NIST Cybersecurity

Framework (CSF) 2.0

- Overview

Marzo 19, 2024

Presenta: Roberto Sánchez 10:00 Horas CDMX
Consultor Senior
Nuestros Servicios
 Profesionales Service Desk
https://www.linkedin.com/groups/13939234/

Únete al grupo
Profesionales ISO 27001
https://www.linkedin.com/groups/13941981/

Profesionales de la
Transformación Digital
https://www.linkedin.com/groups/13966901/
 Roberto Sánchez
www.linkedin.com/comm/in/robertosanchezglz
Síguenos en
Annabel Soriano
www.linkedin.com/comm/in/annabel-soriano-hernández-030aa950
Marco de Ciberseguridad (CSF)
2.0 del NIST

El Marco de Ciberseguridad (CSF) 2.0 del NIST proporciona

orientación a la industria, las agencias gubernamentales y otras
organizaciones para gestionar los riesgos de ciberseguridad.

Ofrece una taxonomía de resultados de ciberseguridad de alto nivel

que puede ser utilizado por cualquier organización,
independientemente de su tamaño, sector o madurez, para
comprender, evaluar, priorizar y comunicar mejor sus esfuerzos de
ciberseguridad.

El CSF no prescribe cómo se deben lograr los resultados. Más bien,

se vincula a recursos en línea que proporcionan orientación adicional
sobre prácticas y controles que podrían utilizarse para lograr esos
resultados.
Marco de Ciberseguridad
(CSF) 2.0 del NIST

Objetivo
Ayudar a las organizaciones a gestionar y reducir sus
riesgos de ciberseguridad a medida que inician o mejoran
su programa de ciberseguridad.

El CSF 2.0, junto con los recursos suplementarios del

NIST, puede ser utilizado por las organizaciones para
comprender, evaluar, priorizar y comunicar los riesgos de
ciberseguridad.

El CSF 2.0 está organizado por seis funciones: gobernar,

identificar, proteger, detectar, responder y recuperar.

En conjunto, estas funciones proporcionan una visión

completa para la gestión del riesgo de ciberseguridad.
 Componentes Clave del CSF 2.0

• CSF Core- Es una taxonomía de resultados de ciberseguridad de

alto nivel que puede ayudar a cualquier organización a gestionar
sus riesgos de ciberseguridad.

• Perfiles organizacionales del CSF: son un mecanismo para

describir la postura de ciberseguridad actual y/o objetivo de
una organización en términos de los resultados del núcleo del
CSF.

• Niveles de CSF: se pueden aplicar a los perfiles organizacionales

de CSF para caracterizar el rigor de las prácticas de gobernanza
y gestión de riesgos de ciberseguridad de una organización.
 Recursos Adicionales
(sitio web NIST )
Referencias informativas a fuentes de orientación sobre cada resultado
de las normas, directrices, marcos, reglamentos, políticas, etc. globales
existentes.

Ejemplos de implementación que enseñan posibles formas de lograr cada

resultado.

Guías de inicio rápido sobre el uso del CSF y sus recursos en línea,
incluida la transición de las versiones anteriores del CSF a la versión 2.0.

Perfiles de la comunidad y plantillas de perfil organizacional que ayudan

a una organización a poner en práctica el CSF y establecer prioridades
para la gestión de los riesgos de ciberseguridad.
Recursos Adicionales
(sitio web )

Pequeñas empresas (PYMES)

Proporciona a las pymes, específicamente a aquellas que tienen
planes de ciberseguridad modestos o nulos, consideraciones para
poner en marcha su estrategia de gestión de riesgos de
ciberseguridad.

Creación y uso de perfiles organizativos

Proporciona a todas las organizaciones consideraciones para crear
y utilizar perfiles actuales y/o futuros para implementar el CSF 2.0.

Uso de los niveles de CSF

Explica cómo cualquier organización puede aplicar los niveles del
CSF a los perfiles organizacionales para caracterizar el rigor de sus
prácticas de gobernanza y gestión del riesgo de ciberseguridad.
 Recursos Adicionales
(sitio web )

Borrador de Gestión de Riesgos de la Cadena de Suministro de

Ciberseguridad (C-SCRM)
Ayuda a todas las organizaciones a convertirse en adquirentes y
proveedores inteligentes de productos y servicios tecnológicos
mediante la mejora de sus procesos de C-SCRM.

Borrador de los practiccioners de la gestión de riesgos empresariales

(ERM)
Detalla cómo los profesionales de la gestión de riesgos empresariales
pueden utilizar los resultados proporcionados en CSF 2.0 para mejorar
la gestión de riesgos de ciberseguridad organizacional.
 Estructura del Cybersegurity
Framework 2.0
• La sección :2 explica los conceptos básicos del núcleo del CSF:
funciones, categorías y subcategorías.

• La sección 3: define los conceptos de perfiles y niveles de CSF.

• La sección 4: proporciona una visión general de los componentes

seleccionados del conjunto de recursos en línea del CSF: referencias
informativas, ejemplos de implementación y guías de inicio rápido.

• La sección 5: analiza cómo una organización puede integrar el CSF con

otros programas de gestión de riesgos.

