article

Marco de ciberseguridad: NIST y NIST 2.0

El Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés) es una agencia del Departamento de Comercio de EE. UU. encargada de proporcionar directrices sobre la gestión del riesgo de ciberseguridad para los sistemas de información.

El Nist Cybersecurity Framework (en español Marco de Ciberseguridad NIST -NIST CSF-) es el resultado de un esfuerzo colaborativo que se inició hace varios años y se publicó en 2014 a través de una orden ejecutiva del presidente Barack Obama. Posteriormente, en 2017, otra orden ejecutiva del presidente Donald Trump mandó a todas las agencias federales de EE. UU. y sus cadenas de suministro a cumplir con el NIST CSF.

Con la introducción de las actualizaciones NIST 2.0, el marco se ha fortalecido, proporcionando nuevas directrices más completas para mejorar la ciberseguridad en todas las organizaciones, especialmente en el sector público y sus proveedores.

«Promover la innovación y la competitividad industrial de Estados Unidos mediante el avance de la ciencia, los estándares y la tecnología de medición con vistas a mejorar la seguridad económica y nuestra calidad de vida».

Misión Principal del NIST y su Marco de Ciberseguridad

El Instituto Nacional de Estándares y Tecnología (NIST) fue creado con el objetivo de mejorar la seguridad de las infraestructuras críticas de EE. UU. Estas infraestructuras incluyen activos, sistemas y funciones esenciales para el funcionamiento del país. El NIST define 16 sectores de infraestructura crítica:

  1. Químico
  2. Instalaciones comerciales
  3. Comunicaciones
  4. Fabricación crítica
  5. Presas
  6. Base industrial de defensa
  7. Servicios de emergencia
  8. Energía (incluidos los servicios públicos)
  9. Servicios financieros
  10. Alimentación y agricultura
  11. Instalaciones gubernamentales
  12. Empresas de atención sanitaria y salud pública
  13. Tecnologías de la información
  14. Reactores, materiales y residuos nucleares
  15. Sistemas de transporte
  16. Sistemas de agua y aguas residuales

En 2017, el gobierno de EE. UU. adoptó el Marco de Ciberseguridad del NIST como un estándar obligatorio para regular la seguridad de todos los sistemas de información federales.

Si bien las recomendaciones del NIST no son obligatorias para agencias y proveedores no federales, las mejores prácticas, estándares y recomendaciones del Marco de Ciberseguridad del NIST se utilizan ampliamente para identificar, detectar y responder a los ataques cibernéticos. Además, también se emplean para prevenir riesgos cibernéticos y recuperarse de estos ataques, lo que permite a las organizaciones no federales garantizar la seguridad de sus sistemas y demostrar su compromiso con la protección cibernética.

El marco establece resultados claros para priorizar y mitigar los riesgos de ciberseguridad, con categorías y subcategorías que incluyen tanto resultados técnicos como de gestión, fomentando las prácticas de seguridad y los planes de respuesta a incidentes.

Actualizaciones del NIST CSF 2.0

La versión 2.0 del Marco de Ciberseguridad del NIST constituye la primera gran actualización desde su lanzamiento, realizada en febrero de 2024. Entre los factores clave que motivaron esta actualización se incluyen:

  • Alineación e integración con otros marcos del NIST, como el Marco de Privacidad y el Marco de Gestión de Riesgos (RMF).
  • Ampliación de la aplicabilidad del NIST CSF, extendiéndose de las infraestructuras críticas a todas las organizaciones, independientemente de su tamaño, sector o nivel de madurez.
  • Énfasis en la cadena de suministro, la gobernanza y la implementación de la ciberseguridad.
  • Personalización del marco para que las organizaciones puedan adaptarlo a sus necesidades específicas y priorizar acciones según el riesgo.

Funciones Principales del NIST CSF 2.0

El NIST CSF 2.0 mantiene las cinco funciones principales establecidas en la versión anterior: Identificar, Proteger, Detectar, Responder y Recuperar. Sin embargo, se ha añadido una nueva función clave: Gobernar, que resalta la importancia de la gobernanza en la gestión de riesgos de ciberseguridad.

