En 2020, el NIST dio prioridad a ayudar a las personas y a las organizaciones para moverse a un entorno más en línea y más seguro. A medida que el NIST mira hacia la “nueva normalidad”, planea aprovechar las lecciones aprendidas durante la pandemia y ser aún más estratégicos para anticipar y abordar los muchos desafíos que tenemos por delante. Por eso NIST propone:
- Aumentar la atención en la gestión de los riesgos de ciberseguridad como parte integral del riesgo empresarial
- Prestar más atención a la intersección entre la ciberseguridad y la privacidad
- Hacer hincapié en la ciberseguridad de los sistemas frente a los componentes y trabajar en estándares transversales.
Para garantizar el cumplimiento de tales objetivos, presenta y pone a evaluación global las siguientes herramientas de gestión publicadas o a publicar durante 2021:
- Buscan comentarios públicos sobre el Cybersecurity Framework (CSF): cómo se está utilizando y cómo podría mejorarse. Ya no se verá el CSF de forma aislada. NIST querrá saber cómo podemos combinar mejor el CSF con el Privacy Framework (PF), el Risk Management Framework (RMF) y los enfoques de gestión de riesgos de la cadena de suministro, así como con la gestión de riesgos empresariales (ERM).
- También emitirán marcos de trabajo para los servicios de posicionamiento, navegación y cronometraje, sistemas electorales y el sector marítimo (borrador). Pronto propondremos una revisión de las Supply Chain Risk Management Practices for Federal Information Systems and Organizations (SP 800-161). Ese es un documento clave de gestión de riesgos de la cadena de suministro (C-SCRM) en el que se confía en gran medida en los sectores público y privado.
- También trabajan en requisitos Enhanced Security Requirements for Protecting Controlled Unclassified Information un suplemento de NIST SP 800-171 y una nueva revisión de la NIST SP 800-53A, que proporciona procedimientos para evaluar la seguridad y controles de privacidad.
- También se actualizará la guía Security Guide for Interconnecting information Technology Systems (SP 800-47), que agrega un énfasis muy necesario en la protección de la información intercambiada entre organizaciones y la base de riesgo para las decisiones de intercambio de información.
- Ya han publicado una guía de inicio rápido para el cada vez más popular Marco de privacidad del NIST. Nominalmente para pequeñas y medianas empresas, esta guía puede ayudar a cualquier organización con recursos limitados a poner en marcha un programa de privacidad basado en riesgos o mejorar uno existente.
- También han lanzado un paso a paso muy necesario, aportado por las partes interesadas, entre la Ley de Privacidad del Consumidor de California (CCPA) y el Marco de Privacidad.
- El fortalecimiento de los estándares criptográficos y la validación ha sido durante mucho tiempo un pilar de los esfuerzos de seguridad del NIST, y 2021 no será diferente. Al examinar nuevos enfoques de cifrado y protección de datos que protegerán del ataque de una computadora cuántica, la “ronda de selección” de la competencia del NIST ayudará a la agencia a decidir sobre el pequeño subconjunto de algoritmos presentados que formarán el núcleo del primer estándar de criptografía post-cuántica. El NIST se acercará más a lanzar el estándar inicial para la criptografía resistente a ataques cuánticos, que se dará a conocer en 2022. Antes de eso, muy probablemente este año, el NIST seleccionará a los ganadores en una competencia para solicitar, evaluar y estandarizar algoritmos criptográficos ligeros adecuados para su uso en entornos restringidos donde el rendimiento de los estándares criptográficos NIST actuales no es aceptable.
- La concientización, capacitación, la educación en ciberseguridad y el desarrollo de la fuerza laboral son más críticos que nunca. La Iniciativa Nacional para la Educación en Ciberseguridad (NICE) liderada por el NIST este año enfatiza la importancia de las “competencias” como una forma de describir las habilidades de ciberseguridad y para comunicarse entre empleadores y estudiantes.
- A lo largo del año, se esperan más detalles sobre el programa sobre métricas y medidas de ciberseguridad. El objetivo es apoyar el desarrollo de medidas técnicas para determinar el efecto de los riesgos y las respuestas de seguridad en los objetivos de una organización. Entre otras cosas, NIST publicará una versión actualizada de la Performance Measurement Guide for Information Security (SP 800-55 Revision 1) y continuará aumentando la identificación y asignación de métricas en la base de datos nacional de vulnerabilidades (NVD).
- La gestión de identidades y accesos subyace en gran parte de lo que está sucediendo en ciberseguridad en este momento. Se está trabajando sobre FIPS 201 (el estándar detrás de la tarjeta PIV y las credenciales PIV derivadas) y esperan producir una revisión final este año. Esa “Revisión 3” ampliará el conjunto de credenciales PIV y permitirá la verificación de identidad supervisada remotamente y señalará a la federación como el medio para la interoperabilidad entre organizaciones.
- Existe una necesidad urgente de demostrar la viabilidad comercial y práctica de IPv6. El NIST trabaja en proporcionar un enfoque, herramientas y métodos para implementar IPv6, comenzando desde un IPv6 en modo de doble-pila y terminando con un IPv6 sólo-red.
- También se redoblan los esfuerzos de ciberseguridad 5G y Zero Trust de NCCoE. Se buscar trabajar en código abierto que aproveche los estándares de ciberseguridad y las prácticas recomendadas para mostrar las sólidas funciones de seguridad de 5G en una infraestructura de nube confiable. En el proyecto Zero Trust se busca construir una arquitectura de ejemplo que demuestre una implementación práctica de conceptos y principios de “confianza cero” utilizando productos disponibles comercialmente.
- El esfuerzo DevSecOps recibió apoyo de las partes interesadas y ahora se busca integrar la seguridad en la planificación y los procesos de DevOps y a crear una guía práctica.
- Los dispositivos de IoT son cada vez más integrales de los sistemas de información. Existen cuatro documentos publicados en diciembre, con el objetivo de garantizar que los dispositivos de IoT estén integrados en los controles de seguridad y privacidad de los sistemas de información. Los documentos ayudan a abordar los mandatos de la Ley de mejora de la ciberseguridad de IoT de 2020 promulgada recientemente en EE.UU. y ayudará a garantizar que el gobierno y los fabricantes de dispositivos de IoT estén en la misma página.
Fuente: NIST