Machine Translated by Google

El marco de ciberseguridad
(CSF) 2.0 del NIST
Instituto Nacional de Estándares y Tecnología
Esta publicación está disponible de forma gratuita en: https://doi.org/10.6028/NIST.CSWP.29

26 de febrero de 2024
Machine Translated by Google

NIST CSWP 29 El marco de ciberseguridad (CSF) 2.0 del NIST

26 de febrero de 2024

Abstracto

El Marco de ciberseguridad (CSF) 2.0 del NIST proporciona orientación a la industria, las agencias gubernamentales y otras
organizaciones para gestionar los riesgos de ciberseguridad. Ofrece una taxonomía de resultados de ciberseguridad de alto nivel que
cualquier organización puede utilizar, independientemente de su tamaño, sector o madurez, para comprender, evaluar, priorizar y
comunicar mejor sus esfuerzos de ciberseguridad. El MCA no prescribe cómo se deben lograr los resultados. Más bien,
enlaza con recursos en línea que brindan orientación adicional sobre prácticas y controles que podrían usarse para lograr esos resultados.
Este documento describe CSF 2.0, sus componentes y algunas de las muchas formas en que se puede utilizar.

Palabras clave

la seguridad cibernética; Marco de Ciberseguridad (CSF); gobernanza de riesgos de ciberseguridad; gestión de riesgos de ciberseguridad;
gestión de riesgos empresariales; Perfiles; Niveles.

Audiencia

Las personas responsables de desarrollar y liderar programas de ciberseguridad son la audiencia principal del CSF. El CSF también
puede ser utilizado por otras personas involucradas en la gestión de riesgos (incluidos ejecutivos, juntas directivas, profesionales de
adquisiciones, profesionales de tecnología, gestores de riesgos, abogados, especialistas en recursos humanos y auditores de
gestión de riesgos y ciberseguridad) para guiar sus decisiones relacionadas con la ciberseguridad. Además, el CSF puede ser útil
para quienes formulan e influyen en políticas (por ejemplo, asociaciones, organizaciones profesionales, reguladores) que establecen y
comunican prioridades para la gestión de riesgos de ciberseguridad.

Contenido complementario

El NIST continuará creando y albergando recursos adicionales para ayudar a las organizaciones a implementar el CSF, incluidas guías
de inicio rápido y perfiles comunitarios. Todos los recursos están disponibles públicamente en el sitio web del NIST CSF. Las
sugerencias de recursos adicionales para consultar en el sitio web del NIST CSF siempre se pueden compartir con el NIST en
cyberframework@nist.gov.

Nota para los lectores

A menos que se indique lo contrario, los documentos citados, referenciados o extraídos en esta publicación no están totalmente
incorporados a esta publicación.

Antes de la versión 2.0, el Marco de Ciberseguridad se denominaba "Marco para mejorar la ciberseguridad de las infraestructuras
críticas". Este título no se utiliza para CSF 2.0.

i
Machine Translated by Google

NIST CSWP 29 El marco de ciberseguridad (CSF) 2.0 del NIST

26 de febrero de 2024

Expresiones de gratitud

El CSF es el resultado de un esfuerzo de colaboración de varios años entre la industria, el mundo académico y
gobierno en los Estados Unidos y en todo el mundo. NIST reconoce y agradece a todos
quienes han contribuido a este MCA revisado. Información sobre el proceso de desarrollo del MCA
se puede encontrar en el sitio web de NIST CSF. Las lecciones aprendidas sobre el uso del CSF siempre se pueden
compartir con el NIST en cyberframework@nist.gov.

ii
Machine Translated by Google

NIST CSWP 29 El marco de ciberseguridad (CSF) 2.0 del NIST

26 de febrero de 2024

Tabla de contenido

1. Descripción general del marco de ciberseguridad (CSF)................... ................................................1

2. Introducción al CSF Core................................................. ................................................. ..............3

3. Introducción a los perfiles y niveles del CSF ........................................... ................................................. .6

4. Introducción a los recursos en línea que complementan el CSF ........................................ ...................9

5. Mejorar la comunicación e integración de riesgos de ciberseguridad ................................. ............10

Apéndice A. Núcleo del LCR................................... ................................................. ........................15

Apéndice B. Niveles del CSF................................................ ................................................. ........................24

Apéndice C. Glosario ................................................ ................................................. ........................26

Lista de Figuras

Fig. 1. Estructura central del LCR................................... ................................................. ........................3

Fig. 2. Funciones del LCR................................................ ................................................. ................................5

Fig. 3. Pasos para crear y utilizar un perfil organizacional CSF.................................. ........................6

Fig. 4. Niveles del CSF para la gobernanza y gestión de riesgos de ciberseguridad ......................... .............8

Fig. 5. Uso del CSF para mejorar la comunicación de la gestión de riesgos................... ................10

Fig. 6. Relación riesgo ciberseguridad y privacidad ................................. ................................13

III
Machine Translated by Google

NIST CSWP 29 El marco de ciberseguridad (CSF) 2.0 del NIST

26 de febrero de 2024

Prefacio

El Cybersecurity Framework (CSF) 2.0 está diseñado para ayudar a organizaciones de todos los tamaños y sectores
(incluidos la industria, el gobierno, el mundo académico y las organizaciones sin fines de lucro) a gestionar y
reducir sus riesgos de ciberseguridad. Es útil independientemente del nivel de madurez y la sofisticación técnica de
los programas de ciberseguridad de una organización. Sin embargo, el MCA no adopta un enfoque único que sirva
para todos. Cada organización tiene riesgos comunes y únicos, así como distintos apetitos y tolerancias de
riesgo, misiones específicas y objetivos para lograr esas misiones. Por necesidad, la forma en que las
organizaciones implementan el MCA variará.

Idealmente, el CSF se utilizará para abordar los riesgos de ciberseguridad junto con otros riesgos de la
empresa, incluidos aquellos de naturaleza financiera, de privacidad, de cadena de suministro, reputacionales,
tecnológicos o físicos.

El CSF describe los resultados deseados que deben ser comprendidos por una audiencia amplia, incluidos
ejecutivos, gerentes y profesionales, independientemente de su experiencia en ciberseguridad.
Debido a que estos resultados son neutrales en cuanto a sectores, países y tecnologías, brindan a una
organización la flexibilidad necesaria para abordar sus riesgos, tecnologías y consideraciones de misión únicos. Los
resultados se asignan directamente a una lista de posibles controles de seguridad para su consideración
inmediata para mitigar los riesgos de ciberseguridad.

Aunque no es prescriptivo, el CSF ayuda a sus usuarios a conocer y seleccionar resultados específicos. Se
proporcionan sugerencias sobre cómo se pueden lograr resultados específicos en un conjunto cada vez
mayor de recursos en línea que complementan el CSF, incluida una serie de Guías de inicio rápido (QSG). Además,
diversas herramientas ofrecen formatos descargables para ayudar a las organizaciones que optan por
automatizar algunos de sus procesos. Los QSG sugieren formas iniciales de utilizar el CSF e invitan al lector a
explorar el CSF y los recursos relacionados con mayor profundidad. Disponible a través del sitio web del NIST CSF,
el CSF y estos recursos complementarios del NIST y otros deben verse como una “cartera de CSF” para ayudar a
gestionar y reducir los riesgos. Independientemente de cómo se aplique, el CSF insta a sus usuarios a considerar su
postura de ciberseguridad en contexto y luego adaptar el CSF a sus necesidades específicas.

Partiendo de versiones anteriores, CSF 2.0 contiene nuevas características que resaltan la importancia de la
gobernanza y las cadenas de suministro. Se presta especial atención a los QSG para garantizar que el CSF sea
relevante y fácilmente accesible tanto para las organizaciones más pequeñas como para sus contrapartes más grandes.
NIST ahora proporciona ejemplos de implementación y referencias informativas, que están disponibles
en línea y actualizado periódicamente. La creación de perfiles organizacionales actuales y del estado objetivo
ayuda a las organizaciones a comparar dónde están y dónde quieren o necesitan estar y les permite implementar
y evaluar controles de seguridad más rápidamente.

Los riesgos de ciberseguridad se expanden constantemente y su gestión debe ser un proceso continuo. Esto es
cierto independientemente de si una organización recién está comenzando a enfrentar sus desafíos de
ciberseguridad o si ha estado activa durante muchos años con un equipo de ciberseguridad sofisticado y con
buenos recursos. El CSF está diseñado para ser valioso para cualquier tipo de organización y se espera
que proporcione orientación adecuada durante un largo tiempo.

IV
Machine Translated by Google

NIST CSWP 29 El marco de ciberseguridad (CSF) 2.0 del NIST

26 de febrero de 2024

1. Descripción general del marco de ciberseguridad (CSF)

Este documento es la versión 2.0 del Marco de ciberseguridad del NIST (Framework o CSF). Incluye los siguientes
componentes:

• CSF Core, el núcleo del CSF, que es una taxonomía de ciberseguridad de alto nivel.
resultados que pueden ayudar a cualquier organización a gestionar sus riesgos de ciberseguridad. Los
componentes principales del CSF son una jerarquía de funciones, categorías y subcategorías que detallan cada
resultado. Estos resultados pueden ser entendidos por una audiencia amplia, incluidos ejecutivos,
gerentes y profesionales, independientemente de su experiencia en ciberseguridad.
Debido a que los resultados son neutrales en cuanto a sector, país y tecnología, brindan a una organización
la flexibilidad necesaria para abordar sus riesgos, tecnologías y consideraciones de misión únicos.

• Perfiles organizacionales del CSF, que son un mecanismo para describir la postura de ciberseguridad actual y/
o objetivo de una organización en términos de los resultados del CSF Core.

