LEAD. —— Prof’ Professional Knowledge [Link] femark of CertiPro UniUURITY PROFESSIONAL CERTIFICATE (LCSPC) CERTIPROF LEAD CYBERS CertiProf’ Professional Knowledge Versién 062020 Derechos de autor © 2019 CertiProf LLC Todos los derechos reservados. Ninguna parte de esta publicacién puede publicarse, reproducirse, copiarse o almacenarse en un sistema de procesamiento de datos o circular de cualquier forma mediante impresién, impresin fotografica, microfilm o cualquier otro medio sin el permiso por escrito de CertiProf®. CERTIPROF® es una marca registrada. Fuente de Este Material © Framework for Improving Critical Infrastructure Cybersecurity Version 1.1 National Institute of Standards and Technology April 16, 2018. «ISO/IEC 27032:2012 Information technology — Security techniques — Guidelines for cybersecurity. Objetivo * Conocer la importancia de la ciberseguridad y aprender como evitar todo tipo de amenazas, que ponen en riesgo la informacién que se procesa, transporta y almacena en cualquier dispositivo. © Obtener la Certificacién Profesional. @ [Link] CERTIPROF® is a registered trademark of CertiProf, LLC in the United States and/or other countries.CertiProf’ Professional Knowledge Agenda Conceptos Fundamentales de Ciberseguridad Introducci6n La Naturaleza de la Ciberseguridad Enfoque de Ciberseguridad Las Partes Interesadas Dentro del Ciberespacio, Activos en el Ciberespacio Roles de las Partes Interesadas en Ciberseguridad Descripcién General de Ciberseguridad Evolucién de la Ciberseguridad La Brecha de Habilidades de Ciberseguridad Objetivos de Ciberseguridad Roles de Ciberseguridad Las Cinco Funciones Basicas del Marco Herramienta de Evaluacién de Estrategias Nacionales de Ciberseguridad Enfoques para Implementar la Ciberseguridad Términos Clave de Ciberseguridad Tipos de Ataque Cibernético mas Comunes Agentes de Amenazas de Ciberseguridad Estados como Agentes de Amenazas Informe Sobre los Riesgos Mundiales 2020 Politica de Respuesta a Incidentes de Seguridad Historia y Desarrollo de! Marco Orden Ejecutiva 13636 Evolucién del Marco Global Cybersecurity Index (GCI) Mapa de Calor del Compromiso Nacional de Ciberseguridad Indice Nacional de Ciberseguridad NICE: Cybersecurity Workforce Framework NICE: National Initiative for Cybersecurity Education Componentes del Marco NICE Componentes del Framework Relaciones de los Componentes del Framework Categorias del Marco Analizar Recolectar y Operar Investigar Operar y Mantener Supervisar y Gobernar Proteger y Defender Provision Segura Taller [Link] CERTIPROF® is a registered trademark of CertiProf, LLC in the inited States and/or other countries. PC) ITY PROFESSIONAL CERTIFICATE (LCS! > CYBERSECURI CERTIPROF LEA‘ATE (LCSPC) ITY PROFESSIONAL CERTIFIC > CYBERSECURI CERTIPROF LEA CertiProf’ Professional Knowledge ISO/IEC 27032 Introduccié Aplicabil Introduccién Estructura de la norma ISO/IEC 27032 Controles de Ciberseguridad Familia de ISO 27000 Otros Recursos en Ciberseguridad Introduccién al Marco de Ciberseguridad Introduccién al Marco Herramienta de Referencia de! Marco de Ciberseguridad (CSF) de NIST La Herramienta de Evaluacién de Ciberseguridad (CSET®) Recursos Traducciones Descripcién General del Marco Descripcién General del Marco Niicleo de! Marco Los Niveles de Implementacién del Marco Perfil del Marco Gestién de Riesgos y el Marco de Ciberseguridad Marco de Gestién de Riesgos y Ciberseguridad Conceptos Basicos Sobre el Marco Conceptos Basicos del Marco Niicleo del Marco (Framework Core) Niicleo de! Marco Funciones Categorias ‘Subcategorias Referencias Las Cinco Funciones Bésicas del Marco Las Cinco Funciones Basicas del Marco Indentificar Proteger Detectar Responder Recuperar Referencias informativas: Qué son y cémo se usan? Niveles de Implementacién del Marco Niveles de Implementacién del Marco Nivel 1: Parcial Nivel 2: Riesgo Informado Nivel 3: Repetible Nivel 4: Adaptativo @) [Link] CERTIPROF@ is a registered trademark of CertiProf, LLC in the United States and/or othe -ountries. 35 35 35 36 36 36 37 38 39 41 42 43 43 45 45 45 46 47 48 49 50 51 52 53 53 53 53 55 56 56 57 57 58 58 59 60 62 62 63CertiProf’ Professional Knowledge Perfil del Marco Perfil del Marco Coordinacién de Implementacién del Marco Coordinacién de Implementacién del Marco Cémo Usar el Marco Cémo Usar el Marco Basica de Practicas de Ciberseguridad Revision Basica de las Practicas de Ciberseguridad Establecimiento o Mejora de un Programa de Ciberseguridad Establecimiento o Mejora de un Programa de Ciberseguridad Paso 1: Priorizacién y Alcance Paso 2: Orientacién Paso 3: Crear un Perfil Actual Paso 4: Realizar una Evaluaci6n de Riesgos Paso 5: Crear un Perfil Objetivo Paso 6: Determinar, Analizar y Priorizar Brechas Paso 7: Implementar Plan de Accién Establecer 0 Mejorar un Programa de Ciberseguridad ‘Comunicacién de Requisitos de Ciberseguridad a las Partes Interesadas Comunicacién de Requisitos de Ciberseguridad a las Partes Interesadas Decisiones de Compra Decisiones de Compra Identificacién de Oportunidades para Referencias Informativas Nuevas o Revisadas Identificacion de Oportunidades para Referencias Informativas Nuevas 0 Revisadas Metodologia para Proteger Privacidad y Libertades Civiles Metodologia para Proteger la Privacidad y las Libertades Civiles Autoevaluacién del Riesgo de Seguridad Cibernética con el Marco Autoevaluacién del Riesgo de Seguridad Cibernética con el Marco Apéndice A: Niicleo del Marco Apéndice A: Nucleo del Marco Apéndice B: Glosario Comprador Categoria Infraestructura Critica Ciberseguridad Evento de Ciberseguridad Incidente de Ciberseguridad Detectar (Funcién) Marco de Trabajo Nucleo del Marco Niveles de Implementacién de! Marco Revi [Link] CERTIPROF@ is a registered trademark of CertiProf, LLC in the inited States and/or other countries. 65 66 6 70 72 73 74 75 7 7 78 78 78 78 78 79 79 79 80 81 84 85 86 87 88 89 92 93 95 96 106 107 107 107 107 107 107 107 107 107 107 PC) ITY PROFESSIONAL CERTIFICATE (LCS! > CYBERSECURI CERTIPROF LEAUURITY PROFESSIONAL CERTIFICATE (LCSPC) CERTIPROF LEAD CYBERS CertiProf’ Professional Knowledge Perfil del Marco Funcié Identificar (Funcién) Referencia Informativa Cédigo Movil Proteger (Funcién) Usuario Privilegiado Recuperar (Funcién) Responder (Funcién) Riesgo Gestién de Riesgos Subcategoria Proveedor Taxonomia ‘Apéndice C: Acrénimos Apéndice C: Acrénimos Q [Link] CERTIPROF® is a registered trademark of CertiProf, LLC in the United States and/or other countries. 108 108 108 108 108 108 108 108 108 109 109 109 109 109 110 111Conceptos Fundamentales de Ciberseguridad Prof’ Professional KnowledgeUURITY PROFESSIONAL CERTIFICATE (LCSPC) CERTIPROF LEAD CYBERS CertiProf’ Professional Knowledge Introduccién El ciberespacio es un entorno complejo que resulta de la interaccién de personas, software y servicios en Internet, respaldado por tecnologias de informacién y comunicacién (dispositivos conectados y redes distribuidas fisicamente en todo el mundo). Sin embargo, existen problemas de seguridad que no estén cubiertos por las mejores practicas actuales de informacién. Seguridad, seguridad de Internet, seguridad de red y seguridad de las TIC, asi como también existen brechas entre estos dominios, asi ‘comola falta de comunicacién entre organizaciones y proveedores en el ciberespacio, esto se debea que los dispositivos y las redes conectadas que han admitido el ciberespacio tienen miltiples propietarios, cada uno con sus propias preocupaciones comerciales, operativas y regulatorias. El enfoque diferente ubicado por cada organizacién y proveedor en el ciberespacio en dominios de seguridad relevantes, donde otras organizaciones 0 proveedores consideran poca o ninguna contribucién, ha resultado en un estado de seguridad fragmentado para el ciberespacio. La Naturaleza de la Ciberseguridad La Figura resume la relacién entre la Ciberseguridad y otras areas de seguridad. La relacién entre estas reas de seguridad y la Ciberseguridad es compleja. Algunos de los servicios de infraestructura criticos, por ejemplo, el agua y el transporte, no necesariamente tienen un impacto directo 0 significativo en el estado de la Ciberseguridad. Sin embargo, la falta de ciberseguridad puede tener un impacto negativo en la disponibilidad de los sistemas de infraestructura de informacién critica proporcionados por los proveedores de infraestructura critica. tiierdaiiee STROMAL tybersatety aa TL Ma LSM Pa OT [Link] CERTIPROF® is a registered trademark of CertiProf, LLC in the United States and/or other countries.CertiProf’ Professional Knowledge Enfoque de Ciberseguridad Una forma efectiva de abordar los riesgos de la ciberseguridad implica una combinacién de maitiples estrategias, teniendo en cuenta a los diversos interesados. Estas estrategias incluyen: © Mejores practicas de la industria. + Amplia educacién de consumidores y empleados. © Soluciones tecnolégicas innovadoras que ayudan a proteger a los consumidores de los ataques de ciberseguridad conocidos. PARTES INTERESADAS Vista General del Enfoque Las Partes Interesadas Dentro del Ciberespacio Los Consumidores Proveedores Incluyendo personas organizaciones privadas y _Incluyendo, pero sin limitarse a los proveedores publicas; los proveedores, incluyendo, pero sin de servicios de Internet y los proveedores de limitarsea los proveedores de servicios de Internet _ servicio de aplicaciones. y los proveedores de servicio de aplicaciones. [Link] CERTIPROF® is a registered trademark of CertiProf, LLC in the United States and/or other countries. LURITY PROFESSIONAL CERTIFICATE (LCSPC) CERTIPROF LEAD CYBERS!CERTIPROF LEAD CYBERSECURITY PROFESSIONAL CERTIFICATE (LCSPC) CertiProf’ Professional Knowledge Activos en el Ciberespacio Un activo es algo que tiene valor para un individuo o una organizacién. Hay muchos tipos de activos, incluyendo pero sin limitarse a: © Lainformacién. © Software, como un programa de computador. © Fisico, tal como un computador. © Los servicios. © Las personas, sus cualificaciones, habilidades y experiencia. + Los activos intangibles, como la reputacién y la imagen. Pou Cok Las amenazas que existen en el Ciberespacio se abordan en relacién a los activos en el Ciberespacio. Las amenazas al Ciberespacio se pueden dividir en dos dreas clave: + Las amenazas a los activos personales. « Amenazas a los activos de la organizacién. [Link] CERTIPROF® is a registered trademark of