Marco de ciberseguridad del NIST: todo lo que necesitas saber

Septiembre 1, 2020
John Emmitt
Cumplimiento del NIST

Todas las empresas con presencia en línea o digital, ya sean grandes o pequeñas, independientemente de su sector, están expuestas hoy en día al riesgo cibernético. Para ayudar a preparar y proteger a las empresas frente a estos riesgos cibernéticos, el Gobierno de Estados Unidos ha publicado orientaciones en forma de marco del Instituto Nacional de Normas y Tecnología (NIST), denominado Marco de Ciberseguridad del NIST.

¿Qué es el Marco de Ciberseguridad del NIST?

El Marco de Ciberseguridad del NIST es un marco voluntario que consta de normas, directrices y mejores prácticas publicado por el Departamento de Comercio de Estados Unidos. Se trata de un esfuerzo de colaboración entre los sectores público y privado y el mundo académico. Su objetivo inicial era mejorar la ciberseguridad de los sectores de infraestructuras críticas de Estados Unidos. Entre esos sectores clave figuraban las finanzas, la energía, la sanidad y la defensa. También estaba destinado a ser utilizado por las agencias federales, así como por los gobiernos estatales y locales. La versión 1.0 del NIST CSF se publicó en febrero de 2014.

El marco se ha revisado desde entonces, con el objetivo de hacerlo lo bastante flexible para que puedan utilizarlo pequeñas y grandes empresas de todos los sectores industriales. También tiene una aplicabilidad más amplia no solo a las TI, sino también al IoT- Internet de las cosas. La última versión del NIST CSF es la versión 1.1, que se publicó en abril de 2018. La nueva versión incluyó actualizaciones sobre lo siguiente:

  • Autenticación y gestión de identidades
  • Autoevaluación del riesgo de ciberseguridad
  • Gestión de la ciberseguridad en la cadena de suministro (incluida la orientación para la compra de productos y servicios comerciales disponibles en el mercado).
  • Revelación de vulnerabilidades
  • Aclaraciones sobre la relación entre los niveles de aplicación y los perfiles

En el momento de su publicación, el secretario de Comercio, Wilbur Ross, afirmó: «El Marco de Ciberseguridad del NIST, de carácter voluntario, debería constituir la primera línea de defensa de toda empresa. La adopción de la versión 1.1 es imprescindible para todos los directores generales». Esto sigue siendo válido hoy en día.

Marco de ciberseguridad del NIST, versión 1.1
NIST Cybersecurity Framework Version 1.1 - Crédito: N. Hanacek/NIST

El Marco de Ciberseguridad del NIST consta de tres componentes, en los que profundizaremos a continuación.

¿Cuáles son los tres componentes del Marco de Ciberseguridad del NIST?

Los tres componentes principales del marco son:

  1. Núcleo del marco: conjunto de resultados deseados en materia de ciberseguridad, organizados jerárquicamente, que incluye las cinco funciones de un programa de ciberseguridad: identificar, proteger, detectar, responder y recuperar.
  2. Niveles de Implementación: Los Niveles que van de Parcial (Nivel 1) a Adaptativo (Nivel 4) proporcionan una medida cualitativa de la práctica de gestión de riesgos de ciberseguridad en la organización.
  3. Perfiles: Los perfiles consisten en la alineación por parte de una organización de sus requisitos y objetivos, su apetito de riesgo y sus recursos, utilizando los resultados deseados del núcleo del Marco. Estos identifican oportunidades para mejorar la postura de ciberseguridad mediante la comparación de un perfil «actual» con un perfil «objetivo».

Profundicemos en cada uno de estos componentes y veamos cómo forman el conjunto del marco.

Marco básico

El núcleo del marco consta de tres partes: funciones, categorías y subcategorías; y, como se ha mencionado anteriormente, incluye cinco funciones de alto nivel: identificar, proteger, detectar, responder y recuperar. Las categorías abarcan los objetivos de ciberseguridad de una organización y las subcategorías son declaraciones orientadas a los resultados que proporcionan consideraciones para crear o mejorar un programa de ciberseguridad. Los tres componentes del núcleo funcionan en consonancia para ayudar a una organización a gestionar sus riesgos mediante la organización de la información, la respuesta a las amenazas y el aprendizaje de incidentes anteriores.

La imagen siguiente muestra las categorías de cada función.

Marco básico
Marco básico

Niveles de aplicación

Los niveles de aplicación se componen de cuatro niveles: parcial, basado en el riesgo, repetible y adaptativo. Estos niveles describen diferentes grados de sofisticación en las medidas adoptadas por una organización. Los procesos de riesgo de ciberseguridad que indican colectivamente un nivel son:

  • Proceso de gestión de riesgos: La funcionalidad y repetibilidad de la gestión de riesgos de ciberseguridad
  • Programa integrado de gestión de riesgos: La medida en que la ciberseguridad se tiene en cuenta en las decisiones más amplias de gestión de riesgos.
  • Participación externa: El grado en que la organización se beneficia al compartir o recibir información de partes externas.

