¿Qué es el cumplimiento de las normas del NIST? Una guía práctica para equipos de TI y proveedores de servicios gestionados (MSP)

El término «NIST» se utiliza para referirse a varios conceptos diferentes, a menudo de forma intercambiable y no siempre con precisión. La agencia. El Marco de Ciberseguridad. Las publicaciones especiales de la serie 800. El Marco de Gestión de Riesgos. El Marco de Privacidad. Saber a qué «NIST» se hace referencia en una conversación concreta, y cuál es realmente relevante para una obligación de cumplimiento específica, es el primer paso práctico a la hora de trabajar con las directrices del NIST.

El cumplimiento de las normas del NIST, en su sentido más amplio, implica seguir las directrices sobre ciberseguridad y gestión de riesgos publicadas por el Instituto Nacional de Estándares y Tecnología. En la práctica, suele implicar la adaptación a una o varias publicaciones específicas del NIST, como el Marco de Ciberseguridad (CSF), la SP 800-53, la SP 800-171 u otras, dependiendo del contexto normativo, el sector y lo que exijan los clientes, los reguladores o las aseguradoras de la organización.

Esta guía es un documento de orientación. En ella se explica qué es el NIST como organización, cuáles son los marcos y publicaciones pertinentes, cuándo el cumplimiento de las normas del NIST es voluntario y cuándo obligatorio, y cómo se articula con otros marcos con los que se encuentran los equipos de TI y los proveedores de servicios gestionados (MSP). Para obtener un análisis en profundidad, dirigido a profesionales, sobre el marco del NIST más ampliamente adoptado, consulte la guía del Marco de Ciberseguridad del NIST para la versión CSF 2.0.

¿Qué es el NIST?

El NIST es una agencia federal dependiente del Departamento de Comercio de los Estados Unidos. Se fundó en 1901 con el nombre de Oficina Nacional de Normas, pasó a denominarse NIST en 1988, y su ámbito de competencia abarca la ciencia de la medición, las normas industriales y una amplia gama de áreas tecnológicas, entre las que se incluyen la ciberseguridad, la fabricación avanzada y la inteligencia artificial.

El trabajo en materia de ciberseguridad al que se enfrentan la mayoría de los equipos de TI y los proveedores de servicios gestionados (MSP) se enmarca en el Laboratorio de Tecnología de la Información del NIST, que elabora el Marco de Ciberseguridad, el Marco de Gestión de Riesgos, el Marco de Privacidad y diversas publicaciones especiales que detallan controles, procesos y metodologías de evaluación específicos. Las directrices del NIST son deliberadamente no prescriptivas en lo que respecta a las herramientas. Indican qué resultados se deben alcanzar, no qué producto se debe adquirir.

La razón por la que las directrices del NIST tienen el peso que tienen, más allá de su aplicabilidad directa a los sistemas federales de EE. UU., es que se incorporan por referencia a una larga lista de otros regímenes normativos y marcos comerciales. El CMMC para contratistas de defensa se basa en la norma SP 800-171. Las leyes estatales de protección de datos suelen hacer referencia al NIST en sus normas de seguridad. Las aseguradoras cibernéticas exigen cada vez más el cumplimiento de las normas del NIST como condición para la cobertura. Incluso las organizaciones que no tienen una obligación directa con el NIST a menudo se ven obligadas a trabajar según sus directrices, ya que su principal cliente, su aseguradora o su regulador lo utilizan como punto de referencia.

La serie de directrices sobre ciberseguridad del NIST

La cartera de ciberseguridad del NIST se divide en un pequeño número de marcos generales y un mayor número de publicaciones detalladas.

El Marco de Ciberseguridad del NIST (CSF) es el más utilizado. Publicado originalmente en 2014 para infraestructuras críticas, la versión actual es la CSF 2.0 (febrero de 2024), que amplió su ámbito de aplicación a todas las organizaciones, añadió una nueva función de «Gobernanza» junto a las cinco originales (Identificar, Proteger, Detectar, Responder, Recuperar) y amplió considerablemente las directrices sobre gestión de riesgos de la cadena de suministro. El CSF es el marco en torno al cual la mayoría de las organizaciones construyen su programa de seguridad. Para obtener una guía práctica de las seis funciones, niveles y perfiles del CSF 2.0, consulte la guía específica del CSF 2.0.

