function | Definition | Categories | Definition |
|---|---|---|---|
| Govern | The organization’s cybersecurity risk management strategy, roles and responsibilities, and policy are established, communicated, and monitored. | Organizational Context | The circumstances — mission, stakeholder expectations, dependencies, and legal, regulatory, and contractual requirements — surrounding the organization’s cybersecurity risk management decisions are understood. |
| Risk Management Strategy | The organization’s priorities, constraints, risk tolerance and appetite statements, and assumptions are established, communicated, and used to support operational risk decisions. | ||
| Roles, Responsibilities, and Authorities | Cybersecurity roles, responsibilities, and authorities to foster accountability, performance assessment, and continuous improvement are established and communicated. | ||
| Policy | Organizational cybersecurity policy is established, communicated, and enforced. | ||
| Oversight | Results of organization-wide cybersecurity risk management activities and performance are used to inform, improve, and adjust the risk management strategy. | ||
| Cybersecurity Supply Chain Risk Management | Cyber supply chain risk management processes are identified, established, managed, monitored, and improved by organizational stakeholders. | ||
| Identity | The organization’s cybersecurity risks are understood. | Asset Management | Assets that enable the organization to achieve business purposes are identified and managed consistent with their relative importance to organizational objectives and the organization’s risk strategy. |
| Risk Assessment | The cybersecurity risk to the organization, assets, and individuals is understood by the organization. | ||
| Improvement | Improvements to organizational cybersecurity risk management processes, procedures and activities are identified across all CSF Functions. | ||
| Protect | The organization uses safeguards to manage its cybersecurity risks. | Identity Management, Authentication and Access Control | Access to physical and logical assets is limited to authorized users, services, and hardware and managed commensurate with the assessed risk of unauthorized access. |
| Awareness and Training | The organization’s personnel are provided with cybersecurity awareness and training so that they can perform their cybersecurity-related tasks. | ||
| Data Security | Data is managed consistent with the organization’s risk strategy to protect the confidentiality, integrity, and availability of information. | ||
| Platform Security | The hardware, software, and services of physical and virtual platforms are managed consistent with the organization’s risk strategy to protect their confidentiality, integrity, and availability. | ||
| Technology Infrastructure Resilience | Security architectures are managed with the organization’s risk strategy to protect asset confidentiality, integrity, and availability, and organizational resilience. | ||
| Detect | The organization finds and analyzes possible cybersecurity attacks and compromises. | Continuous Monitoring | Assets are monitored to find anomalies, indicators of compromise, and other potentially adverse events. |
| Adverse Event Analysis | Anomalies, indicators of compromise, and other potentially adverse events are analyzed to characterize the events and detect cybersecurity incidents. | ||
| Respond | The organization takes actions regarding a detected cybersecurity incident. | Incident Management | Responses to detected cybersecurity incidents are managed. |
| Incident Analysis | Investigations are conducted to ensure effective response and support forensics and recovery activities. | ||
| Incident Response Reporting and Communication | Response activities are coordinated with internal and external stakeholders as required by laws, regulations, or policies. | ||
| Incident Mitigation | Activities are performed to prevent expansion of an event and mitigate its effects. | ||
| Recover | The organization restores assets and operations affected by a cybersecurity incident. | Incident Recovery Plan Execution | Assets and operations affected by a cybersecurity incident are restored. |
| Incident Recovery Communication | Restoration activities are coordinated with internal and external parties. |
Niveles del NIST CSF
Además del núcleo del CSF, el NIST define niveles para ayudar a las organizaciones a comprender, evaluar, priorizar y comunicar los riesgos de ciberseguridad.
Los niveles caracterizan el rigor de la gobernanza y las prácticas de gestión de riesgos de ciberseguridad de una organización y también pueden proporcionar un contexto sobre cómo una organización percibe los riesgos de ciberseguridad y qué procesos tiene para gestionarlos.
El NIST CSF 2.0 comprende cuatro niveles, cada uno de los cuales refleja las prácticas de una organización para abordar los riesgos de ciberseguridad:
- Nivel 1: Parcial
- Nivel 2: Informado por riesgo
- Nivel 3: Repetible
- Nivel 4: Adaptable
Aunque estos niveles representan un creciente grado de rigor y sofisticación en las prácticas de gestión de riesgos de ciberseguridad, no necesariamente representan niveles de madurez. En su lugar, los niveles deben ser utilizados por una organización para establecer el tono general de cómo manejará sus riesgos de ciberseguridad.