CertiProf, LLC in the United States and/or other countries.Prof° Professional Knowledge Para mejorar el estado de la ciberseguridad, las partes interesadas en el ciberespacio deben desempejiar un papel activo en su uso y desarrollo respectivos de Internet. Estos roles a veces pueden coincidir con sus roles personales y organizativos dentro de sus redes personales u organizativas. El término red de la organizacién se refiere a la combinacién de redes privadas de una organizacién (generalmente una intranet), extranets y redes visibles piblicamente. [Link] 11 CERTIPROF® isa registered trademark of CertiProf, LLC inthe United States and/or other countries. CERTIPROF LEAD CYBERSECURITY PROFESSIONAL CERTIFICATE (LCSPC)UURITY PROFESSIONAL CERTIFICATE (LCSPC) CERTIPROF LEAD CYBERS CertiProf’ Professional Knowledge Roles de los Consumidores Los consumidores pueden ver o recoger la informacién, asi como proporcionar cierta informacién especifica dentro del espacio de una aplicacién en el Ciberespacio, o esté abierto a miembros limitados 0 grupos dentro del espacio de la aplicacién, o el publico en general. Roles de las Organizaciones Las organizaciones a menudo utilizan el Ciberespacio para publicitar a la empresa y la informacién relacionada, asi como productos y servicios relacionados con el mercado. Roles de los Individuos Los consumidores individuales de! Ciberespacio pueden asumir diferentes roles en diferentes contextos y aplicaciones como Usuarios de aplicaciones, compradores/vendedores, blogger, proveedores independientes de aplicaciones, etc. i Roles de los Proveedores Pueden incluir dos categorias: los proveedores de acceso a los empleados y socios al Ciberespacio, y los proveedores de servicios alos consumidores del Ciberespacio, ya sea a una comunidad cerrada (por ejemplo, usuarios registrados), 0 al puiblico en general, a través de la entrega de aplicaciones en el Ciberespacio. [Link] CERTIPROF® is a registered trademark of CertiProf, LLC in the United States and/or other countries.Descripcion General de Ciberseguridad Prof? Professional KnowledgeUURITY PROFESSIONAL CERTIFICATE (LCSPC) CERTIPROF LEAD CYBERS CertiProf’ Professional Knowledge Evolucién de la Ciberseguridad © Ciberseguridad: La capacidad de proteger © defender el uso del ciberespacio de los ciberataques. © Seguridad de la informacién: La proteccién de la informacién y los sistemas de informacién contra el acceso, uso, divulgacién, interrupcién, modificacién 0 destruccién no autorizados para proporcionar confidencialidad, integridad y disponibilidad. © La ciberseguridad es parte de la seguridad de la informacién. La Brecha de Habilidades de Ciberseguridad NC, Paty, ¢ on ax® > sP yor oISPoy, INTs evar TRIADA DE LA CIBERSEGURIDAD El Estudio de la Fuerza Laboral de Ciberseguridad (ISC)? (anteriormente el Estudio de la Fuerza Laboral de Seguridad de la Informacién Global) se realiza anualmente para evaluar la brecha de la fuerza laboral de Ciberseguridad, comprender mejor las barreras que enfrenta la profesién de seguridad cibernética y descubrir soluciones que posicionen a estas personas talentosas para sobresalir en su profesién, asegurar mejor los activos criticos de sus organizaciones y lograr sus objetivos profesionales. Brecha en Profesionales de Ciberseguridad por Regién 182K Fuente: _[Link] [Link]/Research/ GLOBAL Workforce-Study ~2.93M [Link] CERTIPROF® is a registered trademark of CertiProf, LLC in the United States and/or other countries.Objetivos de Ciberseguridad = Integridad. = Confidencialidad. Disponibilidad. Roles de Ciberseguridad Junta Directiva Ientfica actives clave y verifica que los ri proteccién y prioridades sean apropiadas. Comité Ejecutivo Establece el tono para la gestién de ciberseguridad y asegura que las funciones necesarias, recursos infraestructuras estén disponibles y sean usados apropiadamente. Gestién de Seguridad Desarrollaestratepias de seguridad y mitigacion de riesgos, implementa programas de seguridad y gestionaincidentes y remediacion. Practicantes de Ciberseguridad Disea, implemente y_gestiona procesos y controles ‘técricos y espuestas a eventos e incidentes. [Link] CertiProf’ Professional Knowledge Comite ecutive Gostende Sequndad Prgcticartas de Gherseguridad CERTIPROF® is a registered trademark of CertiProf, LLC in the United States and/or other countries. CERTIPROF LEAD CYBERSECURITY PROFESSIONAL CERTIFICATE (LCSPC)CERTIPROF LEAD CYBERSECURITY PROFESSIONAL CERTIFICATE (LCSPC) CertiProf’ Professional Knowledge Las Cinco Funciones Basicas del Marco NIST (Instituto Nacional de Normas y Tecnologia). MARCO 4 NIST y RESPONDER; [Link] CERTIPROF® is a registered trademark of CertiProf, LLC in the United States and/or other countries.CertiProf’ Professional Knowledge Herramienta de Evaluacién de Estrategias Nacionales de Ciberseguridad ENISA (Agencia de la Unién Europea para Redes y Seguridad de la Informacién). x * *y x * x enisa * European Network Kx andinformation 4K # Securityagency 17 Preguntas Desarrolar planes de ciber contingencia | Objetivo 1 nacional 11 Preguntas Objetivo 2 Proteger infraestructura de informacion critica 9 Preguntas Objetivo 3 Organizar ejercicios de ciberseguridad 13 Preguntas Objetivo 4 Establecer medidas basicas de seguridad Objetivo 5 [A incidentes 8 Preguntas Establecer mecanismos de reporte de 8 Preguntas Objetivo 6 Aumentar conciencia de usuario Objetivo 8 Fomentar R&D + [Link] 16 Preguntas CERTIPROF® is a registered trademark of CertiProf, LLC in the United States and/or other countries. CERTIPROF LEAD CYBERSECURITY PROFESSIONAL CERTIFICATE (LCSPC)CERTIPROF LEAD CYBERSECURITY PROFESSIONAL CERTIFICATE (LCSPC) CertiProf’ Professional Knowledge ENISA (Agencia de la Unién Europea para Redes y Seguridad de la Informacién). Objetivo 8 | 9 Preguntas Fortalecer entrenamiento y programas educacionales Objetivo 9 | 5 Preguntas Establecer una capacidad de respuesta a incidentes jee 2-@ =| objetivo 11 | 9 Preguntas Participar en cooperacion internacional (no solo con EU MS) Objetivo 10 | 13 Preguntas Abordar ciber crimenes Objetivo 12 | 8 Preguntas Establecer alianzas publico-privadas (PPPs) Objetivo 13 | 4 Preguntas a Balancear seguridad con privacidad =, OD | iste 14 | 5 Preguntas / Institucionalizar cooperacién entre agencias publicas 4 Objetivo 15 | 7 Preguntas Proveer incentivos para el sector privado para invertir en medidas de seguridad [Link] CERTIPROF® is a registered trademark of CertiProf, LLC in the United States and/or other countries.CertiProf’ Professional Knowledge Enfoques para Implementar la Ciberseguridad Las organizaciones tienen diferentes necesidades de ciberseguridad y, por lo tanto, adoptan diferentes estrategias para identificar y cumplir los objetivos de control de seguridad. © Adhoc. © Basado en el riesgo. « PCIDSSe HIPAA. ‘* Basado en cumplimiento. « Normas o regiamentos para determinar implementaciones de seguridad. «La Encuesta de Ciberseguridad HIMSS mostré que 95 de las organizaciones de atencién médica con un ISO han adoptado el Marco de Ciberseguridad NIST. [Link] Una opcién mas efectiva para las organizaciones es adoptar un enfoque de seguridad basado en el riesgo que realice una evaluacién integral de las amenazas que enfrenta una organizacién y las vulnerabilidades en su entorno operativo actual. Términos Clave de Ciberseguridad a) | > (a =p [a ‘Con Caracteristies ConPetetied Con Secuenclas de Con Petbided conemao (ere serpssiiieae. MH" secionas, actividades 4" Con Severidad edn ate ‘escenario cenel contexte de Senza Entradas del Paso de Encuadre de Riesgo (Estrategia 0 Enfoque de Gestién de Riesgos) Factores de Riesgo Claves Influyentes y Potencialmente Modihcadores Efectivided Moo Regs Genre NIST con Factors Rete Caves NIST. SP 80020 [Link] CERTIPROF® is a registered trademark of CertiProf, LLC in the United States and/or other countries. CERTIPROF LEAD CYBERSECURITY PROFESSIONAL CERTIFICATE (LCSPC)PC) -ATE (LSE ITY PROFESSIONAL CERTIFIC ECURI > CYBERS! CERTIPROF LEA CertiProf’ Professional Knowledge Tipos de Ataque Cibernético mas Comunes La tabla, ademés de los cambios en la clasificacién, muestra las tendencias identificadas para cada amenaza E! interesante fendmeno de tener algunas amenazas con tendencia estable o decreciente que permanecen en la misma clasificacién (es decir, Amenaza interna, Manipulacién fisica / dafio / robo / pérdida, Espionaje cibernético), se debe principalmente al hecho de que, aunque se haya estancado, se mantuvo el papel de esta amenaza en el paisaje total (a través del volumen de infecciones, incidentes identificados, infracciones atribuidas a la amenaza, etc.) [Link] fullReport TENDECIAS TENDECIAS EVALUADAS EVALUADAS CAMO EN TOP AMENAZAS 2017 2017 TOP AMENAZAS 2018 2018 RANKING 1. Malware D .matware > > 2ataquesBesadesenlaWeb FY -[Link] = [Link] Basados en Aplicaciones } 3. Ataques Basados en Aplicaciones ©) ~ Phi OD Phishing e = [Link] © 5. Negacién del Servicio ° t 6:Negacién del Servicio © [Link] 2 + [Link] de Dator © 7. Botnets ° t 8. Botnets © [Link]én de informacion e t '[Link] Interna D9. Amenaza intorna eo > =e) Pao” 11. Violacién do informacion © 1-Fitraciones deinformacisn t 12, Robo de identidad © 12 Robe de identidaa oO * [Link] informacion @_—=«[Link] Criptomonedas (~~ Nuevo 14. Kits de Explotacién Qa secuestro de Datos Ye + 15. Ciber espionage © [Link] eo = LeGeNDA Teer! (J Decinindo, Fete. eremenando Ranking: ff Aumertade, ah ious Reecionde Tabla 1-Vista general y comparacién del panorama actual de amenazas del 2018 con el de 2017, [Link] CERTIPROF® is a registered trademark of CertiProf, LLC in the United States and/or other countries.CertiProf’ Professional Knowledge Agentes de Amenazas de Ciberseguridad La tabla visualiza los diversos niveles de capacidad de varios grupos de agentes de amenaza. Los agentes de amenaza que son la fuente de muchas acciones de amenaza principales son los que tienen capacidades mds altas, mientras que los que tienen una asignacién mas secundaria o sin ciberamenaza poseen capacidades més bajas. [Link] fullReport Lia [Link] CERTIPROF® is a registered trademark of CertiProf, LLC in the inited States and/or other countries. PC) ITY PROFESSIONAL CERTIFICATE (LCS! > CYBERSECURI CERTIPROF LEAUURITY PROFESSIONAL CERTIFICATE (LCSPC) CERTIPROF LEAD CYBERS CertiProf’ Professional Knowledge Estados como Agentes de Amenazas Informe de intrusiones patrocinadas por