• Niveles CSF, que se pueden aplicar a los perfiles organizacionales CSF para caracterizar el rigor de las prácticas de
gestión y gobierno de riesgos de ciberseguridad de una organización. Los niveles también pueden proporcionar
un contexto sobre cómo una organización ve los riesgos de ciberseguridad y los procesos implementados para
gestionar esos riesgos.

Este documento describe qué resultados deseables puede aspirar a lograr una organización. No prescribe resultados
ni cómo se pueden lograr. Las descripciones de cómo una organización puede lograr esos resultados se
proporcionan en un conjunto de recursos en línea que complementan el CSF y están disponibles a través del sitio
web del NIST CSF. Estos recursos ofrecen orientación adicional sobre prácticas y controles que podrían usarse para
lograr resultados y están destinados a ayudar a una organización a comprender, adoptar y utilizar el CSF. Incluyen:

• Referencias informativas que señalan fuentes de orientación sobre cada resultado de fuentes existentes.
estándares globales, directrices, marcos, regulaciones, políticas, etc.

• Ejemplos de implementación que ilustran formas potenciales de lograr cada resultado.

• Guías de inicio rápido que brindan orientación práctica sobre el uso del CSF y sus recursos en línea,
incluida la transición de versiones anteriores del CSF a la versión 2.0.

• Perfiles comunitarios y plantillas de perfiles organizacionales que ayudan a una organización a poner en práctica el
CSF y establecer prioridades para gestionar los riesgos de ciberseguridad.

Una organización puede utilizar el núcleo, los perfiles y los niveles del CSF con los recursos complementarios para
comprender, evaluar, priorizar y comunicar los riesgos de ciberseguridad.

• Comprender y evaluar: describir la postura de ciberseguridad actual o objetivo de parte o la totalidad de una
organización, determinar las brechas y evaluar el progreso para abordar esas brechas.

1
Machine Translated by Google

NIST CSWP 29 El marco de ciberseguridad (CSF) 2.0 del NIST

26 de febrero de 2024

• Priorizar: identificar, organizar y priorizar acciones para gestionar los riesgos de ciberseguridad que se alineen
con la misión de la organización, los requisitos legales y regulatorios, y las expectativas de gestión
de riesgos y gobernanza.

• Comunicar: proporcionar un lenguaje común para comunicarse dentro y fuera de la organización sobre los
riesgos, capacidades, necesidades y expectativas de ciberseguridad.

El CSF está diseñado para ser utilizado por organizaciones de todos los tamaños y sectores, incluida la industria,
el gobierno, el mundo académico y organizaciones sin fines de lucro, independientemente del nivel de madurez de
sus programas de ciberseguridad. El MCA es un recurso fundamental que puede adoptarse voluntariamente
y a través de políticas y mandatos gubernamentales. La taxonomía del CSF y los estándares, directrices y
prácticas a los que se hace referencia no son específicos de cada país, y muchos gobiernos y otras organizaciones
han aprovechado con éxito versiones anteriores del CSF, tanto dentro como fuera de los Estados Unidos.

El CSF debe utilizarse junto con otros recursos (por ejemplo, marcos, estándares, directrices, prácticas líderes)
para gestionar mejor los riesgos de ciberseguridad e informar la gestión general de los riesgos de las
tecnologías de la información y las comunicaciones (TIC) a nivel empresarial.
El CSF es un marco flexible diseñado para ser diseñado para ser utilizado por todas las organizaciones.
independientemente del tamaño. Las organizaciones seguirán teniendo riesgos únicos, incluidas diferentes amenazas
y vulnerabilidades, y tolerancias al riesgo, así como objetivos y requisitos únicos de la misión. Por lo
tanto, los enfoques de las organizaciones para gestionar los riesgos y sus implementaciones del MEC variarán.

El resto de este documento está estructurado de la siguiente manera:

• La Sección 2 explica los conceptos básicos del CSF Core: funciones, categorías y subcategorías.

• La Sección 3 define los conceptos de Perfiles y Niveles del CSF.

• La Sección 4 proporciona una descripción general de los componentes seleccionados del conjunto de programas en línea del CSF.

recursos: referencias informativas, ejemplos de implementación y guías de inicio rápido.

• La Sección 5 analiza cómo una organización puede integrar el CSF con otros riesgos.
programas de gestión.

• El Apéndice A es el núcleo del CSF.

• El Apéndice B contiene una ilustración teórica de los Niveles del MEC.

• El Apéndice C es un glosario de terminología del CSF.

2
Machine Translated by Google

NIST CSWP 29 El marco de ciberseguridad (CSF) 2.0 del NIST

26 de febrero de 2024

2. Introducción al núcleo del CSF

El Apéndice A es el CSF Core: un conjunto de resultados de ciberseguridad organizados por Función, luego
Categoría y finalmente Subcategoría, como se muestra en la Fig. 1. Estos resultados no son una lista de verificación
de acciones a realizar; Las acciones específicas tomadas para lograr un resultado variarán según la organización y
el caso de uso, al igual que el individuo responsable de esas acciones. Además, el orden y tamaño de las Funciones,
Categorías y Subcategorías del Núcleo no implica la secuencia o importancia de lograrlas. La estructura
del Núcleo pretende resonar más entre aquellos encargados de poner en práctica la gestión de riesgos dentro de
una organización.

Fig. 1. Estructura central del LCR

Las funciones principales del CSF ( GOBERNAR, IDENTIFICAR, PROTEGER, DETECTAR, RESPONDER y RECUPERAR )
organizan los resultados de ciberseguridad en su nivel más alto.

• GOBIERNO (GV) : la estrategia de gestión de riesgos de ciberseguridad de la organización.

Se establecen, comunican y monitorean expectativas y políticas. El GOBIERNO
La función proporciona resultados para informar lo que una organización puede hacer para lograr y
priorizar los resultados de las otras cinco funciones en el contexto de su misión y las expectativas de
las partes interesadas. Las actividades de gobernanza son fundamentales para incorporar la
ciberseguridad a la estrategia más amplia de gestión de riesgos empresariales (ERM) de una
organización. GOBIERNO aborda la comprensión del contexto organizacional; el establecimiento
de una estrategia de ciberseguridad y la gestión de riesgos de la cadena de suministro de
ciberseguridad; roles, responsabilidades y autoridades; política; y la supervisión de la estrategia de
ciberseguridad.

• IDENTIFICAR (ID) : se comprenden los riesgos de ciberseguridad actuales de la organización.

Comprender los activos de la organización (por ejemplo, datos, hardware, software, sistemas,
instalaciones, servicios, personas), proveedores y riesgos de ciberseguridad relacionados permite
a una organización priorizar sus esfuerzos de manera consistente con su estrategia de gestión de riesgos y las
necesidades de la misión identificadas en GOBIERNO. Esta Función también incluye la identificación de

3
Machine Translated by Google

NIST CSWP 29 El marco de ciberseguridad (CSF) 2.0 del NIST

26 de febrero de 2024

oportunidades de mejora para las políticas, planes, procesos, procedimientos y prácticas de la organización que
respaldan la gestión de riesgos de ciberseguridad para informar los esfuerzos bajo las seis Funciones.

• PROTECT (PR) : se utilizan salvaguardas para gestionar los riesgos de ciberseguridad de la organización.
Una vez que se identifican y priorizan los activos y riesgos, PROTECT respalda la capacidad de proteger
esos activos para prevenir o reducir la probabilidad y el impacto de eventos adversos de
ciberseguridad, así como para aumentar la probabilidad y el impacto de aprovechar las oportunidades.
Los resultados cubiertos por esta Función incluyen gestión de identidad, autenticación y control de
acceso; sensibilización y formación; seguridad de datos; seguridad de la plataforma (es decir, proteger el hardware,
el software y los servicios de las plataformas físicas y virtuales); y la resiliencia de la infraestructura
tecnológica.

• DETECT (DE) : se encuentran y analizan posibles ataques y compromisos de ciberseguridad.

DETECT permite el descubrimiento y análisis oportunos de anomalías, indicadores de compromiso
y otros eventos potencialmente adversos que pueden indicar que la ciberseguridad
Se están produciendo ataques e incidentes. Esta función respalda las actividades exitosas de respuesta y
recuperación ante incidentes.

• RESPONDER (RS) : se toman acciones relacionadas con un incidente de ciberseguridad detectado. RESPONDER
apoya la capacidad de contener los efectos de los incidentes de ciberseguridad. Los resultados dentro de esta
Función cubren la gestión, el análisis, la mitigación, la presentación de informes y la comunicación de
incidentes.

• RECUPERAR (RC) : se restauran los activos y operaciones afectados por un incidente de ciberseguridad.
RECOVER apoya la restauración oportuna de las operaciones normales para reducir los efectos de
incidentes de ciberseguridad y permitir una comunicación adecuada durante los esfuerzos de recuperación.

Si bien muchas actividades de gestión de riesgos de ciberseguridad se centran en prevenir eventos negativos
que ocurran, también pueden contribuir a aprovechar oportunidades positivas. Las acciones para reducir el riesgo de
ciberseguridad podrían beneficiar a una organización de otras maneras, como aumentar los ingresos (por
ejemplo, ofrecer primero el exceso de espacio de las instalaciones a un proveedor de hosting comercial para alojar sus
propios centros de datos y los de otras organizaciones, y luego trasladar un importante sistema financiero del interior
de la organización). ­centro de datos interno al proveedor de alojamiento para reducir los riesgos de
ciberseguridad).

