Cumplimiento NIST 2.0

 

Por Ángel Barbosa

El Marco de Ciberseguridad NIST es una forma de proteger los datos y operaciones de una organización. La primera versión, lanzada en 2014, se convirtió rápidamente en un estándar de oro para las mejores prácticas de ciberseguridad, sin embargo, el panorama de amenazas evoluciona constantemente, así que llega su versión 2.0 para abordar los nuevos desafíos a través de:

  • Un alcance más amplio: Más allá de la infraestructura de TI, el marco ahora aborda los problemas de seguridad física, privacidad y seguridad de la cadena de suministro.
  • Una nueva función: La introducción de la función “Gobierno” enfatiza el liderazgo, la gestión de riesgos y la gestión de programas, garantizando que la ciberseguridad esté integrada en la cultura de una organización.
  • Orientación mejorada: El marco ahora proporciona una guía más explícita y detallada sobre la implementación de sus controles, lo que facilita que las organizaciones lo pongan en práctica. Además, ha perfeccionado la terminología y eliminado las ambigüedades, lo que mejora su claridad y comprensión.
  • Flexibilidad y personalización: Las organizaciones pueden adaptar el marco a sus necesidades específicas a través de “perfiles” personalizables.
  • Integración con otros marcos y estándares: La versión 2.0 tiene como objetivo optimizar la integración con otros marcos y estándares de ciberseguridad, facilitando la adopción e implementación.
  • Mayor enfoque en la medición y mejora: El marco enfatiza la importancia de medir la efectividad de los controles implementados y mejorar continuamente la postura de ciberseguridad.

Es importante considerar este nuevo alcance ampliado de la versión 2.0 para lograr el cumplimiento. Si bien la versión final del Marco de Ciberseguridad NIST 2.0 aún no se publica oficialmente, varios borradores de controles muestran el alcance ampliado y el énfasis en las nuevas áreas. Aquí las describimos y hacemos recomendación de cómo lograr su cumplimiento:

  • Gestión de Riesgos de la Cadena de Suministro: Este nuevo control requiere que las organizaciones identifiquen y evalúen los riesgos dentro de su cadena de suministro, implementen estrategias de mitigación y monitoreen posibles amenazas. Esto aborda la creciente preocupación por las vulnerabilidades que se extienden más allá de los sistemas internos.

 

Consejos de cumplimiento:

 

  1. Mapee su cadena de suministro: Identifique todos los vendedores, proveedores y socios involucrados en sus operaciones críticas.
  2. Realice evaluaciones de riesgos: Evalúa las prácticas de ciberseguridad y las vulnerabilidades de cada miembro de la cadena de suministro.
  3. Implemente estrategias de mitigación: Implemente controles para abordar los riesgos identificados, como cláusulas contractuales, cifrado de datos y auditorías de seguridad.
  4. Supervise y adáptese: Supervise continuamente su cadena de suministro para detectar amenazas emergentes y adapte su enfoque de gestión de riesgos en consecuencia.

 

  • Evaluación del Impacto en la Privacidad: Este nuevo control obliga a las organizaciones a realizar evaluaciones de procesos comerciales nuevos o significativamente modificados que afecten la privacidad. Esto refuerza la importancia de la protección de datos y el cumplimiento de las normas de privacidad.

 

Consejos de cumplimiento

 

  1. Desarrolle un proceso especifico: Establezca un proceso claro y repetible para realizar evaluaciones de impacto en la privacidad (PIA) de procesos comerciales nuevos o significativamente modificados.
  2. Identifique posibles riesgos de privacidad: Analice cómo los procesos recopilan, utilizan, almacenan y comparten datos personales.
  3. Evalué el impacto: Evalúe la gravedad y probabilidad de los riesgos identificados, considerando factores como la sensibilidad de los datos y los requisitos legales.
  4. Implemente estrategias de mitigación: Implemente medidas para minimizar o eliminar los riesgos identificados, como minimización de datos, anonimización y mecanismos de consentimiento del usuario.

 

  • Controles de los Límites de Seguridad Física: Este nuevo control se centra en establecer y garantizar la integridad de los límites de seguridad física alrededor de la infraestructura y los activos críticos. Esto enfatiza la necesidad de una protección integral más allá del ámbito digital.

 

Consejos de cumplimiento:

 

  1. Defina sus zonas: Delimite claramente el perímetro físico que abarca su infraestructura y sus activos críticos.
  2. Implemente controles de acceso: Instale barreras físicas, sistemas de control de acceso y protocolos de identificación para restringir el acceso no autorizado.
  3. Capacite al personal: Brinde capacitación a los empleados y contratistas sobre procedimientos de seguridad física y cómo denunciar actividades sospechosas.
  4. Integre con la seguridad de TI: Asegúrese de que sus medidas de seguridad física complementen y respalden su postura de seguridad de TI.

La publicación de la versión final del Marco de Ciberseguridad NIST 2.0 fue el 26 de Febrero del 2024, por lo que las organizaciones que tomen medidas proactivas para comprender y prepararse para el nuevo marco estarán bien posicionadas para lograr su cumplimiento. Recuerde, el cumplimiento no es sólo una casilla de verificación; es un viaje continuo de vigilancia y mejora.

 

Referencias:

  • Sitio web del Marco de Ciberseguridad del NIST: https://www.nist.gov/cyberframework](https://www.nist.gov/cyberframework
  • Borrador del marco de ciberseguridad 2.0 del NIST: https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.29.ipd.pdf
  • Marco de ciberseguridad 2.0 del NIST: una guía para la implementación: https://www.ntirety.com/blog/nist-cybersecurity-framework-2-implementation-guide/

Usamos Cookies

En usamos cookies para mejorar la experiencia de uso en este sitio web.