Definición y Propósito

El objetivo principal del NIST CSF es proporcionar un marco político de directrices de seguridad informática para que las empresas privadas en los EE. UU. puedan evaluar y mejorar su capacidad para prevenir, detectar y responder a ciberataques. Su objetivo es fortalecer la seguridad y la resiliencia de las infraestructuras críticas de la nación promoviendo la protección de información y sistemas de información.

Autoridad Reguladora

El NIST CSF es desarrollado y mantenido por el Instituto Nacional de Estándares y Tecnología (NIST), una agencia del Departamento de Comercio de los EE. UU.

Última Actualización

El NIST CSF se publicó originalmente en 2014, con la versión más reciente, NIST CSF 1.1, publicada en abril de 2018. Las actualizaciones y revisiones se realizan regularmente para responder a las amenazas cambiantes y las prácticas en el ámbito de la ciberseguridad. Se recomienda consultar el sitio web oficial del NIST para conocer la versión más reciente.

Aplicable a

El NIST CSF es aplicable a todas las industrias y organizaciones, independientemente de su tamaño o sector. Es particularmente relevante para organizaciones en sectores de infraestructuras críticas como energía, finanzas, salud y transporte, aunque también es ampliamente adoptado por empresas privadas, agencias gubernamentales y otras entidades.

Controles y Requisitos

El NIST CSF está organizado en cinco funciones principales, que luego se dividen en categorías y subcategorías:

• Identificar: Desarrollo de una comprensión organizacional para gestionar riesgos cibernéticos asociados con sistemas, activos, datos y capacidades.
• Proteger: Desarrollo e implementación de medidas de protección adecuadas para asegurar la prestación de servicios de infraestructura crítica.
• Detectar: Desarrollo e implementación de actividades adecuadas para identificar la ocurrencia de un evento de ciberseguridad.
• Responder: Desarrollo e implementación de actividades adecuadas para tomar medidas en relación con un evento de ciberseguridad detectado.
• Restaurar: Desarrollo e implementación de actividades adecuadas para mantener los planes de resiliencia y restaurar todas las capacidades o servicios que se hayan visto afectados debido a un evento de ciberseguridad.

Puede encontrar una lista completa de controles y requisitos en la documentación oficial del NIST CSF.

Tipo de auditoría, frecuencia y duración

Las auditorías para el cumplimiento del NIST CSF generalmente incluyen evaluaciones internas, evaluaciones por terceros o ambas. Estas auditorías verifican la implementación de las políticas y mejores prácticas por parte de la organización. La frecuencia de las auditorías puede variar según las políticas organizacionales, los requisitos regulatorios y la criticidad de los sistemas involucrados. Se recomiendan evaluaciones periódicas, como revisiones anuales.

La duración de una auditoría depende del tamaño y complejidad de la organización, el alcance de las medidas de ciberseguridad evaluadas y la profundidad de la auditoría. Puede variar desde unos pocos días hasta varias semanas.