el estado por regién 2018. En 2018 CrowdStrike identificé la actividad de intrusion dirigida por el estado de todo el mundo. https:/[Link]/resources/ reports/2019-crowdstrike-global-threat-report/ Informe Sobre los TBs Sua, i ie Birtrcun Ran ae sgos Mundiales 2020 TOP 10 Risks in Terms of Likelihood Extreme Weather Climate Action Failure Natural Disasters Bistvesity Lass Human-made Enviromental Disasters Data Fraud or Theft Cvberateacks Water Crises Globar Governance Failure SSOPSOSOOOOS Asset Bubbles @) TOP 10 Risks in Terms of Impact @ ctiots Action Fire 4@ Weapons of Mass Destruction © Biodiversity Loss Deore Weather @ water crisis @ iniormation infrastructure Breakdown @ veuratdicaers ® cyperattacks <@ ‘Human-made Environmental Disasters @® infectious Diseases [Link] CERTIPROF® is a registered trademark of CertiProf, LLC in the United States and/or other countries.CertiProf’ Professional Knowledge World Economic ForumGlobal Risks Report 2020 Technological [Link] risks-report-2020 Cyberattacks Information ae Infrastructure @ =e Data Fraud or ay Te ial e 35 . Adverse Technological "Advances a E Ukeiibood 30 35 40 Politica de Respuesta a Incidentes de Seguridad La politica debe incluir: Una definicién de un incidente de seguridad de la informacién. © Una declaracién de cémo se manejaran los incidentes. Requisitos paral establecimiento del equipo derespuestaaincidentes, con rolesyresponsabilidades. Requisitos para la creacién de un plan, procedimientos y pautas de respuesta a incidentes probados. Documentacién y cierre de incidentes. Historia y Desarrollo del Marco Mejora de la ciberseguridad de la infraestructura critica “Es politica de los Estados Unidos mejorar la seguridad y la capacidad de recuperacién de la infraestructura critica dela nacién y mantener un entorno cibernético que fomente la eficiencia, la innovacién y la prosperidad econémica al tiempo que promueve la seguridad, la confidencialidad empresarial, la privacidad, y libertades civiles". Orden Ejecutiva 13636 Febrero 12, 2013 [Link] CERTIPROF@ is a registered trademark of CertiProf, LLC in the United States and/or other countries. LURITY PROFESSIONAL CERTIFICATE (LCSPC) CERTIPROF LEAD CYBERS!UURITY PROFESSIONAL CERTIFICATE (LCSPC) CERTIPROF LEAD CYBERS CertiProf’ Professional Knowledge Orden Ejecutiva 13636 La Orden Ejecutiva establecié los siguientes requisitos para el Marco que NIST utiliz6 como criterio de disefio: + Identificar las normas y directrices de seguridad aplicables en todos los sectores de infraestructura critica. + Proporcionar un enfoque prioritario, flexible, repetible, basado en el rendimiento y rentable. + Ayudar a los propietarios y operadores de infraestructura critica a identificar, evaluar y gestionar el riesgo cibernético. © Permitir la innovacién técnica y tener en cuenta las diferencias organizativas. © Brindar orientacién que sea neutral en cuanto a la tecnologia y permita a los sectores criticos de infraestructura beneficiarse de un mercado competitivo para productos y servicios. © Incluir orientacién para medir el desemperio de la implementacién del Marco de Ciberseguridad © Identificar reas de mejora que deberian abordarse mediante la colaboracién futura con sectores particulares y organizaciones de desarrollo de normas. Identificar areas para mejora ese deberia ser dirigido mediante futuro colaboracién con especial sectores y de desarrollo de normas organizaciones. Evolucién del Marco Marco Preliminar Mejor Gbersegurided Uberade ‘Acto del 2014 ° Febrero 12 Febrero 12 Abril 16 2013 2014 =| = 2018 © © ulio 1 Diciembre 18 2013 2014 e Orden Ejecutwa 13638 Marco Versin 1.0, Marco Versin 1.1 Emiida Liberaco verso [Link] CERTIPROF® is a registered trademark of CertiProf, LLC in the United States and/or other countries.CertiProf’ Professional Knowledge Global Cybersecurity Index (GCI) Studios & esearch ‘7UPublieations cif} s5)) Ce Tera EI indice Global de Ciberseguridad (es una referencia confiable que mide el compromiso de los paises con la ciberseguridad a nivel mundial Index (GCI) para crear conciencia sobre la importancia y las ca diferentes dimensiones del problema. [Link] Index-EV5_print_2.pdf Mapa de Calor del Compromiso Nacional de Ciberseguridad Figura 4: Mapa de calor mostrando el compromise geogréfico alrededor del mundo [Link] CERTIPROF@ is a registered trademark of CertiProf, LLC in the United States and/or other countries. LURITY PROFESSIONAL CERTIFICATE (LCSPC) CERTIPROF LEAD CYBERS!Certi indice Nacional de Ciberseguridad El indice Nacional de Seguridad Cibernética es un indice global que mide la preparacién de los paises para prevenir las amenazas cibernéticas y gestionar los incidentes cibernéticos. El NCSI también es una base de datos con materiales de evidencia disponibles al publicoy una herramienta para el desarrollo de capacidades nacionales de seguridad cibernetica. Dene ae or RRs eect ed 3 Re 90.91 {Mini 2 ec) Em = Spain Come z Trey 5 3 eed ae z peer See 6 Derg Coma 3 Rae ema 3 Cry Cae 3 es Cae [Link] CERTIPROF® is a registered trademark of CertiProf, LLC in the United States and/or other countries.NICE: Cybersecurity Workforce FrameworkCERTIPROF LEAD CYBERSECURITY PROFESSIONAL CERTIFICATE (LCSPC) CertiProf’ Professional Knowledge NICE: National Initiative for Cybersecurity Education La Iniciativa Nacional para la Educacién en Ciberseguridad (NICE), dirigida por el Instituto Nacional de Estandares y Tecnologia (NIST) en el Departamento de Comercio de los Estados Unidos, es una asociacién entre el gobierno, la academia y el sector privado que busca dinamizar Y promover una red sdlida. y un ecosistema de educacién, capacitacién y desarrollo de la fuerza laboral de ciberseguridad. NICE cumple esta misién mediante la coordinacién con el gobierno, los académicos y los socios de la industria para aprovechar los programas exitosos existentes, facilitar el cambio y la innovacién, y brindar NATIONAL INITIATIVE FOR liderazgo y visién para aumentar la cantidad de profesionales calificados en seguridad cibernética CYBERSECURITY EDUCATION que ayudan a mantener a nuestra nacién segura y econémicamente competitiva. NICE se compromete a cultivar una fuerza laboral de ciberseguridad integrada que sea globalmente competitiva desde la contratacién hasta la jubilaci6n, preparada para proteger a nuestra nacién de los desafios de ciberseguridad existentes y emergentes. Componentes del Marco NICE Conccbnientos, Cepacidadesy habiicada: (KSA) Areas de ‘especialidad ° ° a eseteests) | Blemioclert. int _ Uys wren exit proporcionan la contienen agrupaciones _contienen agrupaciones: habilidades y las especifico que, combinado are nice Se Psebcones NacadesteaAl son em eter Taree organizativa ciberseguridad, que se —_ciberseguridad, que se los atributos identificadas, compone el general cet denominan Areas de denominan Areas de —_ eae ees rate HECONCE, —cipecalead Yson52 cpecallad Ysen52 fun QtSpenasespecdad expecta o evading | writen [Link] CERTIPROF® is a registered trademark of CertiProf, LLC in the United States and/or other countries.CertiProf’ Professional Knowledge Componentes del Framework eS 2] 3200 SY 0 [ 1500 500 ROLES DE TRABAJO Relaciones de los Componentes del Framework @2O2o0 ©e0coe 00000000 0000 0000 [Link] CERTIPROF@ is a registered trademark of CertiProf, LLC in the United States and/or other countries. LURITY PROFESSIONAL CERTIFICATE (LCSPC) CERTIPROF LEAD CYBERS!UURITY PROFESSIONAL CERTIFICATE (LCSPC) CERTIPROF LEAD CYBERS CertiProf’ Professional Knowledge Categorias del Marco Analizar Realiza una revisién y evaluacién altamente especializada de la informacién de seguridad cibernética entrante para determinar su utilidad para la inteligencia. Recolectar y Operar Proporciona operaciones especializadas de denegacién y engafio, y recopila informacién de ciberseguridad que puede usarse para desarrollar inteligencia. Investigar investiga eventos de ciberseguridad 0 delitos relacionados con los sistemas, redes y pruebas digitales de tecnologia de la informacion (T.)) Operar y Matener Proporciona el soporte, la administracién y el mantenimiento necesarios para garantizar el rendimiento y la seguridad del sistema de tecnologia de la informacién (T.l) eficaz y eficiente. Supervisar y Gobernar Proporciona liderazgo, gestién, direccién o desarrollo y promocién para que la organizacién pucda realizar efectivamente cl trabajo de ciberseguridad. Proteger y Defender Identifica, analiza y mitiga las amenazas a los sistemas y/o redes de tecnologia interna de la informacién (T.). 09008 0@@ Provisién Segura Conceptualiza, disefia, procura y/o construye sistemas seguros de tecnologia de la informacién (T.l), con la responsabilidad de los aspectos del desarrollo del sistema y/o la red [Link] CERTIPROF® is a registered trademark of CertiProf, LLC in the United States and/or other countries.CertiProf’ Professional Knowledge Analizar poe eae on ales 7 ain ttt | shams crntgtas rns kop rin sug Casyamt ee - teeoee tone | onvincony | Quen | Sera rater pe se roe enn eres acs rar Twonmarn | wcrwwon | in| Surman natn en msdn nl zie eae ore ‘set eet ied nce tee Recolectar y Operar vee, | SS Rae SE SE SS mt Toon | Dears hp ste pr oar 9 dope se phe ce anti SPameiong Investigar ‘renter de | _tventigion | ONINV2081 | wsneator | lvestinives conan y dcumettads, “aes tte Taw Erorcrant? [Uva a cto investaaciones etalass bre delorinforiicos ave ematlecan mnie weroncon | cSmnetratgene | rcs tocmenste hcp har mater else yeas eran soos Forts ni _| cnr dete curch ‘on mes | itt we. Detalronencs ‘Araliza la eviderca digital investiga los incdentes de seguridad informatica pars se wweroncon | SOG, | Sirtmscn tlon moe sebmnin sels boabn cases [Link] 31 CERTIPROF® isa registered trademark of CertiProf, LLC inthe United States and/or other countries. CERTIPROF LEAD CYBERSECURITY PROFESSIONAL CERTIFICATE (LCSPC)CERTIPROF LEAD CYBERSECURITY PROFESSIONAL CERTIFICATE (LCSPC) CertiProf’ Professional Knowledge Operar y Mai ntener “ore rowsts.0) So Foe ES ccm son» wl te cP on Se TEE | tates The os dic was Re dire cn oof gata avi 9 POTS necin corsoraann | oasanat | Bete eters atc pratce staccato y spe ee ces Staonal ut aten ers tr es cn Tatars” | — sgn | EAGER or acy marco yf a pron» ene cpeary | ermere |_tieenen [|S | erie” |i rant icine era S| mea | Nensouen [omncrons| Goze | nines som sienna revere ott Sate SES | aren. | orp | cum, [iis