NIST Publica Importante Actualización de Su Ampliamente Utilizado Marco de Ciberseguridad

-

El gráfico del Marco de Ciberseguridad del NIST tiene secciones externas etiquetadas como Identificar, Proteger, Detectar, Responder y Recuperar; el círculo interno se etiqueta como Gobernar.

A los cinco pilares principales de un programa de ciberseguridad exitoso, el NIST ha agregado ahora un sexto: la función de "gobernar", que enfatiza que la ciberseguridad es una fuente importante de riesgo empresarial y una consideración para la alta dirección.

La principal guía de ciberseguridad del mundo está recibiendo su primera revisión completa desde su lanzamiento hace casi una década.

Tras considerar más de un año de comentarios de la comunidad, el Instituto Nacional de Estándares y Tecnología (NIST) ha publicado una versión preliminar del Marco de Ciberseguridad (CSF) 2.0, una nueva versión de una herramienta que se lanzó por primera vez en 2014 para ayudar a las organizaciones a comprender, reducir y comunicar el riesgo de ciberseguridad. La actualización preliminar, que el NIST ha publicado para comentarios públicos, refleja los cambios en el panorama de la ciberseguridad y facilita la implementación del CSF, para todas las organizaciones.

"Con esta actualización, estamos tratando de reflejar el uso actual del Marco de Ciberseguridad y anticipar su uso futuro", dijo Cherilyn Pascoe del NIST, la desarrolladora principal del marco. "El CSF se desarrolló para la infraestructura crítica, como las industrias bancarias y energéticas, pero ha demostrado ser útil en todas partes, desde escuelas y pequeñas empresas hasta gobiernos locales y extranjeros. Queremos asegurarnos de que sea una herramienta útil para todos los sectores, no solo los designados como críticos."

El NIST aceptará comentarios públicos sobre el borrador del marco hasta el 4 de noviembre de 2023. El NIST no tiene previsto publicar otro borrador. Pronto se anunciará un taller programado para el otoño, que servirá como otra oportunidad para que el público proporcione comentarios sobre el borrador. Los desarrolladores planean publicar la versión final del CSF 2.0 a principios de 2024.

El CSF proporciona orientación de alto nivel, incluyendo un lenguaje común y una metodología sistemática para gestionar el riesgo de ciberseguridad en todos los sectores y facilitar la comunicación entre el personal técnico y no técnico. Incluye actividades que pueden incorporarse en programas de ciberseguridad y adaptarse a las necesidades particulares de una organización. En la década desde su publicación inicial, el CSF ha sido descargado más de dos millones de veces por usuarios de más de 185 países y se ha traducido a al menos nueve idiomas.

Si bien las respuestas a la solicitud de información (de las siglas en inglés "RFI": Request for Information) del NIST sobre el CSF en febrero de 2022 indicaron que el marco sigue siendo una herramienta eficaz para reducir el riesgo de ciberseguridad, muchos respondientes sugirieron que una actualización podría ayudar a los usuarios a adaptarse a la innovación tecnológica y a un panorama de amenazas en constante evolución.

"Muchos comentaristas dijeron que deberíamos mantener y desarrollar los atributos clave del CSF, incluyendo su naturaleza flexible y voluntaria", dijo Pascoe. "Al mismo tiempo, muchos de ellos solicitaron más orientación sobre la implementación del CSF y asegurarse de que pudiera abordar cuestiones emergentes de ciberseguridad, como los riesgos de la cadena de suministro y la amenaza generalizada de ransomware. Debido a que estos problemas afectan a muchas organizaciones, incluidas las pequeñas empresas, nos dimos cuenta de que teníamos que mejorar nuestro enfoque."

El borrador del CSF 2.0 refleja una serie de cambios importantes, incluyendo:
  • El alcance del marco se ha ampliado explícitamente desde la protección de la infraestructura crítica, como hospitales y plantas de energía, para brindar ciberseguridad a todas las organizaciones, independientemente de su tipo o tamaño. Esta diferencia se refleja en el título oficial del CSF, que ha cambiado a "El Marco de Ciberseguridad", su nombre coloquial, en lugar del más limitado "Marco para la Mejora de la Ciberseguridad de la Infraestructura Crítica".
  • Hasta ahora, el CSF ha descrito los cinco pilares principales de un programa de ciberseguridad exitoso utilizando cinco funciones principales: identificar, proteger, detectar, responder y recuperar. A estos, el NIST ha agregado ahora una sexta función, la función de gobernar, que abarca cómo una organización puede tomar y ejecutar sus propias decisiones internas para respaldar su estrategia de ciberseguridad. Se enfatiza que la ciberseguridad es una fuente importante de riesgo empresarial, al mismo nivel que los riesgos legales, financieros y otros, como consideraciones para la alta dirección.
  • El borrador proporciona orientación mejorada y ampliada sobre la implementación del CSF, especialmente para crear perfiles que adapten el CSF a situaciones particulares. La comunidad de ciberseguridad ha solicitado ayuda para utilizarlo en sectores económicos y casos de uso específicos, donde los perfiles pueden ser útiles. Importante, el borrador ahora incluye ejemplos de implementación para las subcategorías de cada función para ayudar a las organizaciones, especialmente a las empresas más pequeñas, a utilizar el marco de manera efectiva.
Uno de los objetivos principales del CSF 2.0 es explicar cómo las organizaciones pueden aprovechar otros marcos de tecnología, estándares y directrices, tanto del NIST como de otras fuentes, para implementar el CSF. Para reforzar este esfuerzo, se ha lanzado la Herramienta de Referencia del CSF 2.0. Este recurso en línea permite a los usuarios explorar, buscar y exportar los datos principales del CSF en formatos legibles por humanos y por máquinas. En el futuro, esta herramienta proporcionará "Referencias Informativas" para mostrar las relaciones entre el CSF y otros recursos, facilitando su uso junto con otras directrices para gestionar el riesgo de ciberseguridad.

