El Marco de Ciberseguridad del NIST (CSF) 2.0 ofrece orientación a las organizaciones para gestionar los riesgos de ciberseguridad. Proporciona una taxonomía de resultados de ciberseguridad de alto nivel que cualquier organización puede utilizar para comprender, evaluar, priorizar y comunicar sus esfuerzos de ciberseguridad, independientemente de su tamaño, sector o madurez. El CSF no prescribe cómo deben lograrse los resultados, sino que enlaza con recursos en línea que brindan orientación adicional sobre prácticas y controles que podrían utilizarse. Describe los componentes del CSF y cómo puede ser utilizado. El CSF Core contiene funciones, categorías y subcategorías que describen los resultados de ciberseguridad. Los perfiles permiten a las organizaciones ver cómo su estado actual se compara con los resultados deseados. Los niveles describen el grado de gestión del riesgo de ciberseguridad. Los recursos en línea complementan el CSF con guías y perfiles comunitarios. El CSF tiene como objetivo mejorar la comunicación y la integración del riesgo en una organización al vincular la ciberseguridad con otros riesgos. Está destinado a ayudar a las organizaciones de todo tipo a gestionar los riesgos de ciberseguridad de manera flexible según sus necesidades únicas. El documento proporciona una visión general de la versión 2.0 del Marco de Ciberseguridad del NIST (CSF) y resume sus principales componentes, como el CSF Core, que contiene Funciones, Categorías y Subcategorías que detallan los resultados de ciberseguridad. Explica cómo las organizaciones pueden utilizar los Perfiles Organizacionales del CSF para evaluar sus posturas actuales y deseadas de ciberseguridad. También discute los Niveles del CSF, que caracterizan la gobernanza del riesgo de ciberseguridad de una organización. Se mencionan recursos suplementarios disponibles en el sitio web del CSF del NIST que brindan orientación sobre cómo lograr resultados, como Referencias Informativas, Ejemplos de Implementación y Guías de Inicio Rápido. Se describe cómo las organizaciones pueden utilizar el CSF y estos recursos para comprender, evaluar, priorizar y comunicar los riesgos de ciberseguridad. En otra instancia, se proporciona la estructura del documento que explicará el CSF Core con más detalle y discutirá cómo integrar el CSF con otros programas de gestión de riesgos. El texto también detalla las funciones principales del Marco de Ciberseguridad del NIST, incluyendo Govern, Identificar, Proteger, Detectar, Responder y Recuperar, organizadas en un sistema de rueda para gestionar los riesgos de ciberseguridad. Además, define los Perfiles como descripciones de la postura actual o deseada de ciberseguridad de una organización en términos de lograr los resultados del núcleo, considerando su contexto, objetivos y requisitos específicos. Los perfiles se utilizan para comprender, evaluar y priorizar acciones y para comunicar el progreso en el logro de resultados.

El Marco de Ciberseguridad del NIST (CSF) es discutido en detalle, destacando su utilidad para las organizaciones. Se describe qué es un Perfil Organizacional y cómo puede incluir un perfil actual que describa los resultados que una organización está logrando actualmente, así como un perfil objetivo que describa los resultados deseados en el futuro. Además, se menciona que un perfil comunitario es una línea base creada para un sector específico, subsector u otro caso de uso, que las organizaciones pueden utilizar como base para sus propios perfiles objetivos. El documento posteriormente esboza los pasos para crear y utilizar un perfil organizacional, que incluye delimitarlo, recopilar la información necesaria, crear el perfil, analizar las brechas entre los perfiles actual y objetivo, e implementar un plan de acción para abordar dichas brechas. Se destaca que los perfiles también pueden ser utilizados para comunicar las capacidades de una organización y las oportunidades de mejora externamente. Además, se discuten los niveles del CSF que caracterizan el rigor de las prácticas de gobernanza del riesgo de ciberseguridad de una organización, y cómo estos niveles pueden ayudar a establecer el tono general para la gestión del riesgo. Se alienta a adoptar niveles más altos cuando los riesgos o mandatos son mayores. De igual forma, se proporciona una visión general de los recursos en línea que complementan el CSF, incluidas referencias informativas, ejemplos de implementación y guías de inicio rápido. El documento, a su vez, realiza un análisis de cómo las organizaciones pueden utilizar el Marco de Ciberseguridad del NIST (CSF) para mejorar la comunicación sobre los riesgos de ciberseguridad e integrar la gestión del riesgo de ciberseguridad con otros programas de gestión de riesgos empresariales. Se describe cómo el CSF puede facilitar el intercambio bidireccional de información entre ejecutivos, gerentes y profesionales sobre las prioridades, riesgos y actividades de ciberseguridad. Se enfatiza que los ejecutivos discuten la estrategia y establecen el apetito por el riesgo, lo que informa los objetivos de ciberseguridad, y los gerentes colaboran con los profesionales para crear planes informados por el riesgo y comunicar las necesidades empresariales. Además, se destaca el apoyo del CSF a la integración de la gestión del riesgo de ciberseguridad con otros programas de gestión de riesgos en la organización que tratan diferentes tipos de riesgos de tecnología de la información y comunicación (TIC). Asimismo, se examina cómo las organizaciones pueden integrar la gestión del riesgo de ciberseguridad con la gestión de riesgos empresariales (ERM). Se explica que algunas organizaciones monitorean todos los riesgos, incluidos los de ciberseguridad, a un alto nivel a través de ERM, mientras que otras mantienen los esfuerzos de riesgo de ciberseguridad separados. Se destaca que el CSF puede ayudar a las organizaciones a traducir la terminología de ciberseguridad para los ejecutivos, y se enumeran varios recursos del NIST que describen la relación entre la gestión del riesgo de ciberseguridad y ERM. Además, se explica cómo una organización puede utilizar el CSF para integrar la gestión del riesgo de ciberseguridad con otros programas de riesgo de tecnologías de la información y comunicación, como la evaluación de riesgos y los riesgos de privacidad. Se señala que los riesgos de la cadena de suministro y los riesgos de tecnologías emergentes como la inteligencia artificial también pueden abordarse utilizando el CSF junto con otros riesgos empresariales. En conclusión, se proporciona un breve resumen de las funciones, categorías y subcategorías del CSF Core.

