El Instituto Nacional de Estándares y Tecnología, también conocido como NIST, es un laboratorio del gobierno de Estados Unidos que trabaja para desarrollar, probar y recomendar las mejores prácticas para agencias federales y otras organizaciones relacionadas con aspectos como la seguridad en línea. Métricas, mediciones y regulaciones, como la Norma Federal de Protección de la Información, son creados por el NIST para ayudar a fortalecer la confiabilidad y seguridad de las tecnologías que se están desarrollando.
Todas las organizaciones federales deben cumplir con los estándares establecidos por el NIST en su campo específico al manejar datos federales confidenciales. Los estándares y regulaciones establecidos por el NIST gozan de reconocimiento internacional, lo que significa que cualquier organización que los cumpla en su sector empresarial tiene la confianza de utilizar las prácticas correctas en su tecnología. Los estándares y regulaciones del NIST se han creado para numerosos campos de la Ciencia, la Tecnología, la Ingeniería y las Matemáticas (STEM), desde la astrofísica hasta la ciberseguridad.
¿Por qué debería usted intentar cumplir?
Una de las muchas preguntas que se plantean las organizaciones es por qué debo cumplir con los estándares y regulaciones del NIST. La razón principal es la cantidad de pruebas que se realizan en las publicaciones que publican. Se realizan semanas, meses y, a veces, años de pruebas en el tema relacionado con las publicaciones del NIST antes de su publicación. Esto garantiza que los métodos y prácticas propuestos en los estándares sean los más actualizados y estén disponibles al momento de su redacción. La investigación la realiza un equipo de profesionales en su campo, por lo que las publicaciones publicadas son extremadamente precisas, tanto informativa como técnicamente.
Otra razón para cumplir con los estándares del NIST es que aumentará considerablemente la seguridad de la infraestructura y las nuevas tecnologías de su organización. El objetivo de las publicaciones del NIST es proporcionar un entorno más seguro tanto para el gobierno como para las empresas en general. Cuantas más organizaciones sigan estos estándares, menos brechas de seguridad y vulnerabilidades estarán disponibles para que las amenazas las exploten.
Algunas regulaciones, como el Estándar Federal de Protección de la Información (FIPS), son obligatorias para trabajar con el gobierno federal. Esto significa que cualquier empresa que busque contratos de trabajo federales deberá cumplir con el FIPS 140-2, además de otras regulaciones, según el sector de la organización.
El cumplimiento normativo también puede brindarle a su empresa una ventaja sobre la competencia. Las organizaciones que cumplen con las normas federales de seguridad atraerán más clientes que las empresas que no las cumplen. Esos mismos clientes confiarán en que su organización producirá un producto o servicio igualmente seguro en el futuro, lo que le permitirá obtener un cliente recurrente. Algunas organizaciones exigen el cumplimiento de regulaciones específicas si desean ser sus proveedores. Una de estas organizaciones es el gobierno federal de los Estados Unidos.
¿Quién necesita cumplir con el NIST?
Todos los contratistas, proveedores, subcontratistas y agencias federales deben cumplir con las normas y regulaciones del NIST si desean colaborar con el gobierno federal de los Estados Unidos. Esto se debe a la información confidencial que las empresas que trabajan con el gobierno manipulan, almacenan y procesan.
Si los datos se gestionan de forma inadecuada, se podría generar una brecha de seguridad que permita a los actores maliciosos acceder a información o servicios considerados de alto secreto. Algunas organizaciones, así como gobiernos locales, podrían exigir a las empresas que deseen colaborar con ellas que cumplan también con ciertas normas y regulaciones del NIST.
¿Cómo cumplir con las regulaciones y estándares?
Una de las maneras más sencillas de cumplir con las regulaciones del NIST es cumplir con los requisitos establecidos en sus publicaciones. Estos requisitos son específicos de cada publicación, por lo que cumplir con los requisitos de una publicación no garantiza el cumplimiento de todas las publicaciones del NIST.
Para ayudar a su empresa a cumplir con las publicaciones actuales y futuras del Instituto Nacional de Ciencia y Tecnología (NIST), debe utilizar el Marco de Ciberseguridad del NIST. Este marco no garantiza el cumplimiento de todas las publicaciones actuales, sino que constituye un conjunto de estándares uniformes aplicables a la mayoría de las empresas.
El Marco de Ciberseguridad del NIST se creó para mejorar la ciberseguridad de las organizaciones, prevenir filtraciones de datos y fortalecer sus tácticas de ciberseguridad. Al implementar un conjunto uniforme de estándares, las organizaciones que siguen el Marco de Ciberseguridad comprenderán la infraestructura y las tácticas de ciberseguridad que utilizan otras organizaciones que también lo utilizan. El Marco de Ciberseguridad se divide en cinco etapas, denominadas el Núcleo del Marco:
-
Identifica
La etapa de Identificación facilita el correcto funcionamiento del resto del núcleo del marco. Esta etapa proporciona transparencia sobre el funcionamiento de las herramientas en uso, a la vez que prioriza las acciones para proteger la infraestructura crítica. Las empresas que implementen esta etapa identificarán todo el software y los sistemas críticos para la infraestructura de la organización.
Esto ayuda a encontrar dispositivos no autorizados dentro de la red, como el teléfono de un trabajador que accede a su correo electrónico, lo que podría ser un vector de ataque para las amenazas. Comprender los sistemas que intervienen en su infraestructura ayuda a identificar dónde se almacena la mayor parte de los datos seguros, lo que permite priorizar su protección. No todos los datos de una organización pueden protegerse, por lo que la protección de datos seguros es prioritaria. La gestión de activos, la evaluación de riesgos y la estrategia de gestión de riesgos son tareas que se incluyen en la etapa de Identificación.
-
Proteger
La fase de protección se centra en reducir la cantidad de brechas de seguridad y otros eventos de ciberseguridad que ocurren en su infraestructura. También se encarga de mitigar el daño que una brecha podría causar. Esto podría implicar la implementación de sistemas de seguridad para prevenir o detectar la pérdida de datos, como sistemas de prevención de intrusos u otras herramientas de ciberseguridad similares. El control de acceso y gestión de identidades (IAM), la capacitación y la seguridad de los datos son solo algunos de los procesos que se incluyen en la protección.
-
Detectar
Esta etapa facilita la detección de intrusos una vez que se produce una brecha, ya que ningún sistema de seguridad es 100 % seguro. Una vez que un atacante entra en la infraestructura de su organización, es necesario detectarlo y abordarlo a tiempo para que no tenga tiempo suficiente para robar datos ni comprometer los sistemas de los clientes. Cuanto más tiempo se tarde en detectar a un intruso, más datos podrían verse comprometidos. Los eventos, la monitorización y la detección forman parte de la etapa de detección.
-
Responder
La fase de respuesta se centra en la respuesta de una organización ante una brecha de seguridad. Estas directrices ayudan a desarrollar e implementar un plan de respuesta ante una brecha de seguridad. Si la brecha no está protegida y el atacante tiene plena libertad de acción en la organización, la brecha puede agravarse. La planificación de la respuesta, la comunicación, el análisis, la mitigación y las mejoras son los pasos implementados en la fase de respuesta.
-
Recuperar
La etapa final, Recuperación, aborda las consecuencias de una brecha de seguridad. Aquí se crea e implementa un plan de recuperación ante desastres. Como parte del plan de recuperación, se debe implementar una copia de seguridad de todas las bases de datos e infraestructura. Esta etapa incluye la planificación de la recuperación, las comunicaciones y las mejoras para el futuro.