Marco de ciberseguridad del NIST: una hoja de trucos para profesionales


El marco del Instituto Nacional de Estándares y Tecnología de EE. UU. Define la política federal, pero también puede ser utilizado por empresas privadas. Esto es lo que necesita saber.

El mundo tecnológico tiene un problema: la fragmentación de la seguridad. No existe un conjunto estándar de reglas para mitigar el riesgo cibernético, ni siquiera un lenguaje, que se utilice para abordar las crecientes amenazas de piratas informáticos, ransomware y datos robados, y la amenaza a los datos sigue creciendo.

El presidente Barack Obama reconoció la amenaza cibernética en 2013, lo que llevó a su orden ejecutiva de ciberseguridad que intenta estandarizar las prácticas. La orden ejecutiva de ciberseguridad de 2017 del presidente Donald Trump fue un paso más allá e convirtió el marco creado por la orden de Obama en la política del gobierno federal.

Sin embargo, el marco no es solo para uso gubernamental: se puede adaptar a empresas de cualquier tamaño.

Hoja de trucos de TechRepublic sobre el Marco de ciberseguridad del Instituto Nacional de Estándares y Tecnología (NIST CSF) es una introducción rápida a esta nueva mejor práctica recomendada por el gobierno, así como una guía "viva" que se actualizará periódicamente para reflejar los cambios en la documentación del NIST.

VER: Todas las hojas de trucos de TechRepublic y las guías para personas inteligentes

Resumen ejecutivo

  • ¿Qué es el marco de ciberseguridad del NIST? El NIST CSF es un conjunto de estándares opcionales, mejores prácticas y recomendaciones para mejorar la ciberseguridad y la gestión de riesgos a nivel organizacional. NIST escribió el CSF a instancias de Obama en 2014.
  • ¿Por qué es importante el marco de ciberseguridad del NIST? A medida que los ciberataques se vuelven más complejos, repelerlos se vuelve más difícil, especialmente sin una única estrategia cohesiva para la seguridad de la información y las organizaciones del sector privado. El CSF tiene como objetivo estandarizar las prácticas para garantizar una protección uniforme de todos los activos cibernéticos de EE. UU.
  • ¿A quién afecta el marco de ciberseguridad del NIST? El CSF afecta a cualquier persona que tome decisiones sobre ciberseguridad y riesgos de ciberseguridad en sus organizaciones, y a los responsables de implementar nuevas políticas de TI.
  • ¿Cuándo se implementa el marco de ciberseguridad del NIST? Obama pidió la creación del CSF en una orden ejecutiva emitida en 2013, y NIST publicó las pautas un año después. La orden ejecutiva de seguridad cibernética de Trump de 2017 la convirtió en política del gobierno federal, y en 2018 el NIST lanzó una versión actualizada del CSF, la versión 1.1.
  • ¿Cómo puedo implementar el marco de ciberseguridad de NIST? NIST tiene documentación completa del CSF en su sitio web, junto con enlaces a preguntas frecuentes, recursos de la industria y otra información necesaria para facilitar la transición empresarial al mundo CSF.

VER: Los gobiernos y los estados nacionales ahora se están capacitando oficialmente para la guerra cibernética: una mirada al interior (descarga de PDF) (TechRepublic)

¿Qué es el marco de ciberseguridad del NIST?

Obama firmó Orden ejecutiva 13636 en 2013, titulado Mejoramiento de la ciberseguridad de la infraestructura crítica, que sentó las bases para la Marco de ciberseguridad del NIST que se publicó en 2014. El objetivo del CSF es crear un lenguaje común, un conjunto de estándares y una serie de objetivos fácilmente ejecutables para mejorar la ciberseguridad y limitar el riesgo de ciberseguridad.

Los estándares de CSF son completamente opcionales; no hay penalización para las organizaciones que no deseen seguir sus estándares. Sin embargo, eso no significa que no sea un punto de partida ideal: se creó con escalabilidad e implementación gradual para que cualquier empresa pueda beneficiarse y mejorar sus prácticas de seguridad y prevenir un evento de ciberseguridad.

El marco en sí se divide en tres componentes: núcleo, niveles de implementación y perfiles.

VER: Por qué el ransomware se ha convertido en un problema tan grande para las empresas (TechRepublic)

Núcleo del marco

El núcleo es "un conjunto de actividades para lograr resultados específicos de ciberseguridad, y ejemplos de referencia de orientación para lograr esos resultados". Se desglosa además en cuatro elementos: Funciones, categorías, subcategorías y referencias informativas.

