Skip to main content

NIST Cybersecurity Framework

Nori dago zuzenduta?

NIST edo NIST Cybersecurity Framework (NIST CSF) gidaren zibersegurtasun-esparrua edozein erakunde publiko edo pribatuk, handi edo txikik, erabili dezake bere zibersegurtasuna hobetzeko. Hasiera batean azpiegitura kritikoen zibersegurtasuna hobetzera bideratuta bazegoen ere, edozein erakunde motak erabili dezake.

Zer da?

NIST Cybersecurity Framework gida Amerikako Estatu Batuetako Estandarren eta Teknologiaren Institutu Nazionalak (NIST National Institute of Standards and Technology) argitaratutako esparrua da, zeina hasiera batean 2014an argitaratu baitzen herrialde horretako Segurtasun Zibernetikoaren Hobekuntza Legea indartzeko. Zibersegurtasunarekin lotutako arriskuak kudeatzeko eta gutxitzeko gida bat da. Gaur egun 2018an liberatutako 1.1 bertsioa dago indarrean:

  • Esparruaren guneak honako hau definitzen du:
    • Zibersegurtasuna zein 5 funtziotan artikulatu beharko litzatekeen (Identifikatzea, Babestea, Detektatzea, Erantzutea eta Berreskuratzea).
    Framework

    1. ilustrazioa: https://www.nist.gov/cyberframework

    • Funtzio horietako bakoitza osatzen duten kategoriak, eta funtzio horietako bakoitzean lortu beharreko emaitzak zehazten dituztenak.
    • Kategoria bakoitza zer azpikategoriatan zatitzen den, eta segurtasun-neurriek eman beharko lituzketen emaitza espezifikoak ezartzen dituztenak.
    • Informazio-erreferentziak, azpikategoria bakoitzerako segurtasun-neurrien multzoak zehazten dituztenak, eta, beste erreferentzia-eredu batzuetatik datozelarik (ISO 27001, CIS Cybersecurity Controls, eta abar.), kontuan hartutako emaitza espezifikoak emango lituzketenak.
  • Inplementazio-mailak, horren bidez erakunde baten zibersegurtasun-arriskuen kudeaketa-praktikek esparruaren guneak definitutako ezaugarriak zein mailatan erakusten diren ezartzen delarik.
  • Inplementazio-profila, erakunde bakoitzaren funtzio, kategoria eta azpikategoriak erakundearen eskakizunekin, erakundeak arriskuarekiko duen tolerantziarekin eta erakundearen baliabideekin nola lerrokatzen den definitzeko baliagarria dena.

Horrela, edozein erakundek bere zibersegurtasuna ebaluatzeko eta zibersegurtasunaren hobekuntza-plan bat ezartzeko oinarriak zehazten ditu esparruak eta, erakundearen beraren egungo profilaren zehaztapenetik abiatuta eta ezarritako epean lortu beharko profilaren definizioa kontuan hartuta.

Helburuak

NIST Cybersecurity Framework gidaren helburuak honako puntu hauetan laburbil daitezke:

  • Ikuspegi iraunkor eta iteratiboa ahalbidetzea segurtasun-arriskua identifikatzeko, ebaluatzeko eta administratzeko.
  • Arriskuak kudeatzeko aurreikusitako praktikak artikulatzea.
  • Zibersegurtasun-arriskuen kudeaketa-neurriak aztertzea eta ebaluatzea.
  • Ezarritako zibersegurtasun-neurriak sendotzea.

Azken batean, esparruaren helburu orokorra erakundeek beren zibersegurtasun-arriskuak nola murriztu eta kudeatu behar dituzten jakitea da.

Erabiltzearen onurak

NIST Cybersecurity Framework gida zibersegurtasunerako erreferentzia-esparru gisa erabiltzeak honako hau ahalbidetuko dio edozein erakunderi:

  • Bere egungo zibersegurtasun-jarrera deskribatzea.
  • Zibersegurtasunean lortu nahi duen helburua deskribatzea.
  • Hobetzeko aukerak identifikatzea eta lehenestea prozesu etengabe eta errepikagarri baten barruan.
  • Lortu nahi den helbururako aurrerabidea ebaluatzea.
  • Hizkuntza erkide bat izatea kanpoko eta barruko alderdi interesdun guztiekin komunikatu ahal izateko zibersegurtasun-arriskuei dagokienez.

NIST CSF gidan oinarritutako zibersegurtasuna hobetzeko programa bat ezartzeko kontuan izan beharreko faktoreak

  • Erakundearen tamaina.
  • Testuingurua, eta erakundearen ezaugarri sektorialak eta operatiboak.
  • Inplikatutako prozesuak, zerbitzuak eta azpiegitura teknologikoak.
  • Erakundearen arrisku-gosea.
  • Egungo segurtasun-neurriak.
  • Arriskuak kudeatzeko hedatutako prozesuak.
  • Beste antolakuntza-alderdi batzuk.

