El Marco para Mejorar la Ciberseguridad de las Infraestructuras Críticas NIST, se centra en el uso de factores corporativos para llevar a cabo actividades de ciberseguridad, y considera los riesgos de ciberseguridad como una parte integral de los procesos de gestión de riesgos corporativos. El Marco NIST se compone de tres secciones: el núcleo, los niveles de implementación y los perfiles. El denominado Framework Core es un conjunto de actividades de ciberseguridad, resultados y referencias de información comunes en todos los sectores e infraestructuras críticas.
Los elementos descritos en el Core representan una guía detallada para desarrollar los perfiles individuales de una empresa u organización. Mediante el uso de Perfiles, el Marco NIST ayudará a una empresa en particular a establecer prioridades con respecto a sus actividades de ciberseguridad y a alinearlas con sus necesidades comerciales, su tolerancia al riesgo y sus recursos.
Los niveles (Tiers), por otro lado, constituyen un mecanismo útil para que las empresas vean y comprendan las características de su sistema de gestión de riesgos cibernéticos, lo que les ayudará a establecer prioridades y alcanzar sus objetivos de ciberseguridad.
A partir de estándares, directrices y buenas prácticas, el Marco proporciona a las organizaciones una taxonomía común y un mecanismo para:
1. Describir su posición actual con respecto a la ciberseguridad.
2. Definir su estado objetivo de seguridad ciberseguridad.
3. Identificar y establecer un orden de prioridad entre las oportunidades de mejora dentro de un proceso continuo y repetible.
4. Evaluar el progreso hacia el estado objetivo
5. Comunicar el estado del riesgo de ciberseguridad con sujetos internos y externos.
Este marco teórico, en su Versión 1.1 de 2018, proporciona una estructura organizativa común para abordar diferentes tipos de gestión de ciberseguridad, combinando estándares, directrices y prácticas actualmente eficaces. Además, en referencia a estándares de ciberseguridad reconocidos a nivel mundial, el Marco NIST también tiene como objetivo fortalecer la cooperación y mejorar la seguridad de TI en infraestructuras críticas, pero también en otros sectores y comunidades. Es aplicable a empresas o entidades centradas en la tecnología, ya sea que su enfoque en la seguridad cibernética se refiera principalmente a la tecnología de la información (TI), o si se centra en los sistemas de control industrial (ICS) o en los sistemas físicos cibernéticos (CPS), o incluso, más generalmente, en dispositivos interconectados, como Internet de las cosas (IoT). Finalmente, este marco de referencia teórico puede ayudar a las empresas a gestionar o resolver problemas de ciberseguridad con respecto a la privacidad de sus clientes, empleados y contrapartes. Habiendo sido creado por una agencia del gobierno de los Estados Unidos, es especialmente aplicable a organizaciones con sede en este país; sin embargo, las compañías multinacionales que también operan en los Estados Unidos pueden usarlo.
En otros países, como en Italia, se han creado marcos de referencia inspirados en el del NIST, pero adaptados a la realidad específica del país.
Reconociendo el papel fundamental de proteger la privacidad y las libertades civiles en la creación y el mantenimiento de un sólido sentimiento de confianza pública, el Marco NIST también incluye una metodología para la protección de la privacidad y la libertad individual cuando una organización tiene que realizar actividades de ciberseguridad. Muchas organizaciones han establecido procesos para lidiar con los problemas individuales de privacidad y libertad. La metodología del Marco NIST fue diseñada para complementar estos procesos y proporcionar pautas generales para la facilitación de la gestión del riesgo de privacidad que sea consistente con el enfoque de riesgo de ciberseguridad de la misma organización. La integración de la privacidad y la seguridad cibernética puede beneficiar a las empresas y organizaciones, aumentando el nivel de confianza de los clientes, permitiendo una estandarización de los mecanismos de intercambio de información y simplificando las operaciones entre un régimen legal y otro.
Es importante tener en cuenta que el Marco NIST no está diseñado para aplicarse de manera única y literal en cualquier tipo de empresa o situación de gestión de riesgos cibernéticos; Cada organización tendrá su propia situación, amenazas, vulnerabilidades diferentes de las experimentadas por otras organizaciones, una tolerancia al riesgo diferente. Por lo tanto, la forma en que deciden personalizar y adaptar las prácticas descritas en el Marco NIST a sus necesidades también variará.
