El Instituto Nacional de Estándares y Tecnología (NIST) ha publicado el borrador de la guía Marco de Seguridad Cibernética (CSF) 2.0, donde se reflejan los cambios en el panorama de la seguridad cibernética, al tiempo que facilita la puesta en práctica del CSF. El objetivo es adaptarse a las necesidades de ciberseguridad actuales de todas las organizaciones.
El borrador del marco está abierto a los comentarios públicos hasta el 4 de noviembre de 2023 y los comentarios se deberán enviar al correo electrónico cyberframework@nist.gov. NIST ha comunicado que no planea publicar otro borrador, aunque está planificando un taller para otoño que servirá como otra oportunidad para que las partes interesadas tengan la posibilidad de ofrecer comentarios y opiniones sobre el borrador. Los desarrolladores prevén publicar la versión final de CSF 2.0 a principios de 2024.
El CSF proporciona orientación de alto nivel, incluido un lenguaje común y una metodología sistemática, para gestionar el riesgo de ciberseguridad en todos los sectores y ayudar a la comunicación entre el personal técnico y no técnico. Incluye actividades que pueden incorporarse a los programas de seguridad cibernética y adaptarse para satisfacer las necesidades particulares de una organización.
Modificaciones del Marco de Seguridad Cibernética
El borrador de CSF 2.0 refleja una serie de cambios importantes, como la ampliación del alcance del marco, desde la protección de la infraestructura crítica, como hospitales y centrales eléctricas, hasta la provisión de ciberseguridad para todas las organizaciones, independientemente del tipo o tamaño.
Hasta ahora, el CSF ha descrito los principales pilares de un programa de ciberseguridad holístico utilizando cinco funciones principales: identificar, proteger, detectar, responder y recuperar. A estos, NIST ha agregado un sexto, la función de gobierno, que cubre cómo una organización puede tomar y ejecutar sus propias decisiones internas para respaldar su estrategia de seguridad cibernética.
El borrador proporciona una guía mejorada y ampliada sobre la implementación del CSF, especialmente para la creación de perfiles, que adaptan el CSF a situaciones particulares. La comunidad de ciberseguridad ha solicitado asistencia para usarlo en sectores económicos específicos y casos de uso, donde los perfiles pueden ayudar. Es importante destacar que el borrador ahora incluye ejemplos de implementación para las subcategorías de cada función, con el fin de ayudar a las organizaciones, especialmente a las empresas más pequeñas, a usar el marco de manera efectiva.
Un objetivo principal de CSF 2.0 es explicar cómo las organizaciones pueden aprovechar otros marcos, estándares y pautas de tecnología para implementar el CSF. Reforzando este objetivo, NIST lanzará, en pocas semanas, una herramienta de referencia CSF 2.0. Este recurso en línea permitirá a los usuarios navegar, buscar y exportar los datos de CSF Core en formatos legibles por máquinas y consumibles por humanos. En el futuro, esta herramienta proporcionará referencias informativas para mostrar las relaciones entre el CSF y otros recursos para facilitar el uso del marco junto con otras orientaciones para gestionar el riesgo de ciberseguridad.