aitessade lac tmnt arte cs Ba | matin | UT | aii | diy str in no omeeh somone | eee SR [mem fay mare vn ou ey mem Supervisar y Gobernar ‘neca | Sine Teer een | asa | Pa | evmcano eee eer a aoe onan hls nt emo nanometer rovscrcnn | oft | Sapeadda's pena ply brncsinee ee etre rotehrce sian end course Soe eee aetna ene mt ee sion cones | em | See SS Ge eT Se NS PR onan | Rootes | Rice ena aeanieacans recttomt | Dera pres, conta yeas ees mdi y ct de natin ean chet 32 [Link] CERTIPROF® is a registered trademark of CertiProf, LLC in the United States and/or other countries.Proteger y Defender etme CertiProf’ Professional Knowledge taodeme | onconont hata Sates tans ros tins adie | glee inate: | ASS | awcon nemo dee ty hia eye opie | aamttnmene | oncnaon (mt yell cama ee et tot coma Ste | reves Seueenaeecapan seanaieenannananawanat Provisién Segura ong | ate creo es ns pasa rate ein ee own ora corseony | PReraeive | cca neces ee epee ne sear trssecia | MStoner | mh es Seon grb asl ts tera aS seca | witita | Teg [teen [ eco [Sain yes roche nr tens re or a cor [Sree | okt, eee ae a_i =a Se ee occ | seman | ce Ones eae oma Bi cae nc ee Sixties | pelt Toman FEBS) A ncn | RED, [emegean ees ene atin cemaes baata as. | see Sri |G ep ce to yo en Sc pas |*epeerten | neem [emsincon | maemo | Somber ee a = Tee — eran esa ae Tg IO SEE Sat | semnnsso [rican] dean | Riel ein ana n'a ens omnba oe Taller Seguin las instrucciones, realizar el andlisis GAP del Framework de NICE. \ [Link] CERTIPROF® is a registered trademark of CertiProf, LLC in the United States and/or other countries. CERTIPROF LEAD CYBERSECURITY PROFESSIONAL CERTIFICATE (LCSPC)ISO/IEC 27032 Prof’ ssional KnowledgeIntroduccién Esta norma internacional proporciona una guia para mejorar el estado de la Ciberseguridad, destacando aspectos Unicos de dicha actividad y su dependencia de otros Ambitos de seguridad, en particular: © La seguridad de la informacién. + La seguridad de las redes. La seguridad de internet. + La proteccién de la infraestructura critica de informacién (CIP). CertiProf’ Professional Knowledge Secubreel punto partidaen practicas de seguridad para las partes interesadas del Ciberespacio. Esta norma proporciona: «Las generalidades de la Ciberseguridad. © Una explicacién de la relacién entre Ciberseguridad y otros tipos de seguridad. Una definicién de las partes interesadas y una descripcién de sus roles en la Ciberseguridad. Una guia para abordar problemas comunes de la Ciberproteccién. * Un marco de referencia que permite a las partes interesadas colaborar en la resolucién de problemas de Ciberseguridad. Aplicabilidad Audiencia Esta norma internacional se aplica a proveedores de servicios en el Ciberespacio. La audiencia, sin embargo, incluye a los consumidores que utilizan estos servicios. Si hay organizaciones que proporcionan servicios en el Ciberespacio para que la gente los utilice desde sus hogares o en otras organizaciones, entonces podrian necesitar preparar una guia en base a esta norma nacional que contenga explicaciones adicionales o ejemplos suficientes que permitan al lector comprender y actuar en base a ello. Introduccion Limitaciones Esta norma internacional no aborda: © Ciberseguridad. « Cibercrimen. CIP. (Proteccién de informaci6n critica). Seguridad de Internet. Delitos relacionados con Internet. infraestructura de Se reconoce que existen relaciones entre los dominios mencionados y la Ciberseguridad. Sin embargo, esta fuera del alcance de esta Norma Internacional abordar estas relaciones y compartir los controles entre estos dominios. Es importante tener en cuenta que el concepto de Cibercrimen, aunque se menciona, no se aborda. Esta Norma Internacional no proporciona orientacion sobre aspectos relacionados con la ley del Ciberespacio, o la regulacién de la Ciberseguridad. La orientacién de esta Norma Internacional se limita a la realizacién del Ciberespacio en Internet, incluidos los puntos finales. Sin embargo, la extensién de No se aborda el ciberespacio a otras representaciones espaciales a través de los medios y plataformas de comunicaci6n, ni los aspectos de seguridad fisica de los mismos. [Link] CERTIPROF@ is a registered trademark of CertiProf, LLC in the United States and/or other countries. PC) ITY PROFESSIONAL CERTIFICATE (LCS! ECURI > CYBERS! CERTIPROF LEAUURITY PROFESSIONAL CERTIFICATE (LCSPC) CERTIPROF LEAD CYBERS CertiProf’ Professional Knowledge Estructura de la norma ISO/IEC 27032 p=) P=) =) =) =) Controles de Ciberseguridad Identificados los riesgos a la ciberseguridad se pueden seleccionar e implementar los controles de Ciberseguridad apoyan alos requisitos de seguridad. Proteccién La clausula 12 de la ISO/IEC 27032 da una vision general de los controles clave de Ciberseguridad que se pueden implementar para apoyar las directrices especificadas en esta norma. © Controles a nivel de aplicacién. Proteccién del servidor. © Controles para los usuarios finales. © Controles contra los ataques de ingenieria social. Familia de ISO 27000 =) &) &) &) =) 27016 (p=) (=) e) G) G&) &) [Link] CERTIPROF® is a registered trademark of CertiProf, LLC in the United States and/or other countries. Fa 4 = Ss = PA 4 3 = = rs 3 EaCertiProf’ Professional Knowledge Otros Recursos en Ciberseguridad Series NIST SP 800 juridad INTROLES CIs [Link] CERTIPROF® is a registered trademark of CertiProf, LLC in the United States and/or other countries. CERTIPROF LEAD CYBERSECURITY PROFESSIONAL CERTIFICATE (LCSPC)Introduccién al Marco de Ciberseguridad Prof’ Professional KnowledgeIntroducci6n al Marco Los Estados Unidos depende del funcionamiento confiable de la infraestructura critica. Las amenazas de seguridad cibernética explotan la mayor complejidad y conectividad de los sistemas de infraestructura critica, lo que pone en riesgo la seguridad de la nacién, su economia, y la salud y seguridad publica. Similar a los riesgos financieros yde reputaci6n, el riesgo de seguridad cibernética afecta el resultado final de una empresa. Puede aumentar los costos y afectar los ingresos. Asi mismo, puede afectar la capacidad de una organizacién para innovar, y aumentar o mantener sus clientes. La seguridad cibernética puede ser un componente importante y amplificador de la gestion general de riesgos de una organizacion. Para fortalecer la capacidad de recuperacién de esta infraestructura, la Ley de Mejora de la Ciberseguridad de 2014 (CEA) actualiz6 el papel del Instituto Nacional de Estandares y Tecnologia (NIST) para “facilitar y apoyar el desarrollo de" marcos de riesgo de ciberseguridad. Mediante la CEA, el NIST debe identificar un “enfoque priorizado, flexible, repetible, basado en eldesempefioycostoefectivo,queincluyamedidas de seguridad de la informacién y controles que los propietariosy operadores de infraestructura critica puedan adoptar voluntariamente para ayudarlos a identificar, evaluar y gestionar los riesgos cibernéticos". Esto formalizé el trabajo previo del NIST de desarrollo de la Versién 1.0 del Marco bajo la Orden Ejecutiva (EO) 13636, "Mejora de la seguridad cibernética en infraestructuras criticas" (febrero de 2013), y proporcioné una guia para la futura evolucién del Marco. [Link] CERTIPROF@ is a registered trademark of CertiProf, LLC in the Unit CertiProf’ Professional Knowledge La infraestructura critica se define en la Ley Patridtica de los EE. UU. de 2001 como "sistemas y activos, ya sean fisicos o virtuales, tan vitales para los Estados Unidos que la incapacidad o destruccién de dichos sistemas y activos tendria un impacto debilitador en la seguridad de la nacién, la seguridad econémica nacional, la salud y seguridad publica, 0 cualquier combinacién de estos mismos", Debido al aumento de las amenazas externas e internas, las organizaciones responsables de la infraestructura critica deben tener un enfoque constante e iterativo para identificar, evaluar y administrar el riesgo de seguridad cibernética, Este enfoque es necesario independientemente del tamafio de una organizacin, exposicién a amenazas 0 actual sofisticaci6n de seguridad cibernética. La comunidad de infraestructura critica incluye propietarios y operadores publicos y privados, y otras entidades con un rol para asegurar la infraestructura de la Nacién. Los miembros de cada sector de infraestructura critica realizan funciones que estan respaldadas por la amplia categoria de tecnologia, que incluye tecnologia de la informaci6n (T!), sistemas de control industrial (ICS), sistemas ciber fisicos (CPS) y dispositivos conectados en general, incluyendo el Internet de las Cosas (IoT). Estadependenciadelatecnologfa,lacomunicacién y la interconexién ha cambiado y ampliado las posibles vulnerabilidades y a aumentado el riesgo potencial para las operaciones. Por ejemplo, a medida que la tecnologia y los datos que produce ylos procesos [Link] cada vez més para brindar servicios criticos y para respaldar las decisiones empresariales 0 de misién, se debe considerar los id States and/or other countries. PC) ITY PROFESSIONAL CERTIFICATE (LCS! ECURI > CYBERS! CERTIPROF LEAPC) -ATE (LSE ITY PROFESSIONAL CERTIFIC ECURI > CYBERS! CERTIPROF LEA CertiProf’ Professional Knowledge impactos potenciales de unincidente de seguridad cibernética en una organizacién, en la salud y la seguridad de las personas, en el medioambiente, en las comunidades, la economia y sociedad en general. Para manejar los riesgos de seguridad cibernética, se requiere una comprensin clara de los impulsores empresariales de la organizacién y consideraciones de seguridad especificas para su so de la tecnologia. Debido a que los riesgos, las prioridades y los sistemas de cada organizacién son tnicos, las herramientas y métodos utilizados para lograr los resultados descritos en el Marco van a variar. Reconociendo el papel que juega la proteccién de la privacidad y las libertades civiles en la creacién de una mayor confianza publica, el Marco incluye una metodologia para proteger la privacidad individual y las libertades civiles cuando las organizaciones de infraestructura critica realizan actividades de ciberseguridad. Muchas organizaciones ya tienen procesos para abordar la privacidad y las libertades civiles La metodologia esta disefiada para complementar dichos procesos y proporcionar orientacién para facilitar la gestién del riesgo de privacidad de manera coherente con el enfoque de una organizacién para la gestion del riesgo de ciberseguridad. La integracién de la privacidad y la ciberseguridad puede beneficiar a las organizaciones al aumentar la confianza del cliente, permitiendo un intercambio més estandarizado de informaci6n y simplificando las operaciones a través de los regimenes legales. EI Marco sigue siendo efectivo y apoya la innovaci6n técnica porque es neutral en cuanto a la tecnologia, al tiempo que hace referencia a una variedad de estandares, pautas y practicas existentes que evolucionan con la tecnologia A\ confiar en los estdndares, pautas y practicas globales desarrollados, administrados y actualizados por la industria, las herramientas y métodos disponibles para lograr los resultados del Marco se ampliardn a través de las fronteras, reconoceran la naturaleza global de los riesgos de ciberseguridad y evolucionaran con los avances tecnoldgicos y los requisitos comerciales. El uso de estandares existentes y emergentes permitird economias de escala e impulsara el desarrollo de productos, servicios y practicas efectivos que satisfagan las _necesidades identificadas del mercado La competencia en el mercado también promueve una difusién mas rapida de estas tecnologias y practicas y la obtencién de muchos beneficios por parte de los interesados en estos sectores. Apartir de esos estandares, directrices y practicas, el Marco proporciona una taxonomia comtin y un mecanismo para que las organizaciones realicen lo siguiente: 1. Describir su postura actual de seguridad cibernética. 