Comprender el marco del NIST

Los usuarios empresariales están sujetos a diferentes normativas cibernéticas en función de su ubicación y sector de actividad. Dentro de la UE, es probable que estén sujetos a la normativa NIS2. Las instituciones financieras están sujetas a normas como la DORA o las normas PCI-DSS.

Los mayores obstáculos a los que se enfrentan los usuarios empresariales a la hora de mejorar la ciberseguridad son no comprender plenamente los riesgos y no destinar recursos suficientes para desarrollar un programa de seguridad sistemático y completo. La compra de un producto no resuelve el problema; la seguridad es un reto multidisciplinar y debe gestionarse como tal.

Cuando no existe una normativa directa, la mejor práctica es que las organizaciones cumplan con estándares como el IEC o el marco del NIST. Al tener en cuenta las seis funciones del Marco de Ciberseguridad del Instituto Nacional de Estándares y Tecnología (NIST), las empresas pueden prepararse para los incidentes cibernéticos y tomar las medidas adecuadas para responder a ellos.

IDENTIFICAR: desarrollar una comprensión de los riesgos de ciberseguridad para facilitar su identificación.

El objetivo principal de «Identificar» es hacer «visibles» los activos de una red, como los sistemas y los dispositivos de red. En concreto, esto implica crear un inventario de los activos de red que abarque los sistemas y equipos informáticos en uso.

PROTEGER: establecer medidas de seguridad para protegerse contra los ciberataques.

El objetivo principal de «Proteger» es minimizar la magnitud y la frecuencia de los posibles incidentes cibernéticos. Se especifican los requisitos relacionados con la implementación de las medidas de seguridad necesarias. Un aspecto especialmente importante es la «segmentación» de las redes conectadas a través de una red. La segmentación consiste en dividir los sistemas informáticos en función de su finalidad y su importancia crítica en el diseño de la red.

DETECTAR: implementar medidas para detectar incidentes cibernéticos a bordo.

El objetivo principal de «Detectar» es identificar los ataques. En concreto, implica la supervisión del funcionamiento de la red y garantizar la eficacia de las funciones de seguridad a bordo. Durante el funcionamiento normal, se lleva a cabo una verificación funcional periódica y, en caso de anomalías, se activan alarmas para permitir el reconocimiento temprano de ciberataques u otras amenazas que haya sufrido el propietario del activo.

RESPONDER: establecer un protocolo para responder a los ciberataques detectados.

El objetivo principal de «Responder» es examinar y aplicar medios para minimizar el impacto de los incidentes cibernéticos detectados. En concreto, requiere la creación de un plan de respuesta a incidentes que especifique cómo responder a los incidentes y actuar de acuerdo con dicho plan.

RECUPERAR: adoptar procedimientos para recuperar cualquier capacidad o servicio afectado por un incidente cibernético.

El objetivo principal de «Recuperar» es restablecer el estado operativo tras una interrupción o fallo causado por un incidente cibernético. Mediante la planificación y la implementación de un plan de recuperación de acuerdo con estos requisitos, los sistemas de seguridad de la información (CBS) y las redes pueden restablecerse rápidamente. En el plan de recuperación, deben desarrollarse «las funciones y los procedimientos del personal para la recuperación tras un incidente cibernético» y «la gestión de las copias de seguridad, incluyendo el mantenimiento y las pruebas», basándose en la política cibernética de la empresa.

GOVERNAR: Crear y mantener marcos y procesos de gobernanza para gestionar de manera eficiente los riesgos de ciberseguridad dentro de una organización.

Esto implica elaborar y hacer cumplir políticas, procedimientos y mecanismos de supervisión para garantizar que las iniciativas de ciberseguridad se ajusten a los objetivos empresariales y cumplan con las normas reglamentarias. Las actividades clave incluyen definir funciones y responsabilidades, implementar marcos de gestión de riesgos, realizar evaluaciones periódicas de riesgos cibernéticos y promover una cultura de concienciación y responsabilidad en materia de ciberseguridad en toda la organización.