NIST lanza la versión ampliada 2.0 del marco de ciberseguridad Landmark para ayudar a las organizaciones de infraestructura crítica

El Instituto Nacional de Estándares y Tecnología (NIST) ha presentado la versión 2.0 de su Marco de Ciberseguridad (CSF), lo que marca un hito importante en la estrategia de ciberseguridad. Originalmente diseñado para organizaciones de infraestructura crítica, el CSF ha obtenido una adopción generalizada más allá de su alcance previsto, lo que ha llevado al NIST a mejorar su aplicabilidad en diversos sectores y tamaños organizacionales. El marco actualizado, informado por los comentarios sobre su borrador, amplía la orientación básica e introduce la función crucial de "Gobierno", abordando las brechas en la gestión de riesgos.

El nuevo marco, que no se ha actualizado en aproximadamente 10 años, llega en un momento crítico en el que las organizaciones de infraestructura crítica enfrentan ataques cibernéticos severos que podrían paralizar las funciones cotidianas en muchas facetas de la vida. Algunos ataques han desarraigado operaciones de cuidados críticos en grupos de salud y muchas otras industrias, que el nuevo marco pretende ayudar a frustrar.

Robert Booker, director de estrategia de HITRUST, subrayó la importancia de la función de gobierno y enfatizó su papel fundamental en la gestión de riesgos dentro del panorama de la ciberseguridad. En particular, el CSF 2.0 proporciona a los usuarios ejemplos de implementación personalizados y guías de inicio rápido, lo que facilita su aplicación práctica. Además, incorpora un catálogo de referencias con capacidad de búsqueda, lo que agiliza la alineación con más de 50 documentos de ciberseguridad.

La directora del NIST, Laurie E. Locascio, enfatizó la naturaleza dinámica de CSF 2.0, retratándolo como un conjunto de recursos personalizables adaptables a las necesidades de ciberseguridad y capacidades organizativas en evolución. Katherine Ledesma, de la firma de ciberseguridad industrial Dragos, destacó las implicaciones del marco para las organizaciones con sistemas de control industrial (ICS) y sistemas de tecnología operativa (OT). Hizo hincapié en un cambio de percepción, posicionando la inversión en ciberseguridad no simplemente como un centro de costos sino como un facilitador estratégico para las operaciones comerciales, especialmente crítico para industrias como la manufactura y los servicios públicos.

Ledesma también enfatizó la importancia de distinguir entre entornos de TI y OT dentro del marco del CSF, previendo un enfoque matizado para salvaguardar los sistemas ICS/OT. Destacó la necesidad de actualizaciones continuas y orientación especializada para abordar los riesgos únicos asociados con estos sistemas, abogando por la integración de consideraciones específicas de OT en documentos de orientación y planificación de ciberseguridad más amplios.

En general, el lanzamiento de CSF 2.0 marca un avance significativo en la estrategia de ciberseguridad, ya que ofrece un marco integral adaptable a diversos contextos organizacionales y enfatiza el papel fundamental de la ciberseguridad para respaldar la resiliencia y la continuidad del negocio.