2. Describir su objetivo deseado para seguridad cibernética. 3. Identificar y priorizar oportunidades de mejora dentro del contexto de un proceso continuo y repetible. 4. Evaluar el progreso hacia el objetivo deseado. 5. Comunicarse entre las partes _interesadas internas y externas sobre el riesgo de seguridad cibernética. EI Marco no es un enfoque tinico para administrar [Link] CERTIPROF® is a registered trademark of CertiProf, LLC in the United Si ates and/or other countries.el riesgo de seguridad cibernética para la infraestructura critica, Las organizaciones seguiran teniendo riesgos Unicos: diferentes amenazas, _ diferentes vulnerabilidades, diferentes tolerancias de riesgo. También variaran en cémo personalizan las practicas descritas en el Marco. Las organizaciones pueden determinar as actividades que son importantes para la prestacién de servicios criticos y pueden priorizar las inversiones para maximizar el impacto de cada délar gastado. En ultima instancia, el Marco tiene como objetivo reducir y gestionar mejor los riesgos de seguridad cibernética. Tomando en cuenta las necesidades unicas de seguridad cibernética de las organizaciones, existe una gran variedad de formas de cémo utilizar el Marco. La decisién sobre cémo aplicarlo se deja a la organizacién implementadora. Por ejemplo, una organizacién puede decidir utilizar los Niveles de Implementacién del Marco para articular las practicas de gestién de riesgos previstas. Otra organizacién puede utilizar las cinco funciones del Marco para analizar toda su cartera de gestién de riesgos; dicho andlisis puede o no basarse en una guia complementaria mas detallada, dado como los catélogos de controles. Aveces se debate el tema sobre el "cumplimiento" del Marco, yel Marco tiene utilidad como estructura ylenguaje para organizary expresar el cumplimiento de los requisitos de seguridad cibernética de una organizacién. Sin embargo, la variedad de formas en que una organizacién puede utilizar el Marco significa que frases como "cumplimiento del Marco" pueden ser confusas y significar algo muy diferente [Link] CertiProf’ Professional Knowledge para las distintas partes interesadas. E| Marco complementa, y no reemplaza, el proceso de gestién de riesgos y el programa de seguridad cibernética de una organizacién. La organizacién puede utilizar sus procesos actuales y aprovechar el Marco para identificar oportunidades para fortalecer y comunicar la gestién del riesgo de seguridad cibernética, y al mismo tiempo se alinea con las practicas de la industria. Como alternativa, una organizacién sin un programa vigente de seguridad cibernética puede utilizar el Marco como referencia para establecer uno. Sibien el Marco ha sido desarrollado para mejorar la gestién del riesgo de seguridad cibernética en lo que respecta a infraestructura critica, este puede ser utilizado por organizaciones en cualquier sector de la economia o la sociedad. La intencién es que sea Util para empresas, agencias gubernamentales y organizaciones sin fines de lucro, independientemente de su enfoque o tamafio. La taxonomia comun de estandares, directrices y practicas que proporciona tampoco es especifica para un pais. Las organizaciones fuera de los Estados Unidos también pueden utilizar el Marco para fortalecer sus propios esfuerzos de seguridad cibernética, y el Marco puede contribuir a desarrollar un lenguaje comun para la cooperacién internacional en la seguridad cibernética de la infraestructura critica Herramienta de Referencia del Marco de Ciberseguridad (CSF) de NIST La herramienta de referencia NIST CSF es una soluci6n de base de datos de tiempo de ejecucion de FileMaker. Representa el Framework Core, que es un conjunto de actividades de seguridad CERTIPROF@ is a registered trademark of CertiProf, LLC in the United States and/or other countries. PC) ITY PROFESSIONAL CERTIFICATE (LCS! ECURI > CYBERS! CERTIPROF LEA‘ATE (LCSPC) ITY PROFESSIONAL CERTIFIC > CYBERSECURI CERTIPROF LEA CertiProf’ Professional Knowledge cibernética, resultados deseados y referencias aplicables que son comunes en todos los sectores criticos de la infraestructura. Derechos de autor y distribucién. Este software fue desarrollado en el Instituto Nacional. de Estandares y Tecnologia por empleados del Gobierno Federal en el ejercicio de sus funciones oficiales De conformidad con el Titulo 17 Seccién 105 del Cédigo de los Estados Unidos, este software no esta sujeto a proteccién de derechos de autor y es de dominio puiblico La herramienta de referencia NIST CSF es una prueba de la aplicacién de concepto NIST no asume responsabilidad alguna por su uso por terceros, y no ofrece garantias, expresas o implicitas, sobre su calidad, confiabilidad o cualquier otra caracteristica. [Link] reference-tool https:/[Link]/document/2018-04- 16frameworkv1 1core1xIsx -gov/cyberframework/csf- La Herramienta de Evaluacién de Ciberseguridad (CSET®) La Herramienta de Evaluacién de Seguridad Cibernética (CSET®) es un producto del Departamento de Seguridad Nacional que ayuda a las organizaciones a proteger sus activos cibernéticos nacionales clave. Fue desarrollada bajo la direccién de la Divisién Nacional de Seguridad Cibernética del DHS (por expertos en seguridad cibernética y con asistencia del Instituto Nacional). de estandares y tecnologia Esta herramienta proporciona a los usuarios un enfoque sistematico y repetible para evaluar la postura de seguridad de sus sistemas y redes cibernéticas. Incluye preguntas detalladas y de alto nivel relacionadas con todos los sistemas de control industrial y TI. [Link] [Link]/forms/csetiso [Link] CERTIPROF® is a registered trademark of CertiProf, LLC in the United States and/or other countries.CertiProf’ Professional Knowledge Recursos Marco para mejorar la ciberseguridad de infraestructura critica y noticias relacionadas, informacion: © [Link]/cyberframework. * https:/[Link]/cyberframework/resources NIST SP 800-53 Rev. 4: [Link]/nistpubs/SpecialPublications/[Link] ISO/IEC 2[Link] [Link]/standard/[Link] CIS CSC: [Link]/controls/ ISA 62443-2-[Link] [Link]/templates/[Link]?pageid=111294&productid=116731 ISA 62443-3-[Link] [Link]/templates/[Link]?pageid=111294&productid=116785 Recursos adicionales de seguridad cibernética: [Link] Traducciones Traduccién al 4rabe del Marco de Ciberseguridad NIST V 1 1 (Traducido por Ali A AIHasan PMP, CISSP, CISA, CGEIT, CRISC, CISM y Ali AlHajj Revisado por Schreiber Translations, INC (STI)No es una traduccién oficial del gobierno de EE. UU.). Traducciénaljaponés del Marco de Ciberseguridad NIST (pagina no en inglés) (Esta es una traduccién directa de la Versién 1 del Marco de Ciberseguridad producido por la Agencia de Promocién de Tecnologia de la Informacin de Japon (IPA). Traduccién al portugués del Marco de Ciberseguridad NIST V 1 1 (Traducido por cortesia de la Camara de Comercio de EE. UU. Y el Consejo Empresarial de EE. UU. De Brasil) No es una traduccién oficial del Gobierno de EE. UU. © Traduccién al espafiol del Marco de Ciberseguridad NIST V 1 1 (EI Marco de Ciberseguridad en espajiol Versién 1 1 fue traducido bajo contrato gubernamental. [Link] CERTIPROF® is a registered trademark of CertiProf, LLC in the United States and/or other countries. PC) ITY PROFESSIONAL CERTIFICATE (LCS! > CYBERSECURI CERTIPROF LEADescripcion General del Marco Prof’ Professional KnowledgeDescripcién General del Marco El Marco es un enfoque basado en el riesgo para gestionar el riesgo de ciberseguridad, y se compone de tres partes. © Elnticleo del marco. «Los niveles de implementacién del marco. Los perfiles de! marco. Cada componente del Marco refuerza la conexién entre los impulsores de negocio / misién y las actividades de ciberseguridad. Nucleo del Marco EI Nucleo del Marco es un conjunto de actividades de seguridad cibernética, resultados deseados y referencias aplicables que son comunes en todos los sectores de infraestructura critica. E] Nucleo presenta estandares, directrices y practicas de la industria de una manera que permite la comunicacion de las actividades y los resultados de seguridad cibernética en toda la organizacién, desde el nivel ejecutivo hasta el nivel de implementacion u operaciones. EI Nucleo del Marco consta de cinco Funciones simultaneas y continuas: Identificar, Proteger, Detectar, Responder y Recuperar. Cuando se consideran juntas, estas Funciones proporcionan una visién estratégica de alto nivel del ciclo de vida del proceso de gestion de riesgos de la seguridad cibernética de una organizacién. El Nucleo del Marco identifica Categorias y Subcategorias claves y subyacentes (que son resultados discretos) para cada Funcién, y las compara con ejemplos de Referencias [Link] CertiProf’ Professional Knowledge Informativas como estandares, directrices y practicas existentes para cada Subcategoria. Componentes del Marco de Ciberseguridad CYBERSECURITY FRAMEWORK Los