Documentos de Académico
Documentos de Profesional
Documentos de Cultura
El marco de ciberseguridad
(CSF) 2.0 del NIST
Instituto Nacional de Estándares y Tecnología
Esta publicación está disponible de forma gratuita en: https://doi.org/10.6028/NIST.CSWP.29
26 de febrero de 2024
Machine Translated by Google
Abstracto
El Marco de ciberseguridad (CSF) 2.0 del NIST proporciona orientación a la industria, las agencias gubernamentales y otras
organizaciones para gestionar los riesgos de ciberseguridad. Ofrece una taxonomía de resultados de ciberseguridad de alto nivel que
cualquier organización puede utilizar, independientemente de su tamaño, sector o madurez, para comprender, evaluar, priorizar y
comunicar mejor sus esfuerzos de ciberseguridad. El MCA no prescribe cómo se deben lograr los resultados. Más bien,
enlaza con recursos en línea que brindan orientación adicional sobre prácticas y controles que podrían usarse para lograr esos resultados.
Este documento describe CSF 2.0, sus componentes y algunas de las muchas formas en que se puede utilizar.
Palabras clave
la seguridad cibernética; Marco de Ciberseguridad (CSF); gobernanza de riesgos de ciberseguridad; gestión de riesgos de ciberseguridad;
gestión de riesgos empresariales; Perfiles; Niveles.
Audiencia
Las personas responsables de desarrollar y liderar programas de ciberseguridad son la audiencia principal del CSF. El CSF también
puede ser utilizado por otras personas involucradas en la gestión de riesgos (incluidos ejecutivos, juntas directivas, profesionales de
adquisiciones, profesionales de tecnología, gestores de riesgos, abogados, especialistas en recursos humanos y auditores de
gestión de riesgos y ciberseguridad) para guiar sus decisiones relacionadas con la ciberseguridad. Además, el CSF puede ser útil
para quienes formulan e influyen en políticas (por ejemplo, asociaciones, organizaciones profesionales, reguladores) que establecen y
comunican prioridades para la gestión de riesgos de ciberseguridad.
Contenido complementario
El NIST continuará creando y albergando recursos adicionales para ayudar a las organizaciones a implementar el CSF, incluidas guías
de inicio rápido y perfiles comunitarios. Todos los recursos están disponibles públicamente en el sitio web del NIST CSF. Las
sugerencias de recursos adicionales para consultar en el sitio web del NIST CSF siempre se pueden compartir con el NIST en
cyberframework@nist.gov.
A menos que se indique lo contrario, los documentos citados, referenciados o extraídos en esta publicación no están totalmente
incorporados a esta publicación.
Antes de la versión 2.0, el Marco de Ciberseguridad se denominaba "Marco para mejorar la ciberseguridad de las infraestructuras
críticas". Este título no se utiliza para CSF 2.0.
i
Machine Translated by Google
Expresiones de gratitud
El CSF es el resultado de un esfuerzo de colaboración de varios años entre la industria, el mundo académico y
gobierno en los Estados Unidos y en todo el mundo. NIST reconoce y agradece a todos
quienes han contribuido a este MCA revisado. Información sobre el proceso de desarrollo del MCA
se puede encontrar en el sitio web de NIST CSF. Las lecciones aprendidas sobre el uso del CSF siempre se pueden
compartir con el NIST en cyberframework@nist.gov.
ii
Machine Translated by Google
Tabla de contenido
Lista de Figuras
Fig. 4. Niveles del CSF para la gobernanza y gestión de riesgos de ciberseguridad ......................... .............8
Fig. 5. Uso del CSF para mejorar la comunicación de la gestión de riesgos................... ................10
III
Machine Translated by Google
Prefacio
El Cybersecurity Framework (CSF) 2.0 está diseñado para ayudar a organizaciones de todos los tamaños y sectores
(incluidos la industria, el gobierno, el mundo académico y las organizaciones sin fines de lucro) a gestionar y
reducir sus riesgos de ciberseguridad. Es útil independientemente del nivel de madurez y la sofisticación técnica de
los programas de ciberseguridad de una organización. Sin embargo, el MCA no adopta un enfoque único que sirva
para todos. Cada organización tiene riesgos comunes y únicos, así como distintos apetitos y tolerancias de
riesgo, misiones específicas y objetivos para lograr esas misiones. Por necesidad, la forma en que las
organizaciones implementan el MCA variará.
Idealmente, el CSF se utilizará para abordar los riesgos de ciberseguridad junto con otros riesgos de la
empresa, incluidos aquellos de naturaleza financiera, de privacidad, de cadena de suministro, reputacionales,
tecnológicos o físicos.
El CSF describe los resultados deseados que deben ser comprendidos por una audiencia amplia, incluidos
ejecutivos, gerentes y profesionales, independientemente de su experiencia en ciberseguridad.
Debido a que estos resultados son neutrales en cuanto a sectores, países y tecnologías, brindan a una
organización la flexibilidad necesaria para abordar sus riesgos, tecnologías y consideraciones de misión únicos. Los
resultados se asignan directamente a una lista de posibles controles de seguridad para su consideración
inmediata para mitigar los riesgos de ciberseguridad.
Aunque no es prescriptivo, el CSF ayuda a sus usuarios a conocer y seleccionar resultados específicos. Se
proporcionan sugerencias sobre cómo se pueden lograr resultados específicos en un conjunto cada vez
mayor de recursos en línea que complementan el CSF, incluida una serie de Guías de inicio rápido (QSG). Además,
diversas herramientas ofrecen formatos descargables para ayudar a las organizaciones que optan por
automatizar algunos de sus procesos. Los QSG sugieren formas iniciales de utilizar el CSF e invitan al lector a
explorar el CSF y los recursos relacionados con mayor profundidad. Disponible a través del sitio web del NIST CSF,
el CSF y estos recursos complementarios del NIST y otros deben verse como una “cartera de CSF” para ayudar a
gestionar y reducir los riesgos. Independientemente de cómo se aplique, el CSF insta a sus usuarios a considerar su
postura de ciberseguridad en contexto y luego adaptar el CSF a sus necesidades específicas.
Partiendo de versiones anteriores, CSF 2.0 contiene nuevas características que resaltan la importancia de la
gobernanza y las cadenas de suministro. Se presta especial atención a los QSG para garantizar que el CSF sea
relevante y fácilmente accesible tanto para las organizaciones más pequeñas como para sus contrapartes más grandes.
