El NIST CSF 2.0 es el marco de ciberseguridad que cada vez más clientes utilizan para estructurar sus programas de seguridad y evaluar el nivel de seguridad de los equipos de TI y los proveedores de servicios gestionados (MSP) con los que trabajan. Sustituyó al CSF 1.1 en febrero de 2024, lo que supuso la actualización más importante desde el lanzamiento original del marco en 2014; para cualquier organización que haya diseñado su programa de seguridad basándose en el CSF 1.1, estos cambios tienen un impacto operativo significativo.
El cambio más destacado es la nueva sexta función, «Gobernar». Se suma a las cinco originales (Identificar, Proteger, Detectar, Responder, Recuperar) y aborda lo que el CSF 1.1 dejó sin especificar suficientemente: quién es responsable de las decisiones en materia de ciberseguridad, cómo se integra la gestión de riesgos en el conjunto de la empresa y cómo se gestiona el riesgo de la cadena de suministro. El CSF 2.0 también abandona el enfoque original de «infraestructuras críticas» y ahora está diseñado explícitamente para organizaciones de cualquier tamaño y sector, lo que supone una diferencia significativa para los equipos de TI más pequeños y los clientes de MSP que antes tenían que adaptar el lenguaje de las infraestructuras críticas a su propio contexto.
Esta guía explica lo que exige el CSF 2.0 en la práctica. Las seis funciones y lo que cada una significa realmente, cómo funcionan los niveles de implementación y los perfiles, cómo se alinea el marco con las demás normas con las que quizá ya esté trabajando, y cómo los MSP pueden utilizar el CSF 2.0 como una forma estructurada de prestar y demostrar servicios de asesoramiento en materia de seguridad. Para obtener información sobre la familia más amplia de directrices del NIST, incluida la serie SP 800 y su relación con el CSF, consulte la publicación complementaria sobre qué es el cumplimiento del NIST y cómo empezar.
Adapta tu programa de seguridad al NIST CSF 2.0.
Compliance Manager GRC un flujo de trabajo de evaluación conforme al NIST CSF 2.0 con seguimiento de los perfiles actuales y deseados, y se integra con la Kaseya 365 para obtener pruebas técnicas de forma automática.
¿Qué es el Marco de Ciberseguridad del NIST?
El Marco de Ciberseguridad del NIST es un marco de aplicación voluntaria elaborado por el Instituto Nacional de Estándares y Tecnología para ayudar a las organizaciones a gestionar los riesgos de ciberseguridad. Este marco organiza las actividades de ciberseguridad en funciones, categorías y subcategorías que ofrecen a las organizaciones una forma estructurada de comprender, evaluar y mejorar su nivel de seguridad, sin prescribir exactamente cómo lograrlo.
El marco está diseñado deliberadamente para ser independiente de la tecnología y centrarse en los resultados. Describe lo que una organización debería ser capaz de hacer, no con qué herramienta debe hacerlo. Esa flexibilidad es la razón por la que el CSF se combina tan a menudo con normas más prescriptivas. La norma NIST SP 800-53 ofrece un catálogo detallado de controles con el que se correlacionan las subcategorías del CSF. CIS Controls v8.1 proporciona una guía de implementación priorizada. La norma ISO 27001 proporciona una estructura de sistema de gestión auditable. El CSF le ofrece el marco estratégico, y los demás completan los detalles de implementación.
Para los contratistas federales de EE. UU., la adaptación a las directrices del NIST está pasando de ser voluntaria a obligatoria. La ley FISMA exige a las agencias federales que sigan directamente las directrices del NIST. El nivel 2 del CMMC se corresponde con la norma NIST SP 800-171. Las organizaciones que aspiran a obtener contratos federales, o que suministran a empresas que ya los tienen, se benefician de la adaptación al Marco de Seguridad Cibernética (CSF), ya que este constituye la base estratégica en la que se integran el resto de requisitos normativos.
¿Qué ha cambiado en CSF 2.0?
Las cuatro novedades más importantes de CSF 2.0 para los profesionales.
La primera es la nueva función «Govern». El CSF 2.0 incorpora una sexta función centrada en el contexto organizativo, la estrategia de gestión de riesgos, los riesgos de la cadena de suministro, las funciones y responsabilidades, las políticas y la supervisión. Esta función reconoce que la gobernanza de la ciberseguridad —quién toma las decisiones y quién rinde cuentas— es tan fundamental como los propios controles técnicos. Las organizaciones que hayan implementado programas basados en el CSF 1.1 sin una capa de gobernanza documentada considerarán que esta es la carencia más importante que deben subsanar.