Funciones clave:

  • Gobernar: Establecer y supervisar la estrategia y política de gestión de riesgos cibernéticos.
  • Identificar: Evaluar los riesgos para sistemas, activos y recursos.
  • Proteger: Aplicar controles para salvaguardar los activos de la organización.
  • Detectar: Identificar amenazas cibernéticas de forma temprana.
  • Responder: Desarrollar planes de respuesta a incidentes.
  • Recuperar: Mantener capacidades de recuperación ante incidentes cibernéticos.

Niveles de Implementación del NIST CSF

El NIST CSF establece cuatro niveles de implementación para medir el grado de madurez en la adopción de los controles de ciberseguridad y prácticas de gestión de riesgos:

  1. Nivel 1: Parcial Las organizaciones de este nivel no tienen una coordinación clara en sus procesos de ciberseguridad y no priorizan estos esfuerzos.
  2. Nivel 2: Consciente de los riesgos Las organizaciones son conscientes de algunos riesgos y tienen planes para responder, pero a menudo no están completamente equipadas para abordar todos los problemas de seguridad.
  3. Nivel 3: Repetible Las organizaciones tienen procesos definidos y sistemáticos para gestionar los riesgos de ciberseguridad, con el apoyo de la alta dirección.
  4. Nivel 4: Adaptable Las organizaciones en este nivel implementan medidas proactivas de ciberseguridad adaptativa, evaluando continuamente los riesgos y protegiéndose de amenazas emergentes antes de que ocurran.

Pasos para implementar el NIST CSF

La implementación del Marco de Ciberseguridad del NIST (NIST CSF) sigue una serie de pasos estratégicos y operativos, diseñados para ser flexibles y aplicables a organizaciones de todos los tamaños y sectores. Los pasos principales para implementar el NIST CSF son los siguientes:

1. Establecer el liderazgo y la gobernanza, que incluye:

  • Identificar a las partes interesadas clave y obtener la aprobación ejecutiva.
  • Definir los roles y responsabilidades en la gobernanza de la ciberseguridad.
  • Establecer políticas claras de ciberseguridad, una tolerancia al riesgo y objetivos alineados con las metas del negocio.

2. Comprender el contexto de la organización, que incluye:

  • Identificar activos, datos, sistemas y procesos de negocio críticos.
  • Evaluar las amenazas internas y externas, vulnerabilidades y los requisitos legales/regulatorios.

3. Crear un perfil del CSF, que incluye:

  • Describir el estado actual y el estado objetivo de la ciberseguridad de la organización.
  • Revisar el perfil de la comunidad aplicable para obtener orientación sobre buenas prácticas.

4. Realizar un análisis de brechas, que incluye:

  • Comparar el perfil actual con el perfil objetivo.
  • Identificar brechas en las funciones, categorías y subcategorías del NIST CSF.

5. Desarrollar e implementar un plan de acción, que incluye:

  • Crear una hoja de ruta con hitos, cronogramas, roles y responsabilidades.
  • Implementar controles de seguridad, modificaciones en procesos o actualizaciones tecnológicas para cerrar las brechas identificadas.
  • Utilizar los ejemplos de implementación proporcionados en el NIST CSF como guía.

6. Medir y supervisar, que incluye:

  • Definir métricas y KPI para medir el progreso hacia el perfil objetivo.
  • Llevar a cabo una supervisión continua de amenazas, vulnerabilidades y la efectividad de los controles.
  • Ajustar estrategias y controles a medida que evolucionan la organización y el panorama de amenazas.

7. Comunicarse y revisar regularmente, que incluye:

  • Compartir avances y actualizaciones con ejecutivos, partes interesadas y equipos.
  • Reevaluar periódicamente el perfil del NIST CSF, especialmente después de cambios significativos en el negocio, la TI, incidentes de seguridad o actualizaciones regulatorias.

Introducción al Nist Cybersecurity Framework

El Marco de Ciberseguridad del NIST (más conocido como Nist Cybersecurity Framework) es uno de los marcos más utilizados en EE. UU., pero su implementación requiere un esfuerzo considerable. Además de comprender las funciones principales del marco, es esencial desarrollar un plan de implementación adecuado y revisar el perfil de la comunidad pertinente. También es útil estudiar los ejemplos de implementaciones exitosas del NIST CSF en diversas organizaciones.