NIST ahora proporciona ejemplos de implementación y referencias informativas, que están disponibles
en línea y actualizado periódicamente. La creación de perfiles organizacionales actuales y del estado objetivo
ayuda a las organizaciones a comparar dónde están y dónde quieren o necesitan estar y les permite implementar
y evaluar controles de seguridad más rápidamente.
Los riesgos de ciberseguridad se expanden constantemente y su gestión debe ser un proceso continuo. Esto es
cierto independientemente de si una organización recién está comenzando a enfrentar sus desafíos de
ciberseguridad o si ha estado activa durante muchos años con un equipo de ciberseguridad sofisticado y con
buenos recursos. El CSF está diseñado para ser valioso para cualquier tipo de organización y se espera
que proporcione orientación adecuada durante un largo tiempo.
IV
Machine Translated by Google
Este documento es la versión 2.0 del Marco de ciberseguridad del NIST (Framework o CSF). Incluye los siguientes
componentes:
• CSF Core, el núcleo del CSF, que es una taxonomía de ciberseguridad de alto nivel.
resultados que pueden ayudar a cualquier organización a gestionar sus riesgos de ciberseguridad. Los
componentes principales del CSF son una jerarquía de funciones, categorías y subcategorías que detallan cada
resultado. Estos resultados pueden ser entendidos por una audiencia amplia, incluidos ejecutivos,
gerentes y profesionales, independientemente de su experiencia en ciberseguridad.
Debido a que los resultados son neutrales en cuanto a sector, país y tecnología, brindan a una organización
la flexibilidad necesaria para abordar sus riesgos, tecnologías y consideraciones de misión únicos.
• Perfiles organizacionales del CSF, que son un mecanismo para describir la postura de ciberseguridad actual y/
o objetivo de una organización en términos de los resultados del CSF Core.
• Niveles CSF, que se pueden aplicar a los perfiles organizacionales CSF para caracterizar el rigor de las prácticas de
gestión y gobierno de riesgos de ciberseguridad de una organización. Los niveles también pueden proporcionar
un contexto sobre cómo una organización ve los riesgos de ciberseguridad y los procesos implementados para
gestionar esos riesgos.
Este documento describe qué resultados deseables puede aspirar a lograr una organización. No prescribe resultados
ni cómo se pueden lograr. Las descripciones de cómo una organización puede lograr esos resultados se
proporcionan en un conjunto de recursos en línea que complementan el CSF y están disponibles a través del sitio
web del NIST CSF. Estos recursos ofrecen orientación adicional sobre prácticas y controles que podrían usarse para
lograr resultados y están destinados a ayudar a una organización a comprender, adoptar y utilizar el CSF. Incluyen:
• Referencias informativas que señalan fuentes de orientación sobre cada resultado de fuentes existentes.
estándares globales, directrices, marcos, regulaciones, políticas, etc.
• Guías de inicio rápido que brindan orientación práctica sobre el uso del CSF y sus recursos en línea,
incluida la transición de versiones anteriores del CSF a la versión 2.0.
• Perfiles comunitarios y plantillas de perfiles organizacionales que ayudan a una organización a poner en práctica el
CSF y establecer prioridades para gestionar los riesgos de ciberseguridad.
Una organización puede utilizar el núcleo, los perfiles y los niveles del CSF con los recursos complementarios para
comprender, evaluar, priorizar y comunicar los riesgos de ciberseguridad.
• Comprender y evaluar: describir la postura de ciberseguridad actual o objetivo de parte o la totalidad de una
organización, determinar las brechas y evaluar el progreso para abordar esas brechas.
1
Machine Translated by Google
• Priorizar: identificar, organizar y priorizar acciones para gestionar los riesgos de ciberseguridad que se alineen
con la misión de la organización, los requisitos legales y regulatorios, y las expectativas de gestión
de riesgos y gobernanza.
• Comunicar: proporcionar un lenguaje común para comunicarse dentro y fuera de la organización sobre los
riesgos, capacidades, necesidades y expectativas de ciberseguridad.
El CSF está diseñado para ser utilizado por organizaciones de todos los tamaños y sectores, incluida la industria,
el gobierno, el mundo académico y organizaciones sin fines de lucro, independientemente del nivel de madurez de
sus programas de ciberseguridad. El MCA es un recurso fundamental que puede adoptarse voluntariamente
y a través de políticas y mandatos gubernamentales. La taxonomía del CSF y los estándares, directrices y
prácticas a los que se hace referencia no son específicos de cada país, y muchos gobiernos y otras organizaciones
han aprovechado con éxito versiones anteriores del CSF, tanto dentro como fuera de los Estados Unidos.
El CSF debe utilizarse junto con otros recursos (por ejemplo, marcos, estándares, directrices, prácticas líderes)
para gestionar mejor los riesgos de ciberseguridad e informar la gestión general de los riesgos de las
tecnologías de la información y las comunicaciones (TIC) a nivel empresarial.
El CSF es un marco flexible diseñado para ser diseñado para ser utilizado por todas las organizaciones.
independientemente del tamaño. Las organizaciones seguirán teniendo riesgos únicos, incluidas diferentes amenazas
y vulnerabilidades, y tolerancias al riesgo, así como objetivos y requisitos únicos de la misión. Por lo
tanto, los enfoques de las organizaciones para gestionar los riesgos y sus implementaciones del MEC variarán.
• La Sección 2 explica los conceptos básicos del CSF Core: funciones, categorías y subcategorías.
• La Sección 4 proporciona una descripción general de los componentes seleccionados del conjunto de programas en línea del CSF.
• La Sección 5 analiza cómo una organización puede integrar el CSF con otros riesgos.
programas de gestión.
2
Machine Translated by Google
El Apéndice A es el CSF Core: un conjunto de resultados de ciberseguridad organizados por Función, luego
Categoría y finalmente Subcategoría, como se muestra en la Fig. 1. Estos resultados no son una lista de verificación
de acciones a realizar; Las acciones específicas tomadas para lograr un resultado variarán según la organización y
el caso de uso, al igual que el individuo responsable de esas acciones. Además, el orden y tamaño de las Funciones,
Categorías y Subcategorías del Núcleo no implica la secuencia o importancia de lograrlas. La estructura
del Núcleo pretende resonar más entre aquellos encargados de poner en práctica la gestión de riesgos dentro de
una organización.
Las funciones principales del CSF ( GOBERNAR, IDENTIFICAR, PROTEGER, DETECTAR, RESPONDER y RECUPERAR )
organizan los resultados de ciberseguridad en su nivel más alto.