El Marco de Gestión de Riesgos (RMF) del NIST es el proceso estructurado para gestionar los riesgos de seguridad y privacidad a lo largo de todo el ciclo de vida del desarrollo de sistemas. Mientras que el CSF establece los resultados, el RMF proporciona el proceso para alcanzarlos: clasificar los sistemas, seleccionar controles, implementarlos, evaluarlos, autorizarlos y supervisarlos. El RMF es obligatorio para los sistemas de información federales de EE. UU. en virtud de la FISMA y se utiliza cada vez más como columna vertebral de los procesos en los programas de seguridad del sector privado.

El Marco de Privacidad del NIST es el equivalente del CSF centrado en la privacidad. Tiene una estructura similar (Núcleo, Perfiles, Niveles de implementación) y está diseñado para ayudar a las organizaciones a identificar y gestionar los riesgos de privacidad junto con sus riesgos de ciberseguridad. Se ajusta perfectamente al CSF y al RGPD, lo que lo hace útil para las organizaciones que operan en distintos marcos normativos.

La serie de Publicaciones Especiales (SP) del NIST ofrece la orientación técnica y de procesos detallada a la que hacen referencia los marcos de nivel superior. La serie 800, en particular, es la que los equipos de TI consultan con mayor frecuencia.

La serie NIST SP 800: publicaciones clave

La serie 800 es amplia (cientos de publicaciones), pero solo unas pocas cubren la mayor parte de las necesidades prácticas de los equipos de TI y los proveedores de servicios gestionados (MSP) habituales.

La norma SP 800-53 es el catálogo de controles de seguridad y privacidad para los sistemas de información federales. Contiene más de mil controles organizados en 20 familias de controles y sirve como base de implementación a la que se remiten las subcategorías del Marco de Seguridad Cibernética (CSF). La mayoría de las demás normas federales de ciberseguridad de EE. UU. se derivan de la norma SP 800-53 o están alineadas con ella.

La norma SP 800-171 es el subconjunto de controles de la norma SP 800-53 que se aplica a la información no clasificada controlada (CUI) almacenada en sistemas no federales. Contiene 110 requisitos de seguridad distribuidos en 14 familias de controles. El nivel 2 del CMMC, el régimen de certificación para la base industrial de defensa de EE. UU., se basa directamente en la norma SP 800-171. Para los MSP que prestan servicios a contratistas o subcontratistas de defensa, la norma SP 800-171 es el documento de referencia clave.

La norma SP 800-30 establece la metodología para llevar a cabo evaluaciones de riesgos de ciberseguridad. Mientras que la mayoría de los marcos se limitan a indicar que se realice una evaluación de riesgos, la norma 800-30 explica cómo llevarla a cabo de forma que sea justificable y auditable.

La norma SP 800-37 es el documento de procedimientos del Marco de Gestión de Riesgos (RMF). En él se describen las seis etapas del RMF (Preparación, Categorización, Selección, Implementación, Evaluación, Autorización y Supervisión) y constituye la guía operativa para las organizaciones que aplican un programa alineado con el RMF.

La norma SP 800-61 trata sobre la gestión de incidentes de seguridad informática. Es el documento de referencia para la creación de un programa de respuesta a incidentes y se cita ampliamente en los requisitos normativos que exigen la capacidad de respuesta ante incidentes.

La norma SP 800-137 trata sobre la supervisión continua de la seguridad de la información. Establece el marco para el seguimiento continuo del estado de la seguridad de la información, las vulnerabilidades y las amenazas, disciplina que convierte la implementación puntual de controles en un programa de seguridad sostenido.