Casos de uso del Marco de Ciberseguridad del NIST

Los casos de uso más comunes del Marco de Ciberseguridad del NIST (CSF) incluyen:

  1. Gestión de riesgos: Identificar, evaluar y priorizar los riesgos de ciberseguridad para facilitar la toma de decisiones informadas y la asignación adecuada de recursos.
  2. Desarrollo de programas de ciberseguridad: Proporciona una base sólida para construir o mejorar un programa de ciberseguridad, alineando las actividades de seguridad con los objetivos empresariales.
  3. Cumplimiento de normativas: Ayuda a adaptar las prácticas de ciberseguridad a diversas normativas, como NIST SP 800-53 o ISO/IEC 27001, optimizando los esfuerzos de cumplimiento.
  4. Gestión de riesgos en la cadena de suministro: Evaluar y gestionar los riesgos de terceros y proveedores para mitigar amenazas externas.
  5. Comunicación: Facilita un lenguaje común que mejora la comunicación entre equipos técnicos, ejecutivos y otras partes interesadas.
  6. Mejora continua: Promueve un enfoque orientado a resultados, permitiendo medir el progreso, adaptarse a las amenazas cambiantes y consolidar la postura de ciberseguridad con el tiempo.

Otros ejemplos de Nist Cybersecurity Framework

Además de su Nist Cybersecurity Framework, el NIST ha desarrollado más de 200 publicaciones especializadas en diversas áreas de la gestión de riesgos cibernéticos, como evaluaciones de riesgos, control de acceso a la identidad, gestión de tecnologías de protección y respuesta a incidentes de ciberseguridad. A continuación, se presentan algunas de las publicaciones más relevantes del Marco de Ciberseguridad del NIST:

Publicación especial (SP) 800-30 del NIST

La NIST SP 800-30, titulada Guía para la ejecución de evaluaciones de riesgos, proporciona orientación sobre la evaluación y gestión de los riesgos cibernéticos. Incluye controles y referencias de control basados en las recomendaciones y estándares del sector, y ayuda a las organizaciones a presentar el riesgo cibernético de manera comprensible para los equipos de liderazgo.

Publicación especial (SP) 800-37 del NIST

La NIST SP 800-37, Marco de gestión de riesgos para sistemas de información y organizaciones: un enfoque del ciclo de vida del sistema para la seguridad y la privacidad, describe el marco de gestión de riesgos (RMF) e incluye un proceso detallado de seis pasos para gestionar los riesgos de seguridad y privacidad.

Publicación especial (SP) 800-53 del NIST

La NIST SP 800-53, Controles de seguridad y privacidad para sistemas de información y organizaciones, proporciona los controles necesarios para implementar el Marco de Ciberseguridad del NIST. Esta publicación incluye más de 1,000 controles distribuidos en veinte familias, ayudando a cumplir con los requisitos de la Ley de Modernización de la Seguridad de la Información Federal (FISMA).

Publicación especial (SP) 800-122 del NIST

La NIST SP 800-122, Guía para la protección de la confidencialidad de la información personal identificable (PII), ofrece recomendaciones sobre cómo manejar la información personal identificable (PII) y cómo determinar el nivel adecuado de protección. También incluye directrices para desarrollar planes de respuesta ante infracciones de PII.

Publicación especial (SP) 800-125 del NIST

La NIST SP 800-125, Guía de seguridad para tecnologías de virtualización completas, ofrece recomendaciones para abordar los desafíos de seguridad relacionados con las tecnologías de virtualización completa en servidores y escritorios, y establece los requisitos necesarios para la protección, fortalecimiento y aprovisionamiento de sistemas virtuales.

Publicación especial (SP) 800-171 del NIST

La NIST SP 800-171, Protección de la información controlada no clasificada en sistemas y organizaciones no federales, establece que el cumplimiento de sus directrices es obligatorio para las organizaciones que formalicen un contrato con el Departamento de Defensa (DoD) de EE. UU., especialmente para aquellas que tratan, almacenan o transmiten información controlada no clasificada (CUI).