La Figura 2 muestra las Funciones CSF como una rueda porque todas las Funciones se relacionan entre sí.
Por ejemplo, una organización clasificará los activos bajo IDENTIFICAR y tomará medidas para proteger esos
activos bajo PROTEGER. Inversiones en planificación y pruebas en el GOBIERNO e IDENTIFICAR
Las funciones respaldarán la detección oportuna de eventos inesperados en la función DETECT , además de permitir
acciones de respuesta y recuperación ante incidentes de ciberseguridad en las funciones RESPONDER y RECUPERAR .
GOBIERNO está en el centro de la rueda porque informa cómo una organización implementará las otras cinco Funciones.

4
Machine Translated by Google

NIST CSWP 29 El marco de ciberseguridad (CSF) 2.0 del NIST

26 de febrero de 2024

Fig. 2. Funciones del LCR

Las Funciones deben abordarse simultáneamente. Acciones que apoyan GOBERNAR, IDENTIFICAR, PROTEGER,
y DETECTAR deben suceder continuamente, y las acciones que apoyan RESPONDER y RECUPERAR
debe estar listo en todo momento y ocurrir cuando ocurran incidentes de ciberseguridad. Todas las Funciones tienen funciones
vitales relacionadas con los incidentes de ciberseguridad. Los resultados GOBERNAR, IDENTIFICAR y PROTEGER
ayudan a prevenir y prepararse para incidentes, mientras que los resultados GOBERNAR, DETECTAR, RESPONDER y
RECUPERAR ayudan a descubrir y gestionar incidentes.

Cada Función lleva el nombre de un verbo que resume su contenido. Cada función se divide en
Categorías, que son resultados de ciberseguridad relacionados que en conjunto comprenden la Función.
Las subcategorías dividen además cada categoría en resultados más específicos de actividades técnicas y
de gestión. Las Subcategorías no son exhaustivas, pero describen resultados detallados que respaldan cada
Categoría.

Las Funciones, Categorías y Subcategorías se aplican a todas las TIC utilizadas por una organización, incluida la
tecnología de la información (TI), el Internet de las cosas (IoT) y la tecnología operativa (OT). Ellos
También se aplican a todo tipo de entornos tecnológicos, incluidos los sistemas de nube, móviles y de
inteligencia artificial. El CSF Core tiene visión de futuro y está destinado a aplicarse a cambios futuros en tecnologías
y entornos.

5
Machine Translated by Google

NIST CSWP 29 El marco de ciberseguridad (CSF) 2.0 del NIST

26 de febrero de 2024

3. Introducción a los perfiles y niveles del CSF

Esta sección define los conceptos de perfiles y niveles CSF.

Perfiles de LCR

Un perfil organizacional CSF describe la postura de ciberseguridad actual y/o objetivo de una organización en términos
de los resultados del Núcleo. Los perfiles organizacionales se utilizan para comprender, adaptar, evaluar, priorizar y comunicar
los resultados del Núcleo considerando los objetivos de la misión de una organización, las expectativas de las partes
interesadas, el panorama de amenazas y los requisitos. Luego, una organización puede priorizar sus acciones
para lograr resultados específicos y comunicar esa información a las partes interesadas.

Cada perfil organizacional incluye uno o ambos de los siguientes:

1. Un perfil actual especifica los resultados principales que una organización está logrando (o intentando lograr)
actualmente y caracteriza cómo o en qué medida se está logrando cada resultado.

2. Un perfil objetivo especifica los resultados deseados que una organización ha seleccionado y priorizado para lograr
sus objetivos de gestión de riesgos de ciberseguridad. Un perfil objetivo
considera los cambios anticipados en la postura de ciberseguridad de la organización, como nuevos requisitos,
adopción de nuevas tecnologías y tendencias de inteligencia de amenazas.

Un perfil comunitario es una base de referencia de los resultados del CSF que se crea y publica para abordar intereses
y objetivos compartidos entre varias organizaciones. Un perfil de comunidad generalmente se desarrolla para
un sector, subsector, tecnología, tipo de amenaza u otro caso de uso en particular. Una organización puede utilizar un
perfil comunitario como base para su propio perfil objetivo.
Se pueden encontrar ejemplos de perfiles comunitarios en el sitio web de NIST CSF.

Los pasos que se muestran en la Fig. 3 y se resumen a continuación ilustran una forma en que una organización podría
utilizar un Perfil Organizacional para ayudar a informar la mejora continua de su ciberseguridad.

Fig. 3. Pasos para crear y utilizar un perfil organizacional CSF

6
Machine Translated by Google

NIST CSWP 29 El marco de ciberseguridad (CSF) 2.0 del NIST

26 de febrero de 2024

1. Alcance del Perfil Organizacional. Documentar los hechos y supuestos de alto nivel en los que se basará el
Perfil para definir su alcance. Una organización puede tener tantos
Perfiles Organizacionales según se desee, cada uno con un alcance diferente. Por ejemplo, un perfil
podría dirigirse a toda una organización o tener como alcance los sistemas financieros de una organización.
o para contrarrestar las amenazas de ransomware y manejar incidentes de ransomware que involucran
a esos sistemas financieros.

2. Reunir la información necesaria para elaborar el Perfil Organizacional. Ejemplos de información pueden
incluir políticas organizacionales, prioridades y recursos de gestión de riesgos, perfiles de riesgo
empresarial, registros de análisis de impacto empresarial (BIA), requisitos y estándares de ciberseguridad
seguidos por la organización, prácticas y herramientas (por ejemplo, procedimientos y salvaguardas) y
roles laborales.

3. Cree el perfil organizacional. Determinar qué tipos de información el Perfil

debe incluir para los resultados del MCA seleccionados y documentar la información necesaria.
Considere las implicaciones de riesgo del perfil actual para informar la planificación y priorización del perfil
objetivo. Además, considere utilizar un perfil comunitario como base para el perfil objetivo.

4. Analizar las brechas entre los perfiles actual y objetivo y crear un plan de acción.
Realizar un análisis de brechas para identificar y analizar las diferencias entre los perfiles actual y objetivo, y
desarrollar un plan de acción priorizado (por ejemplo, registro de riesgos, informe detallado de riesgos, plan de
acción e hitos [POA&M]) para abordar esas brechas.

5. Implementar el plan de acción y actualizar el Perfil Organizacional. Sigue la acción

planificar para abordar las brechas y hacer avanzar a la organización hacia el perfil objetivo. Un plan de acción
puede tener una fecha límite general o estar en curso.

Dada la importancia de la mejora continua, una organización puede repetir estos pasos tantas veces como sea
necesario.

Hay usos adicionales para los perfiles organizacionales. Por ejemplo, un perfil actual se puede utilizar para documentar
y comunicar las capacidades de ciberseguridad de la organización y las oportunidades conocidas de mejora
con partes interesadas externas, como socios comerciales o clientes potenciales. Además, un perfil objetivo
puede ayudar a expresar los requisitos y expectativas de gestión de riesgos de ciberseguridad de la organización a
proveedores, socios y otros terceros.
como objetivo que esas partes deben alcanzar.

Niveles del LCR

Una organización puede optar por utilizar los niveles para informar sus perfiles actuales y de destino. Niveles
Caracterizar el rigor de la gobernanza y gestión de riesgos de ciberseguridad de una organización.
prácticas y proporcionan un contexto sobre cómo una organización ve los riesgos de ciberseguridad y los procesos
implementados para gestionar esos riesgos. Los Niveles, como se muestra en la Fig. 4 y se ilustra teóricamente en el
Apéndice B, reflejan las prácticas de una organización para gestionar el riesgo de ciberseguridad como Parcial (Nivel
1), Informado sobre el riesgo (Nivel 2), Repetible (Nivel 3) y Adaptable (Nivel 4). . Los Niveles describen una
progresión desde respuestas informales y ad hoc hacia enfoques ágiles, informados sobre los riesgos y

7
Machine Translated by Google

NIST CSWP 29 El marco de ciberseguridad (CSF) 2.0 del NIST

26 de febrero de 2024

mejorando continuamente. La selección de niveles ayuda a establecer el tono general sobre cómo una organización
gestionará sus riesgos de ciberseguridad.

Fig. 4. Niveles del CSF para la gobernanza y gestión de riesgos de ciberseguridad

Los niveles deben complementar la metodología de gestión de riesgos de ciberseguridad de una organización en lugar de
reemplazarla. Por ejemplo, una organización puede utilizar los Niveles para comunicarse internamente como punto de
referencia para toda la organización1 enfoque para gestionar los riesgos de ciberseguridad. Se fomenta el
avance a niveles más altos cuando los riesgos o mandatos son mayores o cuando un análisis de costo­beneficio indica
una reducción factible y rentable de los riesgos negativos de ciberseguridad.

El sitio web de NIST CSF proporciona información adicional sobre el uso de perfiles y niveles. Incluye punteros a
plantillas de perfiles organizacionales alojadas en el NIST y un repositorio de perfiles comunitarios en una
variedad de formatos legibles por máquinas y utilizables por humanos.

1
A los efectos de este documento, los términos "toda la organización" y "empresa" tienen el mismo significado.

8
Machine Translated by Google

NIST CSWP 29 El marco de ciberseguridad (CSF) 2.0 del NIST

26 de febrero de 2024

4. Introducción a los recursos en línea que complementan el CSF

El NIST y otras organizaciones han producido un conjunto de recursos en línea que ayudan a las organizaciones a
comprender, adoptar y utilizar el CSF. Dado que están alojados en línea, estos recursos adicionales se pueden actualizar
con más frecuencia que este documento, que se actualiza con poca frecuencia para brindar estabilidad a sus usuarios y
estar disponible en formatos legibles por máquina. Esta sección proporciona una descripción general de tres tipos de
recursos en línea: referencias informativas, ejemplos de implementación y guías de inicio rápido.