Aunque los niveles no representan niveles de madurez, una organización debe determinar el nivel deseado y asegurarse de que cumple los objetivos del nivel mediante la implementación de las acciones necesarias y la reducción del riesgo de ciberseguridad.

Niveles de aplicación
Niveles de aplicación

Perfiles

Este componente del Marco de Ciberseguridad del NIST permite a las organizaciones establecer una hoja de ruta para reducir el riesgo de ciberseguridad fijando sus objetivos organizativos, alineando cualquier riesgo cibernético potencial con estos objetivos y siguiendo las normas y mejores prácticas del sector para evitar estos riesgos.

Una organización puede comparar sus requisitos de ciberseguridad, objetivos de misión y metodologías operativas, junto con las prácticas actuales, con las subcategorías del Marco Básico.

Perfiles marco
Niveles del marco

En la imagen anterior, al comparar un Perfil "Actual" con un Perfil "Objetivo", el análisis de la brecha entre los perfiles permite a las organizaciones crear un plan de implementación priorizado.

Utilización del Marco de Ciberseguridad del NIST

Aquí tiene 7 pasos que debe seguir para implementar el Marco de Ciberseguridad del NIST en su organización:

  1. Priorización y alcance - Identificar los objetivos y prioridades de la organización e identificar los sistemas y activos de TI relevantes para estos objetivos. Estos activos deben priorizarse para ser protegidos a toda costa.
  2. Orientar - Identificar los sistemas y activos relacionados y los requisitos reglamentarios relativos a estos sistemas. A continuación, identifique las vulnerabilidades de estos sistemas y activos y las amenazas a las que podrían enfrentarse.
  3. Crear un Perfil Actual - El Perfil Actual de su organización debe integrar cada control que se encuentra en el Marco de Ciberseguridad del NIST con el fin de determinar qué resultados de control se están logrando.
  4. Realice una evaluación de riesgos: determine la probabilidad de que se produzcan incidentes de ciberseguridad y el impacto que podrían tener en su organización.
  5. Cree un perfil objetivo - Determine dónde quiere que se encuentre su organización en términos de postura de ciberseguridad. Cree una puntuación de madurez objetivo que incorpore la evaluación de Categorías y Subcategorías del marco y trabaje para obtener los resultados deseados.
  6. Determinar, analizar y priorizar las bre chas - Cerrar las brechas entre el Perfil Actual y el Perfil Objetivo. Cree un plan de acción que incluya la determinación del presupuesto, los riesgos y las tareas que deben ejecutarse para colmar las lagunas del Perfil Actual.
  7. Implemente el Plan de Acción - Tome las medidas necesarias para cerrar las brechas según lo discutido anteriormente. Ajuste sus prácticas de ciberseguridad para alcanzar su Perfil Objetivo.

El Marco de Ciberseguridad del NIST, aunque voluntario, es muy recomendable como forma de formular y gestionar sus programas y procesos de ciberseguridad. El marco:

  • Garantiza que se disponga de políticas y normas de seguridad sólidas
  • Ayuda a su organización a reforzar su nivel general de seguridad frente a las amenazas cibernéticas en constante evolución
  • Ofrece un proceso para la mejora continua de las prácticas de seguridad de su organización

Kaseya Compliance Manager permite a las organizaciones demostrar fácilmente su cumplimiento del Marco de Ciberseguridad del NIST. Ofrece a los usuarios una visión general de alto nivel sobre el grado de cumplimiento de su organización con respecto al marco, identifica las deficiencias en materia de protección y cumplimiento de la organización y genera una lista de incidencias que los usuarios deben resolver para garantizar el cumplimiento.

Los usuarios también reciben una matriz de puntuación de riesgos que pueden utilizar para priorizar los riesgos y asignar adecuadamente los fondos y los recursos, con el fin de garantizar que se resuelvan los problemas identificados.

*Todas las imágenes proceden del sitio web del NIST.

Una plataforma completa para la gestión de TI y seguridad

Kaseya 365 es la solución integral para gestionar, proteger y automatizar las TI. Gracias a sus integraciones fluidas en todas las funciones críticas de TI, simplifica las operaciones, refuerza la seguridad y aumenta la eficiencia.

Solicite una demostración Descubre Kaseya 365

Una plataforma. Todo en uno para TI.

Los clientes de Kaseya 365 disfrutan de las ventajas de las mejores herramientas de gestión de TI y seguridad en una única solución.

Descubre Kaseya 365

Su éxito es nuestra prioridad número 1

Partner First es un compromiso de condiciones flexibles, riesgo compartido y soporte dedicado a su empresa.

Descubre Partner First Pledge

Informe Global de Referencia para MSP 2025

El Informe Global de Referencia para MSP 2025 de Kaseya es su recurso de referencia para comprender hacia dónde se dirige la industria.

Descargar ahora

Explora las categorías

¿Qué es la conformidad NIST? Guía de normas, marco y controles del NIST

La protección de datos es una de las principales preocupaciones de las empresas, tanto grandes como pequeñas, y ahí es donde entra en juego el NIST. El NIST, oSeguir leyendo

Leer la entrada del blog