3
Machine Translated by Google
oportunidades de mejora para las políticas, planes, procesos, procedimientos y prácticas de la organización que
respaldan la gestión de riesgos de ciberseguridad para informar los esfuerzos bajo las seis Funciones.
• PROTECT (PR) : se utilizan salvaguardas para gestionar los riesgos de ciberseguridad de la organización.
Una vez que se identifican y priorizan los activos y riesgos, PROTECT respalda la capacidad de proteger
esos activos para prevenir o reducir la probabilidad y el impacto de eventos adversos de
ciberseguridad, así como para aumentar la probabilidad y el impacto de aprovechar las oportunidades.
Los resultados cubiertos por esta Función incluyen gestión de identidad, autenticación y control de
acceso; sensibilización y formación; seguridad de datos; seguridad de la plataforma (es decir, proteger el hardware,
el software y los servicios de las plataformas físicas y virtuales); y la resiliencia de la infraestructura
tecnológica.
• RESPONDER (RS) : se toman acciones relacionadas con un incidente de ciberseguridad detectado. RESPONDER
apoya la capacidad de contener los efectos de los incidentes de ciberseguridad. Los resultados dentro de esta
Función cubren la gestión, el análisis, la mitigación, la presentación de informes y la comunicación de
incidentes.
• RECUPERAR (RC) : se restauran los activos y operaciones afectados por un incidente de ciberseguridad.
RECOVER apoya la restauración oportuna de las operaciones normales para reducir los efectos de
incidentes de ciberseguridad y permitir una comunicación adecuada durante los esfuerzos de recuperación.
Si bien muchas actividades de gestión de riesgos de ciberseguridad se centran en prevenir eventos negativos
que ocurran, también pueden contribuir a aprovechar oportunidades positivas. Las acciones para reducir el riesgo de
ciberseguridad podrían beneficiar a una organización de otras maneras, como aumentar los ingresos (por
ejemplo, ofrecer primero el exceso de espacio de las instalaciones a un proveedor de hosting comercial para alojar sus
propios centros de datos y los de otras organizaciones, y luego trasladar un importante sistema financiero del interior
de la organización). centro de datos interno al proveedor de alojamiento para reducir los riesgos de
ciberseguridad).
La Figura 2 muestra las Funciones CSF como una rueda porque todas las Funciones se relacionan entre sí.
Por ejemplo, una organización clasificará los activos bajo IDENTIFICAR y tomará medidas para proteger esos
activos bajo PROTEGER. Inversiones en planificación y pruebas en el GOBIERNO e IDENTIFICAR
Las funciones respaldarán la detección oportuna de eventos inesperados en la función DETECT , además de permitir
acciones de respuesta y recuperación ante incidentes de ciberseguridad en las funciones RESPONDER y RECUPERAR .
GOBIERNO está en el centro de la rueda porque informa cómo una organización implementará las otras cinco Funciones.
4
Machine Translated by Google
Las Funciones deben abordarse simultáneamente. Acciones que apoyan GOBERNAR, IDENTIFICAR, PROTEGER,
y DETECTAR deben suceder continuamente, y las acciones que apoyan RESPONDER y RECUPERAR
debe estar listo en todo momento y ocurrir cuando ocurran incidentes de ciberseguridad. Todas las Funciones tienen funciones
vitales relacionadas con los incidentes de ciberseguridad. Los resultados GOBERNAR, IDENTIFICAR y PROTEGER
ayudan a prevenir y prepararse para incidentes, mientras que los resultados GOBERNAR, DETECTAR, RESPONDER y
RECUPERAR ayudan a descubrir y gestionar incidentes.
Cada Función lleva el nombre de un verbo que resume su contenido. Cada función se divide en
Categorías, que son resultados de ciberseguridad relacionados que en conjunto comprenden la Función.
Las subcategorías dividen además cada categoría en resultados más específicos de actividades técnicas y
de gestión. Las Subcategorías no son exhaustivas, pero describen resultados detallados que respaldan cada
Categoría.
Las Funciones, Categorías y Subcategorías se aplican a todas las TIC utilizadas por una organización, incluida la
tecnología de la información (TI), el Internet de las cosas (IoT) y la tecnología operativa (OT). Ellos
También se aplican a todo tipo de entornos tecnológicos, incluidos los sistemas de nube, móviles y de
inteligencia artificial. El CSF Core tiene visión de futuro y está destinado a aplicarse a cambios futuros en tecnologías
y entornos.
5
Machine Translated by Google
Perfiles de LCR
Un perfil organizacional CSF describe la postura de ciberseguridad actual y/o objetivo de una organización en términos
de los resultados del Núcleo. Los perfiles organizacionales se utilizan para comprender, adaptar, evaluar, priorizar y comunicar
los resultados del Núcleo considerando los objetivos de la misión de una organización, las expectativas de las partes
interesadas, el panorama de amenazas y los requisitos. Luego, una organización puede priorizar sus acciones
para lograr resultados específicos y comunicar esa información a las partes interesadas.
1. Un perfil actual especifica los resultados principales que una organización está logrando (o intentando lograr)
actualmente y caracteriza cómo o en qué medida se está logrando cada resultado.
2. Un perfil objetivo especifica los resultados deseados que una organización ha seleccionado y priorizado para lograr
sus objetivos de gestión de riesgos de ciberseguridad. Un perfil objetivo
considera los cambios anticipados en la postura de ciberseguridad de la organización, como nuevos requisitos,
adopción de nuevas tecnologías y tendencias de inteligencia de amenazas.
Un perfil comunitario es una base de referencia de los resultados del CSF que se crea y publica para abordar intereses
y objetivos compartidos entre varias organizaciones. Un perfil de comunidad generalmente se desarrolla para
un sector, subsector, tecnología, tipo de amenaza u otro caso de uso en particular. Una organización puede utilizar un
perfil comunitario como base para su propio perfil objetivo.
Se pueden encontrar ejemplos de perfiles comunitarios en el sitio web de NIST CSF.
Los pasos que se muestran en la Fig. 3 y se resumen a continuación ilustran una forma en que una organización podría
utilizar un Perfil Organizacional para ayudar a informar la mejora continua de su ciberseguridad.
6
Machine Translated by Google
1. Alcance del Perfil Organizacional. Documentar los hechos y supuestos de alto nivel en los que se basará el
Perfil para definir su alcance. Una organización puede tener tantos
Perfiles Organizacionales según se desee, cada uno con un alcance diferente. Por ejemplo, un perfil
podría dirigirse a toda una organización o tener como alcance los sistemas financieros de una organización.
o para contrarrestar las amenazas de ransomware y manejar incidentes de ransomware que involucran
a esos sistemas financieros.