El segundo es la ampliación explícita del ámbito de aplicación. El CSF 1.1 se diseñó para infraestructuras críticas. El CSF 2.0 está dirigido explícitamente a todas las organizaciones: pequeñas empresas, grandes empresas, organismos públicos, centros educativos, hospitales y proveedores de servicios gestionados (MSP). La documentación del marco utiliza ahora ejemplos que reflejan este público más amplio, en lugar del lenguaje específico de los sectores de la energía, el transporte y el agua que se empleaba en la versión original.
El tercer aspecto es la ampliación del contenido relativo a la gestión de riesgos en la cadena de suministro. Los ataques a la cadena de suministro se han convertido en un vector de amenaza predominante desde la publicación del CSF 1.1 en 2018, y el CSF 2.0 amplía considerablemente las directrices sobre cómo evaluar, gestionar y contratar en lo que respecta a los riesgos de ciberseguridad de terceros. Para los MSP, que forman parte de la cadena de suministro de sus clientes, esta sección es de lectura obligatoria.
En cuarto lugar, se encuentra la estructura actualizada de categorías y subcategorías. El número de subcategorías ha cambiado, se han reorganizado algunas categorías y la guía refleja las áreas de práctica actuales, como la seguridad de la tecnología operativa y la seguridad en la nube, de forma más explícita que en el CSF 1.1. Las organizaciones que actualicen su programa desde el CSF 1.1 deben adaptar sus controles existentes a la estructura del CSF 2.0, en lugar de dar por sentado que se pueden trasladar tal cual.
Las seis funciones
Las seis funciones del CSF 2.0 organizan las actividades de ciberseguridad al más alto nivel. Cada una de ellas se divide en categorías y, a su vez, en subcategorías que describen resultados específicos.
Govern (GV). La nueva función de CSF 2.0. Establecer y supervisar la estrategia, las expectativas y la política de gestión de riesgos de ciberseguridad de la organización. Abarca el contexto organizativo, la estrategia de gestión de riesgos, las funciones y responsabilidades en materia de ciberseguridad, la política, la supervisión y la gestión de riesgos de la cadena de suministro.
Identificar (ID). Comprender los riesgos de ciberseguridad de la organización para los sistemas, el personal, los activos, los datos y las capacidades. Aquí se abordan la gestión de activos, la evaluación de riesgos y la planificación de mejoras.
Proteger (PR). Implementar las medidas de seguridad que garantizan el funcionamiento de los servicios críticos. Gestión de identidades y control de acceso, sensibilización y formación, seguridad de los datos, seguridad de las plataformas y resiliencia de la infraestructura tecnológica.
Detectar (DE). Identificar la aparición de un incidente de ciberseguridad en el momento en que se produce. Supervisión continua y análisis de incidentes.
Respuesta (RS). Tomar medidas cuando se detecta un incidente de ciberseguridad. Gestión de incidentes, análisis de incidentes, elaboración de informes de respuesta, mitigación y mejoras tras el incidente.
Recuperación (RC). Restablecimiento de las capacidades o servicios afectados por un incidente de ciberseguridad. Ejecución del plan de recuperación ante incidentes y comunicación sobre la recuperación ante incidentes.
El desequilibrio más habitual en los programas del Marco de Seguridad Cibernética (CSF) en la práctica es una inversión excesiva en «Protección» en comparación con «Detección» y «Respuesta». Las organizaciones adquieren numerosos controles preventivos y, en cambio, muy poca capacidad de detección y respuesta, y luego se sorprenden cuando el inevitable incidente tarda más de lo que debería en detectarse y contenerse. El CSF 2.0 no prescribe una distribución presupuestaria concreta, pero un programa creíble muestra una madurez más o menos proporcional en las seis funciones, y no una puntuación elevada en «Protección» junto con una capacidad escasa en «Detección» y «Respuesta».
Niveles y perfiles
CSF 2.0 mantiene el modelo de niveles de implementación y perfiles que existía en CSF 1.1, con orientaciones más detalladas sobre cómo utilizar ambos.
