¿Qué son los estándares de seguridad del NIST?

Publicado: 2021-01-07

Las empresas de hoy se preguntan: "¿Qué son los estándares de seguridad del NIST y cómo pueden aplicarse a ellos?"

Esto no debería ser una gran sorpresa: actualmente estamos experimentando un cambio dramático en las actitudes hacia la amenaza del delito cibernético y hay un reconocimiento cada vez mayor entre las organizaciones de que los estándares de seguridad en la seguridad de la red no son solo un aspecto importante de una empresa moderna, sino que en realidad son vitales. a su supervivencia.

Antes de la pandemia, según admitió IBM, las empresas no estaban preparadas para los ataques cibernéticos, y solo el 23% de las organizaciones indicaron que tenían un plan de respuesta a incidentes aplicado en su negocio, según IBM.

Muchas empresas simplemente no están preparadas para la cantidad y la gravedad de los ataques cibernéticos modernos, y esto no es un asunto menor: el 93 % de las empresas sin un plan de recuperación ante desastres que sufren un desastre de datos importante cierran en el plazo de un año.

Debido a la pandemia y los cambios que trajo consigo, los ciberataques se encuentran actualmente en niveles más altos que nunca, y las empresas deben responder para protegerse a sí mismas y a sus clientes.

Aquí es donde entran los marcos como NIST: las empresas buscan orientación sobre su ciberseguridad y esperan que estándares como NIST puedan proporcionarla.

En este blog, veremos qué son los estándares de seguridad del NIST, los desglosaremos y determinaremos qué tan aplicables son a las organizaciones de todo el país que desean reforzar la seguridad de su negocio.

Los crecientes ataques cibernéticos están costando a las empresas | ¿Qué son los estándares de seguridad del NIST?

¿Qué es NIST?

La Oficina Nacional de Normas, como se la conocía hasta 1988, se fundó en 1901 como una agencia no reguladora para proporcionar normas en una variedad de industrias, incluidas la fabricación, las ciencias ambientales, la seguridad pública, la nanotecnología, la tecnología de la información y más.

A lo largo de los años desde su fundación, el mandato de NIST se ha extendido a un número creciente de industrias, de las cuales la ciberseguridad (bajo TI) es solo una.

Los marcos del NIST, incluido su marco de seguridad cibernética, están destinados a ser pautas voluntarias para todas las organizaciones, excepto aquellas que tienen contratos gubernamentales, que deben cumplir con ellos.

¿Qué es el marco de ciberseguridad (CSF) del NIST?

El marco de seguridad cibernética del NIST, o CSF ​​para abreviar, se estableció por orden ejecutiva en 2013 bajo la presidencia de Obama con el fin de crear un consenso marco para abordar la seguridad cibernética con la intención de reducir el riesgo para los sistemas críticos de infraestructura pública y gubernamental.

La primera versión del CSF se publicó en 2014 y el Congreso aprobó la Ley de mejora de la seguridad cibernética de 2014 poco después con el siguiente propósito declarado:

UNA LEY Para proporcionar una asociación pública-privada voluntaria y continua para mejorar la seguridad cibernética y fortalecer la investigación y el desarrollo de la seguridad cibernética, el desarrollo y la educación de la fuerza laboral, y la conciencia y preparación pública, y para otros fines.

El presidente Trump emitió otra orden ejecutiva en 2017, instruyendo a todas las agencias federales a usar el marco.

En 2015, aproximadamente el 30 % de las empresas estadounidenses utilizaron el CSF, con un nuevo aumento al 50 % en 2020. El éxito del marco ha llevado a que se adopte no solo en los Estados Unidos, sino en todo el mundo, desde los Estados Unidos Reino a Israel.

Resumen del marco NIST

Entonces, ¿cuáles son los estándares de seguridad del NIST?

El marco de ciberseguridad del NIST se divide en tres componentes distintos: el "núcleo", los "niveles de implementación" y los "perfiles".

Centro

Framework Core es el conjunto de actividades que están diseñadas para lograr los mejores resultados de ciberseguridad deseados por los estándares NIST.

Estas actividades no son una lista de verificación, sino resultados clave identificados por las partes interesadas como significativos en la gestión del riesgo de ciberseguridad.

¿Qué son los estándares de seguridad de Elements NIST?