2. Reunir la información necesaria para elaborar el Perfil Organizacional. Ejemplos de información pueden
incluir políticas organizacionales, prioridades y recursos de gestión de riesgos, perfiles de riesgo
empresarial, registros de análisis de impacto empresarial (BIA), requisitos y estándares de ciberseguridad
seguidos por la organización, prácticas y herramientas (por ejemplo, procedimientos y salvaguardas) y
roles laborales.
4. Analizar las brechas entre los perfiles actual y objetivo y crear un plan de acción.
Realizar un análisis de brechas para identificar y analizar las diferencias entre los perfiles actual y objetivo, y
desarrollar un plan de acción priorizado (por ejemplo, registro de riesgos, informe detallado de riesgos, plan de
acción e hitos [POA&M]) para abordar esas brechas.
Dada la importancia de la mejora continua, una organización puede repetir estos pasos tantas veces como sea
necesario.
Hay usos adicionales para los perfiles organizacionales. Por ejemplo, un perfil actual se puede utilizar para documentar
y comunicar las capacidades de ciberseguridad de la organización y las oportunidades conocidas de mejora
con partes interesadas externas, como socios comerciales o clientes potenciales. Además, un perfil objetivo
puede ayudar a expresar los requisitos y expectativas de gestión de riesgos de ciberseguridad de la organización a
proveedores, socios y otros terceros.
como objetivo que esas partes deben alcanzar.
Una organización puede optar por utilizar los niveles para informar sus perfiles actuales y de destino. Niveles
Caracterizar el rigor de la gobernanza y gestión de riesgos de ciberseguridad de una organización.
prácticas y proporcionan un contexto sobre cómo una organización ve los riesgos de ciberseguridad y los procesos
implementados para gestionar esos riesgos. Los Niveles, como se muestra en la Fig. 4 y se ilustra teóricamente en el
Apéndice B, reflejan las prácticas de una organización para gestionar el riesgo de ciberseguridad como Parcial (Nivel
1), Informado sobre el riesgo (Nivel 2), Repetible (Nivel 3) y Adaptable (Nivel 4). . Los Niveles describen una
progresión desde respuestas informales y ad hoc hacia enfoques ágiles, informados sobre los riesgos y
7
Machine Translated by Google
mejorando continuamente. La selección de niveles ayuda a establecer el tono general sobre cómo una organización
gestionará sus riesgos de ciberseguridad.
Los niveles deben complementar la metodología de gestión de riesgos de ciberseguridad de una organización en lugar de
reemplazarla. Por ejemplo, una organización puede utilizar los Niveles para comunicarse internamente como punto de
referencia para toda la organización1 enfoque para gestionar los riesgos de ciberseguridad. Se fomenta el
avance a niveles más altos cuando los riesgos o mandatos son mayores o cuando un análisis de costobeneficio indica
una reducción factible y rentable de los riesgos negativos de ciberseguridad.
El sitio web de NIST CSF proporciona información adicional sobre el uso de perfiles y niveles. Incluye punteros a
plantillas de perfiles organizacionales alojadas en el NIST y un repositorio de perfiles comunitarios en una
variedad de formatos legibles por máquinas y utilizables por humanos.
1
A los efectos de este documento, los términos "toda la organización" y "empresa" tienen el mismo significado.
8
Machine Translated by Google
El NIST y otras organizaciones han producido un conjunto de recursos en línea que ayudan a las organizaciones a
comprender, adoptar y utilizar el CSF. Dado que están alojados en línea, estos recursos adicionales se pueden actualizar
con más frecuencia que este documento, que se actualiza con poca frecuencia para brindar estabilidad a sus usuarios y
estar disponible en formatos legibles por máquina. Esta sección proporciona una descripción general de tres tipos de
recursos en línea: referencias informativas, ejemplos de implementación y guías de inicio rápido.
Las referencias informativas son asignaciones que indican las relaciones entre el Núcleo y diversos estándares, directrices,
regulaciones y otros contenidos. Las referencias informativas ayudan a informar cómo una organización puede lograr los
resultados del Núcleo. Las referencias informativas pueden ser específicas de un sector o de una tecnología. Pueden
ser producidos por el NIST u otra organización. Algunas referencias informativas tienen un alcance más limitado que una
subcategoría. Por ejemplo, un control particular de SP 80053, Controles de seguridad y privacidad para organizaciones y
sistemas de información, puede ser una de las muchas referencias necesarias para lograr el resultado descrito en una
subcategoría. Otras referencias informativas pueden ser de nivel superior, como un requisito de una política que
aborda parcialmente numerosas subcategorías. Al utilizar el CSF, una organización puede identificar las Referencias
Informativas más relevantes.
Los ejemplos de implementación proporcionan ejemplos teóricos de pasos concisos y orientados a la acción para ayudar a
lograr los resultados de las subcategorías. Verbos utilizados para expresar Los ejemplos incluyen compartir, documentar,
desarrollar, realizar, monitorear, analizar, evaluar y ejercitar. Los Ejemplos no son una lista completa de todas las
acciones que podría tomar una organización para lograr un resultado, ni representan una línea de base de las acciones
requeridas para abordar los riesgos de ciberseguridad.
Las Guías de inicio rápido (QSG) son documentos breves sobre temas específicos relacionados con el PPC y, a
menudo, están diseñados para audiencias específicas. Los QSG pueden ayudar a una organización a implementar el CSF porque
resumir partes específicas del CSF en “primeros pasos” viables que una organización puede considerar en el camino hacia
la mejora de su postura de ciberseguridad y la gestión de los riesgos asociados. Las guías se revisan en sus propios plazos
y se agregan nuevas guías según sea necesario.
Las sugerencias de nuevas referencias informativas para CSF 2.0 siempre se pueden compartir con el NIST en
olir@nist.gov. Las sugerencias sobre otros recursos a los que hacer referencia en el sitio web del NIST CSF, incluidos
temas adicionales de QSG, deben enviarse a cyberframework@nist.gov.
9
Machine Translated by Google
El uso del CSF variará según la misión y los riesgos únicos de una organización. Con un
Al comprender las expectativas de las partes interesadas y el apetito y la tolerancia al riesgo (como se describe en
GOBIERNO), una organización puede priorizar las actividades de ciberseguridad para tomar decisiones informadas.
sobre gastos y acciones en ciberseguridad. Una organización puede optar por manejar el riesgo de una o más maneras,
incluyendo mitigar, transferir, evitar o aceptar riesgos negativos y
darse cuenta, compartir, mejorar o aceptar riesgos positivos, dependiendo de los impactos potenciales
y probabilidades. Es importante destacar que una organización puede utilizar el CSF tanto internamente para
gestionar sus capacidades de ciberseguridad como externamente para supervisar o comunicarse con terceros.
