El Instituto Nacional de Estándares y Tecnología (NIST) es una agencia del gobierno de los Estados Unidos enfocada en la innovación y la competitividad empresarial. Una de las funciones del NIST es desarrollar estándares y mejores prácticas para diversos campos, incluida la ciberseguridad. Los estándares, directrices y otras publicaciones del NIST pueden ser invaluables para un programa de cumplimiento de seguridad corporativo.
El NIST ha desarrollado varios estándares y mejores prácticas tanto para la ciberseguridad general como para ciertas áreas de una política de seguridad organizacional. Estas normas y mejores prácticas han sido adoptadas por varias agencias del gobierno de los Estados Unidos para ayudar a cumplir con la Ley Federal de Administración de Seguridad de la Información (FISMA).
NIST tiene numerosos estándares y mejores prácticas. Para la ciberseguridad, algunos de los estándares principales incluyen los Estándares Federales de Procesamiento de Información (FIPS), la serie 800 de estándares NIST y el Marco de Ciberseguridad NIST.
Los estándares NIST son una combinación de recomendaciones y estándares no vinculantes que las agencias gubernamentales deben seguir para cumplir con FISMA. Los FIPS son requisitos obligatorios para las agencias del gobierno federal.
La serie 800 es el conjunto de documentos NIST que son relevantes para la comunidad de seguridad informática. Existen más de 200 estándares de la serie 800 de publicaciones especiales (SP) del NIST, que describen las mejores prácticas para la gestión de acceso, codificación segura, uso de cifrado y más.
Algunas de las pautas NIST más utilizadas incluyen:
Más allá de estos estándares, las organizaciones también pueden consultar los estándares NIST para obtener mejores prácticas e información sobre diversos aspectos de la ciberseguridad.
El marco de ciberseguridad del NIST está diseñado para mejorar la ciberseguridad del sector de infraestructura crítica. Este marco proporciona recomendaciones para lograr cinco funciones básicas de ciberseguridad:
El marco de ciberseguridad del NIST proporciona un esquema general para implementar un programa de ciberseguridad. Esto, en combinación con los estándares de la serie 800, proporciona una guía de seguridad amplia y detallada.
Para las organizaciones que trabajan con el gobierno federal, el cumplimiento de los estándares NIST puede ser obligatorio. Las empresas que trabajan con agencias gubernamentales de los Estados Unidos que tienen acceso a sus sistemas y datos confidenciales pueden estar obligadas contractualmente a cumplir con los requisitos de uno o más estándares NIST. Como se mencionó anteriormente, los contratistas DIB son un ejemplo de esto. Actualmente, deben autocertificarse como conformes con NIST 800-171, y aprobar una auditoría de nivel CMMC requerirá el cumplimiento total de NIST 800-171, además de controles y procesos de seguridad adicionales.
Las organizaciones para las que el cumplimiento del NIST no es obligatorio pueden encontrarlo valioso para lograr el cumplimiento de otras regulaciones. Los estándares del NIST establecen un marco para crear un programa de ciberseguridad maduro, y algunos estándares del NIST están diseñados específicamente para ayudar a las organizaciones a cumplir otros requisitos de cumplimiento. Lograr el cumplimiento del NIST puede permitir a las organizaciones cumplir muchos de los requisitos de otras regulaciones de una manera lógica y sostenible y simplifica el proceso de cumplimiento de cualquier requisito específico de la regulación.
El NIST ha publicado numerosos estándares y directrices, incluyendo FIPS, la serie 800 y el marco de ciberseguridad. Diferentes estándares están diseñados para satisfacer las necesidades de diferentes organizaciones, industrias, desafíos específicos de ciberseguridad, etc.
La preparación para el cumplimiento del NIST comienza con la identificación de las pautas y estándares que mejor se adaptan a las necesidades de seguridad de una organización. El marco de ciberseguridad del NIST y el NIST SP 800-53 son buenos puntos de partida para la orientación general de ciberseguridad, mientras que otros estándares, como NIST SP 800-37, 800-137 y 800-171, están destinados a fines específicos.
Lograr el cumplimiento de una serie de normas de ciberseguridad puede resultar complejo. Los estándares y las mejores prácticas del NIST ayudan a simplificar este proceso al proporcionar un marco único para lograr el cumplimiento de la seguridad.
La implementación de las recomendaciones de los estándares de ciberseguridad del NIST requiere una plataforma de ciberseguridad unificada con soporte para toda la infraestructura de una organización, incluidos los entornos de nube pública y privada.
Las soluciones de Check Point automatizan el proceso de pruebas e informes sobre el cumplimiento del NIST, lo que facilita a las organizaciones identificar y cerrar las brechas de cumplimiento. Para obtener más información, puede solicitar una demostración gratuita.