Niveles de Implementacién del Marco ("Niveles") proporcionan un contexto sobre cémo una organizacién considera el riesgo de seguridad cibernética y los procesos establecidos para gestionar dicho riesgo. Los Niveles describen el grado en que las practicas de gestién de riesgos de seguridad cibernética de una organizacién exhiben las caracteristicas definidas en el Marco (por ejemplo, consciente de los riesgos y amenazas, repetibles y adaptables). Los Niveles caracterizan las practicas de una organizacién en un rango, desde Parcial (Nivel 1) hasta Adaptable (Nivel 4). Estos Niveles refiejan una progresion desde respuestas informales y reactivas a enfoques que son giles e informados sobre los riesgos. Durante el proceso de seleccién de Niveles, una organizacién debe considerar sus practicas actuales de administracién de riesgos, el entorno de amenazas, requisitos legales y reglamentarios, objetivos empresariales 0 de misi6n y las limitaciones organizacionales. CERTIPROF@ is a registered trademark of CertiProf, LLC in the United States and/or other countries. PC) ITY PROFESSIONAL CERTIFICATE (LCS! ECURI > CYBERS! CERTIPROF LEAPC) -ATE (LSE ITY PROFESSIONAL CERTIFIC ECURI > CYBERS! CERTIPROF LEA CertiProf’ Professional Knowledge Perfil del Marco Un Perfil del Marco ("Perfil") representa los resultados que se basan en las necesidades empresariales que una organizacién ha seleccionado de las categorias y subcategorias del Marco. El Perfil se puede caracterizar como la alineacién de estandares, directrices y practicas con el Niicleo del Marco en un escenario de implementacién particular. Los Perfiles se pueden utilizar para identificar oportunidades para mejorar la postura de seguridad cibernética comparando un Perfil "actual" (el estado "tal como esta") con un Perfil "objetivo" (el estado "por ser"). Para desarrollar un Perfil, una organizacién puede revisar todas las Categorias y Subcategorias y, en funcién de los impulsores empresariales / de misién Y una evaluacién de riesgos, determinar cudles son los mas importantes; puede agregar Categorias y Subcategorias segtin sea necesario para abordar los riesgos de la organizacién. El Perfil Actual se puede usar para apoyar la priorizacién y la medicién del progreso hacia el Perfil Objetivo, mientras se tienen en cuenta otras necesidades empresariales, incluidas la rentabilidad y la innovacién. Los Perfiles se pueden utilizar para realizar autoevaluaciones y comunicarse dentro de una organizacién o entre organizaciones. [Link] CERTIPROF® is a registered trademark of CertiProf, LLC in the United States and/or other countries.Gestion de Riesgos y el Marco de Ciberseguridad Prof’ Professional KnowledgePC) -ATE (LSE ITY PROFESSIONAL CERTIFIC ECURI > CYBERS! CERTIPROF LEA CertiProf’ Professional Knowledge Marco de Gestién de Riesgos y Ciberseguridad La gestion de riesgos es el proceso continuo de identificaci6n, evaluacion y respuesta al riesgo. Para gestionar el riesgo, las organizaciones deben comprender la probabilidad de que ocurra un evento y los posibles impactos resultantes. Con esta informacién, las organizaciones pueden determinar el nivel aceptable de riesgo para lograr sus objetivos organizacionales y pueden expresar esto como su tolerancia al riesgo. Con una comprensién de la tolerancia al riesgo, las organizaciones pueden priorizar las actividades de ciberseguridad, para permitir a las organizaciones a tomar decisiones informadas sobre los gastos de seguridad cibernética. La implementacién de programas de gestién de riesgos ofrece a las organizaciones la capacidad de cuantificar y comunicar los ajustes a sus programas de ciberseguridad. Las organizaciones pueden optar por manejar el riesgo de diferentes maneras, incluida la mitigacién de riesgos, la transferencia del riesgo, la evasion del riesgo o la aceptacién del riesgo, dependiendo del impacto potencial en la prestacién de los servicios criticos. El Marco utiliza procesos de gestion de riesgos para permitir a las organizaciones informar y priorizar las decisiones con respecto a la ciberseguridad. Admite evaluaciones de riesgos recurrentes y validacién de los impulsores comerciales para ayudar a las organizaciones a seleccionar estados objetivo para actividades de seguridad cibernética que reflejen los resultados deseados. Por lo tanto, el Marco brinda a las organizaciones la capacidad de seleccionar dinamicamente y la mejora directa en la gestién de riesgos de ciberseguridad para los entornos de Tle ICS. El Marco es adaptable para proporcionar una implementacién flexible y basada en el riesgo que se puede utilizar con una amplia gama de procesos de gestién de riesgos de ciberseguridad. Algunos ejemplos de procesos de gestin de riesgos de ciberseguridad incluyen la Organizacién Internacional de Normalizacién (ISO) 31000:2009, ISO/Comisién Electrotécnica Internacional (IEC) 27005:2011, Publicacién Especial (SP) 800-39 del NIST y la directriz del proceso de gestién de riesgos de seguridad cibernética (RMP) del sector eléctrico. [Link] CERTIPROF® is a registered trademark of CertiProf, LLC in the United States and/or other countries.Conceptos Basicos Sobre el Marco Prof’ Professional KnowledgeUURITY PROFESSIONAL CERTIFICATE (LCSPC) CERTIPROF LEAD CYBERS CertiProf’ Professional Knowledge Conceptos Basicos del Marco El Marco proporciona un lenguaje comtin para comprender, gestionar y expresar el riesgo de ciberseguridad para las partes interesadas internas y externas. Se puede utilizar para ayudar aidentificar y priorizar acciones para reducir el riesgo de ciberseguridad, y es una herramienta para alinear los enfoques de politicas, negocios y tecnologia para manejar dicho riesgo. También se puede utilizar para administrar el riesgo de seguridad cibernética en todas las partes de una organizacién o se puede enfocar en la entrega de servicios criticos dentro de una parte de la organizacién. Los distintos tipos de entidades, incluyendo las estructuras de coordinacién del sector, as asociaciones y las organizaciones, pueden utilizar el Marco para diferentes propésitos, incluyendo la creacién de Perfiles comunes. [Link] CERTIPROF® is a registered trademark of CertiProf, LLC in the United States and/or other countries.Nucleo del Marco (Framework Core) Prof? Professional KnowledgeUURITY PROFESSIONAL CERTIFICATE (LCSPC) CERTIPROF LEAD CYBERS CertiProf’ Professional Knowledge Ndcleo del Marco EI Nacleo del Marco proporciona un conjunto de actividades para lograr resultados especificos de seguridad cibernética y hace referencia a ejemplos de orientacién en como lograr dichos resultados. El Niicleo no es una lista de verificacién de las acciones a realizar. Este presenta los resultados clave de seguridad cibernética identificados por las partes interesadas como utiles para gestionar el riesgo de seguridad cibernética. El Nucleo consta de cuatro elementos: Funciones, Categorias, Subcategorias y Referencias Informativas, representadas en la Figura 1. Es oo Identificar Detectar Rielle > : ao = Z Recuperar Figura 4: Estructura del Niicleo del Marco [Link] CERTIPROF® is a registered trademark of CertiProf, LLC in the United States and/or other countries.Funciones Los elementos del Niicleo del Marco trabajan juntos en la siguiente manera: Las Funciones organizan actividades basicas de seguridad cibernética en su nivel més alto. Estas funciones son Identificar, Proteger, Detectar, Responder y Recuperar. Estas ayudan a una CertiProf’ Professional Knowledge Categorias Las Categorias son las subdivisiones de una Funcién en grupos de resultados de seguridad cibernética estrechamente vinculados a las necesidades programaticas y actividades particulares. Los ejemplos de categorias incluyen "Gestion de activos", "Gestion de identidad y control de acceso" y "Procesos de deteccién’: organizacién a expresar su gestién del riesgo de seguridad cibernética organizando informacién, habilitando decisiones de gestién de riesgos, abordando amenazas y mejorando el aprender de actividades previas. Las Funciones también se alinean con las metodologias existentes para la gestion de incidentes y ayudan a mostrar el impacto de las inversiones en seguridad cibernética. Por ejemplo, las inversiones en planificacién y ejercicios apoyan la respuesta oportuna y las acciones de recuperacién, lo que resulta en un impacto reducido en la prestacién de servicios. Subcategorias Las Subcategorias dividen atin mas una Categoria en resultados especificos de actividades técnicas © de gestion. Proporcionan un conjunto de resultados que, aunque no son exhaustivos, ayudan a respaldar el logro de los resultados en cada Categoria. Algunos ejemplos de subcategorias incluyen "Los sistemas de informacién externos se catalogan’, "Los datos en reposo se protegen" y "Las notificaciones de los sistemas de deteccién se investigan’. Referencias Las Referencias Informativas son secciones especificas de normas, directrices y practicas comunes entre los sectores de infraestructura critica que ilustran un método para lograr los resultados asociados con cada Subcategoria. Las referencias informativas presentadas en el Nuicleo del Marco son ilustrativas y no exhaustivas. Se basan en la orientacién intersectorial a la que se hace referencia con més frecuencia durante el proceso de desarrollo del Marco. [Link] CERTIPROF@ is a registered trademark of CertiProf, LLC in the United States and/or other countries. PC) ITY PROFESSIONAL CERTIFICATE (LCS! ECURI > CYBERS! CERTIPROF LEALas Cinco Funciones Basicas del Marco Prof’ Professional KnowledgeCertiProf’ Professional Knowledge Las Cinco Funciones Basicas del Marco © Maximo nivel de abstraccién en el niicleo. © Representar cinco pilares clave de un programa de ciberseguridad exitoso e integral. © Ayudar a las organizaciones a expresar su gestién del riesgo de ciberseguridad a un alto nivel. Funcién Categoria 1D Gestion de Activos [Link] . . [Ambiente de Negocios [Link] Que procesus y activos [Gobernancia ID.6V NScESTEAS prEERSCIGNe Evaluacién de Riesgos [Link] Estrategias de Gestidn de Riesgos [Link]. [Gestidn de Riesgo en Cadena de Suministros| [Link] [Gestién de Identidad v Contrél de Acceso_| PRAC. |Conciencia y Entrenamiento PRAT. [Seguridad de la Informacién. [Link] éQué garantias hay Procesos de Proteccién de la Informacion disponibles? ¥ procedimientos eee Mantenimientn [Link] Tecnologia Protectora [Link] {Qué técnicas