Independientemente de la utilización del CSF, una organización puede beneficiarse al utilizarlo como guía para ayudarla
a comprender, evaluar, priorizar y comunicar los riesgos de ciberseguridad y las acciones que gestionarán esos riesgos.
Los resultados seleccionados se pueden utilizar para centrarse e implementar decisiones estratégicas para mejorar las
posturas de ciberseguridad y mantener la continuidad de las funciones esenciales de la misión, teniendo en
cuenta las prioridades y los recursos disponibles.
El CSF proporciona una base para mejorar la comunicación con respecto a las expectativas, la planificación y los
recursos de ciberseguridad. El CSF fomenta el flujo de información bidireccional (como se muestra en la mitad superior
de la Figura 5) entre los ejecutivos que se centran en las prioridades y la dirección estratégica de la organización y
los gerentes que gestionan riesgos de ciberseguridad específicos que podrían afectar el logro de esas
prioridades. El CSF también respalda un flujo similar (como se muestra en la mitad inferior de la figura 5) entre los
gerentes y los profesionales que implementan y operan las tecnologías. El lado izquierdo de la figura indica la
importancia de que los profesionales compartan sus actualizaciones, conocimientos e inquietudes con gerentes y
ejecutivos.
10
Machine Translated by Google
La preparación para crear y utilizar perfiles organizacionales implica recopilar información sobre
prioridades organizacionales, recursos y dirección de riesgos por parte de los ejecutivos. Luego, los gerentes colaboran
con los profesionales para comunicar las necesidades comerciales y crear perfiles organizacionales informados sobre los
riesgos. Los gerentes y profesionales implementarán acciones para cerrar cualquier brecha identificada entre los perfiles actual y
objetivo y proporcionarán aportes clave a los planes a nivel del sistema. A medida que se logra el estado objetivo en toda la
organización, incluso mediante controles y monitoreo aplicados a nivel del sistema, los resultados actualizados se pueden
compartir a través de registros de riesgos e informes de progreso. Como parte de la evaluación continua, los gerentes
obtener información para realizar ajustes que reduzcan aún más los posibles daños y aumenten los posibles beneficios.
La Función GOBIERNO apoya la comunicación de riesgos organizacionales con los ejecutivos. Las discusiones de los ejecutivos
involucran estrategia, particularmente cómo las incertidumbres relacionadas con la ciberseguridad podrían afectar
el logro de los objetivos organizacionales. Estos debates sobre gobernanza apoyan el diálogo y el acuerdo sobre estrategias de
gestión de riesgos (incluido el riesgo de la cadena de suministro de ciberseguridad); roles, responsabilidades y autoridades;
políticas; y supervisión. Como los ejecutivos establecen
Las prioridades y objetivos de ciberseguridad basados en esas necesidades, comunican expectativas sobre el apetito por el riesgo,
la responsabilidad y los recursos. Los ejecutivos también son responsables de integrar la gestión de riesgos de
ciberseguridad con los programas de ERM y los programas de gestión de riesgos de nivel inferior (ver Sección 5.2).
Las comunicaciones reflejadas en la mitad superior de la Figura 5 pueden incluir consideraciones para la GRI y los programas de nivel
inferior y, por lo tanto, informar a los gerentes y profesionales.
Los objetivos generales de ciberseguridad establecidos por los ejecutivos se basan en y se transmiten en cascada hacia
gerentes. En una entidad comercial, estos pueden aplicarse a una línea de negocio o división operativa.
Para las entidades gubernamentales, estas pueden ser consideraciones a nivel de división o rama. Al implementar el
CSF, los gerentes se centrarán en cómo lograr los objetivos de riesgo a través de servicios, controles y colaboración comunes,
como se expresa en el perfil de objetivos y se mejora a través de las acciones que se rastrean en el plan de acción (por ejemplo,
registro de riesgos, informe detallado de riesgos, POA&M).
Los profesionales se centran en implementar el estado objetivo y medir los cambios en el riesgo operativo.
para ayudar a planificar, llevar a cabo y monitorear actividades específicas de ciberseguridad. Como son los controles
implementado para gestionar el riesgo a un nivel aceptable, los profesionales proporcionan a los gerentes y
ejecutivos con la información (por ejemplo, indicadores clave de desempeño, indicadores clave de riesgo) que necesitan
comprender la postura de ciberseguridad de la organización, tomar decisiones informadas y mantener
o ajustar la estrategia de riesgo en consecuencia. Los ejecutivos también pueden combinar estos datos de riesgos de ciberseguridad
con información sobre otros tipos de riesgos de toda la organización. Las actualizaciones de las expectativas y
prioridades se incluyen en los perfiles organizacionales actualizados a medida que se repite el ciclo.
Cada organización enfrenta numerosos tipos de riesgos de TIC (por ejemplo, privacidad, cadena de suministro, inteligencia
artificial) y puede utilizar marcos y herramientas de gestión que son específicos para cada riesgo.
Algunas organizaciones integran las TIC y todos los demás esfuerzos de gestión de riesgos a un alto nivel mediante el uso de ERM,
mientras que otras mantienen los esfuerzos separados para garantizar la atención adecuada a cada uno. Pequeño
11
Machine Translated by Google
Las organizaciones, por su naturaleza, pueden monitorear el riesgo a nivel empresarial, mientras que las empresas
más grandes pueden mantener esfuerzos separados de gestión de riesgos integrados en el ERM.
Las organizaciones pueden emplear un enfoque de ERM para equilibrar una cartera de consideraciones de
riesgo, incluida la ciberseguridad, y tomar decisiones informadas. Los ejecutivos reciben información importante
sobre las actividades de riesgo actuales y planificadas a medida que integran las estrategias de gobernanza y riesgo
con los resultados de usos anteriores del CSF. El CSF ayuda a las organizaciones a traducir su terminología
de ciberseguridad y gestión de riesgos de ciberseguridad a un lenguaje general de gestión de riesgos que
los ejecutivos comprendan.