Existen docenas de publicaciones más de la serie 800 que abordan temas específicos, desde la computación en la nube (SP 800-144) hasta los sistemas de control industrial (SP 800-82) y la gestión de identidades (SP 800-63). Para la mayoría de los equipos de TI y los proveedores de servicios gestionados (MSP), las seis mencionadas anteriormente cubren la mayor parte del trabajo de referencia diario del NIST, y se recurre a otras a medida que surgen requisitos específicos.

Cuándo el cumplimiento de las normas del NIST es voluntario y cuándo es obligatorio

La aplicación de las normas del NIST es, en teoría, voluntaria para las organizaciones no federales. En la práctica, la línea que separa lo voluntario de lo obligatorio se ha ido difuminando desde hace años.

Las directrices del NIST son de obligado cumplimiento para los organismos federales de EE. UU. en virtud de la FISMA (Ley Federal de Modernización de la Seguridad de la Información), que exige a dichos organismos desarrollar, documentar y aplicar programas de seguridad de la información que se ajusten a las normas y directrices del NIST.

Es obligatorio, en virtud de la extensión de las obligaciones contractuales, para los contratistas y subcontratistas federales que manejan información no clasificada controlada. El programa CMMC, que se está incorporando progresivamente a los contratos del Departamento de Defensa, establece que el cumplimiento de la norma SP 800-171 es un requisito previo para poder participar en la licitación de la mayoría de los contratos de defensa.

De hecho, su aplicación es obligatoria debido a su incorporación en la normativa de múltiples marcos estatales y sectoriales. La normativa sobre ciberseguridad del Departamento de Servicios Financieros de Nueva York (23 NYCRR 500), las directrices de la Norma de Seguridad de la HIPAA y diversas leyes estatales de protección de datos hacen referencia a las publicaciones del NIST como fuentes de referencia.

Cada vez es más habitual que las aseguradoras lo exijan en el ámbito comercial a la hora de suscribir pólizas de ciberseguro. Las aseguradoras han dejado atrás la evaluación de riesgos basada en cuestionarios y ahora exigen pruebas de que se cumple con un marco de ciberseguridad reconocido, siendo el CSF el marco que solicitan con mayor frecuencia. Las organizaciones que renueven su cobertura cibernética en 2026 deben contar con que se les pregunte sobre el cumplimiento del CSF.

La adaptación voluntaria es también la vía predominante para las organizaciones del sector privado que desean contar con un programa de ciberseguridad estructurado, pero que no están sujetas a una normativa específica. La ampliación explícita del CSF 2.0 a todas las organizaciones ha facilitado este proceso. El marco ya no se limita exclusivamente a las infraestructuras críticas y resulta realmente útil para las pequeñas empresas, las empresas medianas y los propios proveedores de servicios de gestión (MSP).

Cómo se ajusta el NIST a las normas HIPAA, PCI-DSS, ISO 27001 y los controles CIS

El NIST se solapa en gran medida con otros marcos de trabajo con los que es probable que una organización ya esté trabajando. Considerarlos como programas independientes que se aplican mediante controles independientes es el error de implementación más habitual.

La Norma de Seguridad de la HIPAA se ajusta en gran medida a las directrices del NIST. El Departamento de Salud y Servicios Humanos hace referencia explícita a las publicaciones del NIST en sus directrices de seguridad, y las organizaciones que cumplen los requisitos de la Norma de Seguridad de la HIPAA, por lo general, ya han realizado la mayor parte del trabajo necesario para la alineación con el Marco de Seguridad de la Información (CSF) en el ámbito sanitario.

La norma PCI-DSS para el procesamiento de tarjetas de pago presenta un solapamiento sustancial en materia de control con la norma NIST SP 800-53, especialmente en lo que se refiere al control de acceso, el cifrado, la gestión de vulnerabilidades y la respuesta ante incidentes. Un comerciante o proveedor de servicios que cuente con un programa PCI sólido está en condiciones de ampliarlo al Marco de Seguridad de la Información (CSF).

