El organismo busca que las organizaciones integren el CSF 2.0 con sus programas de gestión de riesgos y reciban apoyo práctico frente a amenazas poco conocidas o aún desconocidas.
El Instituto Nacional de Estándares y Tecnología (NIST) difundió hace algunos días un borrador público inicial de su nueva guía de inicio rápido para el uso del Marco de Ciberseguridad 2.0 (CSF 2.0). Según el organismo, este recurso ofrece a las organizaciones “pasos prácticos para mejorar la gestión de los riesgos emergentes de ciberseguridad”.
El documento, denominado Publicación Especial 1331 ipd, forma parte de una serie de materiales de apoyo creados para que la versión actualizada del marco sea más accesible y sencilla de aplicar por diferentes públicos. El NIST indicó que la guía muestra cómo los programas de gestión de riesgos empresariales ya existentes pueden integrarse con el CSF 2.0 para preparar a las compañías frente a riesgos que aún no se comprenden por completo o que son completamente nuevos.
En cuanto a la definición de riesgos emergentes, la publicación distingue dos tipos: por un lado, aquellos que ciertas organizaciones ya conocen, aunque otras no, y por otro, los que son desconocidos para todos. Mientras que las amenazas tradicionales como el ransomware o los ataques de denegación de servicio distribuida (DDoS) se incluyen en la primera categoría, la segunda hace referencia a riesgos inéditos para los que no existen estrategias de mitigación consolidadas.
El NIST subraya que la preparación debe basarse en la resiliencia organizacional, estructuras sólidas de gobernanza y capacidad de adaptación. Además de vincular el CSF 2.0 con la gestión de riesgos empresariales, recomienda enfoques multidisciplinarios que permitan mantener o restablecer las operaciones cuando surjan incidentes inesperados.
El borrador también organiza la gestión de riesgos emergentes en fases proactivas y reactivas alineadas con las funciones del CSF 2.0. Antes de que los riesgos se materialicen, las organizaciones deben apoyarse en las funciones de Gobernar, Identificar y Proteger, mientras que Detectar, Responder y Recuperar resultan críticas cuando las amenazas ya están en curso. En todas las fases, el NIST recalca la necesidad de la mejora continua mediante el análisis y la priorización de lecciones aprendidas.
El trabajo fue elaborado por los especialistas Stephen Quinn (NIST), Matthew Barrett (CyberESI Consulting Group), Robert Gardner (New World Technology Partners), Kelly Hood (Optic Cyber Solutions) y Matthew Smith (Seemless Transition). El NIST anunció que aceptará comentarios públicos sobre el borrador hasta el 21 de septiembre próximo, los cuales pueden ser enviados al correo csf@nist.gov.