Recursos del NIST que describen la relación mutua entre la gestión de riesgos de ciberseguridad
y ERM incluyen:
• NIST Cybersecurity Framework 2.0: Guía de inicio rápido de gestión de riesgos empresariales
• Informe interinstitucional (IR) 8286 del NIST, Integración de la ciberseguridad y el riesgo empresarial
Gestión (ERM)
• IR 8286A, Identificación y estimación del riesgo de ciberseguridad para la gestión de riesgos empresariales
• IR 8286C, Organización de los riesgos de ciberseguridad para la gestión y el gobierno de riesgos empresariales
Vigilancia
• IR 8286D, Uso del análisis de impacto empresarial para informar la priorización y respuesta a los riesgos
Una organización también puede encontrar beneficioso el CSF para integrar la gestión de riesgos de ciberseguridad con
programas individuales de gestión de riesgos de TIC, tales como:
12
Machine Translated by Google
La gestión de riesgos de ciberseguridad es esencial para abordar los riesgos de privacidad relacionados con la
pérdida de confidencialidad, integridad y disponibilidad de los datos de las personas. Por ejemplo, las violaciones de
datos podrían dar lugar al robo de identidad. Sin embargo, los riesgos para la privacidad también pueden surgir
por medios no relacionados con incidentes de ciberseguridad.
Una organización procesa datos para lograr una misión o fines comerciales, lo que a veces puede dar lugar a
eventos de privacidad por los cuales las personas pueden experimentar problemas como resultado del procesamiento
de datos. Estos problemas se pueden expresar de varias maneras, pero el NIST los describe como que van desde
efectos de tipo dignidad (por ejemplo, vergüenza o estigma) hasta daños más tangibles (por ejemplo,
discriminación, pérdida económica o daño físico).
El Marco de Privacidad y el Marco de Ciberseguridad del NIST se pueden utilizar juntos para abordar los diferentes
aspectos de los riesgos de ciberseguridad y privacidad. Además, la Metodología de evaluación de riesgos de
privacidad (PRAM) del NIST tiene un catálogo de problemas de ejemplo para usar en evaluaciones de riesgos de
privacidad.
• Riesgos de la cadena de suministro: una organización puede utilizar el CSF para fomentar la supervisión de los riesgos de
ciberseguridad y las comunicaciones con las partes interesadas en todas las cadenas de suministro. Todos los tipos de
tecnología dependen de una cadena de suministro compleja, distribuida globalmente, extensa e interconectada.
ecosistema con rutas geográficamente diversas y múltiples niveles de subcontratación. Este ecosistema está
compuesto por entidades de los sectores público y privado (por ejemplo, adquirentes, proveedores, desarrolladores,
integradores de sistemas, proveedores de servicios de sistemas externos y otros proveedores de servicios
relacionados con la tecnología) que interactúan para investigar, desarrollar, diseñar, fabricar, adquirir,
entregar, integrar, operar, mantener, disponer y de otro modo utilizar o gestionar productos y servicios tecnológicos.
Estas interacciones están moldeadas e influenciadas por tecnologías, leyes, políticas, procedimientos y prácticas.
Dadas las relaciones complejas e interconectadas en este ecosistema, la gestión de riesgos de la cadena de suministro
(SCRM) es fundamental para las organizaciones. Cybersecurity SCRM (CSCRM) es un proceso sistemático para
gestionar la exposición al riesgo de ciberseguridad a lo largo de las cadenas de suministro y desarrollar
estrategias, políticas, procesos y procedimientos de respuesta adecuados. Las subcategorías dentro de la
categoría CSF CSCRM [GV.SC] proporcionan una conexión entre los resultados que se centran exclusivamente
en la ciberseguridad y aquellos que se centran
13
Machine Translated by Google
• Riesgos de las tecnologías emergentes: a medida que las nuevas tecnologías y las nuevas aplicaciones de
A medida que la tecnología está disponible, nuevos riesgos se vuelven claros. Un ejemplo contemporáneo
es la inteligencia artificial (IA), que conlleva riesgos de ciberseguridad y privacidad, así como muchos otros
tipos de riesgos. El Marco de Gestión de Riesgos de Inteligencia Artificial (AI RMF) del NIST se desarrolló
para ayudar a abordar estos riesgos. Tratar los riesgos de la IA junto con otros riesgos empresariales
(por ejemplo, financieros, de ciberseguridad, de reputación y de privacidad) producirá resultados más integrados
y eficiencias organizativas. Las consideraciones y enfoques de gestión de riesgos de ciberseguridad y
privacidad son aplicables al diseño, desarrollo, implementación, evaluación y uso de sistemas de IA. AI RMF Core
utiliza funciones, categorías y subcategorías para describir los resultados de la IA y ayudar a gestionar
los riesgos relacionados con
AI.
14
Machine Translated by Google
Este apéndice describe las funciones, categorías y subcategorías del CSF Core. tabla 1
enumera los nombres de categorías y funciones principales de CSF 2.0 y los identificadores alfabéticos únicos. Cada
nombre de función en la tabla está vinculado a su parte del apéndice. El orden de Funciones, Categorías y
Subcategorías del Núcleo no es alfabético; está destinado a resonar más entre aquellos encargados de poner en
práctica la gestión de riesgos dentro de una organización.
Política GV.PO
Vigilancia GV.OV
Mejora ID.IM
El CSF Core, las referencias informativas y los ejemplos de implementación están disponibles en el sitio web de CSF 2.0
y a través de la herramienta de referencia CSF 2.0, que permite a los usuarios explorarlos y exportarlos en formatos
legibles por humanos y máquinas. CSF 2.0 Core también está disponible en un formato heredado similar al de CSF 1.1.
15
Machine Translated by Google
• Contexto organizacional (GV.OC): se comprenden las circunstancias (misión, expectativas de las partes interesadas,
dependencias y requisitos legales, regulatorios y contractuales) que rodean las decisiones de gestión de
riesgos de ciberseguridad de la organización.
o GV.OC03: Se comprenden y gestionan los requisitos legales, regulatorios y contractuales relacionados con
la ciberseguridad, incluidas las obligaciones de privacidad y libertades civiles.
o GV.OC04: Se entienden y comunican los objetivos, capacidades y servicios críticos de los que las
partes interesadas externas dependen o esperan de la organización.
o GV.OC05: Los resultados, capacidades y servicios de los que depende la organización son
entendido y comunicado
o GV.RM01: Los objetivos de gestión de riesgos son establecidos y acordados por la organización.
partes interesadas
o GV.RM04: Dirección estratégica que describe las opciones apropiadas de respuesta al riesgo.
establecido y comunicado
dieciséis
Machine Translated by Google
o GV.RR01: El liderazgo organizacional es responsable del riesgo de ciberseguridad y fomenta una cultura
consciente del riesgo, ética y en mejora continua.
o GV.PO01: Se establece una política para la gestión de riesgos de ciberseguridad en función del contexto
organizacional, la estrategia de ciberseguridad y las prioridades, y se comunica y se aplica.
o GV.PO02: La política para la gestión de riesgos de ciberseguridad se revisa, actualiza, comunica y aplica para
reflejar los cambios en los requisitos, las amenazas, la tecnología y la misión organizacional.
