La rápida evolución del entorno tecnológico del último año y las nuevas formas de ciberamenazas han impulsado la necesidad de actualizar normas que guíen a las organizaciones en la protección de sus activos digitales y la gestión de los riesgos relacionados con la información. En este sentido, el Marco de Ciberseguridad del Instituto Nacional de Estándares y Tecnología de Estados Unidos (NIST) se ha convertido en una de las principales referencias para abordar estos desafíos desde 2018, cuando publicó su “Marco para la mejora de la ciberseguridad de las infraestructuras críticas (CSF)”, y que sentó las bases de la gestión de la ciberseguridad para las organizaciones.
Tras los avances sin precedentes en TI (y Gen AI en particular), en febrero de 2024, el NIST publicó la versión 2.0 de este marco, como respuesta a la continua y profunda evolución del entorno digital, y es de suma importancia que las organizaciones y tomadores de decisiones mexicanos estén al tanto de estas actualizaciones.
Pero, ¿qué cambios trae consigo esta nueva versión y qué beneficios concretos puede ofrecer a las organizaciones mexicana en la protección de sus activos digitales y la gestión de los riesgos de seguridad?
Aunque las versiones anteriores del CSF se centraban en la seguridad de las infraestructuras críticas de Estados Unidos, demostraron ser beneficiosas para organizaciones de todos los tamaños y sectores. Por ello, la versión 2.0 del CSF ha eliminado el enfoque centrado en las grandes infraestructuras y ha adoptado un planteamiento más general que refleja la relevancia global de estas medidas. La nueva versión 2.0 del CSF del NIST aborda las recientes formas de amenaza (la mayoría relacionadas con la IA Gen) prestando mayor atención a cuestiones como la seguridad de la cadena de suministro y elevando la importancia del gobierno corporativo como nueva función del marco.
En cuanto al nuevo elemento de “gobierno corporativo”, pretende centrar la atención en las personas, los procesos y la tecnología que intervienen en las decisiones de cada organización relacionadas con la ciberseguridad (la versión anterior del MSC especificaba lo que había que hacer, pero no se refería a las personas que supervisaban esos procesos). En otras palabras, no solo hay que saber lo que hay que hacer, sino asegurarse de que la estructura interna de la organización puede procesar eficazmente todas las medidas necesarias para mejorar la ciberseguridad, y saber quién tiene que coordinarse internamente con quién.
Este Marco 2.0 también concede mayor importancia a la gestión de riesgos en la cadena de suministro y recomienda establecer un programa integral de gestión de riesgos (incluyendo el software). Este enfoque está en línea con los recientes cambios en varias normativas internacionales (principalmente europeas, como la normativa NIS2 y DORA o la Cyber Resilience Act). Es probable que estos reglamentos de ciberseguridad transfronterizos adquieran relevancia en los próximos años en el contexto de las negociaciones del USMCA y de una economía norteamericana cada vez más integrada por el fenómeno de la deslocalización.
Las redes empresariales van más allá de los ‘firewalls’ tradicionales, las VPN e incluso las modernas tecnologías de seguridad basadas en el perímetro. En este contexto, la tecnología Zero Trust Network Access (ZTNA) se está convirtiendo rápidamente en un estándar de seguridad obligatorio para las asociaciones internacionales en la región de Norteamérica, tal y como muestran los datos del Connectivity Survey 2024 de Cradlepoint para México, Estados Unidos y Canadá. Al ampliar el acceso remoto a empleados y terceros, Zero Trust Network Access impide los movimientos laterales, limita el acceso de los usuarios a “lo justo”, verifica antes de confiar y nunca deja de supervisar.
De forma similar, los modelos de seguridad entregados en la nube, como Cradlepoint NetCloud SASE (Secure Access Service Edge), se están convirtiendo en una arquitectura de seguridad importante para complementar la cartera de ciberseguridad de cualquier empresa, especialmente cuando se integra con cadenas de suministro internacionales. SASE reúne las capacidades SD-WAN y los servicios de seguridad de red de próxima generación y utiliza el contexto en tiempo real basado en las políticas de cumplimiento de la empresa para identificar los puntos de computación finales, incluidos los usuarios, las sucursales, los servicios en la nube, las aplicaciones y los dispositivos IoT. Si el tráfico es legítimo, el control de edge de SASE permite que pase.
Añadir esta capa de seguridad a una solución SD-WAN existente con ZTNA no solo crea una comunicación más segura, sino que también optimiza el flujo de datos al minimizar la asignación de ancho de banda disponible reservado para tráfico no conforme o inseguro, mejorando el rendimiento general en toda la infraestructura de red. Esto se refleja en la predicción de Gartner de que, para 2025, más del 60% de las empresas dispondrán de estrategias y plazos explícitos para la adopción de la seguridad SASE, debido a su mayor protección de los usuarios, las sucursales y el acceso de borde, que también contribuyen a ahorrar dinero, eliminar proveedores redundantes y simplificar las complejas soluciones de seguridad de edge.
El reto de mantenerse al día con la tecnología se vuelve más relevante que nunca, especialmente en el contexto de la reconfiguración de la cadena de suministro internacional, el surgimiento de Gen AI y las nuevas regulaciones nacionales e internacionales en materia de estándares de ciberseguridad. En este contexto, Cradlepoint se compromete a proporcionar a las empresas mexicanas las herramientas tecnológicas necesarias para cumplir con los estándares de integración económica de América del Norte con este nuevo marco de ‘Ciberseguridad 2.0’ y contribuir a esta prioridad estratégica corporativa en 2024.
Carlos Perea, Senior VP LATAM en Cradlepoint