Las organizaciones deben elegir el nivel que:
- Se ajuste a sus objetivos organizacionales
- Sea viable para ellas
- Reduzca el riesgo de ciberseguridad para los activos y recursos críticos a un nivel aceptable para la organización
Al seleccionar un nivel, las organizaciones también deben considerar las prácticas actuales de gestión de riesgos de la organización, el entorno de amenazas, los requisitos legales y regulatorios, las prácticas de intercambio de información, los objetivos comerciales, los requisitos de ciberseguridad de la cadena de suministro y las limitaciones organizacionales.
Lecturas recomendadas
Cuantificación del riesgo cibernético: cómo puede ayudar a proteger sus activos digitales
NIST CSF vs NIST 800-53
Aunque los dos marcos de ciberseguridad NIST CSF 2.0 y NIST 800-53 fueron desarrollados por el NIST y están diseñados para todo tipo de organizaciones, sirven a diferentes propósitos. El NIST CSF es un marco de alto nivel que ofrece directrices y mejores prácticas para gestionar los riesgos de ciberseguridad, mientras que el NIST 800-53 es un marco más estricto y completo que prescribe controles para desarrollar sistemas de información federales seguros y resilientes.
Las organizaciones pueden utilizar los controles del NIST 800-53 para implementar el NIST CSF. Sin embargo, como se mencionó anteriormente, esta no es la única manera para que las organizaciones implementen el CSF.
Otra diferencia significativa es que muchas organizaciones utilizan el NIST CSF de manera voluntaria. Este fue el caso para las agencias y contratistas federales hasta 2017, cuando se emitió la Orden Ejecutiva 13800, Fortalecimiento de la Ciberseguridad de las Redes Federales y las Infraestructuras Críticas. Esta Orden Ejecutiva hizo obligatorio el CSF para las agencias y contratistas federales.
Aunque hoy en día todas las agencias y contratistas federales deben cumplir tanto con el NIST CSF 2.0 como con el NIST 800-53, las auditorías solo son necesarias para el NIST 800-53. El NIST 800-53 también es el estándar y el criterio en el que se basa la Ley de Modernización de Sistemas de Información Federales (FISMA).
La guía definitiva de marcos federales
Obtenga una visión general de los marcos federales más comunes, a quiénes se aplican y cuáles son sus requisitos.
Cómo implementar el NIST CSF 2.0
Aquí hay algunos pasos orientados a la acción que puedes seguir para lograr los resultados del NIST CSF. Al igual que los ejemplos de implementación propuestos por el NIST, esta no es una lista exhaustiva de acciones que una organización puede tomar para lograr un resultado. Tampoco es una base para las acciones requeridas para tratar los riesgos de ciberseguridad.
1. Documentar una estrategia de gestión de riesgos.
Una estrategia de gestión de riesgos es una estrategia que explica cómo una organización planea identificar, evaluar, responder y monitorear los riesgos. Una estrategia efectiva debe considerar los objetivos específicos de ciberseguridad de tu organización, su entorno de riesgo y las lecciones aprendidas de tu pasado y de otras organizaciones. Por ejemplo, puedes revisar los resultados de auditorías, incidentes de ciberseguridad e indicadores clave de riesgo para medir la efectividad de la estrategia de gestión de riesgos actual y mejorarla con el tiempo.
2. Documentar una política de gestión de riesgos.
Crear una política de gestión de riesgos de ciberseguridad basada en el contexto organizacional, la estrategia de ciberseguridad y las prioridades de tu organización. Una política efectiva debe:
- Documentar los roles y responsabilidades en la gestión de riesgos.
- Ser aprobada por la alta dirección.
- Ser reconocida por los empleados al ser contratados y regularmente (al menos anualmente o cuando se actualice).
- Ser actualizada regularmente para reflejar los resultados de la gestión de riesgos de ciberseguridad y los cambios en los requisitos legales y regulatorios, la tecnología y el negocio.