La norma ISO 27001 es la norma internacional sobre sistemas de gestión de la seguridad de la información. Comparte el enfoque basado en el riesgo y centrado en los resultados del Marco de Seguridad de la Información (CSF), pero añade una estructura formal de sistema de gestión que puede ser auditada a efectos de certificación. El CSF y la norma ISO 27001 son altamente compatibles, y muchas organizaciones aplican ambos, utilizando el CSF para el marco estratégico y la norma ISO 27001 para el sistema de gestión certificable.

CIS Controls v8.1 es un conjunto prescriptivo y priorizado de 18 controles de seguridad que se corresponde ampliamente con las funciones y categorías del CSF. CIS Controls suele ser la vía de acceso más sencilla para las organizaciones que se inician en el trabajo de seguridad estructurado, ya que ofrece medidas concretas ordenadas por prioridad, mientras que el CSF establece resultados sin prescribir medidas. Una organización que implemente CIS Controls estará realizando una parte sustancial del trabajo necesario para la alineación con el CSF.

El patrón común a todos ellos es el mismo. Una única arquitectura de control subyacente debería dar servicio a múltiples marcos normativos. Una implementación inteligente asigna los controles a los requisitos de los marcos normativos una sola vez y reutiliza la documentación de forma repetida, en lugar de ejecutar programas de cumplimiento paralelos que exigen cada uno su propio papeleo.

Una guía práctica del NIST para equipos de TI y proveedores de servicios gestionados (MSP)

Para las organizaciones que están dando sus primeros pasos, el trabajo suele dividirse en cinco etapas.

Identifique la obligación concreta del NIST. ¿Es la organización un contratista federal sujeto a las disposiciones del CMMC? ¿Una entidad sanitaria sujeta a la HIPAA? ¿Una empresa de servicios financieros sujeta a la norma NYDFS 500? ¿Una empresa del sector privado que busca la conformidad voluntaria para obtener un seguro cibernético o credibilidad comercial? La obligación específica determina qué publicación del NIST debe tomarse como referencia principal.

Decida cuál será el marco estratégico. Para la mayoría de las organizaciones, la respuesta es el NIST CSF 2.0, ya que es aplicable a todos los sectores, goza del mayor reconocimiento externo y se adapta perfectamente a otras obligaciones. Los contratistas federales con obligaciones en materia de información controlada (CUI) combinarán el CSF con la norma SP 800-171.

Realice una evaluación del perfil actual con respecto al marco elegido. Documente qué resultados en materia de ciberseguridad se están logrando realmente en la actualidad, dónde se encuentran las deficiencias y cuáles de ellas son más relevantes para las obligaciones normativas o comerciales que motivan este trabajo.

Elabora un perfil objetivo y una hoja de ruta. Dónde debe llegar la organización, cuándo debe llegar, cuánto costará y cuál es el orden de prioridades de las tareas.

Elija herramientas que se adapten al marco de referencia en lugar de ir en contra de él. La Kaseya 365 implementa directamente la mayoría de las subcategorías del CSF. Kaseya VSA 10 y Datto RMM cubren la gestión de activos y la gestión de parches (Identificar, Proteger). Datto EDR cubre la detección y respuesta en los puntos finales (Detectar, Responder). Datto BCDR cubre la recuperación (Recuperar). BullPhish ID la formación en concienciación (Proteger). Compliance Manager GRC cubre la gobernanza, el seguimiento de perfiles y la recopilación de pruebas (Gobernar), con plantillas integradas de NIST CSF 2.0, SP 800-171, CMMC y marcos relacionados que convierten el trabajo de cumplimiento normativo de un ejercicio de hojas de cálculo en un servicio operativo continuo.

El cumplimiento de las normas del NIST, si se aborda como un proyecto puntual, acaba convirtiéndose en una carpeta obsoleta llena de políticas que no reflejan la realidad. Si se aborda como una disciplina continua, se convierte en el tejido conectivo que da forma coherente al resto del programa de ciberseguridad, dejándolo listo para auditorías, seguros y contratos de forma predeterminada. Las organizaciones que sacan el máximo partido a las directrices del NIST son aquellas que dejan de considerarlas una carga normativa y empiezan a tratarlas como el plano arquitectónico de cómo debe funcionar su programa de seguridad.