El Framework NIST de Ciberseguridad es un enfoque basado en el riesgo para gestionar la seguridad, y está compuesto por tres partes: el núcleo del marco, los niveles de implementación del marco y los perfiles del mismo. Cada componente del framework refuerza la conexión entre los impulsores del negocio y las actividades de ciberseguridad.
- El núcleo del framework es un conjunto de actividades de seguridad cibernética, resultados deseados y referencias aplicables que son comunes en todos los sectores de infraestructura críticas. El núcleo presenta estándares, directrices y prácticas de la industria de una manera que permite la comunicación de las actividades y los resultados de ciberseguridad en toda la organización desde el nivel ejecutivo hasta el nivel de implementación / operaciones. El Core consta de cinco Funciones simultáneas y continuas: Identificar, Proteger, Detectar, Responder, Recuperar.
Cuando se consideran juntas, estas funciones proporcionan una visión estratégica de alto nivel del ciclo de vida de la administración de riesgos de ciberseguridad de una organización. El núcleo del framework identifica categorías y subcategorías clave subyacentes para cada función y las compara con ejemplos de referencias informativas, como estándares, directrices y prácticas existentes para cada subcategoría. - Los Niveles de Implementación del framework (“TIERs”) proporcionan un contexto sobre cómo una organización considera el riesgo de ciberseguridad y los procesos establecidos para gestionar ese riesgo. Los niveles describen el grado en que las prácticas de gestión de riesgos de ciberseguridad de una organización exhiben las características definidas en el framework (por ejemplo, consciente de riesgos y amenazas, repetible y adaptativo). Los Niveles caracterizan las prácticas de una organización en un rango, desde Parcial (TIER 1) hasta Adaptativo (TIER 4).
Estos Niveles reflejan una progresión de respuestas informales y reactivas a enfoques que son ágiles y están informados sobre riesgos. Durante el proceso de selección de niveles, una organización debe considerar sus prácticas actuales de administración de riesgos, el entorno de amenazas, los requisitos legales y reglamentarios, los objetivos comerciales / de la misión y las limitaciones organizacionales. - Un Perfil del framework (“Perfil”) representa los resultados basados en las necesidades comerciales que una organización ha seleccionado de las Categorías y Subcategorías del Marco. El perfil se puede caracterizar como la alineación de estándares, directrices y prácticas con el núcleo del framework en un escenario de implementación particular. Los perfiles se pueden utilizar para identificar oportunidades para mejorar la postura de ciberseguridad comparando un perfil “actual” (el estado “tal cual”) con un perfil de “objetivo” (el estado “a ser”).
Para desarrollar un perfil, una organización puede revisar todas las categorías y subcategorías y, en función de los impulsores del negocio y una evaluación de riesgos, determinar cuáles son los más importantes; pueden agregar categorías y subcategorías según sea necesario para abordar los riesgos de la organización. El perfil actual se puede usar para apoyar la priorización y la medición del progreso hacia el Perfil objetivo, al tiempo que se tienen en cuenta otras necesidades comerciales, incluida la rentabilidad y la innovación. Los perfiles se pueden usar para realizar autoevaluaciones y comunicarse dentro de una organización o entre organizaciones.
Proceso de implantación de Framework NIST
El framewok NIST proporciona un lenguaje común para comprender, gestionar y expresar el riesgo de ciberseguridad tanto internamente como externamente. Se puede usar para ayudar a identificar y priorizar acciones para reducir el riesgo de ciberseguridad, y es una herramienta para alinear los enfoques de políticas, negocios y tecnología para manejar dicho riesgo. Se puede usar para administrar el riesgo de ciberseguridad en todas las organizaciones o se puede enfocar en la entrega de servicios críticos dentro de una organización. Los diferentes tipos de entidades, incluidas las estructuras de coordinación del sector, las asociaciones y las organizaciones, pueden usar el framewok NIST para diferentes propósitos, incluida la creación de Perfiles comunes.
El core del framewok NIST proporciona un conjunto de actividades para lograr resultados específicos de ciberseguridad y referencias de ejemplos de orientación para lograr esos resultados. El core no es una lista de verificación de las acciones a realizar. Presenta los resultados clave de ciberseguridad identificados por la industria como útiles para gestionar el riesgo de ciberseguridad. El core comprende cuatro elementos: Funciones, Categorías, Subcategorías y Referencias Informativas.
Una organización puede usar el Framework NIST como una parte clave de su proceso sistemático para identificar, evaluar y administrar el riesgo de ciberseguridad. El Framework NIST no está diseñado para reemplazar los procesos existentes. Una organización puede usar su proceso actual y superponerlo en el Framework NIST para determinar las brechas en su enfoque actual de riesgo de ciberseguridad y desarrollar una hoja de ruta hacia la mejora. Utilizando el Framework NIST como una herramienta de gestión de riesgo de ciberseguridad, una organización puede determinar actividades que son más importantes para la prestación de servicios críticos y priorizar los gastos para maximizar el impacto de la inversión.
El Framework NIST está diseñado para complementar las operaciones comerciales y de ciberseguridad existentes. Puede servir como base para un nuevo programa de ciberseguridad o un mecanismo para mejorar un programa existente. El Framework NIST proporciona un medio para expresar los requisitos de ciberseguridad a los socios comerciales y clientes y puede ayudar a identificar las lagunas en las prácticas de ciberseguridad de una organización. También proporciona un conjunto general de consideraciones y procesos para considerar las implicaciones de privacidad y libertades civiles en el contexto de un programa de ciberseguridad.
Fuente: Ciberseguridad