[13/09/2023] El 12 de febrero del 2014, el Instituto Nacional de Estándares y Tecnología (NIST) de Estados Unidos publicó un documento histórico, el Marco para la Mejora de la Ciberseguridad de las Infraestructuras Críticas (CSF, por sus siglas en inglés). Cuatro años más tarde, el NIST publicó el CSF 1.1, que incluía actualizaciones sobre la gestión de riesgos de la cadena de suministro, la divulgación de vulnerabilidades y otros temas de rápido desarrollo.
Ahora, el NIST se prepara para publicar otra revisión del CSF tras la publicación a principios de agosto de un borrador de la versión 2.0, desarrollado después de que el NIST emitiera una solicitud de información (RFI, por sus siglas en inglés), celebrara dos talleres y solicitara comentarios sobre un borrador básico.
¿Qué es el Marco para mejorar la seguridad de las infraestructuras críticas?
Siguiendo una orden ejecutiva (OE) del presidente Obama, el NIST desarrolló el CSF para proporcionar un lenguaje común y una estructura para ayudar a las organizaciones a gestionar y comunicar mejor sistemáticamente cómo abordan la gestión de riesgos de ciberseguridad. El CSF ha sido adoptado en todo el mundo por organizaciones de los sectores público y privado. Muchos documentos de orientación y contratación civil y militar del gobierno de EE.UU. han incorporado el CSF para gestionar el riesgo, incluidos los requisitos de los contratistas y subcontratistas de las agencias del gobierno federal para proteger la información no clasificada y la guía de implementación de la Estrategia Nacional de Ciberseguridad del presidente Biden.
El NIST ha diseñado el borrador 2.0 para ampliar el uso del CSF, abarcar más plenamente la gestión de riesgos de la cadena de suministro, actualizar otros marcos y recursos, suministrar orientación para la implementación, abordar la medición y evaluación de la ciberseguridad, al tiempo que añade una función completamente nueva. En las siguientes secciones se destacan algunos de estos cambios propuestos para el CSF.
Uso más amplio del marco
La OE inicial del presidente Obama se centraba en las infraestructuras críticas, dadas las importantes amenazas de ciberseguridad emergentes para los sistemas de energía y transporte de la nación y otros activos críticos sin los cuales las actividades esenciales no podrían funcionar. Para transmitir un enfoque más amplio con más fuerza en los EE.UU. e internacionalmente, el NIST está cambiando el nombre del CSF a su término comúnmente utilizado, "Marco de Ciberseguridad", eliminando el énfasis en las infraestructuras críticas. El marco original "ha demostrado su utilidad en todas partes, desde escuelas y pequeñas empresas hasta gobiernos locales y extranjeros", afirmó el NIST al anunciar la versión 2.0. "Queremos asegurarnos de que sea una herramienta útil para todos los sectores, no sólo para los designados como críticos".
La nueva función Govern es transversal
El "núcleo" actual del NIST CSF consta de cinco funciones: Identificar, Proteger, Detectar, Responder y Recuperar. Alrededor de ellas se agrupan 23 categorías y 108 subcategorías de resultados de ciberseguridad deseados, y cientos de referencias informativas, en su mayoría otros marcos y normas industriales.
En su borrador 2.0, el NIST ha añadido una sexta función, Gobernar, que cubre cómo las organizaciones toman y ejecutan decisiones en torno a la ciberseguridad. Esta nueva función es transversal a las otras cinco funciones, haciendo hincapié en las personas, los procesos y la tecnología necesarios para gobernar adecuadamente las funciones de ciberseguridad dentro de las organizaciones.
Al anunciar el marco, el NIST explica que la función de gobierno "abarca la forma en que una organización puede tomar y ejecutar sus propias decisiones internas para apoyar su estrategia de ciberseguridad. Destaca que la ciberseguridad es una fuente importante de riesgo empresarial, junto con los riesgos legales, financieros y de otro tipo, como consideraciones para la alta dirección". El borrador también ofrece orientación para integrar el Marco con el Marco de Privacidad del NIST y la gestión del riesgo empresarial, como se discute en NIST IR 8286.
Énfasis en la gestión de riesgos de la cadena de suministro
Bajo la función de Gobierno, el CSF 2.0 ofrece una nueva categoría que destaca la importancia de la gestión del riesgo de la cadena de suministro, señalando que un resultado deseado es que las organizaciones identifiquen, establezcan, gestionen y supervisen los procesos de gestión del riesgo de la cadena de suministro cibernético. El NIST divide estas acciones en diez subcategorías de esfuerzos de gestión de riesgos de la cadena de suministro.