El Marco NIST debe considerarse un complemento del proceso de gestión de riesgos de una empresa y su Plan de Ciberseguridad; no debe reemplazarlos bajo ninguna circunstancia. De hecho, una organización puede usar sus propios procesos y aprovechar la ayuda del Marco NIST para identificar oportunidades de fortalecimiento en la gestión del riesgo cibernético; mientras que aquellas organizaciones que aún no tienen su propio programa de ciberseguridad, pueden usarlo como referencia para diseñar uno adecuado para su realidad.
Hay varias formas diferentes de usar el Marco NIST: la compañía u organización que está a punto de aplicarlo decide cuál es la mejor manera de hacerlo. Por ejemplo, una empresa puede decidir utilizar los niveles de implementación del marco para articular las prácticas deseadas de gestión de riesgos. Sin embargo, otra compañía podría usar las cinco funciones del Marco NIST para analizar su cartera completa de gestión de riesgos, y este análisis puede o no estar basado en una guía más detallada, como por ejemplo catálogos de comandos. Por esta razón, cuando escuchamos sobre el “respeto por el Marco NIST”, debemos tener en cuenta que esta expresión podría tener diferentes significados para los diferentes temas involucrados.
Además, el Marco NIST es un documento “vivo”, continuamente actualizado y mejorado gracias a los comentarios proporcionados por las organizaciones que lo implementan.
Como se anticipó anteriormente, el Marco NIST se compone de tres partes: Marco básico, Niveles de implementación, Perfiles, cada uno de los cuales refuerza la conexión entre los factores comerciales clave, su misión y las actividades de cibberseguridad. Vale la pena profundizar en la descripción de estos tres componentes.
El Framework Core “representa la estructura del ciclo de vida del proceso de gestión de la seguridad cibernética, tanto desde el punto de vista técnico como organizativo”. Contiene pautas y prácticas útiles para permitir la comunicación de las actividades y resultados de ciberseguridad de una empresa, tanto a nivel administrativo como operativo.
Esta sección del Marco NIST está estructurada jerárquicamente en Funciones, Categorías (Categorías) y Subcategorías (Subcategorías).
Las FUNCIONES se utilizan para organizar actividades básicas de seguridad cibernética en su nivel más alto, y se dividen en: IDENTIFICAR, PROTEGER, DETECTAR, RESPONDER y RECUPERAR (ver Figura 1). Ayudan a una organización a gestionar el riesgo cibernético, facilitando decisiones, organizando información y datos, enfrentando amenazas y aprendiendo de actividades y experiencias anteriores. Además, las funciones se alinean con las metodologías existentes de gestión de accidentes, lo que ayuda a ilustrar el impacto de las inversiones realizadas en ciberseguridad.
Las cinco funciones del Framework Core no pretenden ser un camino a seguir, paso a paso, para llegar a un determinado estado final esperado. Por el contrario, las funciones deben implementarse de forma simultánea y continua, para formar una especie de cultura operativa que pueda abordar el dinamismo que caracteriza el riesgo cibernético.
A continuación se muestra una breve descripción de las cinco funciones:
• Identificar: esta función está vinculada a la comprensión del contexto comercial y los activos que respaldan los procesos comerciales críticos y el riesgo cibernético asociado. Gracias a esta comprensión, la organización podrá definir los recursos necesarios y los tipos de inversión más acordes con su estrategia de gestión de riesgos y objetivos comerciales. Algunas categorías de esta función son: gestión de activos, gobernanza, evaluación de riesgos, estrategia de gestión de riesgos, gestión de datos, etc.
• Proteger: la función “Proteger” se refiere a la implementación de medidas destinadas a proteger los procesos comerciales y los activos corporativos, estén o no relacionados con TI. Es una función que admite la capacidad de limitar o contener el impacto de un posible evento de ciberseguridad. Ejemplos de categorías dentro de la función de protección son: gestión de identidad, autenticación y control de acceso, sensibilización y formación, seguridad de datos, mantenimiento, etc.
• Detectar: es la función asociada con la definición e implementación de actividades apropiadas para identificar rápidamente los incidentes de seguridad de TI. Algunas categorías dentro de ella son: monitoreo continuo de seguridad, procesos de detección, etc.
• Responder: se asocia con la definición e implementación de las actividades más apropiadas para intervenir después de que se haya detectado un incidente de seguridad de TI, con el objetivo de contener su impacto. Las categorías dentro de esta función son, por ejemplo, planificación de la respuesta, comunicación, análisis, mitigación y mejoras.
