El Instituto Nacional de Estándares y Tecnología (NIST) ha publicado una propuesta de actualización de su famoso marco de ciberseguridad, el cual se ha convertido en una referencia mundial en esta última década a la hora de ayudar a las organizaciones a identificar, comprender y reducir el riesgo de ciberseguridad. De hecho, desde su publicación, el CSF -como se le conoce- ha sido descargado más de dos millones de veces por usuarios de más de 185 países y se ha traducido, al menos, a nueve idiomas.
Este nuevo documento se encuentra en fase de alegaciones públicas para que cualquier persona pueda hacer sus aportaciones hasta el 4 de noviembre de 2023, con la previsión de poder analizar los comentarios que se hagan a la propuesta y publicar una versión final a principios de 2024.
En cuanto al fondo, dos de las principales novedades que introduce esta nueva versión son, de un lado, que se amplía su ámbito de aplicación a cualquier tipo de organización, independientemente de su tipo o tamaño, y no solo a los sectores críticos, como hasta ahora. De hecho, el propio título del marco se ha ajustado a esta nueva realidad, pasando del tradicional “marco para mejorar la ciberseguridad de la infraestructura crítica” a uno más genérico y abierto, como es el de “marco de ciberseguridad”.
Y, de otro lado, que a los cinco pilares principales de un programa de ciberseguridad eficaz (esto es, identificar, proteger, detectar, responder y recuperar), se añade una sexta, consistente en la función de gobierno de la ciberseguridad, lo que se refiere al modo en que una organización puede tomar y ejecutar sus propias decisiones internas para apoyar su estrategia de ciberseguridad. Esta nueva incorporación trata de reflejar que dicha materia es una fuente real de riesgo empresarial, al mismo nivel que los riesgos legales o financieros, y que debe ser gestionado por el órgano de gobierno de cualquier entidad. En Europa, esta obligación se refleja, incluso, en la propia responsabilidad legal de los órganos de gobierno de la empresa si no acreditan una suficiente diligencia en la gestión de los ciberriesgos a los que se enfrenta la organización, tal y como recoge, por ejemplo, la Directiva NIS2.
Esta fase de gobernanza sería un módulo transversal al resto de los pilares tradicionales, lo que va a exigir a las compañías que deseen implementar el marco NIST a diseñar un esquema de cibercompliance interno, desde donde se pueda identificar cuál es la normativa que aplica a la organización (atendiendo a las nuevas obligaciones, que vaya incorporando la nueva normativa, tanto nacional como comunitaria, implementar políticas y procesos relacionadas con esta gestión interna, y disponer de personas responsables y establecer un sistema de reporte que permita a una organización, de manera real y efectiva, a tener un control de la ciberseguridad en toda su entidad técnica y organizativa, de manera estructurada y ordenada, al igual que cualquier otro ámbito empresarial y de negocio).
Sin duda, esto supone incrementar la exigencia del nivel de madurez de las organizaciones, para considerar la parte organizativa de la ciberseguridad, que si bien hasta la fecha se ha limitado a la publicación de políticas internas, todavía no se había consolidado como un ámbito relevante dentro de la gestión de riesgo de las compañías. A partir de ahí, se podrán desarrollar otros aspectos relacionados con la diligencia en la gestión, tales como la responsabilidad social, la cobertura aseguradora, la protección de los inversores y de los consumidores, o el buen gobierno corporativo relacionado con los aspectos de seguridad cibernética.