La evolución de NIST Cybersecurity Framework (CSF) a la versión 2.0: un enfoque ampliado y actualizado

Con el objetivo de dar respuesta a la Orden Ejecutiva 13636 del Gobierno de los Estados Unidos -bajo la presidencia de Barak Obama- de mejorar la ciberseguridad de las infraestructuras críticas de este país, su Instituto Nacional de Estándares y Tecnología (NIST por sus siglas en inglés, National Institute of Standards and Technology) publicó en 2014 un documento marco que constituye hoy día un enfoque mundialmente reconocido para la mejora de la ciberseguridad en organizaciones de todo tipo: el NIST Cibersecurity Framework (NIST CSF). 

El pasado 26 de febrero vio la luz la tan esperada versión 2.0 de este marco de referencia, reflejando y teniendo en cuenta tendencias y amenazas actuales con implicaciones en la ciberseguridad de cualquier institución. 

En esta última edición, el NIST CSF pone especial foco de atención en la gobernanza como función que  acompaña y da soporte a los procesos, personas y tecnología que habilitan la ciberseguridad, más en línea con otros modelos como el BMIS de ISACA, ISO/IEC 27001 o el propio concepto GRC, que trata de integrar el proceso de seguridad, garantizando que el Gobierno esté correctamente implantado antes de que se puedan gestionar los Riesgos de un modo efectivo, en pro de exigir y asegurar el Cumplimiento.

Igualmente, el NIST CSF 2.0 refleja ahora la relevancia de la cadena de suministro en el riesgo empresarial, en consonancia con las diferentes regulaciones que se están promulgando en los últimos años (como NIS2 y DORA que abordamos en nuestra última newsletter) y pone encima de la mesa nuevos riesgos promovidos por tecnologías emergentes, como aquellos relacionados con el uso de la inteligencia artificial. 

Este documento, no siendo ni mucho menos el único enfoque existente, es un modelo de alto nivel que las organizaciones pueden usar para desarrollar o mejorar su estrategia en cuanto a la seguridad de la información, así como para alinear su programa o sistema de gestión en esta materia, con sus objetivos de negocio. En definitiva, permite generar una hoja de ruta, en forma de plan o planes de acción, que consiga evolucionar la seguridad desde un estado actual a otro deseado (o marcado como objetivo) para la entidad en un ciclo de mejora continua.

Para ello, el NIST CSF 2.0 se apoya en los siguientes elementos:

CSF Core (funciones núcleo). 

Actividades clave en cualquier programa de seguridad de la información, agrupadas en 22 categorías y 106 subcategorías, dentro de cada una de las siguientes funciones:

• Gobernar. Permite establecer, comunicar y monitorizar la estrategia, expectativas y política de ciberseguridad de la organización.
• Identificar. Trata de determinar el riesgo de ciberseguridad actual y que este sea entendido.
• Proteger: Respalda la capacidad de utilizar salvaguardas para prevenir o reducir los riesgos.
• Detectar: Posibilita el descubrimiento y análisis de posibles ataques y compromisos.
• Responder: Habilita medidas con respecto a un incidente de ciberseguridad detectado.
• Recuperar: Implica actividades para restaurar activos y operaciones que se vean afectados por un incidente de ciberseguridad.

CSF Profiles (perfiles). 

Conforman un mecanismo y metodología para alinear los elementos clave del Framework (funciones, categorías, subcategorías) con los requisitos de negocio, apetito al riesgo y recursos disponibles de la organización.  Para ello, se puede identificar un perfil actual y un perfil deseado utilizando los CSF Tiers al objeto de crear un plan o planes de acción.

CSF Tiers (niveles). 

En línea con otros modelos existentes (SEI-CMM), estos rangos, aplicados a los perfiles del CSF, permiten evaluar el nivel de madurez actual y objetivo de la organización en materia de ciberseguridad. Los diferentes niveles caracterizan las prácticas de la organización desde respuestas reactivas e informales hasta propuestas proactivas y toma de decisiones informadas respecto a los riesgos de seguridad de la información:

• • Tier 1: Partial
  • Tier 2: Risk Informed
  • Tier 3: Repeatable
  • Tier 4: Adaptative

Adicionalmente, otros recursos complementan esta publicación:

• CSF Informative References. Se trata de referencias que permiten ver la interrelación del NIST CSF 2.0 y otros documentos y modelos.
• Ejemplos de implementación. Sin conformar un conjunto de controles al uso, orientan en el modo de lograr un resultado concreto dentro de las actividades que se explicitan en cada subcategoría.
• Guías de inicio rápido y plantillas. Ofrecen orientación práctica y sencilla sobre el uso del CSF.

Es imperativo mencionar que NIST CSF 2.0 admite el uso de diferentes metodologías y marcos de gestión de riesgos de sistemas y seguridad de la información, persiguiendo el lineamiento con la gestión de riesgo empresarial. En este sentido, entre algunas referencias de interés de esta misma agencia gubernamental, figuran las siguientes:

• Risk Management Framework (RMF) for Information Systems and Organizations (NIST SP 800-37 Rev. 2)
• Information and Communications Technology (ICT) Risk Outcomes: Integrating ICT Risk Management Programs with the Enterprise Risk Portfolio (NIST SP 800-221A).
• Identifying and Estimating Cybersecurity Risk for ERM (NIST IR 8286A)
• Guide for Conducting Risk Assessments (NIST SP 800-30 Rev. 1)
• Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations (NIST SP 800-161 Rev. 1)
• Artificial Intelligence Risk Management Framework (NIST AI 100-1)

Por añadidura, y como no podía esperarse de otro modo, la última versión del NIST CSF es compatible con varios marcos de controles de seguridad al objeto de dar tratamiento a los diferentes riesgos identificados, como el que el propio NIST dispuso en su publicación especial 800-53: Security and Privacy Controls for Information Systems and Organizations.