https://www.nist.

gov/cyberframework/online-learning/five-functions

Marco de ciberseguridad (https://www.nist.gov/cyberframework)

Las cinco funciones

Visión general

Este módulo de aprendizaje analiza en profundidad las cinco funciones del marco
de ciberseguridad: identificar, proteger, detectar, responder y recuperar. La
información que se presenta aquí se basa en el material introducido en el módulo
Componentes del marco (https://www.nist.gov/cyberframework/online-
learning/components-framework) . Este módulo explora el valor de las funciones dentro
del marco y lo que se incluye en cada función.

Introducción a las funciones

Las cinco funciones incluidas en Framework Core son:

Identificar
Proteger
Detectar
Responder
Recuperar

Las funciones son el nivel más alto de abstracción incluido en el marco. Actúan
como la columna vertebral del Framework Core alrededor del cual se organizan
todos los demás elementos.
Estas cinco funciones fueron seleccionadas porque representan los cinco pilares
principales para un programa de ciberseguridad integral y exitoso. Ayudan a las
organizaciones a expresar fácilmente su gestión del riesgo de ciberseguridad a un
alto nivel y permiten tomar decisiones de gestión de riesgos.

Identificar

La función de identificación ayuda a desarrollar una comprensión organizativa

para gestionar el riesgo de ciberseguridad para los sistemas, las personas, los
activos, los datos y las capacidades. Comprender el contexto empresarial, los
recursos que respaldan las funciones críticas y los riesgos de ciberseguridad
relacionados permite a una organización enfocar y priorizar sus esfuerzos, de
acuerdo con su estrategia de gestión de riesgos y sus necesidades comerciales.

Ejemplos de categorías de resultados dentro de esta función incluyen:

Identificación de activos físicos y de software dentro de la organización para

establecer la base de un programa de gestión de activos.
Identificar el entorno empresarial que apoya la organización, incluido el
papel de la organización en la cadena de suministro y el lugar de la
organización en el sector de infraestructura crítica.
Identificar las políticas de ciberseguridad establecidas dentro de la
organización para definir el programa de Gobernanza, así como identificar
los requisitos legales y regulatorios con respecto a las capacidades de
ciberseguridad de la organización.
Identificar las vulnerabilidades de los activos, las amenazas a los recursos
organizacionales internos y externos y las actividades de respuesta al riesgo
como base para la evaluación de riesgos de la organización.
Identificar una estrategia de gestión de riesgos para la organización, incluido
el establecimiento de tolerancias al riesgo.
Identificar una estrategia de gestión de riesgos de la cadena de suministro
que incluya prioridades, limitaciones, tolerancias de riesgo y supuestos
utilizados para respaldar las decisiones de riesgo asociadas con la gestión de
riesgos de la cadena de suministro.

Proteger

La función de protección describe las salvaguardias adecuadas para garantizar la

prestación de servicios de infraestructura crítica. La función de protección admite
la capacidad de limitar o contener el impacto de un posible evento de
ciberseguridad.

Ejemplos de categorías de resultados dentro de esta función incluyen:

Protecciones para la gestión de identidades y el control de acceso dentro de

la organización, incluido el acceso físico y remoto
 Empoderar al personal dentro de la organización a través de la
concientización y la capacitación, incluida la capacitación de usuarios
privilegiados y basada en roles
Establecer una protección de seguridad de datos consistente con la estrategia
de riesgo de la organización para proteger la confidencialidad, integridad y
disponibilidad de la información.
Implementar procesos y procedimientos de protección de la información
para mantener y administrar la protección de los sistemas y activos de
información.
Protección de los recursos de la organización a través del mantenimiento,
incluido el mantenimiento remoto, actividades
La gestión de la tecnología de protección para garantizar la seguridad y la
resistencia de los sistemas y las ayudas son coherentes con las políticas, los
procedimientos y los acuerdos de la organización.

Detectar

La función de detección define las actividades apropiadas para identificar la

ocurrencia de un evento de ciberseguridad. La función de detección permite el
descubrimiento oportuno de eventos de ciberseguridad.

Ejemplos de categorías de resultados dentro de esta función incluyen:

Asegurar que las anomalías y eventos se detecten y se comprenda su impacto

potencial
Implementar capacidades de monitoreo continuo de seguridad para
monitorear eventos de ciberseguridad y verificar la efectividad de las
medidas de protección, incluidas las actividades físicas y de red
Mantener los procesos de detección para proporcionar conocimiento de
eventos anómalos

Responder

La función Responder incluye las actividades adecuadas para tomar medidas con
respecto a un incidente de ciberseguridad detectado. La función Responder admite
la capacidad de contener el impacto de un posible incidente de ciberseguridad.

Ejemplos de categorías de resultados dentro de esta función incluyen:

Asegurar que el proceso de planificación de respuesta se ejecute durante y

después de un incidente
Gestionar las comunicaciones durante y después de un evento con las partes
interesadas, las fuerzas del orden, las partes interesadas externas, según
corresponda
El análisis se realiza para garantizar una respuesta eficaz y respaldar las
actividades de recuperación, incluido el análisis forense y la determinación
del impacto de los incidentes.
 Las actividades de mitigación se realizan para evitar la expansión de un
evento y resolver el incidente.
La organización implementa mejoras incorporando lecciones aprendidas de
actividades de detección / respuesta actuales y anteriores.

Recuperar

La función de recuperación identifica las actividades apropiadas para mantener

los planes de resiliencia y restaurar las capacidades o los servicios que se vieron
dañados debido a un incidente de ciberseguridad. La función de recuperación
admite la recuperación oportuna de las operaciones normales para reducir el
impacto de un incidente de ciberseguridad.

Ejemplos de categorías de resultados dentro de esta función incluyen:

Asegurar que la organización implemente procesos y procedimientos de

Planificación de Recuperación para restaurar sistemas y / o activos afectados
por incidentes de ciberseguridad.
Implementar mejoras basadas en lecciones aprendidas y revisiones de
estrategias existentes
Las comunicaciones internas y externas se coordinan durante y después de la
recuperación de un incidente de ciberseguridad.

Recursos adicionales
The_Five_Functions.pptx (https://www.nist.gov/document/thefivefunctionspptx)

Tecnología de la información (https://www.nist.gov/topic-terms/information-technology) y

ciberseguridad (https://www.nist.gov/topic-terms/cybersecurity)
Creado el 12 de abril de 2018, actualizado el 10 de agosto de 2018