Las referencias informativas son asignaciones que indican las relaciones entre el Núcleo y diversos estándares, directrices,
regulaciones y otros contenidos. Las referencias informativas ayudan a informar cómo una organización puede lograr los
resultados del Núcleo. Las referencias informativas pueden ser específicas de un sector o de una tecnología. Pueden
ser producidos por el NIST u otra organización. Algunas referencias informativas tienen un alcance más limitado que una
subcategoría. Por ejemplo, un control particular de SP 800­53, Controles de seguridad y privacidad para organizaciones y
sistemas de información, puede ser una de las muchas referencias necesarias para lograr el resultado descrito en una
subcategoría. Otras referencias informativas pueden ser de nivel superior, como un requisito de una política que
aborda parcialmente numerosas subcategorías. Al utilizar el CSF, una organización puede identificar las Referencias
Informativas más relevantes.

Los ejemplos de implementación proporcionan ejemplos teóricos de pasos concisos y orientados a la acción para ayudar a
lograr los resultados de las subcategorías. Verbos utilizados para expresar Los ejemplos incluyen compartir, documentar,
desarrollar, realizar, monitorear, analizar, evaluar y ejercitar. Los Ejemplos no son una lista completa de todas las
acciones que podría tomar una organización para lograr un resultado, ni representan una línea de base de las acciones
requeridas para abordar los riesgos de ciberseguridad.

Las Guías de inicio rápido (QSG) son documentos breves sobre temas específicos relacionados con el PPC y, a
menudo, están diseñados para audiencias específicas. Los QSG pueden ayudar a una organización a implementar el CSF porque
resumir partes específicas del CSF en “primeros pasos” viables que una organización puede considerar en el camino hacia
la mejora de su postura de ciberseguridad y la gestión de los riesgos asociados. Las guías se revisan en sus propios plazos
y se agregan nuevas guías según sea necesario.

Las sugerencias de nuevas referencias informativas para CSF 2.0 siempre se pueden compartir con el NIST en
olir@nist.gov. Las sugerencias sobre otros recursos a los que hacer referencia en el sitio web del NIST CSF, incluidos
temas adicionales de QSG, deben enviarse a cyberframework@nist.gov.

9
Machine Translated by Google

NIST CSWP 29 El marco de ciberseguridad (CSF) 2.0 del NIST

26 de febrero de 2024

5. Mejorar la comunicación e integración de riesgos de ciberseguridad

El uso del CSF variará según la misión y los riesgos únicos de una organización. Con un
Al comprender las expectativas de las partes interesadas y el apetito y la tolerancia al riesgo (como se describe en
GOBIERNO), una organización puede priorizar las actividades de ciberseguridad para tomar decisiones informadas.
sobre gastos y acciones en ciberseguridad. Una organización puede optar por manejar el riesgo de una o más maneras,
incluyendo mitigar, transferir, evitar o aceptar riesgos negativos y
darse cuenta, compartir, mejorar o aceptar riesgos positivos, dependiendo de los impactos potenciales
y probabilidades. Es importante destacar que una organización puede utilizar el CSF tanto internamente para
gestionar sus capacidades de ciberseguridad como externamente para supervisar o comunicarse con terceros.

Independientemente de la utilización del CSF, una organización puede beneficiarse al utilizarlo como guía para ayudarla
a comprender, evaluar, priorizar y comunicar los riesgos de ciberseguridad y las acciones que gestionarán esos riesgos.
Los resultados seleccionados se pueden utilizar para centrarse e implementar decisiones estratégicas para mejorar las
posturas de ciberseguridad y mantener la continuidad de las funciones esenciales de la misión, teniendo en
cuenta las prioridades y los recursos disponibles.

Mejorar la comunicación de la gestión de riesgos

El CSF proporciona una base para mejorar la comunicación con respecto a las expectativas, la planificación y los
recursos de ciberseguridad. El CSF fomenta el flujo de información bidireccional (como se muestra en la mitad superior
de la Figura 5) entre los ejecutivos que se centran en las prioridades y la dirección estratégica de la organización y
los gerentes que gestionan riesgos de ciberseguridad específicos que podrían afectar el logro de esas
prioridades. El CSF también respalda un flujo similar (como se muestra en la mitad inferior de la figura 5) entre los
gerentes y los profesionales que implementan y operan las tecnologías. El lado izquierdo de la figura indica la
importancia de que los profesionales compartan sus actualizaciones, conocimientos e inquietudes con gerentes y
ejecutivos.

Fig. 5. Uso del MCA para mejorar la comunicación de la gestión de riesgos

10
Machine Translated by Google

NIST CSWP 29 El marco de ciberseguridad (CSF) 2.0 del NIST

26 de febrero de 2024

La preparación para crear y utilizar perfiles organizacionales implica recopilar información sobre
prioridades organizacionales, recursos y dirección de riesgos por parte de los ejecutivos. Luego, los gerentes colaboran
con los profesionales para comunicar las necesidades comerciales y crear perfiles organizacionales informados sobre los
riesgos. Los gerentes y profesionales implementarán acciones para cerrar cualquier brecha identificada entre los perfiles actual y
objetivo y proporcionarán aportes clave a los planes a nivel del sistema. A medida que se logra el estado objetivo en toda la
organización, incluso mediante controles y monitoreo aplicados a nivel del sistema, los resultados actualizados se pueden
compartir a través de registros de riesgos e informes de progreso. Como parte de la evaluación continua, los gerentes

obtener información para realizar ajustes que reduzcan aún más los posibles daños y aumenten los posibles beneficios.

La Función GOBIERNO apoya la comunicación de riesgos organizacionales con los ejecutivos. Las discusiones de los ejecutivos
involucran estrategia, particularmente cómo las incertidumbres relacionadas con la ciberseguridad podrían afectar
el logro de los objetivos organizacionales. Estos debates sobre gobernanza apoyan el diálogo y el acuerdo sobre estrategias de
gestión de riesgos (incluido el riesgo de la cadena de suministro de ciberseguridad); roles, responsabilidades y autoridades;
políticas; y supervisión. Como los ejecutivos establecen
Las prioridades y objetivos de ciberseguridad basados en esas necesidades, comunican expectativas sobre el apetito por el riesgo,
la responsabilidad y los recursos. Los ejecutivos también son responsables de integrar la gestión de riesgos de
ciberseguridad con los programas de ERM y los programas de gestión de riesgos de nivel inferior (ver Sección 5.2).
Las comunicaciones reflejadas en la mitad superior de la Figura 5 pueden incluir consideraciones para la GRI y los programas de nivel
inferior y, por lo tanto, informar a los gerentes y profesionales.

Los objetivos generales de ciberseguridad establecidos por los ejecutivos se basan en y se transmiten en cascada hacia
gerentes. En una entidad comercial, estos pueden aplicarse a una línea de negocio o división operativa.
Para las entidades gubernamentales, estas pueden ser consideraciones a nivel de división o rama. Al implementar el
CSF, los gerentes se centrarán en cómo lograr los objetivos de riesgo a través de servicios, controles y colaboración comunes,
como se expresa en el perfil de objetivos y se mejora a través de las acciones que se rastrean en el plan de acción (por ejemplo,
registro de riesgos, informe detallado de riesgos, POA&M).

Los profesionales se centran en implementar el estado objetivo y medir los cambios en el riesgo operativo.
para ayudar a planificar, llevar a cabo y monitorear actividades específicas de ciberseguridad. Como son los controles
implementado para gestionar el riesgo a un nivel aceptable, los profesionales proporcionan a los gerentes y
ejecutivos con la información (por ejemplo, indicadores clave de desempeño, indicadores clave de riesgo) que necesitan
comprender la postura de ciberseguridad de la organización, tomar decisiones informadas y mantener
o ajustar la estrategia de riesgo en consecuencia. Los ejecutivos también pueden combinar estos datos de riesgos de ciberseguridad
con información sobre otros tipos de riesgos de toda la organización. Las actualizaciones de las expectativas y
prioridades se incluyen en los perfiles organizacionales actualizados a medida que se repite el ciclo.

Mejorar la integración con otros programas de gestión de riesgos

Cada organización enfrenta numerosos tipos de riesgos de TIC (por ejemplo, privacidad, cadena de suministro, inteligencia
artificial) y puede utilizar marcos y herramientas de gestión que son específicos para cada riesgo.
Algunas organizaciones integran las TIC y todos los demás esfuerzos de gestión de riesgos a un alto nivel mediante el uso de ERM,
mientras que otras mantienen los esfuerzos separados para garantizar la atención adecuada a cada uno. Pequeño

11
Machine Translated by Google

NIST CSWP 29 El marco de ciberseguridad (CSF) 2.0 del NIST

26 de febrero de 2024

Las organizaciones, por su naturaleza, pueden monitorear el riesgo a nivel empresarial, mientras que las empresas
más grandes pueden mantener esfuerzos separados de gestión de riesgos integrados en el ERM.

Las organizaciones pueden emplear un enfoque de ERM para equilibrar una cartera de consideraciones de
riesgo, incluida la ciberseguridad, y tomar decisiones informadas. Los ejecutivos reciben información importante
sobre las actividades de riesgo actuales y planificadas a medida que integran las estrategias de gobernanza y riesgo
con los resultados de usos anteriores del CSF. El CSF ayuda a las organizaciones a traducir su terminología
de ciberseguridad y gestión de riesgos de ciberseguridad a un lenguaje general de gestión de riesgos que
los ejecutivos comprendan.