El documento describe en detalle las funciones y categorías principales del Marco de Ciberseguridad del NIST (CSF) versión 2.0. Proporciona descripciones para cada categoría dentro de las cinco funciones principales: Identificar, Proteger, Detectar, Responder y Recuperar. Dentro de la función Gobernar, describe el Contexto Organizacional, la Estrategia de Gestión de Riesgos, Roles, Responsabilidades y Autoridades, Política y Supervisión. Enumera subcategorías para cada categoría y proporciona una breve descripción para cada una. Lo mismo se hace para las funciones de Identificar, Proteger, Detectar, Responder y Recuperar, detallando sus respectivas categorías y subcategorías. Concluye describiendo la categoría de Gestión de Riesgos de la Cadena de Suministro de Ciberseguridad dentro de Gobernar. En resumen, se abordan las funciones de Identificar, Proteger y Detectar del Marco de Ciberseguridad del NIST versión 2.0. Proporciona descripciones para las categorías dentro de cada función, incluyendo Gestión de Activos, Evaluación de Riesgos y Mejora bajo Identificar. Describe categorías como Gestión de Identidad y Control de Acceso, Conciencia y Entrenamiento, Seguridad de Datos y Seguridad de Plataforma bajo Proteger. Y cubre Análisis, Monitoreo y Diagnóstico y Mitigación Continuos bajo Detectar. Para cada categoría, enumera actividades clave de ciberseguridad y controles que las organizaciones deben implementar según lo identificado por el Marco del NIST. El documento describe el Marco de Ciberseguridad del NIST (CSF) versión 2.0 y proporciona definiciones para términos clave relacionados con el CSF, incluyendo categorías, funciones, perfiles, niveles y otros componentes. Explica el propósito y la estructura del CSF, cómo las organizaciones pueden utilizarlo para gestionar los riesgos de ciberseguridad, y cómo la gobernanza y las prácticas de riesgo mejoran en cada nivel. Los cuatro niveles van desde la gestión parcial del riesgo (Nivel 1) hasta un enfoque adaptativo (Nivel 4) que monitorea y comparte continuamente información de ciberseguridad. El documento describe cómo las organizaciones pueden evaluar su madurez utilizando el CSF y describe el papel de los ejecutivos, unidades de negocio, proveedores y terceros en la gestión de los riesgos de ciberseguridad.

En cuestión, el documento trata sobre el Marco de ciberseguridad (CSF) 2.0 del NIST, que proporciona orientación a las organizaciones para gestionar los riesgos de ciberseguridad. Es un recurso gratuito disponible para uso individual, industrial, agencias gubernamentales y otras organizaciones. El CSF ofrece resultados de alto nivel para la gestión de la ciberseguridad sin prescribir métodos específicos para lograrlos. Puede ser utilizado por diversos profesionales, como ejecutivos, profesionales de la tecnología, gestores de riesgos y auditores para tomar decisiones relacionadas con la ciberseguridad. El CSF incluye componentes como núcleo, perfiles organizacionales y niveles, que ayudan a las organizaciones a comprender, evaluar, priorizar y comunicar los riesgos de ciberseguridad. El documento explica las funciones, categorías y subcategorías del CSF Core, y cómo las organizaciones pueden crear y utilizar perfiles organizacionales para evaluar su postura de ciberseguridad actual y objetivo. También analiza el uso de Niveles para caracterizar las prácticas de gestión y gobierno de riesgos de ciberseguridad de una organización. El CSF está diseñado para organizaciones de todos los tamaños y sectores y debe ser utilizado de forma voluntaria o por mandato de políticas gubernamentales. El texto también describe el proceso para desarrollar y utilizar un perfil organizacional y los diferentes usos de los perfiles comunitarios. Finalmente, se analizan los niveles como una forma de informar los perfiles actuales y de destino de una organización y caracterizar sus prácticas de gestión de riesgos de ciberseguridad.