- Tratar los riesgos de la cadena de suministro.
Toma nota de que tu organización puede optar por tener una política/plan separado para la gestión de riesgos de la cadena de suministro. En tal caso, tu política de gestión de riesgos no necesita tratar los riesgos de la cadena de suministro.
3. Realizar un análisis de impacto empresarial.
Establecer criterios para determinar qué funciones, procesos, sistemas y datos son esenciales para las operaciones de tu organización y los posibles impactos de la pérdida de estas operaciones. Como parte de este análisis de impacto empresarial, deben establecerse objetivos de recuperación para proporcionar estas capacidades y servicios críticos en diversos estados operativos, incluidos en caso de ataque, durante la recuperación y durante la operación normal.
4. Mantener un inventario de activos.
El conocimiento de los activos de tu organización, incluidos los datos, hardware, software, sistemas, instalaciones, dispositivos, personas y servicios prestados por proveedores, es crucial para la gestión de riesgos de ciberseguridad. Mantener un inventario de estos activos puede hacerse manualmente en una hoja de cálculo, aunque esto puede ser tedioso y difícil de mantener al día. Una herramienta de automatización de compliance puede mantener un inventario actualizado de todos tus activos para una mejor visibilidad y monitoreo.
5. Identificar, evaluar y documentar los riesgos.
Los riesgos para los activos deben ser identificados, evaluados y documentados. Una forma de hacerlo es crear un registro de riesgos. Un registro de riesgos es un directorio de todos los riesgos a los que se enfrenta su organización, así como información relacionada, como una descripción del riesgo, el impacto si ocurre, la probabilidad de que ocurra, las estrategias de mitigación, los responsables del riesgo y una clasificación para priorizar los esfuerzos de mitigación. Al igual que con un inventario de activos, puede crear un registro de riesgos manualmente, pero una herramienta de automatización puede acelerar el proceso y mantenerlo actualizado para usted.
6. Implementar controles de acceso.
Para proteger sus activos, su organización puede adoptar una política para limitar y otorgar acceso a sus instalaciones, entornos, redes, instancias y datos. También puede implementar reglas basadas en el acceso y fechas de caducidad para ayudar a rastrear quién tiene acceso y por cuánto tiempo. Al revisar y monitorear regularmente el acceso de empleados y proveedores, puede asegurarse de que el principio del menor privilegio, el minimalismo funcional y la segregación de funciones se implementen y minimicen los riesgos de ciberseguridad.
7. Ofrecer formación en concienciación sobre ciberseguridad
Una formación en concienciación sobre ciberseguridad puede ayudar a asegurar que los empleados, socios y proveedores de su organización tengan el conocimiento y las habilidades necesarias para llevar a cabo tareas teniendo en cuenta los riesgos de ciberseguridad y las políticas, procedimientos y acuerdos asociados. Una formación efectiva debería:
- Tratar sobre la ingeniería social y otros ataques comunes, así como las consecuencias de violar la política de ciberseguridad
- Incluir evaluaciones o pruebas para evaluar la comprensión de los usuarios sobre prácticas de ciberseguridad
- Ser requerida al menos una vez al año
8. Desarrollar un plan de gestión de vulnerabilidades
Un plan de gestión de vulnerabilidades puede ayudar a asegurar que el riesgo de ciberseguridad para la organización, los activos y las personas sea entendido. El plan debe definir claramente el proceso, la estructura y el alcance de la gestión de vulnerabilidades, así como las responsabilidades y expectativas de aquellos que son responsables del programa, al igual que la de todos los demás dentro de la organización. Esto incluye los criterios para decidir si el riesgo debe ser aceptado, transferido, mitigado o evitado. Una gestión efectiva de las vulnerabilidades incluye varios pasos, como la detección de vulnerabilidades, escaneos DAST y SAST, pruebas de penetración, evaluaciones de riesgos, formación de empleados y mucho más.
9. Implementar una monitorización continua
La monitorización continua de su sistema de información y sus activos, así como de sus proveedores, puede ayudar a su organización a identificar incidentes de ciberseguridad y revisar la efectividad de los controles que ha implementado. Crear y asignar tickets cuando ocurren ciertos tipos de alertas, de forma manual o automática, también puede ayudar a asegurar que los posibles ataques de ciberseguridad sean encontrados y analizados.
