• El cumplimiento de la ciberseguridad se refiere a la adhesión a los estándares y requisitos legales establecidos por entidades, leyes u organismos rectores. Las empresas que manejan activos digitales deben implementar controles y prácticas de seguridad para minimizar el riesgo para los datos confidenciales.
  • Existen numerosos marcos y estándares de cumplimiento para guiar a las organizaciones en el establecimiento de prácticas sólidas de ciberseguridad, entre ellos el Marco de Ciberseguridad del NIST, el RGPD, la HIPAA y el PCI DSS.
  • El Marco de Ciberseguridad del NIST es un conjunto de directrices para mitigar los riesgos de ciberseguridad de una organización, publicado por el Instituto Nacional de Estándares y Tecnología, cuyos componentes principales son “Core”, “Profile” y “Tiers”.

El aumento exponencial de la ciberdelincuencia hace que gobiernos, empresas y organizaciones se centren en el cumplimiento y las normativas. El Marco de Ciberseguridad del NIST es uno de los marcos ampliamente reconocidos, cuyos componentes principales son “Core”, “Profile” y “Tiers”.

Cumplimiento de la ciberseguridad

El cumplimiento de la ciberseguridad se refiere a la adhesión a los estándares y requisitos legales establecidos por entidades, leyes u organismos rectores. Las empresas que manejan activos digitales deben implementar controles y prácticas de seguridad para minimizar el riesgo para los datos confidenciales.

El aumento exponencial de la ciberdelincuencia a menudo conduce a violaciones masivas de datos o interrupciones comerciales. Esto se ha convertido en uno de los principales impulsores de este renovado enfoque en el cumplimiento y las normativas.

Existen numerosos marcos y estándares de cumplimiento para guiar a las organizaciones en el establecimiento de prácticas sólidas de ciberseguridad. Estos marcos proporcionan un enfoque estructurado para implementar controles de seguridad y abordar requisitos de cumplimiento específicos.

Algunos marcos ampliamente reconocidos incluyen el Marco de Ciberseguridad del NIST, el Reglamento General de Protección de Datos (RGPD), la Ley de Portabilidad y Responsabilidad del Seguro de Salud (HIPAA) y el Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS).

Lea también: ¿Cómo se puede usar la IA generativa en ciberseguridad?

El marco de ciberseguridad del NIST

El Marco de Ciberseguridad del NIST es un conjunto de directrices para mitigar los riesgos de ciberseguridad de una organización, publicado por el Instituto Nacional de Estándares y Tecnología (NIST) basándose en estándares, directrices y prácticas existentes.

Lea también: ¿Cómo mejorar la ciberseguridad después de la violación de la base de datos del Tribunal Estatal Australiano?

El marco, que “proporciona una taxonomía de alto nivel de los resultados de ciberseguridad y métodos para evaluar y gestionar esos resultados”, ha sido traducido a varios idiomas y es ampliamente utilizado por gobiernos, empresas y organizaciones, además de ofrecer orientación sobre la protección de la privacidad y las libertades civiles en el contexto de la ciberseguridad.

La versión 1.0 del marco se publicó en 2014 e inicialmente estaba dirigida a los operadores de infraestructuras críticas. En 2017, se publicó un borrador de la versión 1.1 del marco para comentarios del público y se lanzó oficialmente al público el 16 de abril de 2018. El marco se divide en tres partes: “Core”, “Profile” y “Tiers”.

1. Núcleo del marco (Framework Core)

El “Framework Core” contiene un conjunto de actividades, resultados y referencias sobre aspectos y enfoques de la ciberseguridad. El Marco de Ciberseguridad del NIST organiza su material “central” en 5 “funciones”: identificar, proteger, detectar, responder y recuperar.

Estas funciones se subdividen en un total de 23 “categorías”. Para cada categoría, define varias subcategorías de resultados de ciberseguridad y controles de seguridad, con 108 subcategorías en total.

2. Perfil del marco (Framework Profile)

Un “Framework Profile” es una lista de resultados que una organización ha elegido de las categorías y subcategorías, en función de sus necesidades y evaluaciones de riesgos.

Una organización normalmente comienza utilizando el marco para desarrollar un “Perfil Actual” que describe sus actividades de ciberseguridad y los resultados que está logrando. Luego puede desarrollar un “Perfil Objetivo”, o adoptar un perfil de referencia adaptado a su sector (por ejemplo, industria de infraestructuras) o tipo de organización, que define los pasos para pasar de su perfil actual a su perfil objetivo.

3. Niveles de implementación del marco (Framework Implementation Tiers)

Las organizaciones utilizan los “Niveles de Implementación del Marco” para aclarar a sí mismas y a sus socios cómo ven los riesgos de ciberseguridad y la complejidad de su enfoque para gestionarlos. Los niveles reflejan un grado creciente de experiencia en prácticas de gestión de riesgos cibernéticos.

El Nivel 1 (Parcial) incluye empresas con procedimientos de seguridad bajo demanda o inexistentes.

La mayoría de los ejecutivos corporativos en el Nivel 2 (Informado de riesgos) ahora son conscientes de las principales amenazas a las que se enfrentan, incluidos el malware, los ataques patrocinados por estados y otros actores malintencionados.

El Nivel 3 (Repetible) es para empresas con prácticas de gestión de riesgos y mejores prácticas de ciberseguridad que han recibido la aprobación ejecutiva.

El Nivel 4 (Adaptativo) es el nivel más alto y requiere la mayor inversión de tiempo y dinero para implementarse, pero es esencial en industrias fuertemente reguladas como la banca, la salud y la infraestructura crítica.