Pascoe dijo que el equipo de desarrollo está animando a cualquier persona con recomendaciones sobre el CSF actualizado a responder con comentarios antes de la fecha límite del 4 de noviembre.

"Esta es una oportunidad para que los usuarios den su opinión sobre el borrador del CSF 2.0", dijo. "Ahora es el momento de participar si aún no lo has hecho."

Nota del editor (23 de agosto de 2023): Esta noticia ha sido actualizada para reflejar que la Herramienta de Referencia del CSF 2.0, mencionada originalmente como una característica próxima, está ahora disponible.


Contenido traducido al español con fines informativos, cualquier cambio en la publicación original no será reflejada en esta entrada, favor referirse a la fuente para obtener el acceso a cualquier actualización del contenido. Para la traducción se utilizó un LLM, al ser una traducción automática puede contener errores gramaticales o de otro tipo, me pueden enviar un mensaje.

Comentarios

Publicar un comentario

Entradas más populares de este blog

Falsos sitios de DocuSign y Gitcode propagan NetSupport RAT mediante ataque PowerShell en múltiples etapas

-
Imagen
Cazadores de amenazas están alertando sobre una nueva campaña que utiliza sitios web falsos para engañar a usuarios desprevenidos y hacer que ejecuten scripts maliciosos de PowerShell en sus máquinas, infectándolas con el malware NetSupport RAT. El equipo de Investigaciones de DomainTools (DTI) informó que identificó “scripts PowerShell maliciosos en múltiples etapas” alojados en sitios trampa que se hacen pasar por Gitcode y DocuSign. “Estos sitios intentan engañar a los usuarios para que copien y ejecuten un script inicial de PowerShell desde el comando ‘Ejecutar’ de Windows”, indicó la empresa en un informe técnico compartido con The Hacker News. “Al hacerlo, el script de PowerShell descarga otro script que actúa como descargador y lo ejecuta en el sistema, lo que a su vez recupera cargas útiles adicionales y las ejecuta, instalando finalmente NetSupport RAT en las máquinas infectadas.” Ciberseguridad Se cree que estos sitios falsos se propagan mediante tácticas de ingeniería so...
Leer más

Microsoft Reemplaza Aplicación de Escritorio Remoto por Windows App: Implicaciones en Ciberseguridad

-
Imagen
Microsoft ha anunciado que, a partir del 27 de mayo de 2025, la aplicación Remote Desktop disponible en la Microsoft Store dejará de ser compatible y será reemplazada por la nueva Windows App. Esta transición busca unificar y mejorar las experiencias de escritorio remoto en sus plataformas, pero también plantea consideraciones importantes en términos de ciberseguridad. ​   Mejoras en Seguridad con Windows App La Windows App, lanzada en septiembre de 2024, ofrece varias mejoras significativas en comparación con la antigua aplicación de Escritorio Remoto:​ Acceso Unificado y Seguro : Proporciona acceso consolidado a múltiples servicios de Windows, incluyendo Windows 365, Azure Virtual Desktop y Microsoft Dev Box, desde una interfaz simplificada. Esta unificación reduce la superficie de ataque al centralizar los puntos de acceso. ​ Soporte Multimonitor y Resoluciones Dinámicas : Facilita una experiencia más fluida y adaptable, permitiendo a los usuarios trabajar de manera más efi...
Leer más

El FBI advierte sobre suplantación de correo electrónico por parte del actor de amenazas norcoreano Kimsuky

-
Imagen
El actor de amenazas norcoreano Kimsuky está aprovechando nuevas tácticas de suplantación de correo electrónico en sus recientes campañas de spearphishing, advirtieron conjuntamente el Buró Federal de Investigaciones (FBI), el Departamento de Estado de EE. UU. y la Agencia de Seguridad Nacional (NSA) el jueves en un aviso conjunto . Kimsuky, también conocido como Emerald Sleet o APT43, es una subunidad de la Oficina General de Reconocimiento (RGB) del ejército norcoreano y es conocido por sus campañas de spearphishing destinadas a recopilar inteligencia sobre asuntos que afectan los intereses norcoreanos. Esto incluye información sobre eventos geopolíticos y las estrategias de política exterior de los adversarios de Corea del Norte. El modus operandi del grupo es hacerse pasar por periodistas legítimos, grupos de expertos, académicos y otros expertos en asuntos del este asiático, convenciendo a las víctimas de abrir enlaces o documentos maliciosos bajo el pretexto de ofrecer una entrev...
Leer más