Los niveles de implementación describen el rigor y la sofisticación de las prácticas de gestión de riesgos de ciberseguridad de una organización en cuatro niveles: Nivel 1 (Parcial), Nivel 2 (Basado en el riesgo), Nivel 3 (Repetible) y Nivel 4 (Adaptativo). Los niveles no son puntuaciones de cumplimiento. Caracterizan cómo gestiona la organización los riesgos y el grado de madurez de sus prácticas, no si ha marcado una serie de casillas. La mayoría de las pymes se fijarán como objetivo razonable el Nivel 2 o el Nivel 3 para la mayor parte de su programa, en lugar de aspirar al Nivel 4 en todos los ámbitos.
Los perfiles son la forma en que una organización adapta el CSF a su contexto específico. Un perfil actual describe los resultados en materia de ciberseguridad que la organización está logrando en la actualidad. Un perfil objetivo describe los resultados que la organización desea alcanzar teniendo en cuenta su apetito de riesgo, el entorno normativo y sus objetivos empresariales. La diferencia entre ambos constituye el plan de mejora. Para un proveedor de servicios gestionados (MSP) que ofrece servicios de asesoramiento en materia de seguridad, la elaboración de perfiles actuales y objetivos para cada cliente es una de las formas más claras de demostrar el trabajo realizado y estructurar una conversación sobre una hoja de ruta plurianual.
Veamos cómo se aplica esto en la práctica. Un cliente del sector de los servicios profesionales, con 120 usuarios, tiene que cumplir con el CSF 2.0 porque su principal cliente (un contratista federal) exige a sus proveedores que demuestren su conformidad. El MSP realiza una evaluación del perfil actual y determina que el cliente se sitúa aproximadamente en el Nivel 2 en las áreas de «Identificar» y «Proteger», en el Nivel 1 en «Detectar» y «Responder», y que no cuenta con ninguna función documentada en el área de «Gobernanza». El perfil objetivo, establecido en función de las obligaciones contractuales del cliente, es de nivel 3 en Identificar, Proteger, Detectar, Responder y Recuperar, y de nivel 2 en Gobernar. La brecha se convierte en un proyecto estructurado de 18 meses: trabajo de base en «Gobernanza» durante el primer trimestre, herramientas y guías de procedimientos para «Detección/Respuesta» durante los trimestres segundo y tercero, y mejora continua durante el resto del programa. CSF convierte lo que habría sido un proyecto vago de «mejorar nuestra seguridad» en un alcance contratado con hitos de progreso medibles.
Cómo encaja CSF 2.0 con otros marcos de trabajo
El CSF rara vez se aplica de forma aislada. La mayoría de las organizaciones que lo utilizan también están trabajando para cumplir, o ya cumplen, otras obligaciones del marco. Comprender este solapamiento permite evitar la duplicación de esfuerzos.
La norma NIST SP 800-53 es el catálogo detallado de controles al que se remiten las subcategorías del CSF. Las organizaciones que utilizan el CSF como marco estratégico y la norma SP 800-53 para los detalles de implementación obtienen una visión complementaria del mismo programa de seguridad con distintos niveles de detalle.
La norma NIST SP 800-171 es el subconjunto de controles de la norma SP 800-53 que se aplican a la información no clasificada controlada almacenada en sistemas no federales. El nivel 2 del CMMC se basa en la norma SP 800-171, por lo que una organización que se ajuste al Marco de Seguridad Cibernética (CSF) y a la norma SP 800-171 ya habrá completado la mayor parte del trabajo necesario para la certificación CMMC.
La versión 8.1 de CIS Controls se corresponde ampliamente con las funciones y categorías del CSF. Una organización que implemente el Grupo de Implementación 2 de CIS Controls encontrará una estrecha correspondencia con el CSF con relativamente poco esfuerzo adicional.
La norma ISO 27001 comparte el enfoque basado en el riesgo y centrado en los resultados del CSF. Muchas organizaciones aplican ambos marcos, utilizando el CSF para el diseño estratégico y la norma ISO 27001 para el sistema de gestión auditable. La certificación no implica automáticamente la alineación con el CSF, pero los controles subyacentes son muy compatibles.
Implementación del NIST CSF 2.0 para proveedores de servicios gestionados (MSP) y equipos de TI
El proceso práctico para la implementación de CSF 2.0 se divide en cinco fases.
Empiece por la función «Gobernanza». Es aquí donde los programas de CSF 1.1 suelen necesitar más trabajo, y donde las expectativas de CSF 2.0 son más explícitas. Documente quién es el responsable de la ciberseguridad, cuál es la tolerancia al riesgo de la organización, cómo se escalan las decisiones en materia de ciberseguridad y cómo se gestiona el riesgo de la cadena de suministro. La función «Gobernanza» es la base sobre la que se asientan las funciones técnicas. Los programas que la omiten tienden a estancarse en el Nivel 2.
