Actualizaciones de LCR 2.0 DEL NIST Finalizado

El Instituto Nacional de Estándares y Tecnología de Estados Unidos (NIST) ha finalizado con éxito la primera actualización importante del marco desde su creación en 2014. El marco de la agencia ha sido un conjunto histórico de directrices y mejores prácticas utilizadas por organizaciones y agencias gubernamentales de todo el mundo para gestionar los riesgos de ciberseguridad.

Ahora, después de más de dos años de debates y comentarios públicos diseñados para hacer que el marco sea más eficaz para un panorama en evolución, el NIST ha publicado el nueva edición 2.0 de su marco de ciberseguridad.

Dado que cada día surgen nuevas amenazas cibernéticas, NIST CSF 2.0 es un recurso fundamental para todos los sectores industriales, como escuelas pequeñas, organizaciones sin fines de lucro o grandes agencias y corporaciones, sin importar el nivel de experiencia en ciberseguridad.

¿Qué ha cambiado?

En respuesta a la extensa comentario recibido durante el concepto propuestoNIST ha realizado varios cambios clave para mejorar la experiencia del usuario con el marco.

• Nuevo alcance: La última versión del Marco de Ciberseguridad 2.0 (CSF) del NIST se ha revisado para ampliar su público objetivo. Anteriormente, el marco estaba dirigido principalmente a organizaciones de infraestructura nacional crítica, como las de los sectores de servicios públicos, telecomunicaciones, transporte y banca. Ahora, el CSF busca ayudar a todas las organizaciones a mitigar y minimizar los riesgos de forma eficaz. El NIST ha mejorado la guía principal del CSF e introducido una gama de herramientas para apoyar a organizaciones de todo tipo en el logro de sus objetivos de ciberseguridad, con un enfoque más centrado en la gobernanza y la gestión de la cadena de suministro.
• Una función principal adicional: El núcleo anterior del marco se organizaba en torno a cinco funciones clave: Identificar, Proteger, Detectar, Responder y Recuperar. El CSF 2.0 ahora incluye la función de Gobernanza, que establece y comunica la estrategia y la política de gestión de riesgos de ciberseguridad de la organización. También supervisa y prioriza los resultados en consonancia con la misión de la organización y las expectativas de las partes interesadas.
• Guías de inicio rápido: El marco revisado reconoce que las organizaciones abordarán el CSF con diferentes requisitos y niveles de experiencia en la implementación de ciberseguridad. Los usuarios principiantes pueden aprovechar los logros de otros y elegir su área de enfoque a partir de una nueva recopilación de casos prácticos. guías fáciles de usar Diseñado para categorías de usuarios específicas, incluidas pequeñas empresas, gerentes de riesgos corporativos y entidades que buscan fortalecer sus cadenas de suministro.
• Recursos y kit de herramientas ampliados: El nuevo Herramienta de referencia CSF 2.0 Elimina las incertidumbres del proceso de implementación para las organizaciones al proporcionar una interfaz intuitiva para navegar, buscar y exportar datos y detalles de la guía principal del CSF. Esta herramienta presenta la información en formatos fáciles de entender tanto para personas como para máquinas. Además, el CSF 2.0 incluye... catálogo de búsqueda de referencias informativas, que permiten a las organizaciones ver cómo sus acciones actuales se alinean con el CSF. Este catálogo permite la comparación de las directrices del CSF con más de 50 documentos de ciberseguridad, incluyendo los del NIST, como SP 800-53 Rev. 5, que ofrece una gama de herramientas (denominadas controles) para lograr objetivos específicos de ciberseguridad.

Los 6 componentes del núcleo del marco

El núcleo del marco se organiza ahora en torno a seis funciones clave: Identificar, Proteger, Detectar, Responder y Recuperar, además de la función de Gobernanza, recientemente incorporada en CSF 2.0. En conjunto, estas funciones ofrecen una visión integral del ciclo de vida de la gestión de riesgos de ciberseguridad.

1. Gobernar: Establece y comunica la estrategia y la política de gestión de riesgos de ciberseguridad de la organización. Supervisa y prioriza los resultados, en consonancia con la misión de la organización y las expectativas de las partes interesadas. Es fundamental para integrar la ciberseguridad en la estrategia general de gestión de riesgos empresariales (ERM). Aborda la comprensión del contexto organizacional, el establecimiento de la estrategia de ciberseguridad, la gestión de riesgos de la cadena de suministro, los roles, las responsabilidades, las autoridades, las políticas y la supervisión.
2. Identificar: Se centra en comprender los riesgos actuales de ciberseguridad dentro de la organización. Identifica activos, proveedores y riesgos de ciberseguridad relacionados para priorizar las iniciativas. Incluye la identificación de oportunidades de mejora para políticas, planes, procesos, procedimientos y prácticas que respaldan la gestión de riesgos de ciberseguridad.
3. Proteger: Utiliza medidas de seguridad para gestionar eficazmente los riesgos de ciberseguridad. Protege los activos para prevenir o mitigar eventos adversos de ciberseguridad. Abarca la gestión de identidades, el control de acceso, la formación en concienciación, la seguridad de los datos y la seguridad de la plataforma.
4. Detectar: Su objetivo es detectar y analizar con prontitud posibles ataques y vulnerabilidades de ciberseguridad. Facilita el descubrimiento y análisis oportunos de anomalías e indicadores de vulnerabilidad. Facilita la respuesta a incidentes y las actividades de recuperación exitosas.
5. Responder: Implica tomar medidas en respuesta a los incidentes de ciberseguridad detectados. Incluye la gestión, el análisis, la mitigación, la elaboración de informes y la comunicación de incidentes.
6. Recuperar: Se centra en la restauración de activos y operaciones afectados por incidentes de ciberseguridad. Contribuye a la restauración oportuna de las operaciones normales para minimizar el impacto de los incidentes. Facilita la comunicación adecuada durante las tareas de recuperación.

