CENTRO NACIONAL

DE SEGURIDAD DIGITAL

1
2

Programa de especialización
en Ciberseguridad y Ciberdefensa
 Centro Nacional de Seguridad Digital

Implementación NIST Cybersecurity

Framework
Ing. Maurice Frayssinet Delgado Ing. Flor Meza Silvestre
mfrayssinet@gmail.com infraestructura@cnsd.gob.pe
Tfl. (+51) 980.997.203
3
ewqrewrew
Unidad 2

Componentes
❑wewerwer
del marco

4
Unidad 2 Componentes del marco

2.1 Componentes del marco

2.2 Núcleo del marco
2.3 Niveles de implementación
2.4 Perfiles del marco

5
2.1 Componentes del marco

6
El Marco

“El Marco de Ciberseguridad del NIST ha sido ampliamente adoptado por

empresas y agencias gubernamentales en los EE.UU., así como en todo el
mundo. De hecho, el marco de ciberseguridad del NIST se ha convertido
rápidamente en uno de los enfoques, si no el más ampliamente aceptado, para
facilitar la gestión de riesgos de ciberseguridad dentro de las organizaciones.”

Lawrence, Gordon;
Martin, Loeb;
Lei, Zhou.

Fuente: NIST CSF

7
Componentes del marco

❑El marco consta de tres partes:

❑Núcleo del marco;

❑Los niveles de implementación;
❑Perfiles del marco.

Fuente: NIST CSF

8
Núcleo del marco

Proporciona un conjunto de
actividades y resultados específicos
de ciberseguridad deseados,
utilizando un lenguaje común y fácil
de entender.

Fuente: NIST CSF

9
Los niveles de implementación

Proporcionan un contexto sobre

cómo una organización considera el
riesgo de Ciberseguridad y los
procesos establecidos para gestionar
dicho riesgo.

Fuente: NIST CSF

10
Los perfiles

Representa los resultados que se

basan en las necesidades
empresariales que una organización
ha seleccionado de las categorías y
subcategorías del Marco.

Fuente: NIST CSF

11
Atributos

❑Lenguaje
❑Adaptable
❑Gestión de riesgos
❑Estándares internacionales
❑Documento viviente
❑Sector privado y sector público

Fuente: NIST CSF

12
Ventajas del marco

Su utilización ayuda a las organizaciones a:

❑ Identificar sus vulnerabilidades,
❑ Priorizar su resolución en el tiempo en planes de mitigación y
❑ Evolucionar hacia una organización mejor preparada cada vez.

Fuente: NIST CSF

13
Arquitectura del marco de trabajo de
ciberseguridad del NIST (CSF)

Fuente: NIST CSF

14
2.2 Núcleo del marco

15
Descripción

❑Es un conjunto de actividades de

ciberseguridad, resultados esperados y
referencias aplicables que son
comunes a los sectores de
infraestructuras críticas, en términos
de estándares de la industria,
directrices y prácticas que permiten la
comunicación de actividades de
ciberseguridad y sus resultados a lo
largo de la organización.

Fuente: NIST CSF

16
Descripción

❑El Núcleo no es una lista de verificación de las acciones a realizar.

Este presenta los resultados clave de seguridad cibernética
identificados por las partes interesadas como útiles para gestionar el
riesgo de seguridad cibernética.

Fuente: NIST CSF

17
Elementos del núcleo del marco

❑El Núcleo identifica cuatro elementos:

❑Funciones,
❑Categorías,
❑Subcategorías y
❑Referencias Informativas.

Fuente: NIST CSF

18
Elementos del núcleo del marco

❑El Núcleo consta de cinco funciones

simultáneas y continuas:

❑Identificar,
❑Proteger,
❑Detectar,
❑Responder y
❑Recuperar.