Realice una evaluación del perfil actual. Repase las categorías y subcategorías y documente qué resultados en materia de ciberseguridad se están logrando realmente en la actualidad. Esta es la actividad que mayor valor aporta de forma inmediata a cualquier organización, y la propia evaluación suele poner de manifiesto deficiencias en la gobernanza y puntos ciegos en la detección que nadie había señalado antes. Para los MSP, el perfil actual es el documento de referencia que sirve de marco para todas las conversaciones posteriores.
Establezca un perfil objetivo realista. El perfil objetivo debe reflejar el entorno normativo de la organización, sus obligaciones contractuales y su apetito de riesgo, y no un máximo al que aspirar. Un perfil objetivo que apunte al Nivel 4 en las seis funciones sin el presupuesto necesario para respaldarlo da lugar a un informe de deficiencias permanente, en lugar de a una hoja de ruta viable.
Prioriza las deficiencias que entrañan mayor riesgo. Para la mayoría de las organizaciones, la mayor diferencia se encuentra en las áreas de detección, respuesta y gobernanza, más que en la de protección. La capacidad de supervisión continua, los manuales documentados de respuesta a incidentes y la rendición de cuentas formal en materia de gobernanza proporcionan una reducción desproporcionada del riesgo por unidad de esfuerzo, en comparación con los controles preventivos adicionales en una función de protección que ya se encuentra madura.
Utilice las herramientas de la plataforma para implementar las subcategorías técnicas. La Kaseya 365 se corresponde directamente con la implementación del Marco de Seguridad Cibernética (CSF) en la mayoría de las subcategorías. Kaseya VSA 10 y Datto RMM cubren la gestión de activos y la gestión de parches (Identificar, Proteger). Datto EDR cubre la detección y respuesta en puntos finales (Detectar, Responder). Datto BCDR cubre la recuperación (Recuperar). BullPhish ID la formación en concienciación (Proteger). Compliance Manager GRC la gobernanza, el seguimiento de perfiles y la documentación de pruebas (Gobernar). Compliance Manager GRC incluye un flujo de trabajo de evaluación del NIST CSF 2.0 con seguimiento del perfil actual y del perfil objetivo, y extrae automáticamente las pruebas técnicas de los demás componentes de la plataforma, lo que marca la diferencia entre ejecutar un programa CSF en una hoja de cálculo y ejecutarlo como un servicio operativo.
Las organizaciones que sacan el máximo partido al CSF 2.0 no son aquellas con las puntuaciones más altas. Son aquellas que consideran el marco como una forma estructurada de abordar conversaciones difíciles. Sobre quién es responsable de las decisiones de ciberseguridad, sobre dónde el programa es realmente débil en lugar de dónde queda bien en las fotos, sobre qué controles se han ganado su lugar y cuáles se han adquirido sin una función clara. El CSF 2.0 no te dice qué hacer. Te dice qué deberías ser capaz de responder. Las organizaciones que pueden responder con claridad son aquellas cuyos clientes, auditores y aseguradoras dejan de hacer preguntas de seguimiento.
Puntos clave
- El NIST CSF 2.0 incorporó una sexta función, «Gobernar», y amplió su ámbito de aplicación más allá de las infraestructuras críticas para abarcar a todas las organizaciones. Se trata de la actualización más importante del marco desde su publicación en 2014.
- Las seis funciones (gobernanza, identificación, protección, detección, respuesta y recuperación) ofrecen una visión completa del ciclo de vida de la gestión de riesgos de ciberseguridad. Los programas que dan mayor prioridad a la protección en detrimento de la detección y la respuesta constituyen el desequilibrio más habitual.
- Los perfiles CSF (actuales y previstos) constituyen un método estructurado para evaluar las deficiencias e impulsar la planificación de mejoras. Para los MSP, la elaboración de perfiles específicos para el entorno de cada cliente es una forma clara de documentar y delimitar el alcance del trabajo de asesoramiento en materia de seguridad.
- El CSF se ajusta estrechamente a los controles CIS, la norma ISO 27001, el CMMC a través de la norma SP 800-171 y el SOC 2. Una única arquitectura de control debería poder aplicarse a múltiples marcos sin que se produzcan duplicidades.