Las categorías y subcategorías dentro de las otras funciones también "proporcionan una fuente para que la organización considere como base para los requisitos de ciberseguridad de los proveedores, tanto para los proveedores directos como para los proveedores de nivel inferior", afirmó el CSF 2.0.
El borrador anima además a las organizaciones a utilizar los Perfiles del Marco que forman parte del CSF "para delinear las normas y prácticas de ciberseguridad a incorporar en los contratos con los proveedores, y proporcionar un lenguaje común para comunicar esos requisitos a los proveedores". El NIST señala que los proveedores también pueden utilizar los perfiles para expresar su postura de ciberseguridad y las normas y prácticas relacionadas con los riesgos de la cadena de suministro.
Por último, el borrador 2.0 apunta a los perfiles objetivo, que también forman parte del CSF, para abordar la gestión de riesgos de la cadena de suministro, diciendo que "pueden utilizarse para informar las decisiones sobre la compra de productos y servicios basados en los requisitos para abordar las lagunas".
Facilitar la adopción del MCA
Para abordar un problema crónico que obstaculiza la adopción del CSF, el NIST tiene previsto incluir en el borrador final 2.0 ejemplos de directrices de aplicación que ofrezcan ejemplos más concretos y reales de cómo las organizaciones pueden aplicar el marco.
Aunque el actual borrador 2.0 no contiene estos ejemplos, el NIST ha publicado para comentario público, en portada separada, ejemplos de los tipos de orientación que podría incluir la versión final. Se anima a las partes interesadas a proporcionar información antes del viernes, 4 de noviembre del 2023, sobre si estos ejemplos son adecuadamente específicos, qué otros tipos de modelos podrían ser útiles, con qué frecuencia el NIST debería actualizarlos, y qué otras fuentes de orientación para la implementación podrían ser fuentes para los ejemplos.
Un intento de medir el rendimiento de la ciberseguridad
Una queja frecuente sobre el actual CSF es que carece de una orientación clara sobre la medición del rendimiento de la ciberseguridad tras la adopción del marco, lo que hace más difícil medir el éxito o el fracaso de la aplicación de las numerosas prácticas y técnicas necesarias para lograr los resultados deseados.
Aunque no amplía este tipo de orientación, el borrador 2.0 sí habla de métricas y anima a las organizaciones "a innovar y personalizar la forma en que incorporan la medición en su aplicación del marco". También sugiere que las organizaciones jueguen con la forma de medir el rendimiento. "El marco ofrece la oportunidad de explorar o ajustar las metodologías de medición y evaluación", afirma el borrador.
Además, el borrador 2.0 introduce una nueva categoría bajo la función Identificar que contempla cómo las organizaciones identificarán mejoras en los procesos, procedimientos y actividades de gestión de riesgos de ciberseguridad de la organización como medio para medir el rendimiento.
Referencias y recursos actualizados sobre ciberseguridad
El borrador 2.0 actualiza los recursos y referencias informativas utilizadas en las versiones anteriores del CSF, incluyendo:
- El Marco de Privacidad del NIST
- El Marco de la Fuerza Laboral para la Ciberseguridad del NICE (SP 800-181)
- El Marco de Desarrollo Seguro de Software (SP 800-218)
- Prácticas de Gestión de Riesgos de la Cadena de Suministro de Ciberseguridad para Sistemas y Organizaciones (SP 800-161r1)
- La Guía de Medición del Rendimiento para la Seguridad de la Información (SP 800-55)
- Integrating Cybersecurity and Enterprise Risk Management (NIST IR 8286) series (Integración de la ciberseguridad y la gestión de riesgos empresariales)
- El Marco de Gestión de Riesgos de la Inteligencia Artificial (AI 100-1)
El NIST tiene previsto publicar una herramienta en línea con formatos legibles por humanos y máquinas para permitir a las organizaciones ver las relaciones en línea entre el núcleo del CSF y los recursos actualizables.
Calendario para la finalización del CSF 2.0
Los días 19 y 20 de septiembre, el NIST tiene previsto celebrar su tercer y último taller antes de la publicación prevista de la versión final CSF 2.0 a principios de 2024. El NIST subraya que no tiene intención de publicar otro borrador del CSF 2.0 para recabar comentarios. Los comentarios sobre el borrador 2.0 y los ejemplos de aplicación relacionados deben enviarse antes del 4 de noviembre.
Basado en el artículo de Cynthia Brumfield (CSO) y editado por CIO Perú