• Supervisión (GV.OV): Los resultados de las actividades y el desempeño de la gestión de riesgos de ciberseguridad
en toda la organización se utilizan para informar, mejorar y ajustar la estrategia de gestión de riesgos.
o GV.OV01: Se revisan los resultados de la estrategia de gestión de riesgos de ciberseguridad para informar
y ajustar la estrategia y la dirección
• Gestión de riesgos de la cadena de suministro de ciberseguridad (GV.SC): Riesgo de la cadena de suministro cibernético
Los procesos de gestión son identificados, establecidos, gestionados, monitoreados y mejorados por las partes
interesadas de la organización.
o GV.SC01: Las partes interesadas de la organización establecen y acuerdan un programa, estrategia, objetivos,
políticas y procesos de gestión de riesgos de la cadena de suministro de ciberseguridad.
o GV.SC03: La gestión de riesgos de la cadena de suministro de ciberseguridad está integrada en los procesos
de mejora, evaluación de riesgos y gestión de riesgos empresariales y de ciberseguridad
17
Machine Translated by Google
o GV.SC05: Los requisitos para abordar los riesgos de ciberseguridad en las cadenas de suministro se establecen,
priorizan e integran en contratos y otros tipos de acuerdos con proveedores y otros terceros relevantes.
o GV.SC06: Se realiza planificación y debida diligencia para reducir riesgos antes de entrar en
relaciones formales con proveedores u otras relaciones con terceros
o GV.SC07: Los riesgos que plantea un proveedor, sus productos y servicios, y otros terceros.
Las partes son comprendidas, registradas, priorizadas, evaluadas, respondidas y monitoreadas durante el
transcurso de la relación.
o GV.SC10: Los planes de gestión de riesgos de la cadena de suministro de ciberseguridad incluyen disposiciones
para actividades que ocurren después de la conclusión de una asociación o acuerdo de servicio.
• Gestión de Activos (ID.AM): Activos (por ejemplo, datos, hardware, software, sistemas, instalaciones,
servicios, personas) que permiten a la organización alcanzar sus propósitos comerciales se identifican y gestionan
de manera consistente con su importancia relativa para los objetivos organizacionales y la estrategia de riesgo de la
organización.
o ID.AM05: Los activos se priorizan según clasificación, criticidad, recursos e impacto en la misión.
• Evaluación de Riesgos (ID.RA): El riesgo de ciberseguridad para la organización, los activos y las personas.
es entendido por la organización
18
Machine Translated by Google
o ID.RA04: Se identifican y registran los impactos potenciales y las probabilidades de que las amenazas
exploten las vulnerabilidades.
o ID.RA06: Se eligen, priorizan, planifican, rastrean y comunican las respuestas a los riesgos.
o ID.RA07: Los cambios y excepciones se gestionan, se evalúan el impacto del riesgo, se registran y
rastreado
o ID.RA09: La autenticidad e integridad del hardware y software se evalúan antes de su adquisición y uso.
• Mejora (ID.IM): Se identifican mejoras en los procesos, procedimientos y actividades de gestión de riesgos de
ciberseguridad organizacional en todas las funciones del CSF.
o ID.IM04: Planes de respuesta a incidentes y otros planes de ciberseguridad que afecten a las operaciones
se establecen, comunican, mantienen y mejoran
PROTECT (PR): Se utilizan salvaguardas para gestionar los riesgos de ciberseguridad de la organización
• Gestión de identidad, autenticación y control de acceso (PR.AA): el acceso a los activos físicos y lógicos se limita a
usuarios, servicios y hardware autorizados y se gestiona de forma proporcional al riesgo evaluado de
acceso no autorizado.
19
Machine Translated by Google
o PR.AA05: Los permisos, derechos y autorizaciones de acceso se definen en una política, se gestionan, se
aplican y se revisan, e incorporan los principios de privilegio mínimo y separación de funciones.
o PR.AT01: Se sensibiliza y capacita al personal para que posea los conocimientos y habilidades para realizar
tareas generales teniendo en cuenta los riesgos de ciberseguridad.
• Seguridad de Datos (PR.DS): Los datos se gestionan de manera consistente con la estrategia de riesgo de la
organización para proteger la confidencialidad, integridad y disponibilidad de la información.
• Seguridad de plataforma (PR.PS): El hardware, software (por ejemplo, firmware, sistemas operativos,
aplicaciones) y servicios de plataformas físicas y virtuales se gestionan de manera consistente con la estrategia
de riesgos de la organización para proteger su confidencialidad, integridad y disponibilidad.
o PR.PS04: Los registros de registro se generan y se ponen a disposición para un monitoreo continuo
• Resiliencia de la infraestructura tecnológica (PR.IR): las arquitecturas de seguridad se gestionan con la estrategia de
riesgo de la organización para proteger la confidencialidad, integridad y disponibilidad de los activos, y la
resiliencia organizacional.
20
Machine Translated by Google
o PR.IR02: Los activos tecnológicos de la organización están protegidos del impacto ambiental.
amenazas
o PR.IR03: Se implementan mecanismos para lograr los requisitos de resiliencia en condiciones normales.
y situaciones adversas
• Monitoreo Continuo (DE.CM): Se monitorean los activos para encontrar anomalías, indicadores de
compromiso y otros eventos potencialmente adversos
o DE.CM01: Se monitorean las redes y servicios de red para encontrar posibles efectos adversos.
eventos
o DE.CM03: Se monitorea la actividad del personal y el uso de la tecnología para encontrar posibles
eventos adversos
o DE.CM06: Se monitorean las actividades y servicios del proveedor de servicios externos para encontrar
eventos potencialmente adversos
o DE.AE02: Se analizan eventos potencialmente adversos para comprender mejor los eventos asociados.
actividades
o DE.AE08: Se declaran incidentes cuando los eventos adversos cumplen con el incidente definido
criterios
21
Machine Translated by Google
• Gestión de Incidentes (RS.MA): Las respuestas a los incidentes de ciberseguridad detectados son
administrado
o RS.MA01: El plan de respuesta a incidentes se ejecuta en coordinación con terceros relevantes una vez
que se declara un incidente
• Análisis de incidentes (RS.AN): Se llevan a cabo investigaciones para garantizar una respuesta efectiva y
respaldar las actividades forenses y de recuperación.