Una herramienta como Secureframe puede automatizar el proceso de monitorización continua y notificar automáticamente a los responsables cuando un control falla.
10. Desarrollar un plan de respuesta a incidentes
Un plan de respuesta ante incidentes es un documento que contiene una serie predefinida de instrucciones o procedimientos para detectar, responder y limitar las consecuencias de un incidente de seguridad. La existencia de un plan de respuesta ante incidentes puede asegurar que los procesos y procedimientos de respuesta se lleven a cabo cuando se detecte un incidente de ciberseguridad. Este plan debe actualizarse regularmente para tener en cuenta la experiencia acumulada.
11. Desarrolle un plan de recuperación ante desastres
Proporcionar un plan de recuperación ante desastres, que defina claramente los procesos y procedimientos de recuperación, puede ayudar a garantizar la recuperación de sistemas o activos afectados por incidentes cibernéticos. También puede definir protocolos de comunicación y procedimientos de notificación para asegurar la comunicación con partes interesadas internas y externas, así como con la administración durante y después de un incidente.
Al igual que el plan de respuesta ante incidentes, este plan también debe actualizarse regularmente para tener en cuenta las lecciones aprendidas.
Lectura Recomendada
Cómo crear un plan de recuperación ante desastres + plantilla
Lista de verificación de cumplimiento de NIST CSF
Implementar los estándares y directrices de NIST CSF puede ser difícil, pero las herramientas adecuadas pueden simplificar y acelerar el proceso. Esta lista de verificación de cumplimiento de NIST CSF no está destinada a ser una prescripción. En su lugar, úselas como una guía para lograr los resultados de NIST CSF 2.0.
Evaluación de NIST CSF
El NIST CSF no ofrece una certificación ni exige auditorías. En su lugar, las organizaciones pueden realizar evaluaciones de preparación internas o contratar a un consultor para evaluar sus prácticas de gestión de riesgos cibernéticos e identificar áreas que necesitan mejoras.
Independientemente de si decide realizarlo internamente o contratar a un consultor, una evaluación de preparación generalmente sigue estos pasos:
- Mapeo de los controles existentes al marco NIST CSF 2.0. Identifique los controles y documentación existentes que ya cumplan con el marco NIST CSF 2.0. Si lo hace manualmente, deberá registrar todos los resultados del núcleo de NIST CSF (representados por categorías y subcategorías) que desea alcanzar y luego vincularlos en una tabla con sus controles existentes. Una herramienta de automatización de cumplimiento como Secureframe puede hacer esto automáticamente.
- Identifique las brechas. Puede descubrir controles faltantes, encontrar que necesita rediseñar procesos, implementar programas de capacitación para empleados o documentar más pruebas de sus controles existentes.
- Desarrolle un plan de mejora. Intente incluir cronogramas y resultados específicos para cerrar las brechas. Identifique a una persona responsable de seguir los avances.
Cómo Secureframe puede ayudar a simplificar el cumplimiento de NIST CSF 2.0
Secureframe puede racionalizar el proceso de cumplimiento con NIST CSF ayudando a las organizaciones a ahorrar tiempo, reducir costos y mejorar sus prácticas de ciberseguridad.
Una de las características principales de la plataforma de Secureframe es la capacidad de automatizar la asignación de los controles de seguridad existentes de una organización al marco NIST CSF 2.0. Este proceso de asignación ayuda a las organizaciones a entender cómo sus medidas de seguridad actuales se alinean con los estándares, directrices y mejores prácticas descritas en NIST CSF 2.0, identificando brechas o áreas que necesitan mejora. Al automatizar este proceso de asignación, Secureframe permite a las organizaciones obtener una visión general de su postura de ciberseguridad y priorizar los esfuerzos para abordar eficientemente las deficiencias, eliminando las conjeturas y el trabajo manual.