  • Funciones: Hay cinco funciones que se utilizan para organizar los esfuerzos de ciberseguridad en el nivel más básico: Identificar, proteger, detectar, responder y recuperar. Juntas, estas cinco funciones forman un enfoque de alto nivel para proteger los sistemas y responder a las amenazas; considérelas como sus tareas básicas de gestión de incidentes.
  • Categorias: Cada función contiene categorías que se utilizan para identificar tareas o desafíos específicos dentro de ella. Por ejemplo, la función de protección podría incluir control de acceso, actualizaciones periódicas de software y programas anti-malware.
  • Subcategorías: Estas son otras divisiones de categorías con objetivos específicos. La categoría de actualizaciones de software regulares podría dividirse en tareas como asegurarse de que Wake on LAN esté activo, que las actualizaciones de Windows estén configuradas correctamente y actualizar manualmente las máquinas que faltan.
  • Referencias informativas: La documentación, los pasos para la ejecución, los estándares y otras pautas entrarían en esta categoría. Un buen ejemplo en la categoría de actualización manual de Windows sería un documento que describa los pasos para actualizar manualmente las PC con Windows.

VER: Ataque de ransomware: por qué una pequeña empresa pagó el rescate de 150.000 dólares (TechRepublic)

Niveles de implementación

Hay cuatro niveles de implementación y, aunque los documentos de CSF no los consideran niveles de madurez, los niveles más altos se consideran una implementación más completa de los estándares de CSF para proteger la infraestructura crítica.

  • Tier 1: Llamada implementación parcial, las organizaciones en el Nivel 1 tienen una postura de ciberseguridad reactiva y ad-hoc para proteger sus datos. Tienen poca conciencia del riesgo de ciberseguridad organizacional y los planes implementados a menudo se realizan de manera inconsistente.
  • El nivel 2: Las organizaciones informadas sobre los riesgos de ciberseguridad pueden estar aprobando medidas de ciberseguridad, pero la implementación aún es fragmentaria. Son conscientes de los riesgos, tienen planes y cuentan con los recursos adecuados para protegerse de la violación de datos, pero no han llegado a un punto proactivo.
  • Nivel 3: El tercer nivel se denomina repetible, lo que significa que una organización ha implementado los estándares CSF en toda la empresa y puede responder repetidamente a las crisis cibernéticas. La política se aplica de manera coherente y los empleados están informados de los riesgos.
  • Nivel 4: Denominado adaptativo, este nivel indica la adopción total del CSF. Las organizaciones adaptables no solo están preparadas para responder a las amenazas cibernéticas, sino que detectan de manera proactiva las amenazas y predicen problemas en función de las tendencias actuales y su arquitectura de TI.

Perfiles

Los perfiles son tanto bosquejos del estado actual de ciberseguridad de una organización como hojas de ruta hacia los objetivos de CSF para proteger la infraestructura crítica. NIST dijo que tener múltiples perfiles, tanto actuales como de objetivos, puede ayudar a una organización a encontrar puntos débiles en sus implementaciones de ciberseguridad y facilitar el paso de niveles inferiores a superiores.

Los perfiles también ayudan a conectar las funciones, categorías y subcategorías con los requisitos comerciales, la tolerancia al riesgo y los recursos de la organización más grande a la que sirve. Piense en los perfiles como un resumen ejecutivo de todo lo que se hizo con los tres elementos anteriores del CSF.

Recursos adicionales

¿Por qué es importante el marco de ciberseguridad del NIST?

El mundo de la ciberseguridad está increíblemente fragmentado a pesar de su importancia cada vez mayor para las operaciones comerciales diarias. Las organizaciones no comparten información, los profesionales de TI y los ejecutivos de nivel C eluden sus propias políticas y todos parecen estar hablando en su propio lenguaje de ciberseguridad.

El objetivo de NIST con la creación del CSF es ayudar a eliminar el panorama caótico de ciberseguridad en el que nos encontramos, y no podría importar más en este punto de la historia del mundo digital.

Las amenazas a la seguridad cibernética y las violaciones de datos continúan aumentando, y los últimos desastres aparentemente surgen de la nada y la razón por la que constantemente nos toman desprevenidos es simple: no existe un marco cohesivo que una el mundo de la ciberseguridad.

A medida que pasa el tiempo y cambian las necesidades de las organizaciones, el NIST planea actualizar continuamente el CSF para mantenerlo relevante. Las actualizaciones del CSF ocurren como parte de la conferencia anual del NIST sobre el CSF y tienen en cuenta los comentarios de los representantes de la industria, por correo electrónico y mediante solicitudes de comentarios y solicitudes de información que el NIST envía a las grandes organizaciones.

