Tabla de Contenidos
En el entorno empresarial actual, los riesgos de ciberseguridad se han convertido en uno de los desafíos más críticos que enfrentan las organizaciones. La creciente dependencia de la tecnología y la transformación digital ha expuesto a las empresas a una amplia gama de amenazas y riesgos cibernéticos, incluidos ataques de ransomware, brechas de datos, robo de propiedad intelectual y ataques de phishing, entre otros.
Además, el panorama de amenazas está en constante evolución, con actores maliciosos que emplean tácticas cada vez más sofisticadas y alianzas internacionales de crimen organizado. Los riesgos de ciberseguridad no solo pueden resultar en pérdidas financieras directas, sino que también pueden dañar la reputación de una empresa, afectar la confianza del cliente, y tener implicaciones legales y regulatorias.
En un mundo cada vez más interconectado, la protección contra riesgos de ciberseguridad es fundamental para garantizar la continuidad del negocio, salvaguardar activos valiosos y mantener la confianza en las organizaciones. Esto hace que la gestión de la ciberseguridad sea una prioridad estratégica esencial para las organizaciones de hoy en día.
El NIST Cybersecurity Framework (CSF) es un conjunto de directrices y mejores prácticas diseñado para ser aplicable y útil a una amplia gama de organizaciones, independientemente de su tamaño, industria o ubicación geográfica, que permite a las organizaciones medir y elevar su nivel de madurez de ciberseguridad. En el año 2014 fue publicada la primera versión. La intención era proporcionar un marco general sobre el cual las infraestructuras críticas y las agencias de gobierno podían medir y mejorar el nivel de madurez de ciberseguridad.
El National Institute of Standards and Technology (NIST) se encuentra en medio de la mayor reforma de su Cybersecurity Framework desde la versión 1.1 que fue publicada en el año 2018. A la fecha se ha liberado un borrador de discusión de los cambios propuestos, que busca mejorar las prácticas de ciberseguridad y ayudar a las organizaciones a gestionar los riesgos de ciberseguridad de una manera más eficiente. Los cambios propuestos incluyen la adición de nuevas categorías de riesgos de seguridad y privacidad, la actualización de la orientación existente y hacer que el marco sea más fácil de usar para todo tipo de organización.
Algunas de las nuevas categorías de riesgo de seguridad incluyen el riesgo de la cadena de suministro, la gobernanza de ciberseguridad y la medición correcta de la ciberseguridad. El marco revisado se espera que proporcione orientación para organizaciones de todos los tamaños y en todos los sectores, incluidos el gobierno, la infraestructura crítica y el sector privado.
Nuevas Categorías de Seguridad y Riesgo
Algunas de las nuevas categorías de riesgo de seguridad incluyen riesgo de la cadena de suministro, gobernanza de ciberseguridad y medición de ciberseguridad. Todo esto con el fin de atacar los riesgos que han ido surgiendo en el paso de los años y que no se contemplaban antes. Se espera que el marco revisado brinde orientación a organizaciones de todos los tamaños y en todos los sectores, incluidos el gobierno, infraestructuras críticas y el sector privada.
Función de Gobernanza
Uno de los cambios más importantes en la versión 2.0 es la adición de la función de Gobernanza, adicional a las 5 ya existentes. Esta nueva función enfatizará la gobernanza de la gestión de riesgos de ciberseguridad, destacando el papel crítico que desempeña la gobernanza de la ciberseguridad en la gestión y reducción del riesgo. Además, la nueva función alineará las actividades de ciberseguridad con los riesgos empresariales y los requisitos legales y contractuales.
Las categorías que cubren la gobernanza en la versión actual del CSF serán trasladadas a la nueva función de Gobernanza, y las subcategorías se expandirán para crear categorías separadas bajo la nueva función. Se espera que la nueva función de Gobernanza informe y respalde las otras 5 funciones, lo que significa que estos controles serán fundamentales para todas las demás actividades de ciberseguridad. Esto nos lleva a pensar que la madurez de la gobernanza en una organización será un factor clave en la implementación de cualquier marco o estándar de ciberseguridad.
Medición y Evaluación
La versión 2.0 del CSF también se centrará en la medición y evaluación de los programas y estrategias de gestión de riesgos de ciberseguridad, “Lo que no se mide, no se puede mejorar”. El enfoque busca que la inversión en ciberseguridad sea más inteligente, que los recursos de las organizaciones se coloquen donde se necesita. Se tiene en cuenta la necesidad de orientación y recursos adicionales para apoyar la medición y evaluación del uso del CSF por parte de una organización en la versión actual, algo que el NIST está ansioso por remediar con estos cambios propuestos.
