Edward Amoroso

[Nota del editor: Este artículo ha sido escrito por Ed Amoroso, CEO y fundador de TAG].

Los profesionales de la ciberseguridad que trabajan para agencias federales en Estados Unidos saben que deben aprender a descifrar varios acrónimos como FedRAMP, FISMA, RMF, etcétera. Deben hacerlo porque las normas y marcos que representan estas siglas tienen por objeto orientar la toma de decisiones de los equipos del sector público encargados de proteger los datos, sistemas y redes frente a las ciberamenazas.

A nivel sectorial, las cosas se vuelven más específicas. Los departamentos de defensa deben lidiar con su propio conjunto local de siglas, como CMMC. Los organismos sanitarios tienen que lidiar con siglas como HIPAA. Y los organismos financieros deben lidiar con siglas como GLBA. Ciertamente, estos marcos se aplicarán en general tanto a las organizaciones del sector público como del privado, pero nadie discute la complejidad que entrañan.

El reto que hemos observado en nuestro trabajo de investigación y asesoramiento en TAG es que, con tantas normas y marcos diferentes, se produce un solapamiento inevitable de directrices, mandatos, requisitos y mejores prácticas. Esto crea un entorno en el que los organismos deben navegar no sólo por los requisitos técnicos, sino también por los informes de cumplimiento, las expectativas de gobernanza y las evaluaciones de riesgos, cada uno con sus propios plazos y mecanismos de aplicación.

Por si fuera poco, la naturaleza dinámica de las ciberamenazas, como los ataques a la cadena de suministro y las vulnerabilidades de las infraestructuras críticas, han impulsado otras medidas legislativas y ejecutivas, como la Orden Ejecutiva 14028 sobre la Mejora de la Ciberseguridad de la Nación, que ordena iniciativas en todo el gobierno como la adopción de la Confianza Cero y la mejora de la seguridad de la cadena de suministro de software, a menudo auditadas por organismos como la Oficina de Rendición de Cuentas del Gobierno (GAO).

Ante este reto de cumplimiento normativo, la pregunta que con más frecuencia plantean los equipos de las agencias del sector público, tanto a nivel federal como local, a los analistas de TAG es la siguiente: ¿Cuál es la mejor manera de desarrollar un programa de ciberseguridad eficaz que minimice la fricción de tratar con tantos marcos y normas dispares? Nuestra respuesta se basa en tres componentes clave de la estrategia de ciberseguridad que consideramos los mejores para los equipos del sector público.

En primer lugar, sugerimos encarecidamente desarrollar un compromiso con la automatización. Las obligaciones reglamentarias modernas sólo pueden cumplirse mediante una disciplina formal de Gobernanza, Riesgo y Cumplimiento (GRC). La buena noticia es que existen excelentes plataformas comerciales a disposición de los equipos gubernamentales, que pueden introducirse sin demasiados problemas en cualquier tipo de programa de cumplimiento existente, incluso en los realizados manualmente.

En segundo lugar, recomendamos un enfoque basado en el riesgo para todas las decisiones de seguridad. Esto implica tener un buen conocimiento de los problemas de seguridad reales que son directamente relevantes para esa agencia. Quizás el mejor ejemplo de ello sea Microsoft Active Directory (AD), que en TAG consideramos quizás el aspecto más esencial de cualquier programa de riesgos cibernéticos. Todo equipo ofensivo tendrá como objetivo AD, por lo que los programas federales deben abordar este tipo de riesgo básico y práctico.

En tercer lugar, recomendamos a todos los organismos del sector público que utilicen el Marco de Ciberseguridad (CSF) del Instituto Nacional de Normas y Tecnología (NIST). Se basa en un amplio conjunto de requisitos de la Publicación Especial (SP) 800-53 (rev 5) del NIST y ofrece una excelente hoja de ruta para que los equipos del sector público mejoren su seguridad de forma gradual. Lo mejor de todo es que el NIST CSF se corresponde perfectamente con la plétora de acrónimos enumerados anteriormente.

En las secciones restantes, nos centramos en el NIST CSF, ahora en su versión 2.0, y argumentamos que es una excelente opción en la que basar un programa de cumplimiento cibernético. A menudo nos referimos al marco como "cobertura general", porque prácticamente todos los requisitos de seguridad que hemos encontrado en la variedad de siglas se abordan en cierta medida en el NIST. Esto lo convierte en una buena opción de referencia, incluso para equipos de seguridad privados y no estadounidenses.