• Recuperar: es la creación e implementación de actividades que pueden gestionar planes y acciones para restaurar procesos y servicios afectados por un accidente. El objetivo final de esta función es garantizar la resistencia de los sistemas e infraestructuras y, por lo tanto, restaurar las capacidades o servicios dañados por un incidente de seguridad cibernética. Las categorías dentro de esta función son: Planificación de recuperación, Mejoras, Comunicación.
Las CATEGORÍAS son, por lo tanto, subgrupos de resultados de seguridad cibernética, estrechamente relacionados con necesidades y actividades de planificación específicas.
Las SUBCATEGORÍAS subdividen cada categoría en resultados “parciales”, es decir, actividades habilitadoras como procesos y tecnologías. Cada Subcategoría es un pequeño hito adicional hacia el logro del resultado compuesto por la Categoría correspondiente: de hecho, diferentes Subcategorías, es decir, actividades realizadas, contribuyen al logro del resultado final compuesto por la Categoría correspondiente. Ejemplos de subcategorías, expresadas como resultados logrados o actividades realizadas, son: “Los sistemas de información externos han sido catalogados” y “Las notificaciones de los sistemas de detección han sido investigados”. Además, cada Subcategoría se combina con ejemplos de Referencias Informativas: conjuntos específicos de estándares, pautas y prácticas comunes entre diferentes sectores de la infraestructura crítica, que indican un camino para lograr todos los diversos resultados asociados con la Subcategoría misma. Las referencias de información son puramente ilustrativas e indicativas, pero no exhaustivas.
Los Implementation Tiers, o niveles de implementación, proporcionan una idea y una contextualización sobre el nivel de integración de los procesos de gestión de riesgos cibernéticos dentro de una organización determinada. Los niveles de gestión del riesgo cibernético pueden ser de cuatro tipos, desde el más débil hasta el más fuerte:
• Parcial (Nivel 1): el modelo de gestión de riesgos cibernéticos de una empresa es parcial si no tiene en cuenta sistemáticamente el mismo riesgo o las amenazas ambientales; Además, a nivel organizacional, existe una conciencia limitada del riesgo y no existen procesos para compartir información con entidades externas relacionadas con la seguridad cibernética.
• Informado (Nivel 2): se refiere al modelo de gestión de riesgos cibernéticos “informado” si la organización tiene procesos internos que tienen en cuenta el riesgo, incluso si no se extienden a toda la organización. Por lo tanto, existe un cierto nivel de conciencia sobre el riesgo cibernético, pero no existen procesos de gestión profundos que involucren a todos los niveles de la organización.
• Repetible (Nivel 3): se dice que un modelo de gestión de riesgos cibernéticos es “repetible” si se define y aprueba formalmente, y si la organización actualiza regularmente sus prácticas de ciberseguridad, en función del resultado del proceso de Gestión de riesgos. Existe una gestión profunda del riesgo cibernético en todos los niveles y el personal de la organización está capacitado para gestionarlo. Además, la organización intercambia información sobre ciberseguridad con otras entidades que operan en el mismo sector.
• Adaptativo (Nivel 4): este tipo de gestión de riesgos cibernéticos está presente si la organización vuelve a adaptar sus procedimientos de ciberseguridad regularmente, utilizando experiencia previa e indicadores de riesgo, adaptándose a las amenazas en constante evolución e intercambiando información con otros actores del sector de forma continua y en tiempo real. Una organización que sigue este modelo es capaz de responder eficazmente a ataques sofisticados. Los Framework Profiles o Perfiles del Marco representan el resultado de la selección de ciertas Subcategorías y Categorías del Framework NIST hechas por una organización. Un Perfil también se puede describir como la alineación de estándares, directrices y prácticas con el Marco Central dentro de un contexto de implementación específico. Los perfiles se pueden utilizar para identificar oportunidades para mejorar las condiciones de seguridad cibernética, comparando el “perfil actual” con otro ideal, llamado “Perfil de destino”. Para crear un perfil, una organización puede revisar todas las categorías y subcategorías y luego, basándose en los impulsores comerciales y habiendo evaluado el riesgo, determinar cuáles son las más importantes. También puede agregar categorías y subcategorías según sus necesidades, para administrar los riesgos comerciales. El Perfil actual se puede utilizar como soporte para la priorización y medición del progreso realizado hacia el logro del Perfil objetivo, teniendo en cuenta otras necesidades comerciales, incluidas la innovación y la eficiencia de costos. Finalmente, los Perfiles también se pueden utilizar para realizar autoevaluaciones y comunicarse dentro de la organización, o entre varias entidades.