Hay cuatro elementos clave que componen Framework Core. Estos son:

  • Funciones: las funciones son algunos de los aspectos más reconocibles del marco de ciberseguridad del NIST. Describen las actividades básicas de seguridad desde una perspectiva de alto nivel y ayudan a las organizaciones a abordar los elementos más cruciales de la ciberseguridad. Las Funciones incluyen Identificar, Proteger, Detectar, Responder y Recuperar.
  • Categorías: las categorías se centran en los resultados comerciales y son un poco más profundas, ya que cubren objetivos dentro de las funciones principales.
  • Subcategorías: Las subcategorías son el nivel más granular de abstracción en el Núcleo. Hay un total de 108 subcategorías, que suelen estar orientadas a los resultados y diseñadas para proporcionar consideraciones para establecer o mejorar un programa de seguridad cibernética.
  • Referencias informativas: Las referencias informativas se refieren a estándares, pautas y prácticas existentes relevantes para cada subcategoría.

Los cinco componentes del marco NIST | ¿Qué son los estándares de seguridad del NIST?

Categorías NIST de las cinco funciones clave del marco de seguridad cibernética

Como señalamos, cada una de las funciones clave se divide en categorías NIST y subcategorías NIST.

Las categorías NIST son las siguientes:

Identificar

  • Gestión de activos
  • Ambiente de negocios
  • Gobernancia
  • Evaluación de riesgos
  • Estrategia de gestión de riesgos
  • Gestión de riesgos de la cadena de suministro

Publicación relacionada: ¿Qué sucede durante una auditoría de riesgos de ciberseguridad?

Proteger

  • Gestión de identidad y control de acceso
  • Concienciación y Formación
  • Seguridad de datos
  • Procesos y procedimientos de protección de la información
  • Mantenimiento
  • Tecnología de protección

Detectar

  • Anomalías y Eventos
  • Monitoreo Continuo de Seguridad
  • Procesos de detección

Responder

  • Planificación de la respuesta
  • Comunicaciones
  • Análisis
  • Mitigación
  • Mejoras

Recuperar

  • Planificación de recuperación
  • Mejoras
  • Comunicaciones

Niveles

Los niveles de implementación del marco son para ayudar a ilustrar hasta qué punto una organización puede cumplir de manera efectiva con las características descritas en las funciones y categorías del marco.

Estos niveles de implementación no se consideran niveles de madurez de ciberseguridad y no pretenden serlo.

Sin embargo, las organizaciones que cumplan con los estándares de los niveles más altos inevitablemente tendrán muchas de las características que definen a las empresas cibernéticamente maduras.

Nivel 1 (parcial)

Proceso de gestión de riesgos: las prácticas de gestión de riesgos no están formalizadas y el riesgo se gestiona de manera ad hoc.

Programa de Gestión Integral de Riesgos: Conciencia limitada del riesgo de ciberseguridad a nivel organizacional.

Participación externa: la organización no colabora con otras entidades ni comprende su función en el ecosistema más amplio.

Nivel 2 (Riesgo informado)

Proceso de gestión de riesgos: las prácticas de gestión de riesgos son aprobadas por la gerencia y priorizadas de acuerdo con los objetivos de riesgo de la organización.

Programa de Gestión Integral de Riesgos: Conciencia del riesgo de ciberseguridad a nivel organizacional, pero sin un enfoque de toda la empresa para gestionar este riesgo.

Participación Externa: La organización reconoce su rol en el ecosistema empresarial con respecto a sus dependencias o dependientes, pero no a ambos. Cierta colaboración, pero puede no actuar de manera consistente o formal sobre los riesgos presentados.

Nivel 3 (repetible)

Proceso de gestión de riesgos: Las prácticas de gestión de riesgos se aprueban formalmente y se expresan a través de una política. Las prácticas de ciberseguridad se actualizan periódicamente en función de la aplicación del proceso formal de gestión de riesgos.

Programa Integrado de Gestión de Riesgos: Se aplica un enfoque de toda la organización para la gestión de riesgos de seguridad, y el personal posee el conocimiento y las habilidades para gestionar los riesgos de seguridad.

Participación externa: el papel de la organización en el ecosistema más amplio se entiende en la medida en que pertenece a otras empresas y puede contribuir a una comprensión más amplia de los riesgos por parte de la comunidad. Colabora y recibe información de otros regularmente.

Nivel 4 (Adaptable)

Proceso de Gestión de Riesgos: Se adaptan y desarrollan prácticas de ciberseguridad en base a actividades previas y actuales, así como indicadores predictivos. Se espera la mejora continua de los procesos mediante la incorporación de tecnologías y prácticas avanzadas.

