<<TableOfContents>>

Contexto y motivaciones

El marco busca promover lo siguiente:

Generar la confianza en el uso de la tecnología

La evolución del gobierno digital demanda una plataforma segura que lo sustente

Unificar todos los recursos los recursos existentes

Estrategia de abordaje

El marco ha sido elaborado a partir de diversas fuentes y con la participación de diversos actores:

Se basa en NIST CSF, ISO/IEC 27001:2013, ISO/IEC 27799:2016, COBIT 5 for Information Security, NIST SP800-53 rev.4.

Han participado especialistas en seguridad de la información, consultoras privadas y la academia.

ObjetivoS

El marco busca promover:

Una visión integral de la ciberseguridad en la organización

La definición de planes de acción

La adecuada gestión de los riesgos

El cumplimiento normativo

La difusión de las buenas prácticas en la temática

La mejora de la infraestructura tecnológica

La mejora continua de la seguridad de la información

Orientado a...

• Gestionar los riesgos
• Mejorar los centros de datos existentes
• Apoyar el cumplimiento normativo
• Contribuir al uso de buenas prácticas

Marco de ciberseguridad

Estructura general

El marco se encuentra estructurado en la forma de Función – Categoría – Subcategoría.

El marco cuenta con 5 funciones: Identificar, Proteger, Detectar, Responder y Recuperar. Cada función nuclea varias subcategorías con prioridades sugeridas de acuerdo al perfil de la organización, referencias a otras normas y niveles de madurez, así como los requisitos específicos.

Los perfiles modelan las necesidades de ciberseguridad en función de los requerimientos del negocio, evaluando aspectos como ser el riesgo percibido y la dependencia de la tecnología para el cumplimiento de los objetivos. Se definen tres perfiles: básico, estándar y avanzado. En función de estos perfiles, se determinan las prioridades sobre los requisitos específicos, teniendo como función servir como guía para la implementación de los mismos.

Adicionalmente al Marco de Ciberseguridad, se encuentran disponibles diversos materiales de apoyo, que brindan herramientas a las organizaciones que deseen incorporar las buenas prácticas del Marco de Ciberseguridad, tales como:

• Guía de implementación

Políticas sugeridas, tales como políticas de seguridad, gestión de incidentes, entre otras

Plantillas de documentos, tales como acuerdos de no divulgación o requerimientos de seguridad de la información para adquisición de soluciones

Plantillas de planes, tales como los planes de continuidad del negocio o de recuperación ante desastres

Guías y buenas prácticas, por ejemplo relativas a la gestión de incidentes de seguridad de la información, rotulación de información o gestión de riesgo

Guía metodológica: Implementación de un sistema de gestión de seguridad de la información (SGSI)

• Lista de verificación

Guía de auditoría/autoevaluación

FUNCIONES

Los requisitos contenidos en el Marco se dividen en 5 funciones: Identificar, Proteger, Detectar, Responder y Recuperar.

IDENTIFICAR

La función Identificar está ligada a la comprensión del contexto del organismo, de los activos que soportan los procesos críticos de las operaciones y los riesgos asociados pertinentes. Esta comprensión permite al organismo definir los recursos y las inversiones de acuerdo con la estrategia de gestión de riesgos y objetivos del mismo.

Las categorías dentro de esta función son: Gestión de Activos; Ambiente de negocios; Gobernanza; Evaluación de riesgo; Estrategia para la gestión de riesgos.

PROTEGER

La función de protección está vinculada a la aplicación de medidas destinadas a proteger a los procesos y los activos del organismo, independientemente de su naturaleza TI.

DETECTAR

La función de detección está vinculada a la definición y ejecución de las actividades apropiadas dirigidas a la identificación temprana de los incidentes de seguridad.

RESPONDER

La función respuesta está vinculada a la definición y ejecución de las actividades apropiadas con el fin de tomar medidas en caso de detección de un evento de seguridad. El objetivo es reducir el impacto de un potencial incidente de seguridad informática.

RECUPERAR

La función de recuperación está vinculada a la definición y ejecución de las actividades dirigidas a la gestión de los planes y actividades para restaurar los procesos y servicios deficientes debido a un incidente de seguridad. El objetivo es asegurar la resistencia de los sistemas e instalaciones y, en caso de incidentes, para apoyar la recuperación oportuna de las operaciones.

SUBCATEGORÍAS

Las subcategorías dividen una categoría en resultados concretos de las actividades técnicas y/o de gestión. Proporcionan un conjunto de resultados que, aunque no de forma exhaustiva, ayudan al logro de los resultados en cada categoría.
Cada subcategoría tendrá asociada un perfil (básico, estándar, avanzado) y estos una prioridad, las referencias originales del CSF NIST y el conjunto de requisitos asociados. Aquellas subcategorías que tengan prioridad alta (P1) en alguno de los perfiles tendrán asociado un modelo de madurez.

Ejemplo

Material de apoyo

• Guía de implementación
  • Políticas
  • Plantillas
  • Guías y buenas prácticas
  • Guía metodológica: Implementación SGSI
• Lista de verificación
• Guía de auditoría/autoevaluación