• El Apéndice A: es el núcleo del CSF.

• El Apéndice B: contiene la descripción de los niveles de CSF.

• El Apéndice C: es un glosario de la terminología del CSF.

Funciones y Categorías
Gobernar

GOBERNAR (GV) - La estrategia, las expectativas y la política de

gestión de riesgos de ciberseguridad de la organización se
establecen, comunican y supervisan.

Las actividades de gobernanza son fundamentales para

incorporar la ciberseguridad en la estrategia más amplia de
Gestión de Riesgos Empresariales (ERM) de una organización.

1) Contexto organizacional
2) Estrategia de gestión de riesgos

3) Responsabilidades y autoridades

4) Política

5) Supervisión
6) Gestión de riesgos de la cadena de
suministro de ciberseguridad
Identificar
Se entienden los riesgos actuales de ciberseguridad de la
organización.

Comprender los activos de la organización (por ejemplo, datos,

hardware, software, sistemas, instalaciones, servicios, personas),
proveedores y riesgos de ciberseguridad relacionados permite a
una organización priorizar sus esfuerzos de acuerdo con su
estrategia de gestión de riesgos y las necesidades de la misión
identificadas en el Gobierno.

También incluye la identificación de oportunidades de mejora de

las políticas, planes, procesos, procedimientos y prácticas de la
organización que apoyan la gestión de riesgos de ciberseguridad
para informar los esfuerzos bajo las seis funciones.

1) Gestión de activos

2) Evaluación de riesgos

3) Mejora
Proteger
Se utilizan salvaguardas para gestionar los riesgos de
ciberseguridad de la organización.

Una vez que se identifican y priorizan los activos y los riesgos,

Proteger apoya la capacidad de proteger esos activos para
prevenir o reducir la probabilidad y el impacto de los eventos
adversos de ciberseguridad,

También aumenta la probabilidad y el impacto de aprovechar las

oportunidades.

1) Gestión de identidades, autenticación y control

de acceso
2) Concienciación y Capacitación
3) Seguridad de los datos (CIA)
4) Seguridad de la plataforma (es decir, la seguridad del
hardware, el software y los servicios de las plataformas físicas
y virtuales);
5) Resiliencia de la infraestructura tecnológica
Detectar
Se encuentran y analizan los posibles ataques y los compromisos
de ciberseguridad.

Detectar permite el descubrimiento y análisis oportunos de

anomalías, indicadores de compromiso y otros eventos
potencialmente adversos que pueden indicar que se están
produciendo ataques e incidentes de ciberseguridad.

Esta función apoya las actividades exitosas de Respuesta y

Recuperación a incidentes.

1) Monitoreo continuo

2) Análisis de eventos adversos

Responder
Se toman medidas con respecto a un incidente de
ciberseguridad detectado.

Responder apoya la capacidad de contener los efectos de

los incidentes de ciberseguridad.

Los resultados dentro de esta función cubren la gestión de

incidentes, el análisis, la mitigación, la presentación de
informes y la comunicación.

1) Gestión de incidentes
2) Análisis de incidentes
3) Informes y comunicación de respuesta a incidentes
4) Mitigación de incidentes
Recuperar

Se restauran los activos y las operaciones afectados por un incidente

de ciberseguridad.

Recuperar apoya la restauración oportuna de las operaciones

normales para reducir los efectos de los incidentes de ciberseguridad
y permitir una comunicación adecuada durante los esfuerzos de
recuperación.

1) Ejecución del Plan de Recuperación de Incidentes

2) Comunicación de Recuperación de Incidentes

Las funciones deben abordarse
simultáneamente.

Las Funciones: Gobernar, Identificar, Proteger y Detectar

deben ocurrir continuamente

Las Funciones: Responder y Recuperar deben estar listas en

todo momento y ocurrir cuando se produzcan incidentes de
ciberseguridad.

Todas las funciones tienen funciones vitales relacionadas con los

incidentes de ciberseguridad.
 Las funciones deben
abordarse simultáneamente.

Los resultados de Gobernar, Identificar y Proteger ayudan a prevenir y

prepararse para incidentes,

Los resultados de Gobernar, Detectar, Responder y Recuperar ayudan a

descubrir y gestionar incidentes.

Cada función lleva el nombre de un verbo que resume su contenido.

Cada función se divide en categorías, que son resultados

relacionados con la ciberseguridad que componen colectivamente la
función.
Niveles

Los niveles caracterizan el rigor de las prácticas de gobernanza de

riesgos de ciberseguridad (GOBERNAR) y las prácticas de gestión de
riesgos de ciberseguridad (IDENTIFICAR, PROTEGER, DETECTAR,
RESPONDER y RECUPERAR) de una organización.

Dos perspectivas:
◉ Gobernanza del riesgo de ciberseguridad

◉ Gestión de riesgos de ciberseguridad

Resumen

◉ Cadavez es más relevante que los riesgos de ciberseguridad estén

considerados dentro de los riesgos empresariales.

◉ CSF2.0 es una opción para la implementación de una Estrategia de

Ciberseguridad.

◉ Los
proveedores o la Cadena de Suministro es un riego que hay que
considerar más.
Gracias
Preguntas y
Respuestas