Fuente: NIST CSF

19
Elementos del núcleo del marco

Fuente: NIST CSF

20
2.3 Niveles de implementación

21
Descripción

❑Los Niveles de Implementación del Marco, proporcionan un contexto

sobre cómo una organización considera el riesgo de seguridad
cibernética y los procesos establecidos para gestionar dicho riesgo.
❑Los Niveles describen un grado cada vez mayor de rigor y
sofisticación en las prácticas de gestión de riesgos de seguridad
cibernética.

Fuente: NIST CSF

22
Descripción

❑El proceso de selección de Niveles considera:

❑Las prácticas actuales de gestión de riesgos,
❑El entorno de amenazas,
❑Los requisitos legales y reglamentarios,
❑Las prácticas de intercambio de información,
❑Los objetivos empresariales o de misión,
❑Los requisitos de seguridad cibernética de la cadena de suministro y
❑Las limitaciones organizativas.

Fuente: NIST CSF

23
Descripción

❑Las organizaciones deben determinar el Nivel deseado, asegurando:

❑Que el nivel seleccionado cumpla con los objetivos de la organización,
❑sea factible de implementar y
❑reduzca el riesgo de seguridad cibernética para los activos y recursos críticos
a niveles aceptables para la organización.

Fuente: NIST CSF

24
Descripción

❑Si bien se alienta a las organizaciones identificadas como Nivel 1

(Parcial) a considerar avanzar hacia el Nivel 2 o más, los Niveles no
representan niveles de madurez.
❑Los Niveles están destinados a respaldar la toma de decisiones
organizacionales sobre cómo gestionar el riesgo de seguridad
cibernética, así como qué dimensiones de la organización son de
mayor prioridad y podrían recibir recursos adicionales.

Fuente: NIST CSF

25
Descripción

❑La implementación exitosa del Marco se basa en el logro de los

resultados descritos en el Perfil(s) Objetivo(s) de la organización y no
en la determinación del Nivel.
❑Sin embargo, la selección y la designación de Nivel afecta
naturalmente los Perfiles del Marco.

Fuente: NIST CSF

26
Niveles de Implementación

❑Parcial (Nivel 1)
❑Riesgo Informado (Nivel 2)
❑Repetible (Nivel 3)
❑Adaptable (Nivel 4)

Fuente: NIST CSF

27
Niveles de Implementación

Fuente: NIST CSF

28
Enfoques de niveles de Implementación
1 2 3 4
Parcial Riesgo Repetible Adaptado
Informado
Proceso de La funcionalidad y repetibilidad de la gestión de riesgos de
gestión de ciberseguridad.
riesgos
Programa de Hasta qué punto se considera la ciberseguridad en decisiones más
Gestión amplias de gestión de riesgos.
integrada de
riesgos
Participación El grado en que la organización:
externa - Supervisa y gestiona el riesgo de la cadena de suministro.
- Beneficia que comparta o reciba información de terceros.

Fuente: NIST CSF

29
Nivel 1: Parcial

❑Proceso de gestión de riesgos

No se formalizan las prácticas organizativas de
gestión de riesgos de ciberseguridad y se gestiona
el riesgo de manera ad hoc y a veces reactiva.

Fuente: NIST CSF

30
Nivel 1: Parcial

❑Programa integrado de gestión de riesgos

Se conoce muy poco sobre el riesgo de
ciberseguridad a nivel organizativo y no se ha
establecido un enfoque de gestión del riesgo de
ciberseguridad en toda la organización.

Fuente: NIST CSF

31
Nivel 1: Parcial

❑Participación externa
Puede no tener los procesos establecidos para
participar en la coordinación o colaboración con
otras entidades.

Fuente: NIST CSF

32
Nivel 2: Riesgo Informado

❑Proceso de gestión de riesgos

Las prácticas de gestión de riesgos son aprobadas
por la administración pero no pueden establecerse
como políticas de toda la organización.

Fuente: NIST CSF

33
Nivel 2: Riesgo Informado

❑Programa integrado de gestión de riesgos

Se conoce el riesgo de ciberseguridad a nivel
organizativo, pero no se ha establecido un enfoque
a nivel de toda la organización.

