El Instituto Nacional de Normas y Tecnología (NIST) ha publicado la versión final del Marco de Ciberseguridad (CSF) 2.0, una nueva versión de una herramienta que lanzó por primera vez en 2014 para ayudar a las organizaciones a comprender, reducir y comunicar sobre el riesgo de ciberseguridad.
Marco de Ciberseguridad 2.0
Resumen ejecutivo
El NIST ha publicado la versión final de su Marco de Ciberseguridad (CSF) 2.0, que ofrece orientación a la industria, las agencias gubernamentales y otras organizaciones para gestionar los riesgos de ciberseguridad. Ofrece una taxonomía de impactos de ciberseguridad de alto nivel que puede ser utilizada por cualquier organización, independientemente de su tamaño, sector o madurez, para comprender, evaluar, priorizar y comunicar mejor sus esfuerzos de ciberseguridad.
El CSF 2.0 contiene nuevas características que destacan la importancia de la gobernanza y las cadenas de suministro. Consta de tres componentes: el CSF Core, los Perfiles Organizativos y los Niveles. Además, se han elaborado un conjunto de recursos online que serán actualizados periódicamente, para ayudar a las organizaciones a utilizar el CSF 2.0.
Contenido principal
- El CSF 2.0 consta de tres componentes: el CSF Core, los Perfiles Organizativos y los Niveles. El CSF Core es una taxonomía de actividades y resultados relacionados con la gestión de riesgos de ciberseguridad ordenados por funciones. Como novedad con respecto al marco anterior, incorpora la gobernanza a la lista de funciones, junto a las existentes: identificar, proteger, detectar, responder y recuperar. Los Perfiles Organizativos describen la posición de ciberseguridad actual y el objetivo de la organización en términos de los resultados del CSF Core. Los Niveles pueden aplicarse a los Perfiles Organizativos para caracterizar el rigor de las prácticas de gobernanza y gestión de riesgos de ciberseguridad de la organización.
- El documento también aborda cómo usar el CSF 2.0 para mejorar la integración en la gestión de los riesgos de ciberseguridad. Por ejemplo, el marco puede utilizarse como herramienta de priorización de acciones para la gestión de estos riesgos, puede ser útil para mejorar la comunicación de expectativas y planes y/o se puede integrar en los programas específicos de las entidades para la gestión y evaluación de los riesgos de ciberseguridad.
- El nuevo marco incluye, además, recursos online para ayudar a las organizaciones a comprender, adoptar y utilizar el CSF 2.0. Estos recursos son referencias normativas, plantillas de perfiles y Guías de Acceso Rápido (QSG).
Accede a la nota técnica sobre el Marco de Ciberseguridad 2.0 (solo disponible en inglés).