Además, la plataforma de automatización del cumplimiento de Secureframe ofrece flujos de trabajo automatizados y plantillas de políticas diseñadas específicamente para NIST CSF 2.0. Estos flujos de trabajo automatizan gran parte del proceso de implementación y mantenimiento de las medidas de seguridad necesarias para cumplir efectivamente con NIST CSF 2.0, incluyendo la recolección de evidencia, la gestión de riesgos, la inventario de activos, la gestión de políticas y la gestión de tareas. Al utilizar estos flujos de trabajo, las organizaciones pueden asegurar la consistencia, precisión e integridad de sus esfuerzos de cumplimiento, reduciendo así la probabilidad de errores u omisiones.
Además, la plataforma de Secureframe ofrece capacidades de supervisión continua que permiten a las organizaciones identificar y abordar proactivamente los riesgos de ciberseguridad en tiempo real. Al supervisar continuamente su postura de seguridad en relación con NIST CSF 2.0, las organizaciones pueden responder rápidamente a amenazas emergentes, vulnerabilidades o problemas de cumplimiento, mejorando su seguridad general y reforzando su estrategia de cumplimiento continuo.
Finalmente, Secureframe ayuda a las organizaciones a mantenerse al día con las actualizaciones del marco, como NIST CSF 2.0, para que no se vuelvan no conformes, sin tener que buscar en sitios web regulatorios cambios que puedan afectar a su organización. El equipo de Secureframe no solo informa a los clientes sobre cambios o actualizaciones que afectan su postura de cumplimiento. Nuestra plataforma también es creada y mantenida por expertos en cumplimiento y seguridad, por lo que todas las actualizaciones del marco se reflejan en la plataforma.
Para obtener más información sobre cómo Secureframe puede ayudarle a cumplir con la última versión de NIST CSF, planifique una demostración.
Preguntas frecuentes
¿Es obligatorio el cumplimiento del NIST CSF?
El cumplimiento del NIST CSF 2.0 es obligatorio para contratistas federales y agencias gubernamentales, y se recomienda para organizaciones comerciales y otras que deseen gestionar eficazmente los riesgos cibernéticos.
¿Quién utiliza el NIST CSF?
Aunque normalmente es seguido por contratistas federales y agencias gubernamentales, el NIST CSF ofrece un marco flexible que cualquier organización puede utilizar para gestionar riesgos cibernéticos, independientemente de su tamaño, industria o madurez de sus programas de ciberseguridad. Por ejemplo, la industria, el gobierno, el mundo académico y las organizaciones sin ánimo de lucro a veces utilizan el NIST CSF como pauta para buenas prácticas.
¿Cuántos controles hay en el NIST CSF?
En lugar de un conjunto predefinido de controles, el NIST CSF proporciona normas, directrices y buenas prácticas para que las organizaciones gestionen y mejoren su estado de ciberseguridad, y los marcos NIST 800-53 y NIST 800-171 ofrecen controles de seguridad para implementar el NIST CSF.
¿Cuál es la diferencia entre NIST CSF y NIST 800-53?
NIST CSF 2.0 y NIST 800-53 son ambos marcos de ciberseguridad desarrollados por NIST, pero sirven a propósitos diferentes. NIST 800-53 está diseñado para permitir el desarrollo de sistemas de información federales seguros y resilientes, y el cumplimiento es obligatorio para agencias federales y contratistas, así como para cualquier organización que maneje datos federales. El NIST CSF, en cambio, está destinado a permitir una identificación integral y personalizada de vulnerabilidades de seguridad, y es obligatorio para agencias federales y contratistas, y recomendado para organizaciones comerciales.
¿Cuándo se publica NIST CSF 2.0?
NIST CSF 2.0 fue publicado el 26 de febrero de 2024.
¿Con qué frecuencia se actualiza el NIST CSF?
NIST CSF 2.0, publicado en 2024, fue la primera gran actualización del marco desde su creación en 2014. Esta actualización es el resultado de un proceso de varios años de discusiones y comentarios públicos destinados a hacer el marco más efectivo.
¿Se puede adaptar el NIST CSF 2.0 a industrias o organizaciones específicas?
Sí, NIST CSF 2.0 está diseñado para ser flexible y adaptable, lo que permite a las organizaciones ajustar el marco a sus necesidades únicas de ciberseguridad, perfiles de riesgo y requisitos regulatorios.
Aprovechar la confianza para acelerar el crecimiento
Solicite una demostración
