NIST CFS 2.0
01
El NIST CSF (marco de ciberseguridad) es un conjunto de pautas para organizar y mejorar el programa de ciberseguridad de una organización. Fue creado con la intención de tener un marco que evolucionara con el panorama de amenazas en evolución y sirviera como una guía para que las organizaciones protegieran sus activos e información frente a amenazas emergentes.
NIST CSF es un marco voluntario que se puede adoptar para administrar y reducir los riesgos cibernéticos. Si bien su objetivo es similar al de otras normas de seguridad internacionales como la ISO 27001, el enfoque es ligeramente diferente.
Las pautas bajo NIST CSF se basan en 5 medidas básicas.
- Identificar: Identificar activos, riesgos, vulnerabilidades, estrategias para superar amenazas, etc.
- Proteger: implementar controles, procesos y procedimientos de seguridad para proteger los activos.
- Detectar: Monitorear y detectar incidentes y anomalías de seguridad.
- Responder: plan para responder a eventos de seguridad y mitigar daños.
- Recuperar: restaurar sistemas y planificar mejoras para evitar futuros incidentes.
02
El NIST CSF se creó por primera vez en 2014 en respuesta a una Orden Ejecutiva del Presidente de las Estados Unidos de América, que ordenaba una mayor seguridad cibernética de la infraestructura crítica de la nación. Desde entonces, el marco ha sido adoptado voluntariamente, o se ha exigido su adopción por regulaciones como la Ley de Educación del Estado de Nueva York 2-d, por organizaciones de todos los tamaños y en todas las industrias. El marco está organizado de acuerdo con cinco Funciones que definen las prácticas de alto nivel de cualquier programa de ciberseguridad: Identificar, Proteger, Detectar, Responder y Recuperar. Dentro de esas cinco funciones hay un total de 108 “subcategorías” o declaraciones discretas de tipo control que definen las prácticas que las organizaciones deben considerar al evaluar su propio programa de ciberseguridad. El NIST CSF está diseñado para ser independiente del proveedor y escalable. Tampoco es prescriptivo: el NIST CSF es una herramienta para usar, no una lista de verificación para seguir.
NIST ha compartido varios cambios propuestos al CSF en un intento de hacerlo más útil y alineado con las mejores prácticas más recientes. Si bien se espera que la estructura central del NIST CSF permanezca igual, varios de los cambios propuestos son mejoras prometedoras para el marco.
03
Como se comento el NIST CSF nace de la orden ejecutiva del Presidente de los estados Unidos de América Executive Order (EO) 13636, Improving Critical Infrastructure Cybersecurity (Feb. 12, 2013)
04
Actualización a Febrero 2024
- El marco de ciberseguridad (CSF) del NIST ahora apunta explícitamente a ayudar a todas las organizaciones, no solo a aquellas en infraestructura crítica, su público objetivo original, a gestionar y reducir los riesgos.
- NIST actualizó la guía principal del CSF y creó un conjunto de recursos para ayudar a todas las organizaciones a alcanzar sus objetivos de ciberseguridad, con mayor énfasis en la gobernanza y las cadenas de suministro.
- Esta actualización es el resultado de un proceso de varios años de discusiones y comentarios públicos destinados a hacer que el marco sea más efectivo.
La liga a esta actualización aqui
Esta es una guia rapida del NIST CFS 2.0
Una forma de introducción al marco de referencia NIST es a traves de este documento
Los conceptos para entender el marco NIST CFS
Resumen inicial del análisis de las respuestas a la solicitud de información (RFI)
NIST
Instituto Nacional de Estándares y Tecnología
NIST CSF
Marco para la mejora de la seguridad cibernética en infraestructuras críticas
SIte oficial del NIST - CFS
Sitio de documentación del marco de referencia
El sitio oficial del NIST contiene mucha información sobre herramientas y guías de aplicación
Traducción al español del NIST CSF v 1.1