Programa de Gestión Integral de Riesgos: Se entiende claramente la relación entre el riesgo de seguridad y los objetivos organizacionales. La gestión de riesgos de seguridad es parte de la cultura organizacional y los cambios en la forma en que se aborda la gestión de riesgos se comunican de manera rápida y efectiva.

Participación externa: la organización entiende completamente su papel en el ecosistema más grande y contribuye a la comprensión de los riesgos por parte de la comunidad. Recibe, genera y prioriza información que informa el análisis constante de riesgos. Se aprovecha el análisis de datos en tiempo real y la comunicación es proactiva en lo que respecta a los riesgos asociados con los productos y servicios utilizados.

Perfil

El perfil del marco se refiere a la alineación general de funciones, categorías y subcategorías con los requisitos comerciales, la tolerancia al riesgo y los recursos de la organización.

Debido a que las diferentes empresas tienen diferentes prioridades, no habrá dos perfiles iguales, por lo que determinar el Perfil de marco único que mejor se adapte a la empresa es el aspecto clave final de los estándares NIST.

Perfil actual frente a perfil de destino

Cuando las empresas establecen perfiles para los estándares de ciberseguridad, una forma común y eficaz de saber dónde están y dónde quieren estar es crear dos perfiles: el perfil actual y el perfil objetivo.

El perfil actual se crea evaluando la capacidad de la organización para llevar a cabo las actividades de la subcategoría.

Los ejemplos de subcategorías incluyen cosas como, "Los dispositivos físicos y los sistemas dentro de la organización están inventariados" (ID.AM-1), y "Los datos en tránsito están protegidos" (PR.DS-2)".

Estos son solo dos ejemplos de las 108 subcategorías totales, pero dan una indicación de los tipos de actividades que se evalúan.

Una vez que se ha establecido el perfil actual clasificando la capacidad de la empresa para cumplir con cada subcategoría, es el momento de crear el perfil objetivo.

El perfil objetivo es efectivamente donde la empresa debe estar con su ciberseguridad para cumplir con los objetivos y prioridades de gestión de riesgos deseados.

Una vez que se ha creado el perfil objetivo, la organización puede comparar los dos y obtener una comprensión clara de dónde la empresa cumple con sus objetivos de gestión de riesgos y dónde se deben realizar mejoras.

Esta es una de las formas más efectivas de comprender completamente qué son los estándares de seguridad del NIST y qué tan directamente aplicables son a una organización en términos de mejorar sus protocolos y cumplir con las recomendaciones del CSF del NIST.

¿Quién usa el marco de ciberseguridad del NIST?

Como hemos señalado, el NIST está diseñado ante todo como un marco dirigido a aquellas empresas de la cadena de suministro federal, ya sean contratistas principales, subcontratistas u otra entidad que deba cumplir con el NIST.

Sin embargo, los estándares de NIST son aplicables a prácticamente cualquier negocio y son una fuente extremadamente valiosa para determinar las actividades de ciberseguridad actuales de una empresa y su capacidad para llevarlas a cabo con un estándar aceptable, además de descubrir prioridades nuevas y desconocidas.

El objetivo final de NIST es proporcionar un marco no solo para las organizaciones asociadas a nivel federal, sino también para el mundo empresarial en general.

Con este fin, NIST planea actualizar continuamente el marco de seguridad cibernética para mantenerlo actualizado y aplicable a cualquier persona, ya sea que necesite o no específicamente el cumplimiento de NIST CSF.

¿Ahora que?

Esperamos que esta publicación de blog lo haya ayudado a comprender qué son los estándares de seguridad NIST y cómo se usan en las organizaciones.

Si bien el cumplimiento de NIST CSF no es necesario para las organizaciones no contratadas por el gobierno o subcontratadas por un contratista del gobierno, muchas de sus actividades y protocolos se aplican a muchas otras regulaciones de cumplimiento que deben seguirse, como HIPAA, PCI, PII.

Para el cumplimiento de estas regulaciones (y muchas otras), se sugiere utilizar una solución de cumplimiento y riesgo de gobernanza (GRC) para que las actividades puedan monitorearse y mantenerse con precisión.

En Impact, ofrecemos una solución de este tipo, con opciones para la gestión híbrida o completa de GRC por parte de nuestros expertos, quienes realizarán una evaluación de riesgos y se asegurarán de que sus políticas de ciberseguridad estén exactamente donde deben estar para seguir cumpliendo.

Para obtener más información, eche un vistazo a nuestra página de Servicios de cumplimiento y conéctese con un especialista para ver cómo Impact puede encaminar el cumplimiento de su organización hoy.