El Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés) es una agencia no reguladora que promueve la innovación mediante avances en metrología, normas y tecnología. El Marco de Ciberseguridad del NIST (NIST CSF, NIST Cybersecurity Framework) consta de normas, pautas y mejores prácticas que ayudan a las organizaciones a mejorar su gestión del riesgo de ciberseguridad. 

El NIST CSF está diseñado para ser lo suficientemente flexible como para integrarse con los procesos de seguridad existentes de cualquier organización, en cualquier sector. Proporciona un excelente punto de partida para implementar gestión de riesgos de ciberseguridad y seguridad de la información en prácticamente cualquier organización del sector privado en los Estados Unidos.

El 12 de febrero de 2013 se emitió la Orden Ejecutiva (EO) 13636, "Mejora de la seguridad cibernética eninfraestructuras críticas", que supuso el inicio de la colaboración entre el NIST y el sector privado en EE. UU. para "identificar las normas de consenso y las mejores prácticas del sector de uso voluntario para crear un marco de ciberseguridad". El resultado de esta colaboración fue la versión 1.0 del Marco de Ciberseguridad del NIST.

La Ley de Mejora de la Seguridad Cibernética (CEA, Cybersecurity Enhancement Act) de 2014 amplió la labor del NIST para incluir el desarrollo del Marco de Ciberseguridad. Actualmente, el NIST CSF sigue siendo uno de los marcos de seguridad más ampliamente adoptados en todos los sectores de EE. UU.

El Marco de Ciberseguridad del NIST incluye funciones, categorías, subcategorías y referencias informativas. 

Las funciones proporcionan una descripción general de los protocolos de seguridad de las mejores prácticas. Las funciones no están destinadas a ser pasos de un proceso que haya que seguir, sino que se deben realizar "concurrente y continuamente para formar una cultura operativa que aborde el riesgo dinámico de ciberseguridad". Las categorías y subcategorías proporcionan planes de acción más concretos para departamentos o procesos específicos dentro de una organización. 

Algunos ejemplos de funciones y categorías del NIST incluyen:

• Identificar: para protegerse ante ciberataques, el equipo de ciberseguridad debe tener una visión clara de cuáles son los activos y recursos más importantes de la organización. La función de identificar incluye categorías como gestión de activos, entorno empresarial, gobierno, evaluación de riesgos, estrategia de gestión de riesgos y gestión de riesgos de la cadena de suministro.
  
  
• Proteger: la función de proteger cubre gran parte de los controles de seguridad técnicos y físicos para desarrollar e implementar las medidas de protección adecuadas y proteger la infraestructura crítica. Incluye categorías como gestión de identidad y control de acceso; concienciación y formación; seguridad de los datos; procesos y procedimientos de protección de la información; mantenimiento, y tecnología de protección.
  
  
• Detectar: la función de detectar implementa medidas que alertan a una organización de ciberataques. Las categorías de detección incluyen anomalías y sucesos, supervisión continua de la seguridad y procesos de detección.
  
  
• Responder: las categorías de la función de responder garantizan la respuesta adecuada a ciberataques y otros sucesos de ciberseguridad. Las categorías específicas incluyen planificación de respuesta, comunicaciones, análisis, mitigación y mejoras.
  
  
• Recuperar: las actividades de recuperación implementan planes de ciberresiliencia y garantizan la continuidad del negocio en caso de que se produzca un ciberataque, una brecha de seguridad u otro suceso de ciberseguridad. Las categorías de recuperar son planificación de recuperación, comunicaciones y mejoras.

Las referencias informativas del NIST CSF establecen correlaciones directas entre las funciones, las categorías, las subcategorías y los controles de seguridad específicos de otros marcos. Estos marcos incluyen Center for Internet Security (CIS) Controls®, COBIT 5, International Society of Automation (ISA) 62443-2-1:2009, ISA 62443-3-3:2013, International Organization for Standardization e International Electrotechnical Commission 27001:2013 y NIST SP 800-53 Rev. 4.

