El Marco de Ciberseguridad NIST 📚

Gerardo Castro Arica
5 min readApr 4, 2021

--

👋 Hola

Sucede, que como cualquier otro tema, después de entender los conceptos y base teórica, llega el momento cumbre: ¿Cómo lo implementamos? 🤔

Y es aquí donde entra la adopción de un Marco de Ciberseguridad del que se encarga el NIST (Instituto Nacional de Normas y Tecnologías) de direccionar.

¿Porqué adoptar un marco de Ciberseguridad para implementar Ciberseguridad?

Todas las organizaciones, tienen diferentes necesidades de Ciberseguridad, lo que conlleva a que cada una trate de adoptar una estrategia de ciberseguridad según le convenga para identificar y cumplir con sus objetivos de controles de seguridad.

Algunos de los enfoques que pueden tomar son:

  • Ad hoc
  • Basado en el riesgo, por ejemplo cumplir con los estándares PCI DSS e HIPAA
  • Basado en el cumplimiento

Otra opción mas efectiva para cualquier organización, es la de adoptar un enfoque de seguridad basado en el riesgo que realice una evaluación por cada una de las amenazas y las vulnerabilidades a las que se enfrente.

Por ejemplo, estas son las fases de un modelo de riesgo propuesto por el NIST:

Tipos de ataques mas comunes

Y estas decisiones, deberían venir acompañadas de una investigación (research) de cual es la tendencia actual y hacia a donde apunta en cuanto a los ataques cibernéticos como: Amenaza interna, espionaje, etc.

Puedes revisar este reporte de parte de ENISA (Agencia de la Unión Europea para redes y seguridad de la información)

Los agentes de amenazas de Ciberseguridad

Conocida la tendencia de los ataques mas comunes, es necesario conocer o identificar cuales son los agentes de estas amenazas, ya que estos agentes son la fuente del accionar de una amenaza.

Cibersecurity Framework NIST (CSF NIST)

Historia del CSF

Es política de los EEUU mejorar la seguridad y la capacidad de recuperación de la infraestructura crítica de la nación y mantener un entorno cibernético que fomente la eficiencia, la innovación y la prosperidad económica al tiempo que promueve la seguridad, la confidencialidad empresarial, la privacidad, y libertades
civiles.

Bajo esa premisa, el desarrollo del Marco se inicia bajo la Orden Ejecutiva 13636 que fue publicada el 12 de Febrero del 2013.

Orden Ejecutiva 13636

En esta orden se establecieron algunos requisitos para el Marco que NIST utilizo como criterio de diseño, entre las mas resaltantes:

  • Identificar las normas y directrices de seguridad aplicables en todos los sectores de infraestructura critica
  • Ayudar a los propietarios y operadores de infraestructura critica a identificar, evaluar y gestionar el riesgo cibernético
  • Incluir orientación para medir el desempeño de la implementación del Marco de Ciberseguridad

Evolución del marco

Estructura del CSF

Este marco es un enfoque basado en el riesgo para gestionar el riesgo de ciberseguridad y consta de 3 componentes principales:

  1. Framework Core
  2. Niveles de implementación (Tiers)
  3. Perfiles

Framework Core

Este componente del CSF es un conjunto de actividades y resultados de lo que la organización desea como Ciberseguridad, y consta de 3 partes:

  1. Funciones: Las funciones son Identificar, Proteger, Detectar, Responder y Recuperar.
  2. Categorías: Existe un total de 23 categorías que se distribuyen entre las 5 funciones. Fue diseñado para cumplir la amplitud de los objetivos de Ciberseguridad en una organización.
  3. Subcategorías: Es el nivel mas bajo de abstracción en el core. Hay 108 subcategorías que son declarativos basados en los resultados que proporcionan consideraciones para crear o mejorar un programa de Ciberseguridad.

Niveles de implementación

Proporcionan un contexto sobre como una organización considera el riesgo de ciberseguridad y los procesos establecidos para gestionar aquellos riesgos.

Existen 4 niveles de implementación que describen el como se exhibe la gestión de un riesgo de ciberseguridad frente a las características definidas en el Marco.

  1. Parcial
  2. Riesgo informado
  3. Repetible
  4. Adaptativo

Cada uno de esos niveles describen un grado de mayor rigor y que tan bien integradas están las decisiones de riesgo de ciberseguridad en decisiones de riesgo mas amplias y el nivel en que la organización comparte y recibe información de ciberseguridad de fuentes externas.

Perfil del marco

Son la alineación única de una organización de sus requisitos y objetivos, la tolerancia al riesgo y los recursos con respecto a los resultados deseados del Framework Core.

Estos perfiles, sueles usarse para identificar oportunidades de mejora respecto a la postura de Ciberseguridad haciendo un versus comparativo entre un “perfil actual” Vs. un “perfil objetivo”.

Es decir, te permite mirar y conocer como estas en este momento en cuanto a una postura de Ciberseguridad, lo que permite que identifiques puntos a mejorar para llegar a un perfil deseado.

Si te gustaría conocer mas detalles de los componentes del Cibersecurity Framework, házmelo saber en la cajita de comentarios 😉

Aquí paramos la tecla ✍

🚀 Te invito a seguirme en mis redes sociales 🚀
🌐 https://bit.ly/gerardokaztro
📺 https://bit.ly/AWSSecurityLATAM
https://bit.ly/DevtoGerardokaztro
🌟 https://linkedin.com/in/gerardokaztro
https://bit.ly/MediumGerardokaztro
🐦 https://twitter.com/gerardokaztro
🤳 https://instagram.com/awssecuritylatam

--

--

Gerardo Castro Arica

Padre, hijo y hermano 👨‍👩‍👦‍👦 Creador de contenido en Youtube. Escritor de blogs técnicos. #AWSSecurity #AWSCommunity Sígueme en mis redes sociales 👇