Fuente: NIST CSF

34
Nivel 2: Riesgo Informado

❑Participación externa
La organización conoce su papel en el ecosistema
más grande, pero no ha formalizado sus
capacidades para interactuar y compartir
información externamente.

Fuente: NIST CSF

35
Nivel 3: Repetible

❑Proceso de gestión de riesgos

Las prácticas de gestión de riesgos de la
organización son formalmente aprobadas y
expresadas como políticas.

Fuente: NIST CSF

36
Nivel 3: Repetible

❑Programa integrado de gestión de riesgos

Existe un enfoque a nivel de toda la organización
para gestionar el riesgo de la ciberseguridad.

Fuente: NIST CSF

37
Nivel 3: Repetible

❑Participación externa
La organización entiende sus dependencias y socios,
recibe información que permite la colaboración y
las decisiones de gestión basadas en el riesgo.

Fuente: NIST CSF

38
Nivel 4: Adaptable

❑Proceso de gestión de riesgos

La organización adapta sus prácticas de
ciberseguridad basadas en las lecciones aprendidas
y los indicadores predictivos.

Fuente: NIST CSF

39
Nivel 4: Adaptable

❑Programa integrado de gestión de riesgos

Existe un enfoque a nivel de toda la organización
para gestionar el riesgo de ciberseguridad que
utiliza políticas, procesos y procedimientos.

Fuente: NIST CSF

40
Nivel 4: Adaptable

❑Participación externa
La organización gestiona el riesgo y comparte
activamente la información con los socios para
garantizar que se distribuye información precisa
para mejorar la ciberseguridad antes de que se
produzca un evento.

Fuente: NIST CSF

41
2.4 Perfiles del marco

42
Descripción

❑El Perfil del Marco, es la alineación de las Funciones, Categorías y

Subcategorías con los requisitos empresariales, la tolerancia al riesgo
y los recursos de la organización.
❑Un Perfil permite a las organizaciones establecer una hoja de ruta
para reducir el riesgo de seguridad cibernética que está bien alineada
con los objetivos organizacionales y sectoriales, considera los
requisitos legales o reglamentarios y las mejores prácticas de la
industria, y refleja las prioridades de gestión de riesgos.

Fuente: NIST CSF

43
Descripción

❑Los Perfiles del Marco se pueden utilizar para describir el estado

actual y el estado objetivo deseado de actividades específicas de
seguridad cibernética.

Fuente: NIST CSF

44
Descripción

❑El Perfil Actual indica los resultados de

seguridad cibernética que se están logrando
actualmente.

Fuente: NIST CSF

45
Descripción

❑El Perfil Objetivo indica los resultados

necesarios para alcanzar los objetivos de
gestión de riesgos de seguridad cibernética
deseados.

Fuente: NIST CSF

46
Perfiles del marco

Fuente: NIST CSF

47
Descripción

Fuente: NIST CSF

48
Descripción

❑Los Perfiles son compatibles con los requisitos empresariales o de

misión y ayudan a comunicar los riesgos dentro y entre las
organizaciones.
❑Este Marco no prescribe plantillas de Perfil, lo que permite
flexibilidad en la implementación.

Fuente: NIST CSF

49
Descripción

❑La comparación de Perfiles (por ejemplo, el Perfil Actual y el Perfil

Objetivo) puede revelar brechas que deben abordarse para cumplir
con los objetivos de gestión del riesgo de seguridad cibernética.
❑Un plan de acción para abordar estas brechas para cumplir con una
Categoría o Subcategoría determinada puede contribuir a la hoja de
ruta descrita anteriormente.

Fuente: NIST CSF

50
Descripción

❑La priorización de la mitigación de las brechas está impulsada por las

necesidades empresariales de la organización y los procesos de
gestión de riesgos.
❑Este enfoque basado en el riesgo permite que una organización
calcule los recursos necesarios, para alcanzar los objetivos de
seguridad cibernética de manera rentable y priorizada.

Fuente: NIST CSF

51
CENTRO NACIONAL
DE SEGURIDAD DIGITAL

52