NISTIR 8170

La publicación NISTIR 8170, Enfoques para que las agencias federales usen el marco de ciberseguridad, detalla ocho enfoques para aplicar el Marco de Ciberseguridad del NIST en las agencias federales, incluyendo la integración de la gestión de riesgos empresariales y cibernéticos, la evaluación de la ciberseguridad y la gestión de la cadena de suministro de ciberseguridad.

  • Alinearse e integrarse con otros marcos del NIST, como el Marco de privacidad del NIST, el Marco de gestión de riesgos del NIST (RMF) y el Marco de desarrollo de software seguro (SSDF) del NIST.
  • Ampliar la aplicabilidad del NIST CSF de la infraestructura crítica a todas las organizaciones, independientemente de su sector, tamaño o nivel de madurez.
  • Enfatizar el riesgo de la cadena de suministro, la gobernanza y la implementación de la ciberseguridad.
  • Permitir que las organizaciones personalicen el marco para adaptarlo a sus necesidades y prioricen las acciones en función del riesgo, y que luego pasen de la planificación a la acción más fácilmente.

Preguntas frecuentes sobre el Marco de Ciberseguridad del NIST

¿Cuáles son los 6 principios del NIST?

El Marco de Ciberseguridad del NIST se basa en seis principios clave que guían su aplicación e implementación para garantizar una gestión de riesgos sólida y efectiva en ciberseguridad:

1.Priorizar: Identificar y comprender los activos y vulnerabilidades más críticos dentro de una organización para asignar recursos de manera eficiente.

2.Evaluar: Evaluar las medidas de seguridad existentes e identificar brechas o debilidades que deben abordarse.

3.Implementar estrategias de gestión de riesgos: Mitigar los riesgos identificados y establecer una cultura de seguridad proactiva en toda la organización.

4.Crear un flujo de información: Desarrollar un proceso cíclico para el intercambio de información tanto interna como externa, favoreciendo una comprensión integral de las amenazas y respuestas.

5.Mejora continua: Actualizar y perfeccionar las medidas de ciberseguridad de forma periódica, adaptándose a la evolución de las amenazas y avances tecnológicos.

6.Principio de aprendizaje: Aprender de los incidentes pasados, avances del sector y prácticas recomendadas, incorporando estos conocimientos en los protocolos de seguridad para mejorar la resiliencia futura.

¿Cuáles son los 6 marcos de ciberseguridad del NIST?

Los seis marcos de ciberseguridad del NIST cubren diferentes aspectos de la ciberseguridad, la privacidad, el riesgo y el cumplimiento, y a menudo se usan conjuntamente para crear un programa de ciberseguridad integral:

1.Marco de Gestión de Riesgos de IA del NIST (AI RMF): Para gestionar los riesgos asociados con los sistemas de inteligencia artificial.

2.Marco de Ciberseguridad (CSF) del NIST: Un enfoque flexible de alto nivel para gestionar los riesgos de ciberseguridad.

3.Marco de Privacidad del NIST: Complementa al CSF, centrado en la gestión de riesgos de privacidad.

4.Marco de Gestión de Riesgos (RMF) del NIST: Orientado a las agencias federales y contratistas en la gestión de riesgos.

5.Marco de Desarrollo de Software Seguro (SSDF) del NIST: Proporciona las mejores prácticas para integrar la seguridad en todas las fases del ciclo de vida del desarrollo de software.

6.Prácticas de Gestión de Riesgos de la Cadena de Suministro del NIST: Proporciona orientación sobre la gestión de los riesgos de ciberseguridad en la cadena de suministro.

¿Cuáles son los 6 pasos del NIST?

Los 6 pasos del NIST se refieren a los pasos del Marco de Gestión de Riesgos (RMF) original del NIST, publicado en 2004 y actualizado en 2018. Estos pasos se componen de:

1.Preparar

2.Categorizar

3.Seleccionar

4.Implementar

5.Evaluar

6.Autorizar

7.Supervisar

¿Cómo mejora la seguridad el Marco de Ciberseguridad del NIST?

