El NIST CSF (Instituto Nacional de Estándares y Tecnología, Marco de Seguridad Cibernética) es un marco que ayuda a una organización a comprender, gestionar y reducir mejor sus riesgos de seguridad. Con la ayuda de NIST-CSF, la organización obtiene una imagen clara de su capacidad actual de seguridad cibernética frente a un estado deseado.

NIST es una agencia federal de EE. UU. que opera bajo el Departamento de Comercio de EE. UU. Su principal responsabilidad es desarrollar y promover estándares, directrices y recomendaciones para diversas áreas de la tecnología y la seguridad de la información.

En tecnología de la información, NIST ha jugado un papel importante al publicar pautas y estándares para garantizar la seguridad y protección de los sistemas de información. Los estándares y directrices del NIST son ampliamente reconocidos y utilizados no sólo en los Estados Unidos sino también a nivel internacional como referencia en seguridad de la información y TI.

Con el conocimiento de la capacidad actual para gestionar y reducir los riesgos de seguridad cibernética, aumenta el conocimiento de la organización sobre lo que se debe lograr para gestionar la seguridad cibernética de una mejor manera. Aquí es donde el marco NIST-CSF resulta útil para una organización que desea una indicación de la capacidad actual para gestionar amenazas y vulnerabilidades relacionadas con la seguridad cibernética, pero también el conocimiento para tomar las medidas necesarias.

Seguir NIST-CSF no es un requisito legal ni aquí en Suecia ni en la UE. Actualmente, no existe ninguna certificación para NIST-CSF. Si quieres certificarte, los sistemas de gestión dentro de la seguridad de la información ISO 27000 funcionan muy bien. Por otro lado, vemos una mayor solicitud de NIST-CSF por parte de empresas suecas que operan en el mercado estadounidense, que en poco tiempo reciben demandas expresas de clientes estadounidenses para aplicar NIST-CSF. Las empresas cuyos clientes son directa o indirectamente proveedores de las autoridades estadounidenses pueden enfrentarse a requisitos explícitos para demostrar un cierto nivel de madurez en su enfoque de la ciberseguridad basado en el NIST-CSF. Hay cuatro niveles de madurez y es el cliente/autoridad quien decide qué nivel aplica.

La estructura del marco se basa en cinco áreas funcionales que se suceden en una secuencia lógica.

El marco se basa en cinco pasos para garantizar que se logre la protección.

• Identificar (identificar)
  Le da a la organización una comprensión de qué riesgos existen relacionados con la seguridad cibernética de sistemas, personas, activos e información de datos.
• Proteger
  Desarrollar e implementar medidas de protección adecuadas para garantizar la prestación de funciones comerciales críticas.
• Detectar
  Desarrollar e implementar actividades apropiadas para detectar amenazas relacionadas con la cibernética.
• Gestionar (responder)
  Desarrollar e implementar actividades apropiadas para gestionar y corregir las amenazas cibernéticas detectadas.
• Recuperar Desarrollar
  Implementar actividades apropiadas para restaurar las funciones comerciales críticas a la normalidad después de ataques cibernéticos.