"Si el NIST se entera de que la industria no está preparada para una nueva actualización, o si no se han identificado suficientes funciones para justificar una actualización, el NIST continúa recopilando comentarios y sugerencias para mejorar las funciones, llevando esos temas a la Conferencia anual de gestión de riesgos de ciberseguridad para su discusión, hasta el momento en que se justifique una actualización ", dijo NIST.

Recursos adicionales

¿A quién afecta el marco de ciberseguridad del NIST?

El CSF afecta literalmente a todos los que tocan una computadora por motivos de negocios. Los equipos de TI y los CXO son responsables de implementarlo; los empleados regulares son responsables de seguir los estándares de seguridad de su organización; y los líderes empresariales son responsables de capacitar a sus equipos de seguridad para proteger su infraestructura crítica.

El grado en que el CSF afectará a la persona promedio tampoco disminuirá con el tiempo, al menos no hasta que vea una implementación generalizada y se convierta en el nuevo estándar en la planificación de la ciberseguridad.

Si parece un dolor de cabeza, es mejor enfrentarlo ahora: ignorar las recomendaciones del NIST solo conducirá a una responsabilidad en el futuro con un evento de ciberseguridad que podría haberse evitado fácilmente. Acepte los dolores de crecimiento como un paso positivo en el futuro de su organización.

Recursos adicionales

¿Cuándo se implementa el marco de ciberseguridad del NIST?

El presidente Obama dio instrucciones al NIST para desarrollar el CSF en 2013, y el LCR se emitió oficialmente en 2014. Orden ejecutiva de ciberseguridad del presidente Trump firmado el 11 de mayo de 2017 formalizó el CSF como el estándar al que se rige toda la TI del gobierno y dio a los jefes de agencias 90 días para preparar planes de implementación.

Las organizaciones del sector privado aún tienen la opción de implementar el CSF para proteger sus datos; el gobierno no lo ha establecido como un requisito para cualquiera que opere fuera del gobierno federal.

En 2018, la primera actualización importante del CSF, versión 1.1, estaba publicado. La mayoría de los cambios se produjeron en forma de aclaraciones y definiciones ampliadas, aunque un cambio importante se produjo en la forma de una cuarta sección diseñada para ayudar a los líderes de ciberseguridad a utilizar el CSF como una herramienta para autoevaluar los riesgos actuales.

Si bien es breve, la sección 4.0 describe los resultados del uso del marco para la autoevaluación, dividiéndolo en cinco objetivos clave:

  • Examinar la ciberseguridad organizacional para determinar qué niveles de implementación de destino se seleccionan,
  • Determinar los niveles de implementación actuales y utilizar ese conocimiento para evaluar el enfoque organizacional actual de la ciberseguridad.
  • Establecer objetivos de resultados mediante el desarrollo de perfiles de objetivos,
  • Evaluar los perfiles actuales para determinar qué pasos específicos se pueden tomar para lograr los objetivos deseados.
  • Utilizar las referencias informativas del CSF para determinar el grado de implementación de controles, catálogos y guías técnicas.

Recursos adicionales

¿Cómo puedo implementar el marco de ciberseguridad de NIST?

los Sitio web del marco de NIST está lleno de recursos para ayudar a los responsables de la toma de decisiones de TI a comenzar el proceso de implementación. Contiene el texto completo del marco, Preguntas frecuentes, herramientas de referencia, módulos de aprendizaje en línea e incluso vídeos de profesionales de la ciberseguridad hablando de cómo les ha afectado el CSF.

De particular interés para los responsables de la toma de decisiones de TI y los profesionales de la seguridad es el página de recursos de la industria, donde encontrará estudios de caso, pautas de implementación y documentos de varias organizaciones gubernamentales y no gubernamentales que detallan cómo han implementado o incorporado el CSF en su estructura.

No hay mejor momento que ahora para implementar el CSF: todavía es relativamente nuevo, puede mejorar la postura de seguridad de organizaciones grandes y pequeñas, y podría posicionarlo como líder en prácticas de ciberseguridad con visión de futuro y prevenir un evento catastrófico de ciberseguridad.

Recursos adicionales

cyber-globe.jpg "src =" https://www.techrepublic.com/a/hub/i/r/2017/05/19/16b00b20-b881-47a1-9ea6-f3c1673ffa04/resize/770x/b2eddaac581575da48d2a2a2825e0867/cyber -globe.jpg

Imagen: iStock / monsitj



Enlace a la noticia original