El CSF 2.0 aclarará cómo las organizaciones pueden usar los Niveles de Implementación y proporcionará ejemplos de implementación para ayudar a las organizaciones a evaluar, cuantificar y comunicar sus capacidades de ciberseguridad. Pasando de una versión que dependía de métodos cualitativos a una versión cuantitativa. NIST no presentará un enfoque único y definitivo para la evaluación, sino que incluirá ejemplos de cómo las organizaciones han combinado el CSF con estrategias de gestión de riesgos para comunicar la efectividad de su programa de ciberseguridad. El objetivo es proporcionar un lenguaje común para comunicar los resultados y respaldar las decisiones de gestión de riesgos en todas las organizaciones, comunicando efectivamente a todas las partes interesadas esos resultados.
El énfasis de NIST en la medición en esta nueva revisión del CSF buscará proporcionar un enfoque estructurado y estandarizado para medir el desempeño de la ciberseguridad. La atención en la medición del desempeño en CSF 2.0 también ayudará a las organizaciones a implementar la Gestión del Rendimiento de Ciberseguridad (CPM) de manera más efectiva. CPM requiere el uso de métricas e indicadores clave de rendimiento (KPI) para medir la efectividad de los programas de ciberseguridad, y CSF 2.0 proporcionará orientación sobre la selección y uso de estas métricas y KPI. Esto permitirá a las organizaciones medir el impacto de sus inversiones en ciberseguridad y mejorar continuamente su postura de ciberseguridad.
El Cybersecurity Performance Management (CPM) se refiere a la metodología y prácticas empleadas para medir y evaluar la efectividad de los programas y controles de ciberseguridad dentro de una organización. Al centrarse en el uso de métricas e indicadores clave de rendimiento (KPI), el CPM permite a las organizaciones cuantificar y comunicar su postura de seguridad y el impacto de sus inversiones en ciberseguridad. Esto implica un monitoreo continuo y la evaluación de cómo los controles de seguridad están funcionando en relación con los objetivos establecidos. A través del CPM, las organizaciones pueden identificar áreas de mejora, tomar decisiones basadas en datos para optimizar las estrategias de seguridad y, en última instancia, mejorar su capacidad para mitigar y gestionar los riesgos de ciberseguridad.
Fechas Importantes
- NIST liberó el borrador de discusión de la versión 2.0 del CSF en abril de 2023.
- La fecha de lanzamiento esperada de la versión 2.0 del NIST CSF es el primer trimestre de 2024.
Relaciones con Otros Estándares
Es importante para los profesionales de ciberseguridad comprender cómo el NIST CSF se relaciona con otros estándares y buenas prácticas internacionales, como ISO 27001 e ISO 27002. A medida que la versión 2.0 del CSF evolucione, es probable que continúe habiendo una estrecha correlación entre estos estándares. NIST CSF ha sido conocido por estar alineado con ISO 27001, lo que permite una integración más fluida de las prácticas de gestión de la seguridad de la información. La inclusión de una función de gobernanza en el CSF 2.0 probablemente fortalecerá aún más esta relación, al permitir un enfoque más estructurado para la gobernanza de la seguridad de la información, similar a lo que se encuentra en ISO 27001.
Fecha de Publicación Final y Próximos Pasos
La versión final de NIST CSF 2.0 está programada para ser publicada en el primer trimestre de 2024. Esto brinda a los profesionales de ciberseguridad tiempo para familiarizarse con los cambios propuestos y planificar la implementación en sus organizaciones. Se recomienda revisar el borrador de discusión y proporcionar comentarios, si es necesario, para contribuir al desarrollo de un marco que se adapte a las necesidades cambiantes de la industria.
La versión 2.0 del NIST Cybersecurity Framework representa un avance significativo en la evolución del marco, con un enfoque renovado en la gobernanza y la medición del rendimiento de la ciberseguridad. Al agregar nuevas categorías de seguridad y riesgo, y al poner un énfasis particular en la gobernanza y la medición, el NIST CSF 2.0 se alinea más estrechamente con las necesidades actuales de las organizaciones para abordar y gestionar los riesgos de ciberseguridad de manera más efectiva.
Las organizaciones de todos los tamaños y sectores se beneficiarán de la guía actualizada y las herramientas proporcionadas en CSF 2.0, lo que les permitirá adoptar un enfoque más basado en datos y basado en evidencia para la gestión de riesgos de ciberseguridad.
Es esencial que las organizaciones comprendan y se preparen para estos cambios, y consideren cómo la versión 2.0 del NIST Cybersecurity Framework puede mejorar sus prácticas de gestión de riesgos y fortalecer su postura de ciberseguridad general.