El Marco de Ciberseguridad del NIST (NIST Cybersecurity Framework o NIST CSF) es una herramienta clave desarrollada por el Instituto Nacional de Estándares y Tecnología de Estados Unidos para promover la gestión de riesgos de ciberseguridad. Publicado originalmente en 2014 y actualizado a la versión 2.0 en 2018, el NIST CSF se ha convertido en un referente mundial para organizaciones de todos los sectores y tamaños. Su adopción, si bien voluntaria, trae múltiples beneficios para elevar el nivel de ciberseguridad y resiliencia.
El NIST CSF presenta una estructura organizada en funciones, categorías y subcategorías que engloban buenas prácticas de ciberseguridad. Las 5 funciones centrales son: Identificar, Proteger, Detectar, Responder y Recuperar. Adicionalmente, contempla las funciones de Gobernanza y Gestión de Riesgos.
- La función Identificar abarca el conocimiento contextual necesario para gestionar riesgos de ciberseguridad en una organización. Incluye activos, gobernanza, evaluación de riesgos e impacto al negocio.
- La función Proteger cubre los controles y procesos para garantizar la entrega de infraestructura y servicios críticos. Desde protección de datos hasta gestión de identidades o mantenimiento.
- Detectar enfoca actividades para identificar la ocurrencia de un evento de ciberseguridad ya sea de forma proactiva o a través de alertas y monitoreo.
- La función Responder define las acciones para actuar ante un incidente detectado. Desde análisis forense hasta comunicaciones, mitigación de impactos y mejoras.
- Recuperar busca restablecer los sistemas o activos afectados por un incidente para reanudar procesos críticos del negocio.
La versión 2.0 del NIST CSF amplía el enfoque en la gestión de riesgos, privacidad y suministro externo. Además, mejora la usabilidad, claridad y mensurabilidad de los componentes del marco para facilitar su implementación, especialmente en pequeñas empresas.
La flexibilidad del NIST CSF permite adaptarlo a las necesidades específicas de cada organización y su nivel de madurez en ciberseguridad. Mediante la definición de Perfiles, las empresas pueden personalizar el marco e identificar áreas de mejora en sus programas de ciber-riesgo. La adopción del NIST CSF promueve un lenguaje común y cultura de ciberseguridad, así como la mejora continua.
No hay comentarios:
Publicar un comentario