El Instituto Nacional de Estándares y Tecnología de EE. UU. (NIST) se prepara para la mayor reforma de su Marco de Ciberseguridad (MCS) realizada hasta la fecha en cinco años. Este marco, publicado por primera vez en 2014 y actualizado a la versión 1.1 en 2018, es un conjunto de directrices y mejores prácticas utilizadas por organizaciones y agencias gubernamentales de todo el mundo para gestionar los riesgos de ciberseguridad.
Después de una larga consulta, el NIST ha publicado un documento conceptual (pdf) para CSF 2.0, que ya está abierto a revisión. Esta retroalimentación se utilizará para desarrollar la versión final del marco revisado, cuya disponibilidad está prevista para el verano de 2023. Ante el aumento de los riesgos de ciberseguridad, este marco actualizado ofrecerá una mejor orientación a las organizaciones en el cambiante panorama de la ciberseguridad.
Cambios propuestos
- Ampliar el alcance del marco: Uno de los cambios notables en la última versión del Marco de Ciberseguridad (CSF) del NIST es la ampliación de su público objetivo. Anteriormente, el marco estaba dirigido principalmente a organizaciones de infraestructura nacional crítica, como las de los sectores de servicios públicos, telecomunicaciones, transporte y banca. Sin embargo, desde la publicación del CSF 1.1, el Congreso de los Estados Unidos ha ordenado al NIST que considere las necesidades de las pequeñas empresas y las instituciones de educación superior. Esta medida busca ampliar la aplicabilidad del marco a todas las organizaciones, haciéndolo más accesible y fácil de usar.
- Examinar el riesgo adicional: El nuevo marco priorizará la gestión de riesgos de la cadena de suministro, abarcando riesgos de terceros como la computación en la nube, el software, los equipos de red y las cadenas de suministro no tecnológicas. Si bien existe un consenso general sobre la importancia de este tema, la opinión ha sido diversa, lo que ha impulsado una mayor reflexión sobre cómo abordarlo. Dados los requisitos regulatorios ya vigentes para su sector, los profesionales financieros abogan por una mayor responsabilidad de terceros dentro del marco.
- Orientación de evaluación: A pesar de haber adoptado el marco durante más de una década, muchas organizaciones aún se preguntan cómo determinar si su postura en ciberseguridad está mejorando. En respuesta, CSF 2.0 ofrecerá más orientación sobre cómo evaluar los niveles de madurez de la seguridad y la eficacia de las iniciativas de reducción de riesgos.
- Neutralidad del proveedor: La propuesta del NIST de mantener la neutralidad tecnológica y de proveedores del marco aún se debate, y algunos abogan por una guía específica sobre temas, tecnologías y aplicaciones. Las organizaciones buscan más orientación al usar la nube y otras tecnologías operativas, lo que dificulta mantener la neutralidad tecnológica sin excluir ningún sistema en particular.
Por qué es importante el NIST
El NIST, o Instituto Nacional de Estándares y Tecnología (NIST), es una organización vital que desempeña un papel crucial en el desarrollo de prácticas tecnológicas y de ciberseguridad en diversas industrias. Su marco de ciberseguridad, o CSF, proporciona un conjunto integral de directrices que las organizaciones pueden utilizar para protegerse contra las ciberamenazas. Los estándares y directrices del NIST gozan de amplia aceptación en todas las industrias y se actualizan continuamente para abordar las amenazas emergentes y los avances tecnológicos.
El cumplimiento de las directrices del NIST suele ser un requisito para las organizaciones de sectores regulados, como el financiero y el sanitario. Al seguir las recomendaciones del NIST, las organizaciones pueden protegerse mejor contra ciberataques, reducir el riesgo de filtraciones de datos y garantizar el cumplimiento de la normativa pertinente. El impacto del NIST en el panorama tecnológico y de ciberseguridad es significativo, y sus continuos esfuerzos por promover la seguridad y la innovación son fundamentales para proteger tanto a las empresas como a los consumidores.
Lograr la conformidad con NIST con BigID
Para los contratistas del Departamento de Defensa que buscan lograr Cumplimiento del NIST y adherirse a CMMC—BigID los cubre. Los requisitos de certificación pueden ser abrumadores, pero las organizaciones pueden comenzar evaluando sus programas de seguridad, incluyendo aspectos como controles de acceso, gestión de riesgos y planes de respuesta a incidentes.
BigID ofrece a las organizaciones Visibilidad y control completos de los datos para cumplir con los mandatos de cumplimiento involucrando CMMC, NISTY más allá. El enfoque de seguridad centrado en datos de BigID combina el descubrimiento profundo de datos, la clasificación de datos de última generación y la gestión de riesgos. Sepa dónde se encuentran estos datos, su grado de confidencialidad y quién accede a ellos para comprender la sobreexposición y... Conozca la confianza cero.
Estos conocimientos permiten a los equipos de seguridad implementar de forma proactiva medidas prácticas sobre sus datos, como: supresión, cifrado, anonimización y más. Implemente políticas estrictas sobre datos confidenciales y active remediación automatizada para mitigar la exposición y el uso no deseados, durante todo el ciclo de vida de los datos.
Actualice sus programas de seguridad y logre el cumplimiento de NIST 2.0 — programe una demostración 1:1 hoy mismo.
Autor