Recursos del NIST que describen la relación mutua entre la gestión de riesgos de ciberseguridad
y ERM incluyen:

• NIST Cybersecurity Framework 2.0: Guía de inicio rápido de gestión de riesgos empresariales

• Informe interinstitucional (IR) 8286 del NIST, Integración de la ciberseguridad y el riesgo empresarial
Gestión (ERM)

• IR 8286A, Identificación y estimación del riesgo de ciberseguridad para la gestión de riesgos empresariales

• IR 8286B, Priorización del riesgo de ciberseguridad para la gestión de riesgos empresariales

• IR 8286C, Organización de los riesgos de ciberseguridad para la gestión y el gobierno de riesgos empresariales
Vigilancia

• IR 8286D, Uso del análisis de impacto empresarial para informar la priorización y respuesta a los riesgos

• SP 800­221, Impacto empresarial del riesgo de tecnología de la información y las comunicaciones:

Gobernar y gestionar programas de riesgo de TIC dentro de una cartera de riesgo empresarial

• SP 800­221A, Resultados de riesgos de tecnologías de la información y las comunicaciones (TIC):

Integración de programas de gestión de riesgos de TIC con la cartera de riesgos empresariales

Una organización también puede encontrar beneficioso el CSF para integrar la gestión de riesgos de ciberseguridad con
programas individuales de gestión de riesgos de TIC, tales como:

• Gestión y evaluación de riesgos de ciberseguridad: el CSF se puede integrar con

programas establecidos de evaluación y gestión de riesgos de ciberseguridad, como SP 800­
37, Marco de gestión de riesgos para organizaciones y sistemas de información, y SP 800­30, Guía para
realizar evaluaciones de riesgos del Marco de gestión de riesgos (RMF) del NIST. Para una
organización que utiliza el NIST RMF y su conjunto de publicaciones, el CSF se puede utilizar para
complementar el enfoque del RMF para seleccionar y priorizar controles del SP 800­53, Controles de
seguridad y privacidad para organizaciones y sistemas de información.

• Riesgos de privacidad: si bien la ciberseguridad y la privacidad son disciplinas independientes, sus

objetivos se superponen en determinadas circunstancias, como se ilustra en la figura 6.

12
Machine Translated by Google

NIST CSWP 29 El marco de ciberseguridad (CSF) 2.0 del NIST

26 de febrero de 2024

Fig. 6. Relación riesgo ciberseguridad y privacidad

La gestión de riesgos de ciberseguridad es esencial para abordar los riesgos de privacidad relacionados con la
pérdida de confidencialidad, integridad y disponibilidad de los datos de las personas. Por ejemplo, las violaciones de
datos podrían dar lugar al robo de identidad. Sin embargo, los riesgos para la privacidad también pueden surgir
por medios no relacionados con incidentes de ciberseguridad.

Una organización procesa datos para lograr una misión o fines comerciales, lo que a veces puede dar lugar a
eventos de privacidad por los cuales las personas pueden experimentar problemas como resultado del procesamiento
de datos. Estos problemas se pueden expresar de varias maneras, pero el NIST los describe como que van desde
efectos de tipo dignidad (por ejemplo, vergüenza o estigma) hasta daños más tangibles (por ejemplo,
discriminación, pérdida económica o daño físico).
El Marco de Privacidad y el Marco de Ciberseguridad del NIST se pueden utilizar juntos para abordar los diferentes
aspectos de los riesgos de ciberseguridad y privacidad. Además, la Metodología de evaluación de riesgos de
privacidad (PRAM) del NIST tiene un catálogo de problemas de ejemplo para usar en evaluaciones de riesgos de
privacidad.

• Riesgos de la cadena de suministro: una organización puede utilizar el CSF para fomentar la supervisión de los riesgos de
ciberseguridad y las comunicaciones con las partes interesadas en todas las cadenas de suministro. Todos los tipos de
tecnología dependen de una cadena de suministro compleja, distribuida globalmente, extensa e interconectada.
ecosistema con rutas geográficamente diversas y múltiples niveles de subcontratación. Este ecosistema está
compuesto por entidades de los sectores público y privado (por ejemplo, adquirentes, proveedores, desarrolladores,
integradores de sistemas, proveedores de servicios de sistemas externos y otros proveedores de servicios
relacionados con la tecnología) que interactúan para investigar, desarrollar, diseñar, fabricar, adquirir,
entregar, integrar, operar, mantener, disponer y de otro modo utilizar o gestionar productos y servicios tecnológicos.
Estas interacciones están moldeadas e influenciadas por tecnologías, leyes, políticas, procedimientos y prácticas.

Dadas las relaciones complejas e interconectadas en este ecosistema, la gestión de riesgos de la cadena de suministro
(SCRM) es fundamental para las organizaciones. Cybersecurity SCRM (C­SCRM) es un proceso sistemático para
gestionar la exposición al riesgo de ciberseguridad a lo largo de las cadenas de suministro y desarrollar
estrategias, políticas, procesos y procedimientos de respuesta adecuados. Las subcategorías dentro de la
categoría CSF C­SCRM [GV.SC] proporcionan una conexión entre los resultados que se centran exclusivamente
en la ciberseguridad y aquellos que se centran

13
Machine Translated by Google

NIST CSWP 29 El marco de ciberseguridad (CSF) 2.0 del NIST

26 de febrero de 2024

en C­SCRM. SP 800­161r1 (Revisión 1), Prácticas de gestión de riesgos de la cadena de suministro de

ciberseguridad para sistemas y organizaciones, proporciona información detallada sobre C­SCRM.

• Riesgos de las tecnologías emergentes: a medida que las nuevas tecnologías y las nuevas aplicaciones de
A medida que la tecnología está disponible, nuevos riesgos se vuelven claros. Un ejemplo contemporáneo
es la inteligencia artificial (IA), que conlleva riesgos de ciberseguridad y privacidad, así como muchos otros
tipos de riesgos. El Marco de Gestión de Riesgos de Inteligencia Artificial (AI RMF) del NIST se desarrolló
para ayudar a abordar estos riesgos. Tratar los riesgos de la IA junto con otros riesgos empresariales
(por ejemplo, financieros, de ciberseguridad, de reputación y de privacidad) producirá resultados más integrados
y eficiencias organizativas. Las consideraciones y enfoques de gestión de riesgos de ciberseguridad y
privacidad son aplicables al diseño, desarrollo, implementación, evaluación y uso de sistemas de IA. AI RMF Core
utiliza funciones, categorías y subcategorías para describir los resultados de la IA y ayudar a gestionar
los riesgos relacionados con
AI.

14
Machine Translated by Google

NIST CSWP 29 El marco de ciberseguridad (CSF) 2.0 del NIST

26 de febrero de 2024

Apéndice A. Núcleo del LCR

Este apéndice describe las funciones, categorías y subcategorías del CSF Core. tabla 1
enumera los nombres de categorías y funciones principales de CSF 2.0 y los identificadores alfabéticos únicos. Cada
nombre de función en la tabla está vinculado a su parte del apéndice. El orden de Funciones, Categorías y
Subcategorías del Núcleo no es alfabético; está destinado a resonar más entre aquellos encargados de poner en
práctica la gestión de riesgos dentro de una organización.

Tabla 1. Nombres e identificadores de funciones y categorías principales de CSF 2.0

Función Categoría Identificador de categoría

Gobernar (GV) Contexto organizacional GV.OC

Estrategia de gestión de riesgos GV.RM

Funciones, responsabilidades y autoridades GV.RR

Política GV.PO

Vigilancia GV.OV

Gestión de riesgos de la cadena de suministro de ciberseguridad GV.SC

Identificar (ID) Gestión de activos ID.AM

Evaluación de riesgos ID.RA

Mejora ID.IM

Proteger (PR) Gestión de identidades, autenticación y control de acceso PR.AA

Concientización y Capacitación IMBÉCIL

Seguridad de datos PRDS

Seguridad de la plataforma PR.PS

Resiliencia de la infraestructura tecnológica PR.IR

Detectar (DE) Monitoreo continuo DE.CM

Análisis de eventos adversos DE.AE

Responder (RS) Administracion de incidentes RS.MA

Análisis de incidentes RS.AN

Informes y comunicación de respuesta a incidentes RS.CO

Mitigación de incidentes RS.MI

Recuperar (RC) Ejecución del Plan de Recuperación de Incidentes RC.RP

Comunicación de recuperación de incidentes RC.CO

El CSF Core, las referencias informativas y los ejemplos de implementación están disponibles en el sitio web de CSF 2.0
y a través de la herramienta de referencia CSF 2.0, que permite a los usuarios explorarlos y exportarlos en formatos
legibles por humanos y máquinas. CSF 2.0 Core también está disponible en un formato heredado similar al de CSF 1.1.

15
Machine Translated by Google

NIST CSWP 29 El marco de ciberseguridad (CSF) 2.0 del NIST

26 de febrero de 2024

GOBIERNO (GV): La estrategia, las expectativas y la política de gestión de riesgos de ciberseguridad de la

organización se establecen, comunican y monitorean.

• Contexto organizacional (GV.OC): se comprenden las circunstancias (misión, expectativas de las partes interesadas,
dependencias y requisitos legales, regulatorios y contractuales) que rodean las decisiones de gestión de
riesgos de ciberseguridad de la organización.

o GV.OC­01: Se entiende la misión organizacional e informa el riesgo de ciberseguridad

gestión

o GV.OC­02: Se comprenden los stakeholders internos y externos, y se conocen sus necesidades y

Se comprenden y consideran las expectativas con respecto a la gestión de riesgos de ciberseguridad.

o GV.OC­03: Se comprenden y gestionan los requisitos legales, regulatorios y contractuales relacionados con
la ciberseguridad, incluidas las obligaciones de privacidad y libertades civiles.

o GV.OC­04: Se entienden y comunican los objetivos, capacidades y servicios críticos de los que las
partes interesadas externas dependen o esperan de la organización.

o GV.OC­05: Los resultados, capacidades y servicios de los que depende la organización son
entendido y comunicado

• Estrategia de Gestión de Riesgos (GV.RM): Las prioridades, limitaciones, riesgos de la organización.