¿Qué es NIST CSF 2.0?

NIST CSF 2.0, publicado en agosto de 2023, se basa en la versión original de 2014 (CSF 1.0) para ayudar a las organizaciones a gestionar y reducir los riesgos de ciberseguridad. El marco original comprendía cinco funciones básicas -identificar, proteger, detectar, responder y recuperar- que proporcionan un enfoque de ciclo de vida a la ciberseguridad. Muchos programas de ciberseguridad se organizaron en torno a estas funciones, aunque nuestro asesoramiento es que éste podría no ser el mejor enfoque.

Figura 1 Representación del LCR 1.0 del NIST

Estas funciones del CSF del NIST se dividen en categorías y subcategorías más detalladas, que se asignan a referencias informativas como las publicaciones especiales del NIST y las normas ISO. El CSF 2.0 mantiene la flexibilidad y accesibilidad de su predecesor, lo que permite a organizaciones de todos los tamaños y sectores adaptar su aplicación a sus entornos de riesgo, recursos y objetivos empresariales específicos.

Una mejora significativa del CSF 2.0 es su mayor atención a la gobernanza como una nueva categoría dentro de la función "Identificar", que aborda la importancia del liderazgo, la estrategia de ciberseguridad y las políticas organizativas en la gestión de los ciberriesgos. Otra adición clave es la ampliación de la orientación para gestionar los riesgos de la cadena de suministro, lo que refleja la creciente importancia de la gestión de riesgos de terceros en la ciberseguridad.

El NIST CSF 2.0 también incorpora actualizaciones para alinearse con las normas modernizadas del NIST, como actualizaciones de los controles criptográficos y consideraciones ampliadas para tecnologías emergentes como la nube, la inteligencia artificial y la tecnología operativa. Estos cambios hacen que el marco sea más relevante para el panorama actual de amenazas y los diversos entornos tecnológicos a los que se enfrentan ahora las organizaciones.

Figura 2 Representación del LCR 2.0 del NIST

En comparación con el CSF 1.0, la versión 2.0 adopta una perspectiva más global al mejorar su aplicabilidad a las normas y marcos internacionales, incluso en el sector público, promoviendo una mayor interoperabilidad. También hace mayor hincapié en la orientación para la aplicación, ofreciendo recursos mejorados, como perfiles y ejemplos de aplicación, para ayudar a las organizaciones a poner en práctica el marco de forma eficaz.

Mientras que el CSF 1.0 proporcionó una base sólida, el CSF 2.0 mejora el marco incorporando las lecciones aprendidas tras casi una década de adopción, haciéndolo más completo, escalable y capaz de abordar los cambiantes retos de ciberseguridad a los que se enfrentan todo tipo de organizaciones hoy en día. En la sección siguiente, vamos a profundizar en cómo funciona el marco en el contexto de los retos de ciberseguridad de las agencias federales.

Adaptación a los requisitos cibernéticos federales

La primera idea que esperamos ayudar a comprender a los equipos de cumplimiento de las agencias federales es que las plataformas GRC modernas de buenos proveedores comerciales como ServiceNow, Metric Stream y Archer proporcionarán soporte automatizado para realizar mapeos de NIST CSF 2.0 a otros marcos. Se trata de una función increíblemente útil, ya que sustituye a los esfuerzos manuales que muchos de nosotros recordamos haber realizado antes de que dichas plataformas estuvieran disponibles.

Dicho esto, es útil revisar cómo NIST CSF 2.0 apoya la mayoría de los requisitos de las agencias federales. Sin embargo, nuestra discusión a continuación debe ser revisada nocionalmente, porque en los EE.UU. con elecciones políticas a nivel federal y estatal, los requisitos cibernéticos aplicables, los mandatos y las leyes cambian rápidamente. Las órdenes ejecutivas, por ejemplo, cambian con el movimiento de un bolígrafo, por lo que los lectores harían bien en evitar tratar de buscar mapeos microscópicos en informes como éste.

Con su enfoque integral de la gestión de riesgos, NIST CSF 2.0 se alinea con las directivas y normas federales más importantes, incluida la Ley Federal de Modernización de la Seguridad de la Información (FISMA), la Circular A-130 de la OMB, la Orden Ejecutiva (EO) 14028 y las Directivas Operativas Vinculantes (BOD) de CISA. Al integrar estos mandatos en su marco, CSF 2.0 permite a las agencias agilizar los esfuerzos de cumplimiento y fortalecer su postura general de ciberseguridad.