El Marco de Ciberseguridad del NIST 2.0 está diseñado para ayudar a organizaciones de todos los tamaños y sectores a gestionar y reducir sus riesgos de ciberseguridad. Este modelo flexible ayuda a las organizaciones a proteger sistemas y datos críticos, aumentando la concienciación y la preparación en materia de seguridad. Fomenta la mejora continua y permite:

  • Comunicar nuevos requisitos en toda la organización.
  • Determinar los niveles actuales de ciberseguridad mediante la creación de un perfil.

Identificar estándares y políticas para mejorar la seguridad.

¿Existe una certificación del Marco de Ciberseguridad del NIST?

No existe una certificación oficial para el Marco de Ciberseguridad del NIST. Sin embargo, las organizaciones pueden obtener una certificación de implementación de ciberseguridad del NIST, que acredita su capacidad para aplicar las mejores prácticas del NIST y crear una estructura sólida de ciberseguridad.

¿Cuáles son las tres partes del Marco de Ciberseguridad del NIST?

1.Núcleo: Conjunto de actividades de ciberseguridad, resultados deseados y referencias aplicables.

  • Funciones: Gobernar, Identificar, Detectar, Proteger, Responder y Recuperar.
  • Categorías y subcategorías: Especifican los elementos clave (por ejemplo, implementar actualizaciones de software).

2.Perfiles: Describen las medidas de ciberseguridad actuales y objetivos de una organización, ayudando a definir los requisitos para las hojas de ruta de seguridad estratégica.

  • Perfil actual: Resultados principales.
  • Perfil objetivo: Resultados deseados.
  • Perfil de la comunidad: Perfil compuesto para varios sectores.

3.Niveles: Describen el grado de implementación de los controles del NIST.

  • Nivel uno: Parcial.
  • Nivel dos: Consciente de los riesgos.
  • Nivel tres: Repetible.
  • Nivel cuatro: Adaptable.
¿Qué son las publicaciones especiales del NIST?

Las publicaciones especiales del NIST proporcionan especificaciones detalladas sobre temas específicos. Se dividen en tres categorías:

1.SP 500: Tecnología de la información (documentos relevantes).

2.SP 800: Seguridad informática.

3.SP 1800: Guías prácticas de ciberseguridad.

¿Es obligatorio el cumplimiento del Marco de Ciberseguridad del NIST?

El cumplimiento es obligatorio para las agencias federales y cualquier entidad de la cadena de suministro de una agencia federal. Para el resto de entidades, es recomendado pero no obligatorio.

¿Cuál es la conexión entre la NIST SP 800-53 y FISMA?

El cumplimiento de la NIST SP 800-53 ayuda a las organizaciones a cumplir con los requisitos de la Ley de Modernización de la Seguridad de la Información Federal (FISMA) a través de una serie de pasos detallados.

¿Qué es el marco ISO 27001?

El ISO 27001 es una norma internacional para establecer, implementar, mantener y mejorar continuamente un sistema de gestión de seguridad de la información (SGSI). Esta norma proporciona un enfoque sistemático para gestionar y asegurar la información confidencial de una organización.

¿Cuál es la diferencia entre el NIST y la norma ISO 27001?

Las principales diferencias son:

1.Certificación: El NIST es un marco autocertificado, mientras que ISO 27001 requiere una certificación externa.

2.Costo: El NIST es gratuito, mientras que la documentación de ISO 27001 tiene un costo.

3.Casos de uso: El NIST es ideal para organizaciones que necesitan crear una estrategia de gestión de riesgos o abordar vulnerabilidades específicas. ISO 27001 es adecuado para organizaciones consolidadas que buscan obtener certificación en ciberseguridad.

Fecha: 16 de julio de 2025Tiempo de lectura: 11 minutos
Security

Empezar

Vea lo que la seguridad de identidad de SailPoint puede hacer por su organización

Descubra cómo nuestras soluciones permiten a las empresas modernas afrontar en la actualidad el reto de asegurar un acceso seguro a los recursos sin comprometer la productividad ni la innovación.

Solicitar una demostraciónContáctenos