Las declaraciones de tolerancia y apetito y los supuestos se establecen, comunican y utilizan para respaldar las
decisiones de riesgo operativo.

o GV.RM­01: Los objetivos de gestión de riesgos son establecidos y acordados por la organización.
partes interesadas

o GV.RM­02: Se establecen, comunican y comunican declaraciones de apetito y tolerancia al riesgo.

y mantenido

o GV.RM­03: Las actividades y resultados de gestión de riesgos de ciberseguridad se incluyen en los

procesos de gestión de riesgos empresariales.

o GV.RM­04: Dirección estratégica que describe las opciones apropiadas de respuesta al riesgo.
establecido y comunicado

o GV.RM­05: Se establecen líneas de comunicación en toda la organización para los riesgos de

ciberseguridad, incluidos los riesgos de proveedores y otros terceros.

o GV.RM­06: Un método estandarizado para calcular, documentar, categorizar y

Se establece y comunica la priorización de los riesgos de ciberseguridad.

o GV.RM­07: Las oportunidades estratégicas (es decir, riesgos positivos) se caracterizan y se

incluido en las discusiones organizacionales sobre riesgos de ciberseguridad

dieciséis
Machine Translated by Google

NIST CSWP 29 El marco de ciberseguridad (CSF) 2.0 del NIST

26 de febrero de 2024

• Roles, Responsabilidades y Autoridades (GV.RR): Roles, responsabilidades y

Se establecen y comunican autoridades para fomentar la rendición de cuentas, la evaluación del desempeño y la
mejora continua.

o GV.RR­01: El liderazgo organizacional es responsable del riesgo de ciberseguridad y fomenta una cultura
consciente del riesgo, ética y en mejora continua.

o GV.RR­02: Se establecen, comunican, comprenden y hacen cumplir las funciones, responsabilidades

y autoridades relacionadas con la gestión de riesgos de ciberseguridad.

o GV.RR­03: Se asignan recursos adecuados y proporcionales al riesgo de ciberseguridad

estrategia, roles, responsabilidades y políticas

o GV.RR­04: La ciberseguridad se incluye en las prácticas de recursos humanos

• Política (GV.PO): La política de ciberseguridad organizacional se establece, comunica y

hecho cumplir

o GV.PO­01: Se establece una política para la gestión de riesgos de ciberseguridad en función del contexto
organizacional, la estrategia de ciberseguridad y las prioridades, y se comunica y se aplica.

o GV.PO­02: La política para la gestión de riesgos de ciberseguridad se revisa, actualiza, comunica y aplica para
reflejar los cambios en los requisitos, las amenazas, la tecnología y la misión organizacional.

• Supervisión (GV.OV): Los resultados de las actividades y el desempeño de la gestión de riesgos de ciberseguridad
en toda la organización se utilizan para informar, mejorar y ajustar la estrategia de gestión de riesgos.

o GV.OV­01: Se revisan los resultados de la estrategia de gestión de riesgos de ciberseguridad para informar
y ajustar la estrategia y la dirección

o GV.OV­02: Se revisa y ajusta la estrategia de gestión de riesgos de ciberseguridad a

Asegurar la cobertura de los requisitos y riesgos de la organización.

o GV.OV­03: Se evalúa y analiza el desempeño de la gestión de riesgos de ciberseguridad organizacional.

revisado para los ajustes necesarios

• Gestión de riesgos de la cadena de suministro de ciberseguridad (GV.SC): Riesgo de la cadena de suministro cibernético
Los procesos de gestión son identificados, establecidos, gestionados, monitoreados y mejorados por las partes
interesadas de la organización.

o GV.SC­01: Las partes interesadas de la organización establecen y acuerdan un programa, estrategia, objetivos,
políticas y procesos de gestión de riesgos de la cadena de suministro de ciberseguridad.

o GV.SC­02: Se establecen, comunican y coordinan interna y externamente funciones y responsabilidades de

ciberseguridad para proveedores, clientes y socios.

o GV.SC­03: La gestión de riesgos de la cadena de suministro de ciberseguridad está integrada en los procesos
de mejora, evaluación de riesgos y gestión de riesgos empresariales y de ciberseguridad

o GV.SC­04: Se conocen y priorizan a los proveedores por criticidad

17
Machine Translated by Google

NIST CSWP 29 El marco de ciberseguridad (CSF) 2.0 del NIST

26 de febrero de 2024

o GV.SC­05: Los requisitos para abordar los riesgos de ciberseguridad en las cadenas de suministro se establecen,
priorizan e integran en contratos y otros tipos de acuerdos con proveedores y otros terceros relevantes.

o GV.SC­06: Se realiza planificación y debida diligencia para reducir riesgos antes de entrar en
relaciones formales con proveedores u otras relaciones con terceros

o GV.SC­07: Los riesgos que plantea un proveedor, sus productos y servicios, y otros terceros.
Las partes son comprendidas, registradas, priorizadas, evaluadas, respondidas y monitoreadas durante el
transcurso de la relación.

o GV.SC­08: Se incluyen proveedores relevantes y otros terceros en la planificación de incidentes,

actividades de respuesta y recuperación

o GV.SC­09: Las prácticas de seguridad de la cadena de suministro están integradas en la ciberseguridad y

programas de gestión de riesgos empresariales, y su desempeño se monitorea durante todo el ciclo de vida del
producto y servicio tecnológico.

o GV.SC­10: Los planes de gestión de riesgos de la cadena de suministro de ciberseguridad incluyen disposiciones
para actividades que ocurren después de la conclusión de una asociación o acuerdo de servicio.

IDENTIFICAR (ID): Se comprenden los riesgos de ciberseguridad actuales de la organización.

• Gestión de Activos (ID.AM): Activos (por ejemplo, datos, hardware, software, sistemas, instalaciones,
servicios, personas) que permiten a la organización alcanzar sus propósitos comerciales se identifican y gestionan
de manera consistente con su importancia relativa para los objetivos organizacionales y la estrategia de riesgo de la
organización.

o ID.AM­01: Se mantienen inventarios de hardware gestionados por la organización.

o ID.AM­02: Inventarios de software, servicios y sistemas gestionados por la organización

son mantenidos

o ID.AM­03: Representaciones de la red de comunicación autorizada de la organización

y se mantienen los flujos de datos de la red interna y externa

o ID.AM­04: Se mantienen inventarios de servicios prestados por proveedores

o ID.AM­05: Los activos se priorizan según clasificación, criticidad, recursos e impacto en la misión.

o ID.AM­07: Inventarios de datos y metadatos correspondientes para tipos de datos designados

son mantenidos

o ID.AM­08: Los sistemas, hardware, software, servicios y datos se gestionan en todo

sus ciclos de vida

• Evaluación de Riesgos (ID.RA): El riesgo de ciberseguridad para la organización, los activos y las personas.
es entendido por la organización

o ID.RA­01: Se identifican, validan y registran vulnerabilidades en activos

18
Machine Translated by Google

NIST CSWP 29 El marco de ciberseguridad (CSF) 2.0 del NIST

26 de febrero de 2024

o ID.RA­02: La inteligencia sobre amenazas cibernéticas se recibe de foros de intercambio de información y

fuentes

o ID.RA­03: Se identifican y registran amenazas internas y externas a la organización

o ID.RA­04: Se identifican y registran los impactos potenciales y las probabilidades de que las amenazas
exploten las vulnerabilidades.

o ID.RA­05: Se utilizan amenazas, vulnerabilidades, probabilidades e impactos para comprender

riesgo inherente e informar la priorización de la respuesta al riesgo

o ID.RA­06: Se eligen, priorizan, planifican, rastrean y comunican las respuestas a los riesgos.

o ID.RA­07: Los cambios y excepciones se gestionan, se evalúan el impacto del riesgo, se registran y
rastreado

o ID.RA­08: Procesos para recibir, analizar y responder a divulgaciones de vulnerabilidades

están establecidos

o ID.RA­09: La autenticidad e integridad del hardware y software se evalúan antes de su adquisición y uso.

o ID.RA­10: Se evalúan proveedores críticos previo a la adquisición

• Mejora (ID.IM): Se identifican mejoras en los procesos, procedimientos y actividades de gestión de riesgos de
ciberseguridad organizacional en todas las funciones del CSF.

o ID.IM­01: Se identifican mejoras a partir de evaluaciones

o ID.IM­02: Se identifican mejoras a partir de pruebas y ejercicios de seguridad, incluyendo aquellas

realizado en coordinación con proveedores y terceros relevantes

o ID.IM­03: Se identifican mejoras a partir de la ejecución de procesos operativos,

procedimientos y actividades

o ID.IM­04: Planes de respuesta a incidentes y otros planes de ciberseguridad que afecten a las operaciones
se establecen, comunican, mantienen y mejoran

PROTECT (PR): Se utilizan salvaguardas para gestionar los riesgos de ciberseguridad de la organización

• Gestión de identidad, autenticación y control de acceso (PR.AA): el acceso a los activos físicos y lógicos se limita a
usuarios, servicios y hardware autorizados y se gestiona de forma proporcional al riesgo evaluado de
acceso no autorizado.