Por qué es importante el NIST

NISTEl Instituto Nacional de Estándares y Tecnología (NIST) desempeña un papel fundamental en el desarrollo de protocolos tecnológicos y de ciberseguridad en diversos sectores. A través de su marco de ciberseguridad (CSF), el NIST proporciona un conjunto completo de directrices para que las organizaciones se protejan de las ciberamenazas. Ampliamente reconocidos y actualizados continuamente, los estándares y directrices del NIST se adaptan a los riesgos emergentes y a los avances tecnológicos.

El cumplimiento de los protocolos del NIST suele ser obligatorio para entidades en sectores regulados como las finanzas y la salud. Las organizaciones pueden reforzar su defensa contra las ciberamenazas, reducir la probabilidad de filtraciones de datos y garantizar el cumplimiento de las regulaciones pertinentes, todo ello mediante el cumplimiento de las recomendaciones del NIST. La influencia del NIST en la industria de la tecnología y la ciberseguridad es innegable, y sus constantes esfuerzos por promover la seguridad y la innovación son imprescindibles para proteger tanto a las empresas como a sus consumidores.

Lograr la conformidad con NIST con BigID

Para las organizaciones que buscan mantenerse al día con NIST CSF 2.0, BigID lo tiene cubierto. Nuestro enfoque de seguridad centrado en los datos combina Descubrimiento profundo de datos, clasificación de datos de última generacióny gestión de riesgos. Conozca la ubicación de sus datos, su grado de confidencialidad y quién accede a ellos para cumplir con las directrices del marco de ciberseguridad del NIST.

Con BigID puedes:

• Mapa al NIST: Aprenda cómo alinearse con los marcos NIST para la ciberseguridad (CSF) y cómo mejorar su gestión de riesgos de datos, su postura de privacidad y su programa de seguridad en un único marco unificado.
• Conozca sus datos: La capacidad de identificar sus datos es el primer paso crucial tanto en el Marco de Ciberseguridad del NIST como en el Marco de Privacidad del NIST. Para reducir el riesgo, las organizaciones necesitan identificar todos sus datos, en todas partes. El descubrimiento y la clasificación de datos de BigID ayudan a las organizaciones a identificar automáticamente sus datos sensibles, personales y regulados en todo el panorama de datos.
• Clasificación de los datos: El NIST recomienda usar tres categorías: impacto bajo, impacto moderado y alto impacto, para clasificar todos los datos, en cualquier lugar, con el fin de cumplir con las normas de privacidad y protección de datos. Clasifique por categoría, tipo, sensibilidad, política y más con las funciones avanzadas de clasificación de datos de BigID.
• Reducir el riesgo: Gestionar el acceso a datos empresariales confidenciales y críticos: las organizaciones necesitan incorporar control de acceso para identificar quién tiene (y quién debería tener) acceso a datos confidenciales. BigID Aplicación Access Intelligence Ayuda a las organizaciones a identificar y remediar problemas de acceso a datos de alto riesgo con información basada en ML para identificar y priorizar el riesgo de acceso a archivos.
• Respuesta a incidentes: Cuando ocurren incidentes, cada segundo cuenta. El análisis de brechas de BigID, basado en la identidad, evalúa eficazmente el alcance y la magnitud de una filtración de datos. Determine rápidamente qué usuarios y datos personales se han visto comprometidos y responda de acuerdo con el NIST.

Actualice sus programas de seguridad y logre el cumplimiento de NIST CSF 2.0 — Programe una demostración 1:1 con nuestros expertos hoy.

Autor

Alexis Porter

Responsable de marketing de contenidos

Alexis trabaja como Directora de Marketing de Contenidos para BigID, proveedor líder de DSPM. Se especializa en ayudar a las nuevas empresas tecnológicas a crear y perfeccionar su voz para contar historias más convincentes que resuenen con diversos públicos. Tiene una licenciatura en Escritura Profesional y un máster en Comunicación de Marketing por la Universidad de Denver. Alexis reside en Orlando, Florida.