pueden identificar incidentes? r Plan de Respuestas [Link] epee Comunicaciones [Link] éQué técnicas pueden Analisis [Link] contener impactos de incidentes? Lwiigacion BS. Mejoras [Link] 5 Plan de Recuperacion REAP ae senieas pedal Mejoras [Link] [Link] [Comunicaciones [Link] [Link] CERTIPROF@ is a registered trademark of CertiProf, LLC in the United States and/or other countries. LURITY PROFESSIONAL CERTIFICATE (LCSPC) CERTIPROF LEAD CYBERS!CERTIPROF LEAD CYBERSECURITY PROFESSIONAL CERTIFICATE (LCSPC) CertiProf’ Professional Knowledge Indentificar La funcién de identificar ayuda a desarrollar una comprensién organizacional de la gestién del riesgo de ciberseguridad para sistemas, personas, activos, datos y capacidades. Ejemplos de Resultados: * Identificar activos fisicos y de software para establecer un programa de gestién de activos. « Identificar politicas de ciberseguridad para definir un programa de gobernanza. « Identificar una estrategia de gestién de riesgos para la organiza Proteger Desarrollar e implementar medidas de seguridad adecuadas para garantizar la entrega de servicios criticos. La funcién Proteger admite la capacidad de limitar o contener el impacto de un posible evento de seguridad cibernética. Ejemplos de Resultados: © Gestién de identidad y control de acceso. = Conciencia y entrenamiento. Seguridad de datos. « Procesosy procedimientos de proteccién de la informacién. Mantenimiento y Tecnologia de proteccién. [Link] CERTIPROF® is a registered trademark of CertiProf, LLC in the United States and/or other countries.CertiProf’ Professional Knowledge Detectar Desarrollar e implementar actividades apropiadas para identificar la ocurrencia de un evento de seguridad cibernetica. La Funcién Detectar permite el descubrimiento oportuno de eventos de seguridad cibernética. Ejemplos de Resultados: Anomalias y eventos. Monitoreo continuo de seguridad y Procesos de deteccién. Responder La funcién de respuesta desarrolla e implementa actividades apropiadas para tomar medidas con respecto a un incidente de seguridad cibernética detectado. La funcién Responder admite la capacidad de contener el impacto de un posible incidente de ciberseguridad. Ejemplos de Resultados: ‘Asegurar que los procesos de planificacién de respuesta se ejecuten durante y después de un incidente. Gestién de comunicaciones durante y después de un evento. Analizando la efectividad de las actividades de respuesta. [Link] CERTIPROF® is a registered trademark of CertiProf, LLC in the United States and/or other countries. CERTIPROF LEAD CYBERSECURITY PROFESSIONAL CERTIFICATE (LCSPC)CertiProf’ Professional Knowledge CERTIPROF LEAD CYBERSECURITY PROFESSIONAL CERTIFICATE (LCSPC) Recuperar La funcién Recuperar desarrolla e implementa actividades apropiadas para mantener planes de resiliencia y restaurar cualquier capacidad © servicio que se haya visto afectado debido a un incidente de ciberseguridad. La funcién Recuperar admite la recuperacién oportuna a las, operaciones normales para reducir el impacto de un incidente de seguridad cibernética. Ejemplos de Resultados: © Asegurar que la organizacién implemente los procesos y procedimientos de Planificacién de Recuperacién. + Implementando mejoras basadas en las lecciones aprendidas. © Coordinar las comunicaciones durante las actividades de recuperacién. Referencias informativas: Qué son y cémo se usan? 2 = oe Saeeee zt = oom SEES Beamon an SS = oo = | @) [Link] CERTIPROF® is a registered trademark of CertiProf, LLC in the United States and/or other countries.Niveles de Implementacién del Marco Prof’ Professional KnowledgeUURITY PROFESSIONAL CERTIFICATE (LCSPC) CERTIPROF LEAD CYBERS CertiProf’ Professional Knowledge Niveles de Implementacién del Marco Los Niveles de Implementacién del Marco ("Niveles") proporcionan un contexto sobre cémo una organizacién considera el riesgo de seguridad cibernética y los procesos establecidos para gestionar dicho riesgo. Los Niveles Parcial (Nivel 1) a Adaptable (Nivel 4) describen un grado cada vez mayor de rigor y sofisticacién en las practicas de gestién de riesgos de seguridad cibernética. Ayudan a determinar en qué medida la gestién del riesgo de seguridad cibernética se basa en las necesidades empresariales y se integra a las practicas generales de gestién del riesgo de una organizacién. Las consideraciones de gestién de riesgos incluyen muchos aspectos de seguridad cibernética, entre ellos, el grado en que las consideraciones de privacidad y libertades civiles se integran a la gestion de riesgos de seguridad cibernética de una organizacién y posibles respuestas del riesgo. BE eer meee ccamemmnniarier Romie |) ocineripmesbrce — decerinipo ane iemabee Onvaetarycrmetme eae patciocine” ikinedocioe cl “er lucid ea El proceso de seleccién de niveles considera las practicas actuales de gestién de riesgos de una organizacién, el entorno de amenazas, los requisitos legales y reglamentarios, las practicas de intercambio de informacién, los objetivos de negocio/misién, los requisitos de seguridad cibernética de la cadena de suministro y las restricciones organizacionales. Las organizaciones deben determinar el nivel deseado, asegurando que el nivel seleccionado cumpla los objetivos de la organizacién, es factible de implementar y reduce el riesgo de ciberseguridad a los activos y recursos criticos a niveles aceptables para la organizacién. Las organizaciones deben considerar aprovechar el consejo externo obtenido de los departamentos y agencias del gobierno federal, los Centros de Analisis e Intercambio de Informacién (ISAC), las Organizaciones de Analisis e Intercambio de Informacién (ISAO), modelos de madurez existentes u otras fuentes para ayudar a determinar su Nivel deseado. [Link] CERTIPROF® is a registered trademark of CertiProf, LLC in the United States and/or other countries.CertiProf sional Knowledge Si bien se alienta a las organizaciones identificadas como Nivel 1 (Parcial) a considerar avanzar hacia el Nivel 2 0 superior, los Niveles no representan niveles de madurez Los niveles estén destinados a apoyar la toma de decisiones organizacionales sobre cémo gestionar el riesgo de ciberseguridad, asi ‘como qué dimensiones de la organizacién son mayor prioridad y podria recibir recursos adicionales Se alienta la progresién a niveles més altos cuando un andlisis de costo-beneficio indica una reduccién factible y rentable del riesgo de ciberseguridad. Nivel 1 Nivel 2§f tier 3 (Parcial) (Riesgo (Repetible) informado) Proceso de Gestién de Riesgos Programa Integrado de Gestion de Riesgos Participacién Externas Laimplementacién exitosa del Marco se basa en el logro de los resultados descritos en el/los Perfilles) Objetivols) de la organizacién y no en la determinacién del Nivel. Sin embargo, la seleccién y la designacién de Nivel afecta naturalmente los Perfiles del Marco. La recomendacién de Nivel por parte de los gerentes de niveles empresariales o de proceso, segin aprobado por el Nivel Ejecutivo Senior, ayudara a establecer el tono general de cémo se gestionard el riesgo de seguridad cibernética dentro de la organizacién, y deberd influir la priorizacién dentro de un Perfil Objetivo y en las evaluaciones del progreso para abordar las brechas. [Link] CERTIPROF® is a registered trademark of CertiProf, LLC in the United States and/or other countries. LURITY PROFESSIONAL CERTIFICATE (LCSPC) CERTIPROF LEAD CYBERS!PC) -ATE (LSE ITY PROFESSIONAL CERTIFIC ECURI > CYBERS! CERTIPROF LEA CertiProf’ Professional Knowledge Nivel 1: Parc Proceso de gestién de riesgos: las practicas de gestién de riesgos de ciberseguridad organizacional no estan formalizadas, y el riesgo se gestionademaneraad hocya veces reactiva. La priorizacién de las actividades de ciberseguridad puede no estar directamente informada por los objetivos de riesgo organizacionales, el entorno de amenaza o los requisitos de negocio / misién. Programa integrado de gestién de riesgos: Existe una conciencia limitada sobre el riesgo de seguridad cibernética a nivel organizacional. La organizacién implementa la gestién del riesgo de seguridad cibernética de forma irregular, caso por caso, debido a la variacién en experiencia o informacién que se obtiene de fuentes externas. La organizacién puede no tener procesos que permitan compartir informacién de seguridad cibernética dentro de la organizacién. Participacién externa: La organizacién no comprende su funcién en el ecosistema mas amplio con respecto a sus dependencias o dependientes. La organizacién no colabora ni recibe informacién (por ejemplo, inteligencia sobre amenazas, mejores practicas, tecnologias) de otras entidades, ni tampoco comparte informacién. La organizacién en general desconoce los riesgos cibernéticos de la cadena de suministro de los productos y servicios que proporciona y que utiliza, Nivel 2: Riesgo Informado Proceso de gestién de riesgos: Las practicas de gestién de riesgos son aprobadas por la administracién, pero posiblemente no son establecidas como politicas de toda la organizacién. La priorizacién de las actividades de seguridad cibernética y las necesidades de proteccién estan directamente relacionadas con los objetivos de riesgo organizacional, el entorno de las amenazas, 0 los requisitos empresariales 0 de mision. Programa integrado de gestién de riesgos: Existe una conciencia del riesgo de seguridad cibernética a nivel organizacional, pero no se ha establecido un enfoque en toda la organizacién para gestionar elriesgo de seguridad cibernética. La informacion de seguridad cibernética se comparte dentro de la organizacién de manera informal. La consideracién de la seguridad cibernética en los objetivos y programas organizacionales puede ocurrir en algunos, pero no en todos Ios niveles de la organizacién. Participacién extema: ~Generalmente, la organizacién entiende su funcién en el ecosistema mas amplio con respecto a sus propias dependencias o dependientes, pero no ambos. La organizacién colabora y recibe alguna informacién de otras entidades y genera parte de su propia informacién, pero posiblemente no comparta informacién con otros. [Link] CERTIPROF® is a registered trademark of CertiProf, LLC in the United States and/or other countries.CertiProf’ Professional Knowledge Nivel 3: Repetible Proceso de gestién de riesgos: Las practicas para la gestién de riesgos de la organizacién se aprueban formalmente y se