o PR.AA­01: Las identidades y credenciales de usuarios, servicios y hardware autorizados son

gestionado por la organización

o PR.AA­02: Las identidades son comprobadas y vinculadas a credenciales basadas en el contexto de

interacciones

o PR.AA­03: Usuarios, servicios y hardware están autenticados

o PR.AA­04: Las afirmaciones de identidad se protegen, transmiten y verifican

19
Machine Translated by Google

NIST CSWP 29 El marco de ciberseguridad (CSF) 2.0 del NIST

26 de febrero de 2024

o PR.AA­05: Los permisos, derechos y autorizaciones de acceso se definen en una política, se gestionan, se
aplican y se revisan, e incorporan los principios de privilegio mínimo y separación de funciones.

o PR.AA­06: Se gestiona, monitorea y aplica el acceso físico a los activos.

proporcional al riesgo

• Sensibilización y Formación (PR.AT): El personal de la organización cuenta con

Sensibilización y formación en ciberseguridad para que puedan realizar sus tareas relacionadas con la
ciberseguridad.

o PR.AT­01: Se sensibiliza y capacita al personal para que posea los conocimientos y habilidades para realizar
tareas generales teniendo en cuenta los riesgos de ciberseguridad.

o PR.AT­02: Se brinda sensibilización y capacitación a personas en roles especializados para

que poseen el conocimiento y las habilidades para realizar tareas relevantes teniendo en cuenta los riesgos
de ciberseguridad

• Seguridad de Datos (PR.DS): Los datos se gestionan de manera consistente con la estrategia de riesgo de la
organización para proteger la confidencialidad, integridad y disponibilidad de la información.

o PR.DS­01: Se protege la confidencialidad, integridad y disponibilidad de los datos en reposo

o PR.DS­02: Se protege la confidencialidad, integridad y disponibilidad de los datos en tránsito.

o PR.DS­10: Se protege la confidencialidad, integridad y disponibilidad de los datos en uso.

o PR.DS­11: Se crean, protegen, mantienen y prueban copias de seguridad de los datos.

• Seguridad de plataforma (PR.PS): El hardware, software (por ejemplo, firmware, sistemas operativos,
aplicaciones) y servicios de plataformas físicas y virtuales se gestionan de manera consistente con la estrategia
de riesgos de la organización para proteger su confidencialidad, integridad y disponibilidad.

o PR.PS­01: Se establecen y aplican prácticas de gestión de la configuración

o PR.PS­02: El software se mantiene, reemplaza y elimina de acuerdo con el riesgo.

o PR.PS­03: El hardware se mantiene, reemplaza y elimina de acuerdo con el riesgo.

o PR.PS­04: Los registros de registro se generan y se ponen a disposición para un monitoreo continuo

o PR.PS­05: Se impide la instalación y ejecución de software no autorizado

o PR.PS­06: Se integran prácticas seguras de desarrollo de software y su desempeño

Se monitorea durante todo el ciclo de vida del desarrollo de software.

• Resiliencia de la infraestructura tecnológica (PR.IR): las arquitecturas de seguridad se gestionan con la estrategia de
riesgo de la organización para proteger la confidencialidad, integridad y disponibilidad de los activos, y la
resiliencia organizacional.

o PR.IR­01: Redes y entornos protegidos de accesos lógicos no autorizados

y uso

20
Machine Translated by Google

NIST CSWP 29 El marco de ciberseguridad (CSF) 2.0 del NIST

26 de febrero de 2024

o PR.IR­02: Los activos tecnológicos de la organización están protegidos del impacto ambiental.
amenazas

o PR.IR­03: Se implementan mecanismos para lograr los requisitos de resiliencia en condiciones normales.
y situaciones adversas

o PR.IR­04: Capacidad de recursos adecuada para garantizar que se mantenga la disponibilidad

DETECT (DE): Se encuentran y analizan posibles ataques y compromisos de ciberseguridad

• Monitoreo Continuo (DE.CM): Se monitorean los activos para encontrar anomalías, indicadores de
compromiso y otros eventos potencialmente adversos

o DE.CM­01: Se monitorean las redes y servicios de red para encontrar posibles efectos adversos.
eventos

o DE.CM­02: Se monitorea el ambiente físico para encontrar eventos potencialmente adversos

o DE.CM­03: Se monitorea la actividad del personal y el uso de la tecnología para encontrar posibles
eventos adversos

o DE.CM­06: Se monitorean las actividades y servicios del proveedor de servicios externos para encontrar
eventos potencialmente adversos

o DE.CM­09: Hardware y software informático, entornos de ejecución y sus datos

son monitoreados para encontrar eventos potencialmente adversos

• Análisis de Eventos Adversos (DE.AE): Anomalías, indicadores de compromiso y otros

Se analizan eventos potencialmente adversos para caracterizar los eventos y detectar incidentes de ciberseguridad.

o DE.AE­02: Se analizan eventos potencialmente adversos para comprender mejor los eventos asociados.
actividades

o DE.AE­03: Se correlaciona información de múltiples fuentes

o DE.AE­04: Se entiende el impacto estimado y alcance de los eventos adversos

o DE.AE­06: Se proporciona información sobre eventos adversos al personal y herramientas autorizados

o DE.AE­07: La inteligencia sobre amenazas cibernéticas y otra información contextual se integran en

el analisis

o DE.AE­08: Se declaran incidentes cuando los eventos adversos cumplen con el incidente definido
criterios

21
Machine Translated by Google

NIST CSWP 29 El marco de ciberseguridad (CSF) 2.0 del NIST

26 de febrero de 2024

RESPONDER (RS): Se toman acciones frente a un incidente de ciberseguridad detectado

• Gestión de Incidentes (RS.MA): Las respuestas a los incidentes de ciberseguridad detectados son
administrado

o RS.MA­01: El plan de respuesta a incidentes se ejecuta en coordinación con terceros relevantes una vez
que se declara un incidente

o RS.MA­02: Los informes de incidentes se clasifican y validan.

o RS.MA­03: Se categorizan y priorizan los incidentes

o RS.MA­04: Los incidentes se intensifican o elevan según sea necesario

o RS.MA­05: Se aplican los criterios para iniciar la recuperación de incidentes

• Análisis de incidentes (RS.AN): Se llevan a cabo investigaciones para garantizar una respuesta efectiva y
respaldar las actividades forenses y de recuperación.

o RS.AN­03: Se realiza un análisis para establecer qué ha ocurrido durante un incidente.

y la causa raíz del incidente

o RS.AN­06: Se registran las acciones realizadas durante una investigación y se preserva la integridad y
procedencia de los registros.

o RS.AN­07: Se recopilan datos y metadatos del incidente, así como su integridad y procedencia.
se conservan

o RS.AN­08: Se estima y valida la magnitud de un incidente

• Informes y comunicación de respuesta a incidentes (RS.CO): las actividades de respuesta se

Coordinado con partes interesadas internas y externas según lo exigen las leyes, regulaciones o políticas.

o RS.CO­02: Se notifican incidentes a los stakeholders internos y externos

o RS.CO­03: La información se comparte con partes interesadas internas y externas designadas.

• Mitigación de Incidentes (RS.MI): Se realizan actividades para evitar la expansión de un evento y

mitigar sus efectos

o RS.MI­01: Las incidencias están contenidas

o RS.MI­02: Se erradican incidentes

RECUPERAR (RC): Se restauran los activos y operaciones afectados por un incidente de ciberseguridad

• Ejecución del Plan de Recuperación de Incidentes (RC.RP): Se realizan actividades de restauración para
garantizar la disponibilidad operativa de los sistemas y servicios afectados por incidentes de ciberseguridad.

o RC.RP­01: La parte de recuperación del plan de respuesta a incidentes se ejecuta una vez iniciado
del proceso de respuesta a incidentes

22
Machine Translated by Google

NIST CSWP 29 El marco de ciberseguridad (CSF) 2.0 del NIST

26 de febrero de 2024

o RC.RP­02: Se seleccionan, determinan el alcance, priorizan y realizan las acciones de recuperación.

o RC.RP­03: La integridad de las copias de seguridad y otros activos de restauración se verifica antes de su uso.
ellos para restauración

o RC.RP­04: Se consideran funciones críticas de misión y gestión de riesgos de ciberseguridad

Establecer normas operativas posteriores al incidente.

o RC.RP­05: Se verifica la integridad de los activos restaurados, se restauran los sistemas y servicios y se confirma el
estado normal de funcionamiento

o RC.RP­06: Se declara el fin de la recuperación del incidente en base a criterios y se completa la documentación
relacionada con el incidente

• Comunicación de Recuperación de Incidentes (RC.CO): Las actividades de restauración se coordinan con

partes internas y externas

o RC.CO­03: Las actividades de recuperación y el progreso en la restauración de las capacidades operativas son
comunicado a las partes interesadas internas y externas designadas

o RC.CO­04: Las actualizaciones públicas sobre recuperación de incidentes se comparten utilizando métodos aprobados y
mensajería