Alineación con FISMA y NIST SP 800-53

FISMA, como piedra angular de la ley federal de ciberseguridad, requiere que las agencias federales implementen programas de seguridad de la información basados en el riesgo. Las funciones del NIST CSF 2.0 mencionadas anteriormente -identificar, proteger, detectar, responder y recuperar- se alineandirectamente con el énfasis de FISMA en la categorización de riesgos, la implementación de controles y la realización de un seguimiento continuo. Los equipos de seguridad de las agencias federales se beneficiarán de esta alineación.

El marco también se corresponde con la Publicación Especial (SP) 800-53 del NIST, que especifica los controles de seguridad y privacidad que se aplican directamente a los sistemas federales. Por ejemplo, las mejoras de gobernanza del CSF 2.0 complementan el énfasis de la SP 800-53 en las políticas, funciones y responsabilidades organizativas. Utilizando el CSF 2.0 como marco de alto nivel, las agencias federales pueden garantizar que sus programas se basan en los requisitos detallados del SP 800-53.

Cumplimiento de órdenes ejecutivas y directivas

NIST CSF 2.0 también apoya el cumplimiento de la Orden Ejecutiva 14028, que ordena mejoras en la ciberseguridad federal tras violaciones de alto perfil como la de SolarWinds. La OE 14028 hace hincapié en la arquitectura de confianza cero, la mejora de la detección de amenazas y el desarrollo de software seguro. El enfoque ampliado del marco en la gestión de riesgos de la cadena de suministro y las tecnologías emergentes se ajusta a estas directivas.

Por ejemplo, CSF 2.0 proporciona categorías y subcategorías que abordan la diligencia debida del proveedor, la supervisión continua y la gestión segura del ciclo de vida del software. Ofrece a las agencias una forma estructurada de implementar los requisitos del Modelo de Madurez de Confianza Cero de CISA y asegurar la cadena de suministro de software como lo exige la OE 14028. (Una vez más, recordamos a los lectores que los mandatos de la OE pueden cambiar rápidamente, especialmente con los cambios de la Administración Presidencial).

Integración con las Directivas Operativas Vinculantes de CISA

Las Directivas Operativas Vinculantes (BOD) de CISA, como la BOD 22-01 sobre vulnerabilidades explotadas conocidas, exigen acciones oportunas para mitigar riesgos específicos. Las funciones Detectar y Responder del CSF 2.0 permiten a las agencias hacer operativas estas directivas a través de una mejor planificación de la respuesta a incidentes, detección proactiva de ciberamenazas y procesos de gestión de vulnerabilidades y exposiciones.

Además, el énfasis del marco en la mejora continua se alinea bien con los requisitos de los DBO para una acción rápida y mensurable. El enfoque iterativo del CSF 2.0 del NIST garantiza que los organismos puedan ajustar sus estrategias en respuesta a la evolución de las directivas CISA y la inteligencia sobre amenazas. En los próximos años, prevemos en TAG que el aumento significativo de las amenazas procedentes de los estados-nación exigirá una mejor gestión continua de la inteligencia sobre amenazas por parte de los organismos federales.

Apoyo a los mandatos de privacidad y protección de datos

La alineación de NIST CSF 2.0 con los marcos de privacidad, incluido NIST Privacy Framework y mandatos como la Ley de Privacidad de 1974 y las directrices CUI (Información no clasificada controlada), permite a las agencias gestionar los requisitos de protección de datos junto con los objetivos de ciberseguridad. La categoría de gobernanza actualizada aborda explícitamente la necesidad de políticas y controles que equilibren la ciberseguridad con la privacidad, lo que permite a los organismos cumplir los requisitos de doble conformidad.

Plan de acción

Esperamos que haya quedado claro que los organismos federales deberían considerar seriamente el uso de NIST CSF 2.0 como base fundamental de su programa de protección general. Al corresponderse con FISMA, EO 14028, las directivas CISA y otros mandatos, NIST CSF 2.0 ofrece a las agencias federales un marco cohesivo para unificar el cumplimiento al tiempo que mejora su resistencia general de seguridad. Esperamos que esta guía le haya sido útil, y siempre esperamos sus comentarios.

Más recursos