Lo que sabemos hasta ahora del Marco de Ciberseguridad 2.0 del NIST
Los marcos son una herramienta eficaz en ciberseguridad debido a la complejidad de los retos que plantea y a la escasa estructuración de las operaciones de ciberseguridad de muchas organizaciones.
Presentado en 2014, el Marco de Ciberseguridad (CSF) del NIST ofrece a las empresas medidas concretas para organizar y mejorar la seguridad de los sistemas informáticos. Sin embargo, ocho años es toda una vida en la ciberseguridad, y el CSF se debe a una actualización importante. ¿Qué va a cambiar en el CSF 2.0 y a qué distancia estamos de un nuevo marco?
En este artículo examinaremos las respuestas a la solicitud de información (RFI) del NIST y discutiremos los próximos pasos.
¿Por qué es necesario actualizar el MCA?
Desde la versión 1.0, el Marco de Ciberseguridad del NIST se concibió como un documento que se adapta al cambiante panorama de la ciberseguridad, por lo que no es de extrañar que por fin se esté produciendo un cambio, aunque sea con cierto retraso.
La última actualización fue en abril de 2018, a CSF 1.1, y fue una actualización menor. Los principales elementos del CSF se mantuvieron, incluidas sus "funciones" básicas: identificar, proteger, detectar, responder y recuperar. Sin embargo, la versión 1.1 amplió la aplicabilidad del marco para incluir el Internet de las cosas (IoT) y la tecnología operativa (OT). La actualización 1.1 también hace mayor hincapié en la seguridad de la cadena de suministro.
Casi cuatro años después, estaba claro que el MCA necesitaba una importante renovación para reflejar un entorno tecnológico y de seguridad cambiante.. Así pues, el 22 de febrero de 2022, el NIST publicó un RFI. Generó 130 respuestas, y en junio, el NIST publicó un resumen.
La propuesta hasta ahora
El NIST identificó varios temas clave basándose en las 130 respuestas, y es interesante observar que los primeros temas tienden a iluminar la eficacia de la primera versión del Marco de Ciberseguridad. "Los encuestados RFI destacaron numerosas maneras en que el CSF ha sido eficaz para ayudar a las organizaciones a comprender y gestionar los riesgos de ciberseguridad ..."según el NIST.
Los encuestados solicitaron que el enfoque se mantuviera en la construcción de los atributos clave existentes del CSF, y que el CSF se alineara mejor con los esfuerzos más amplios del NIST (por ejemplo, más mapeos con OLIR). con OLIR) y los esfuerzos de organizaciones externas (p. ej. ISO 27000).
Las organizaciones también querían que el marco incluyera más orientaciones de aplicación, porque la neutralidad tecnológica y de proveedor de los CSF 1.0 y 1.1 provocaba una falta de detalle y especificidad.
Otro tema clave se refería a hacer mayor hincapié en la evaluación del rendimiento. Las partes interesadas pidieron al NIST que proporcionara orientaciones sobre mediciones y parámetros para evaluar el riesgo de ciberseguridad y medir el nivel de consecución de los resultados de los CSF.
La consideración de los riesgos de la cadena de suministro también salió a relucir en las respuestas. Los encuestados querían orientación sobre la gestión de las relaciones con los proveedores, herramientas para analizar el riesgo en las cadenas de suministro y un modelo que ayude a orientar a las organizaciones en la lucha contra el riesgo en la cadena de suministro.
Próximos pasos para el MCA 2.0
El análisis resumido del NIST es sólo un punto de partida, y aún no sabemos cómo responderá el NIST a las propuestas del MCA 2.0, aunque indica en qué dirección sopla el viento.
El NIST ha dicho relativamente poco sobre la hoja de ruta para publicar la versión 2.0siendo el último paso importante un taller en septiembre. No obstante, parece que la versión 2.0 está muy avanzada, incluso mediante conversaciones con numerosas partes interesadas.
A falta de borrador para el LCR 2.0 y sin fecha límite para la versión final, podría decirse que no hay nada más que hacer que esperar a que se publique una nueva versión... pero se equivocaría.
El mundo de la ciberseguridad ha avanzado desde 2014, y aunque el marco del NIST de 2014 aún contiene lecciones valiosas, su régimen de ciberseguridad debe adaptarse continuamente.
Los comentarios sobre el proceso de consulta del NIST ofrecen cierto grado de orientación, pero como equipo de ciberseguridad encargado de mantener a salvo los activos de su organización, debe centrarse en adaptarse a las tendencias realizando su propia supervisión e investigación.
Vigile siempre el paisaje
Piensa en los cambios en la superficie de ataque, por ejemplo. En 2014, el trabajo a distancia era un factor de ciberseguridad mucho menos importante que en 2022. También hemos asistido a la aparición de toda una serie de nuevas herramientas de ciberseguridad en la última década, algunas de las cuales han cambiado las reglas del juego.
Uno de los servicios clave de TuxCare, la aplicación de parches en tiempo real, es una de las herramientas que probablemente solo se habría mencionado de pasada en un marco de ciberseguridad redactado en 2014. Hoy en día, por supuesto, la aplicación de parches en vivo es un componente poderoso en el conjunto de herramientas de ciberseguridad de cualquier organización moderna.
Mantenerse a la vanguardia siempre ha sido fundamental para defender con éxito los activos tecnológicos. Esperamos que NIST CSF 2.0 sea un gran paso adelante en la lucha contra los ciberdelincuentes. Mientras tanto, no pierda de vista el panorama de la ciberseguridad y asegúrese de que su organización utiliza herramientas de vanguardia, incluidos los parches activos.