23
Machine Translated by Google
NIST CSWP 29
26 de febrero de 2024
Apéndice B. Niveles del CSF
La Tabla 2 contiene una ilustración teórica de los niveles del CSF discutidos en la Sec. 3. Los niveles
caracterizar el rigor de las prácticas de gobernanza de riesgos de ciberseguridad (GOBERNAR) y de las prácticas de gestión de
riesgos de ciberseguridad (IDENTIFICAR, PROTEGER, DETECTAR, RESPONDER y RECUPERAR) de una organización .
Cuadro 2. Ilustración teórica de los niveles del MCA
Nivel Gobernanza del riesgo de ciberseguridad
Tier 1: La aplicación de la estrategia organizacional
Parcial de riesgos de ciberseguridad se gestiona de forma
ad hoc.
La priorización es ad hoc y no se basa
formalmente en objetivos o entorno de amenazas.
Nivel 2: Riesgo Las prácticas de gestión de riesgos son
Informado aprobadas por la dirección, pero es posible que
no se establezcan como política para toda la
organización.
La priorización de las actividades de
ciberseguridad y las necesidades de
protección está directamente informada por los
objetivos de riesgo de la
organización, el entorno de amenazas o los
requisitos del negocio/misión.
Nivel 3: Las prácticas de gestión de riesgos de la
repetible organización se aprueban formalmente y se
expresan como política.
Las políticas, procesos y procedimientos basados
en riesgos se definen, implementan según lo
previsto y se revisan.
Las prácticas de ciberseguridad organizacional se
actualizan periódicamente en función de la
aplicación de procesos de gestión de
riesgos a los cambios en los
requisitos del negocio/misión, las amenazas
y el panorama tecnológico.
24
El marco de ciberseguridad (CSF) 2.0 del NIST
Gestión de riesgos de ciberseguridad
Existe una conciencia limitada sobre los riesgos de ciberseguridad a nivel
organizacional.
La organización implementa la gestión de riesgos de
ciberseguridad de forma irregular y caso por caso.
Es posible que la organización no tenga procesos que permitan compartir
información de ciberseguridad dentro de la organización.
La organización generalmente desconoce los riesgos de
ciberseguridad asociados con sus proveedores y los productos y servicios
que adquiere y utiliza.
Existe conciencia de los riesgos de ciberseguridad a nivel
organizacional, pero no se ha establecido un enfoque a nivel de toda la
organización para gestionar los riesgos de ciberseguridad.
La consideración de la ciberseguridad en los objetivos y programas
organizacionales puede ocurrir en algunos niveles, pero no en todos, de la
organización. La evaluación del riesgo cibernético de los activos
organizacionales y externos ocurre pero normalmente no es repetible
ni recurrente.
La información de ciberseguridad se comparte dentro de la
organización de forma informal.
La organización es consciente de los riesgos de ciberseguridad
asociados con sus proveedores y los productos y servicios que
adquiere y utiliza, pero no actúa de manera consistente ni formal
en respuesta a esos riesgos.
Existe un enfoque que abarca a toda la organización para gestionar
riesgos de ciberseguridad. La información sobre ciberseguridad
se comparte de forma rutinaria en toda la organización.
Existen métodos consistentes para responder eficazmente a los cambios
en el riesgo. El personal posee el conocimiento y las habilidades para
desempeñar las funciones y responsabilidades asignadas.
La organización monitorea de manera consistente y precisa los riesgos de
ciberseguridad de los activos. Los altos ejecutivos de ciberseguridad y no
ciberseguridad se comunican periódicamente sobre los riesgos
de ciberseguridad. Los ejecutivos se aseguran de que la
ciberseguridad se considere en todas las líneas de operación de la
organización.
Machine Translated by Google

NIST CSWP 29 El marco de ciberseguridad (CSF) 2.0 del NIST

26 de febrero de 2024

Nivel Gobernanza del riesgo de ciberseguridad Gestión de riesgos de ciberseguridad

La estrategia de riesgo de la organización se basa en los

riesgos de ciberseguridad asociados con sus proveedores y los
productos y servicios que adquiere y utiliza. El personal actúa
formalmente sobre esos riesgos a través de mecanismos tales como
acuerdos escritos para comunicar los requisitos básicos, las
estructuras de gobernanza (por ejemplo, consejos de riesgos) y la
implementación y el seguimiento de políticas. Estas acciones se
implementan de manera consistente y según lo previsto y son
monitoreadas y revisadas continuamente.

Nivel 4: Existe un enfoque a nivel de toda la
Adaptado organización para gestionar los riesgos de
ciberseguridad que utiliza políticas, procesos y
procedimientos informados sobre los riesgos
para abordar posibles eventos de
ciberseguridad. La relación entre los riesgos
de ciberseguridad y los objetivos
organizacionales se comprende y considera
claramente al tomar decisiones. Los ejecutivos
monitorean los riesgos de ciberseguridad
en el mismo contexto que los financieros y otros.
riesgos organizacionales. El presupuesto
organizacional se basa en una comprensión del
entorno de riesgo actual y previsto y de la
tolerancia al riesgo.
La organización adapta sus prácticas de ciberseguridad en función
de actividades de ciberseguridad anteriores y actuales, incluidas
lecciones aprendidas e indicadores predictivos.
A través de un proceso de mejora continua que incorpora
tecnologías y prácticas avanzadas de ciberseguridad, la organización
se adapta activamente a un panorama tecnológico cambiante y responde
de manera oportuna y efectiva a amenazas sofisticadas y en evolución.
La organización utiliza información en tiempo real o casi en
tiempo real para comprender y actuar de manera consistente sobre los
riesgos de ciberseguridad asociados con sus proveedores y los
productos y servicios que adquiere y utiliza.
La información de ciberseguridad se comparte constantemente
en toda la organización y con terceros autorizados.

Las unidades de negocio implementan la

visión ejecutiva y analizan los riesgos a nivel del
sistema en el contexto de las tolerancias al
riesgo organizacional.

La gestión de riesgos de ciberseguridad es parte

de la cultura organizacional. Él
Evoluciona a partir de una conciencia de actividades
previas y una conciencia continua de las actividades
en los sistemas y redes organizacionales. La
organización puede dar cuenta rápida y
eficientemente de los cambios en los
objetivos de negocio/misión en la
forma en que se aborda y comunica el riesgo.

25
Machine Translated by Google

NIST CSWP 29 El marco de ciberseguridad (CSF) 2.0 del NIST

26 de febrero de 2024

Apéndice C. Glosario

Categoría de LCR
Un grupo de resultados de ciberseguridad relacionados que colectivamente comprenden una Función CSF.

Perfil de la comunidad CSF

Una línea de base de los resultados del MEC que se crea y publica para abordar intereses y objetivos compartidos entre varias organizaciones. Un perfil de
comunidad generalmente se desarrolla para un sector, subsector, tecnología, tipo de amenaza u otro caso de uso en particular. Una organización
puede utilizar un perfil comunitario como base para su propio perfil objetivo.

Núcleo del LCR

Una taxonomía de resultados de ciberseguridad de alto nivel que puede ayudar a cualquier organización a gestionar sus riesgos de ciberseguridad. Sus
componentes son una jerarquía de Funciones, Categorías y Subcategorías que detallan cada resultado.

Perfil actual del LCR

Parte de un perfil organizacional que especifica los resultados principales que una organización está logrando (o intentando lograr) actualmente y caracteriza
cómo o en qué medida se está logrando cada resultado.

Función del LCR

El nivel más alto de organización para resultados de ciberseguridad. Hay seis funciones del CSF: gobernar, identificar, proteger, detectar,
responder y recuperar.

Ejemplo de implementación del CSF

Una ilustración teórica, concisa y orientada a la acción, de una manera de ayudar a lograr un resultado básico del MEC.

Referencia informativa del LCR

Un mapeo que indica una relación entre un resultado básico del MEC y un estándar, directriz, regulación u otro contenido existente.

Perfil organizacional del CSF

Un mecanismo para describir la postura de ciberseguridad actual y/o objetivo de una organización en términos de los resultados del CSF Core.

Guía de inicio rápido del CSF

Un recurso complementario que brinda orientación breve y práctica sobre temas específicos relacionados con el PPC.

Subcategoría de LCR
Un grupo de resultados más específicos de actividades técnicas y de gestión de ciberseguridad que componen una Categoría CSF.

Perfil objetivo del LCR

Una parte de un perfil organizacional que especifica los resultados centrales deseados que una organización ha seleccionado y priorizado para lograr sus
objetivos de gestión de riesgos de ciberseguridad.

Nivel del LCR

Una caracterización del rigor de las prácticas de gestión y gobierno de riesgos de ciberseguridad de una organización.
Hay cuatro niveles: parcial (nivel 1), informado sobre el riesgo (nivel 2), repetible (nivel 3) y adaptable (nivel 4).

26
Machine Translated by Google

NIST CSWP 29 El marco de ciberseguridad (CSF) 2.0 del NIST

26 de febrero de 2024

Ciertos equipos, instrumentos, software o materiales comerciales, comerciales o no comerciales, se identifican en este documento para especificar adecuadamente
el procedimiento experimental. Dicha identificación no implica recomendación o respaldo de ningún producto o servicio por parte del NIST, ni implica
que los materiales o equipos identificados sean necesariamente los mejores disponibles para ese propósito.

Políticas de la serie técnica del NIST

Declaraciones de derechos de autor, uso y licencia

Sintaxis del identificador de publicaciones de la serie técnica del NIST

Cómo citar esta publicación de la serie técnica del NIST: Instituto

Nacional de Estándares y Tecnología (2024) The NIST Cybersecurity Framework (CSF) 2.0. (Instituto Nacional de Estándares y
Tecnología, Gaithersburg, MD), Libro blanco sobre ciberseguridad del NIST (CSWP) NIST CSWP 29.
https://doi.org/10.6028/NIST.CSWP.29

Información del contacto

ciberframework@nist.gov

Instituto Nacional de Estándares y Tecnología

A la atención de: División de Ciberseguridad Aplicada, Laboratorio de Tecnología de la Información
100 Bureau Drive (parada de correo 2000) Gaithersburg, MD 20899­2000

Todos los comentarios están sujetos a divulgación según la Ley de Libertad de Información (FOIA).

27