NIST CSF gidan oinarritutako zibersegurtasuna hobetzeko programaren faseak

1. fasea. Proiektua abiaraztea

Zibersegurtasuna hobetzeko programaren garapenak erakundearen goi-zuzendaritzaren inplikazioa izan behar du, zeinak beharrezkoak diren giza baliabide, baliabide ekonomiko eta materialak bideratu behar dituen ez bakarrik hobekuntza-programa garatzeko, baita une bakoitzean lortzen diren zibersegurtasun-mailak atxikitzeko eta sendotzeko ere.

2. fasea. Egungo zibersegurtasun-jarrera zehaztea (“As Is”)

Erakundeak bere egungo egoera ebaluatu beharko du, erakundearen beraren egungo zibersegurtasun-jarrera zehazteko. Horretarako:

  • Esparruaren funtzio, kategoria eta azpikategoria bakoitza aztertu beharko du, eta erakundea esparru horrek aurreikusi dituen emaitzak lortzen ari ote den zehaztu, esparruaren ezarpen-profila definituz horrela.
  • Zibersegurtasun-arriskuen kudeaketa-prozesua aztertu beharko du, eta esparrua ezartzeko egungo maila zein den zehaztu:
    • 1. maila Partziala
    • 2. maila: Aztertutako arriskua
    • 3. maila: Errepikagarria
    • 4. maila: Moldakorra

3. fasea. Xede duen zibersegurtasun-jarrera zehaztea (“To Be”)

Egungo zibersegurtasun-jarreraren emaitzen azterketa bat burutu beharko du erakundeak (“As Is”) eta xede duen zibersegurtasun-jarrera zehaztu, (“To Be”) honako hauek kontuan izanda:

  • Bere egungo zibersegurtasunaren efikazia
  • Erakundearen arrisku-gosea.
  • Zibersegurtasunaren kanpoko testuingurua
  • Erabili beharreko erreferentzia-epea
  • Baliabide erabilgarriak

Gogoeta horren ondorioz, honako hau zehaztu beharko du erakundeak:

  • Xede duen inplementazio-profila (esparruaren funtzio, kategoria eta azpikategoriena)
  • Xede inplementazio-maila (zibersegurtasun-arriskuen kudeaketa-prozesuarena)

4. fasea. Ekintza-plana zehaztea

Xede duen zibersegurtasun-jarrera ezarritakoan, zibersegurtasun-jarrera horren eta egungoen aldeen azterketa egin beharko du erakundeak, eta honako hauek zehaztu:

  • Egungo zibersegurtasun-jarreratik xede-jarrerara eboluzionatzeko gauzatu beharreko proiektuak.
  • Erakundeak definitutako aldian zehar proiektu horiek duten denbora-plangintza, egungo inplementazio-profiletik xede duen inplementazio-profileraino eboluzionatzeko.
  • Egungo inplementazio-mailatik xede duen inplementazio-mailaraino eboluzionatzeko garatu behar diren ekintzak.
  • Proiektuen programan ezarritako tarteko erreferentzia-mugarrietan lortu beharreko inplementazio-mailak eta inplementazio-profilak.

5. fasea. Egikaritzapena eta jarraipena

Ekintza-plana diseinatutakoan, plan hori egikaritu egin beharko da, aldi baterako ebaluazioak eginda proiektuen programa aurreikusitakoaren arabera garatzen ari ote den zehazteko, eta tarteko erreferentzia-mugarriak aurreikusitako inplementazio-mailak eta inplementazio-profilak lortzen ari ote diren ere zehazteko.

Non jaso daiteke aholkularitza edo kontrastatu daiteke NIST CSF gidan oinarritutako zibersegurtasuna hobetzeko programa bat?

BCSCk erakundeen zein enpresa pribatuen eskueran jartzen du “Zibersegurtasunaren Liburu Zuria Euskadin”, gure toki-ekosistemaren ikuspegi osoa biltzen duen dokumentua, berrikuntzako, ikerketako, ekintzailetzako... perspektibekin, eta dokumentu horretan biltzen da horrelako zerbitzuak eskaintzen dituzten zibersegurtasuneko hornitzaileen katalogoa, zerbitzu horiek eskatzeko interesa duten erakundeek erabakiak hartzeko lagungarria izango den erreferentzia-puntu bat izateko helburuarekin betiere.

Euskadiko zibersegurtasunaren merkatuaren laburpen edo argazki gisa baliagarria da katalogoa, eta zerrenda bizia, berrikusia eta aldian behin eguneratua da, zerbitzuen digitalizazioaren arloko etengabeko bilakaera eta aurrerabidea, eta sortzen diren aukerak direla eta.

BCSC Liburu Zuria

Erreferentziak

NIST Cybersecurity Framework: https://www.nist.gov/cyberframework

Deskargatu NIST gidaren zibersegurtasun-esparrua espainieraz: https://www.nist.gov/document/frameworkesmellrev20181102mncleanpdf

Partekatu

Linkedin partekatu