El NIST CSF no indica cómo inventariar los dispositivos y sistemas físicos o las plataformas y aplicaciones de software; simplemente proporciona una lista de comprobación de las tareas que deben completarse. Cada organización puede elegir su propio método para realizar el inventario. Si una organización necesita más directrices, puede consultar las referencias informativas a controles relacionados de otras normas complementarias. El CSF da mucha libertad para elegir las herramientas que mejor se adapten a las necesidades de gestión de riesgos de ciberseguridad de una organización.

Para ayudar a las organizaciones del sector privado a medir su progreso en la implementación del Marco de Ciberseguridad del NIST, el marco identifica cuatro niveles de implementación:

• Nivel 1: Parcial. La organización está familiarizada con el NIST CSF y puede haber implementado algunos aspectos de control en algunas áreas de la infraestructura. La implementación de las actividades y protocolos de ciberseguridad ha sido reactiva en lugar de planificada. La organización tiene un conocimiento limitado de los riesgos de ciberseguridad y carece de los procesos y recursos necesarios para habilitar la seguridad de la información.
  
  
• Nivel 2: Riesgo informado. La organización es más consciente de los riesgos de ciberseguridad y comparte información de manera informal. Carece de un proceso de gestión de riesgos de ciberseguridad planificado, repetible y proactivo en toda la organización.
  
  
• Nivel 3: Repetible. La organización y sus altos ejecutivos son conscientes de los riesgos de ciberseguridad. Han implementado un plan de gestión de riesgos de ciberseguridad repetible en toda la organización. El equipo de ciberseguridad ha trazado un plan de acción para supervisar y responder a los ciberataques de forma efectiva.
  
  
• Nivel 4: Adaptable. La organización es ciberresiliente y aplica las lecciones aprendidas y los indicadores predictivos para prevenir ciberataques. El equipo de ciberseguridad mejora y avanza continuamente las tecnologías y prácticas de ciberseguridad de la organización y se adapta a los cambios en las amenazas de manera rápida y eficiente. Existe un enfoque en toda la organización para la gestión de riesgos de seguridad de la información en torno a la toma de decisiones informadas, las políticas, los procedimientos y los procesos. Las organizaciones adaptables incorporan la gestión de riesgos de ciberseguridad en las decisiones presupuestarias y en la cultura de la organización.

El Marco de Ciberseguridad del NIST proporciona una guía paso a paso sobre cómo establecer o mejorar su programa de gestión de riesgos de seguridad de la información:

1. Priorizar y establecer el alcance: crear una idea clara del alcance del proyecto e identificar las prioridades. Establecer los objetivos empresariales o de misión de alto nivel, las necesidades de la empresa y determinar la tolerancia al riesgo de la organización.
   
   
2. Orientar: hacer inventario de los activos y sistemas de la organización e identificar normativas aplicables, un enfoque de riesgo y las amenazas a las que la organización podría estar expuesta.
   
   
3. Crear un perfil actual: un perfil actual es una instantánea de cómo la organización está gestionando el riesgo en el momento presente, según lo definido por las categorías y subcategorías del CSF.
   
   
4. Realizar una evaluación de riesgos: evaluar el entorno operativo, los riesgos emergentes y la información de amenazas de ciberseguridad para determinar la probabilidad y la gravedad de un suceso de ciberseguridad para la organización.
   
   
5. Crear un perfil objetivo: un perfil objetivo representa el objetivo de gestión de riesgos del equipo de seguridad de la información.
   
   
6. Determinar, analizar y priorizar brechas: al identificar las brechas entre el perfil actual y el perfil objetivo, el equipo de seguridad de la información puede elaborar un plan de acción que incluya los hitos y los recursos medibles (personas, presupuesto, tiempo) necesarios para rellenar estas brechas.
   
   
7. Implementar plan de acción: implementar el plan de acción definido en el Paso 6.