o RS.AN06: Se registran las acciones realizadas durante una investigación y se preserva la integridad y
procedencia de los registros.
o RS.AN07: Se recopilan datos y metadatos del incidente, así como su integridad y procedencia.
se conservan
RECUPERAR (RC): Se restauran los activos y operaciones afectados por un incidente de ciberseguridad
• Ejecución del Plan de Recuperación de Incidentes (RC.RP): Se realizan actividades de restauración para
garantizar la disponibilidad operativa de los sistemas y servicios afectados por incidentes de ciberseguridad.
o RC.RP01: La parte de recuperación del plan de respuesta a incidentes se ejecuta una vez iniciado
del proceso de respuesta a incidentes
22
Machine Translated by Google
o RC.RP03: La integridad de las copias de seguridad y otros activos de restauración se verifica antes de su uso.
ellos para restauración
o RC.RP05: Se verifica la integridad de los activos restaurados, se restauran los sistemas y servicios y se confirma el
estado normal de funcionamiento
o RC.RP06: Se declara el fin de la recuperación del incidente en base a criterios y se completa la documentación
relacionada con el incidente
o RC.CO03: Las actividades de recuperación y el progreso en la restauración de las capacidades operativas son
comunicado a las partes interesadas internas y externas designadas
o RC.CO04: Las actualizaciones públicas sobre recuperación de incidentes se comparten utilizando métodos aprobados y
mensajería
23
Machine Translated by Google
La Tabla 2 contiene una ilustración teórica de los niveles del CSF discutidos en la Sec. 3. Los niveles
caracterizar el rigor de las prácticas de gobernanza de riesgos de ciberseguridad (GOBERNAR) y de las prácticas de gestión de
riesgos de ciberseguridad (IDENTIFICAR, PROTEGER, DETECTAR, RESPONDER y RECUPERAR) de una organización .
Tier 1: La aplicación de la estrategia organizacional Existe una conciencia limitada sobre los riesgos de ciberseguridad a nivel
Parcial de riesgos de ciberseguridad se gestiona de forma organizacional.
ad hoc.
La organización implementa la gestión de riesgos de
La priorización es ad hoc y no se basa ciberseguridad de forma irregular y caso por caso.
formalmente en objetivos o entorno de amenazas.
Es posible que la organización no tenga procesos que permitan compartir
información de ciberseguridad dentro de la organización.
Nivel 2: Riesgo Las prácticas de gestión de riesgos son Existe conciencia de los riesgos de ciberseguridad a nivel
Informado aprobadas por la dirección, pero es posible que organizacional, pero no se ha establecido un enfoque a nivel de toda la
no se establezcan como política para toda la organización para gestionar los riesgos de ciberseguridad.
organización.
Nivel 3: Las prácticas de gestión de riesgos de la Existe un enfoque que abarca a toda la organización para gestionar
repetible organización se aprueban formalmente y se riesgos de ciberseguridad. La información sobre ciberseguridad
expresan como política. se comparte de forma rutinaria en toda la organización.
Las políticas, procesos y procedimientos basados Existen métodos consistentes para responder eficazmente a los cambios
en riesgos se definen, implementan según lo en el riesgo. El personal posee el conocimiento y las habilidades para
previsto y se revisan. desempeñar las funciones y responsabilidades asignadas.
24
Machine Translated by Google
Nivel 4: Existe un enfoque a nivel de toda la La organización adapta sus prácticas de ciberseguridad en función
Adaptado organización para gestionar los riesgos de de actividades de ciberseguridad anteriores y actuales, incluidas
ciberseguridad que utiliza políticas, procesos y lecciones aprendidas e indicadores predictivos.
procedimientos informados sobre los riesgos A través de un proceso de mejora continua que incorpora
para abordar posibles eventos de tecnologías y prácticas avanzadas de ciberseguridad, la organización
ciberseguridad. La relación entre los riesgos se adapta activamente a un panorama tecnológico cambiante y responde
de ciberseguridad y los objetivos de manera oportuna y efectiva a amenazas sofisticadas y en evolución.
organizacionales se comprende y considera
claramente al tomar decisiones. Los ejecutivos
La organización utiliza información en tiempo real o casi en
monitorean los riesgos de ciberseguridad
tiempo real para comprender y actuar de manera consistente sobre los
en el mismo contexto que los financieros y otros.
riesgos de ciberseguridad asociados con sus proveedores y los
riesgos organizacionales. El presupuesto
productos y servicios que adquiere y utiliza.
organizacional se basa en una comprensión del
La información de ciberseguridad se comparte constantemente
entorno de riesgo actual y previsto y de la
tolerancia al riesgo. en toda la organización y con terceros autorizados.
25
Machine Translated by Google
Apéndice C. Glosario
Categoría de LCR
Un grupo de resultados de ciberseguridad relacionados que colectivamente comprenden una Función CSF.
Una taxonomía de resultados de ciberseguridad de alto nivel que puede ayudar a cualquier organización a gestionar sus riesgos de ciberseguridad. Sus
componentes son una jerarquía de Funciones, Categorías y Subcategorías que detallan cada resultado.
Parte de un perfil organizacional que especifica los resultados principales que una organización está logrando (o intentando lograr) actualmente y caracteriza
cómo o en qué medida se está logrando cada resultado.
El nivel más alto de organización para resultados de ciberseguridad. Hay seis funciones del CSF: gobernar, identificar, proteger, detectar,
responder y recuperar.
Un mapeo que indica una relación entre un resultado básico del MEC y un estándar, directriz, regulación u otro contenido existente.
Subcategoría de LCR
Un grupo de resultados más específicos de actividades técnicas y de gestión de ciberseguridad que componen una Categoría CSF.
Una caracterización del rigor de las prácticas de gestión y gobierno de riesgos de ciberseguridad de una organización.
Hay cuatro niveles: parcial (nivel 1), informado sobre el riesgo (nivel 2), repetible (nivel 3) y adaptable (nivel 4).
26
Machine Translated by Google
Ciertos equipos, instrumentos, software o materiales comerciales, comerciales o no comerciales, se identifican en este documento para especificar adecuadamente
el procedimiento experimental. Dicha identificación no implica recomendación o respaldo de ningún producto o servicio por parte del NIST, ni implica
que los materiales o equipos identificados sean necesariamente los mejores disponibles para ese propósito.
ciberframework@nist.gov
Todos los comentarios están sujetos a divulgación según la Ley de Libertad de Información (FOIA).
27