expresan como politicas. Las practicas de seguridad cibernética organizacional se actualizan periédicamente basado en la aplicacién de los procesos de gestién de riesgos a los cambios en los requisitos empresariales / de misién, y un panorama cambiante de amenazas y tecnologia. Programa integrado de gestién de riesgos: Existe un enfoque de toda la organizacién para gestionar el riesgo de seguridad cibernética. Las politicas, procesos y procedimientos informados sobre riesgos se definen e implementan segiin lo previsto, y se revisan. Se han implementado métodos consistentes para responder de manera efectiva a los cambios en el riesgo. El personal posee el conocimiento y las habilidades para realizar sus funciones y responsabilidades asignadas. La organizacién supervisa de manera consistente y precisa el riesgo de seguridad cibernética de los activos de la organizacién. Participaci6n externa: La organizacién entiende su funcién, dependencias y dependientes en un ecosistema mas amplio y posiblemente contribuya a una mas amplia comprensién de los riesgos por parte de la comunidad. Colabora y recibe regularmente informacién de otras entidades que complementan la informacion generada internamente, y comparte informacion con otras entidades. [Link] () CERTIPROF@ is a registered trademark of CertiProf, LLC in the United States and/or other countries. PC) ITY PROFESSIONAL CERTIFICATE (LCS! ECURI > CYBERS! CERTIPROF LEAPC) -ATE (LSE ITY PROFESSIONAL CERTIFIC ECURI > CYBERS! CERTIPROF LEA CertiProf’ Professional Knowledge Nivel 4: Adaptativo Proceso de gestién de riesgos: La organizacién adapta sus practicas de seguridad cibernética basandose en actividades previas y actuales de ciberseguridad, el cual incluye las lecciones aprendidas y los indicadores predictivos. A través de un proceso de mejora continua que incorpora practicas y tecnologias avanzadas de seguridad cibernética, la organizacién continuamente se adapta a un panorama cambiante de amenazas y tecnologias, y responde de manera eficaz y oportuna alas nuevas y sofisticadas amenazas. Programa integrado de gestién de riesgos: Existe un enfoque en toda la organizacién para gestionar el riesgo de seguridad cibernética que utiliza las politicas, los procesos y los procedimientos informados sobre riesgos para abordar posibles eventos de seguridad cibernética. Se entiende claramente la relacién entre el riesgo de seguridad cibernética y los objetivos de la organizacién, y se tienen en cuenta al tomar decisiones. Los altos ejecutivos vigilan el riesgo de seguridad cibernética en el mismo contexto que el riesgo financiero y otros riesgos organizacionales. Participacién externa: La organizacién entiende su rol, sus dependencias y sus dependientes en el ecosistema ms amplioy contribuye a una mayor comprensién de los riesgos por parte de la comunidad. Recibe, genera y revisa informacién priorizada que informa el andlisis continuo de sus riesgos a medida que evolucionan los paisajes de amenazas y tecnologia. La organizacién comparte esa informacién con otros colaboradores de forma interna y externa. [Link] CERTIPROF® is a registered trademark of CertiProf, LLC in the United States and/or other countries.Perfil del Marco Prof’ Professional KnowledgeCERTIPROF LEAD CYBERSECURITY PROFESSIONAL CERTIFICATE (LCSPC) CertiProf’ Professional Knowledge Perfil del Marco EI Perfil del Marco ("Perfil") es la alineacién de las Funciones, Categorias y Subcategorias con los requisitos empresariales, la tolerancia al riesgo y los recursos de la organizacién. Un Perfil permite a las organizaciones establecer una hoja de ruta para reducir el riesgo de seguridad cibernética que esta bien alineada con los objetivos organizacionales y sectoriales, considera los requisitos legales reglamentarios y las mejores practicas de la industria, y refleja las prioridades de gestién de riesgos. Dada la complejidad de muchas organizaciones, pueden elegir tener multiples Perfiles, alineados con ‘componentes particulares y reconociendo sus necesidades individuales. Eg 2 = ——E [Link] CERTIPROF® is a registered trademark of CertiProf, LLC in the United States and/or other countries.CertiProf’ Professional Knowledge Los perfiles de marco se pueden usar para describir el estado actual o el estado objetivo deseado de actividades especificas de ciberseguridad. El perfil actual indica los resultados de ciberseguridad que se estdn logrando actualmente. El perfil objetivo indica los resultados necesarios para lograr los objetivos deseados de gestién de riesgos de ciberseguridad. Los perfiles respaldan los requisitos de negocio / misién y ayudan a comunicar el riesgo dentro y entre las organizaciones. Este marco no prescribe plantillas de perfil, lo que permite flexibilidad en la implementacién. La creacién de estos perfiles y el andlisis de brechas permiten a las organizaciones crear una hoja de ruta priorizada. La prioridad, el tamario de la brecha y el costo estimado de las acciones correctivas ayudan a las organizaciones a planificar y presupuestar las actividades de seguridad cibernética, Dee CoM eee ee yy Gite cae met) EI mS) Maderado —-Pequeiia $98 x Alto Grande $$ x Moderado —_ Mediana $ x 108 Moderado _Ninguna $$ Revalorar Perfil Objetivo Analisis de Brecha Implementacién [Link] CERTIPROF® is a registered trademark of CertiProf, LLC in the United States and/or other countries. CERTIPROF LEAD CYBERSECURITY PROFESSIONAL CERTIFICATE (LCSPC)UURITY PROFESSIONAL CERTIFICATE (LCSPC) CERTIPROF LEAD CYBERS CertiProf’ Professional Knowledge La comparacién de perfiles (por ejemplo, el perfil actual y el perfil objetivo) puede revelar lagunas que deben abordarse para cumplir con los objetivos de gestién de riesgos de ciberseguridad. Un plan de accién para abordar estas lagunas para cumplir con una categoria o subcategoria determinada puede contribuira la hoja de ruta descrita anteriormente Priorizar la mitigacién de las brechas esta impulsado por las necesidades comerciales de la organizacién y los procesos de gestién de riesgos. Este enfoque basado en el riesgo permite a una organizacién evaluar los recursos necesarios (por ejemplo, dotacién de personal, financiacién) para lograr los objetivos de ciberseguridad de manera rentable y priorizada, ‘Ademés, el Marco es un enfoque basado en el riesgo en el que la aplicabilidad y el cumplimiento de una Subcategoria determinada estén sujetos al alcance del Perfil. Objetivos de negocio Requerimientos y controles Perfil de Ciberseguridad [Link] CERTIPROF® is a registered trademark of CertiProf, LLC in the United States and/or other countries.Coordinacion de Implementacion del Marco Prof’ Professional KnowledgeCERTIPROF LEAD CYBERSECURITY PROFESSIONAL CERTIFICATE (LCSPC) CertiProf’ Professional Knowledge Coordinacién de Implementacién del Marco La Figura 2 describe un flujo comtin de informacién y decisiones en los siguientes niveles dentro de una organizacién. = Ejecutivo. = Procesos de negocio. « Implementacién / Operaciones. La Figura 2 muestra la Informacién nocional y flujos de decisién dentro de una organizacién.. Progreso de Imprementacion ‘Cambios en Actives, \Vuinerabiidad y Amentza. Implementacién Figura 2: Informacién nocional flujos de decisién dentro de una organizacién [Link] CERTIPROF® is a registered trademark of CertiProf, LLC in the United States and/or other countries.CertiProf’ Professional Knowledge EI nivel ejecutivo comunica las prioridades de la misi6n, los recursos disponibles y la tolerancia al riesgo general a nivel empresarial / de proceso. El nivel empresarial o de proceso utiliza la informaci6n como entradas en el proceso de gestién de riesgos, y luego colabora con el nivel de implementacién u operaciones para comunicar las necesidades del negocio y crear un Perfil. Elnivel de implementacién u operaciones comunica el progreso de la implementacién del Perfil l nivel empresarial o de proceso. El nivel empresarial o de proceso utiliza esta informaci6n para realizar una evaluacién de impacto. La administracion de nivel empresarial o de proceso informa los resultados de esa evaluaci6n de impacto al nivel ejecutivo para informar el proceso general de gestion de riesgos de la organizaci6n y el nivel de implementacién u operaciones para la conciencia del impacto comercial. PC) LATE (LCS LURITY PROFESSIONAL CERTI > CYBERSEC CERTIPROF LEA [Link] CERTIPROF® is a registered trademark of CertiProf, LLC in the United States and/or other countries.Como Usar el Marco Prof’ Professional KnowledgeCémo Usar el Marco Una organizacién puede utilizar el marco como una parte clave de su proceso sistemético para identificar, evaluar y administrar el riesgo de seguridad cibernética. El marco no esta disefiado para reemplazar los procesos existentes; una organizacién puede utilizar su proceso actual y superponerlo en el marco para determinar las brechas en su enfoque actual de riesgo de seguridad cibernética y desarrollar tna hoja de ruta hacia la mejora. Al utilizar el marco como una herramienta de gestién de riesgos de seguridad cibernética, una organizacién puede determinar actividades que son los mas importantes para la prestacién de servicios criticos y priorizar los gastos para maximizar el impacto de la inversién. El marco esta disefiado para complementar las operaciones empresariales y de seguridad cibernética existentes. Puede servir como base para un nuevo programa de seguridad cibernética o un mecanismo para mejorar un programa existente. El marco proporciona un medio para expresar los requisitos de seguridad cibernética a los socios empresariales y clientes, y puede ayudar a identificar las brechas en las practicas de seguridad cibemética de una organizacién. También proporciona un conjunto general de consideracionesy procesos para considerar las implicaciones de privacidad y libertades civiles en elcontexto de un programa de seguridad cibernética. EI marco se puede aplicar a lo largo de las fases del ciclo de vida del plan, disefio, construccién / compra, implementacién, operacién y desmantelamiento. La fase del plan comienza el ciclo de cualquier sistema y sienta las bases para todo lo que sigue. Deben declararse y describirse consideraciones generales de ciberseguridad tan claramente como sea posible. El plan debe reconocer que CertiProf’ Professional Knowledge esas consideraciones y requisitos probablemente evolucionarn durante el resto del ciclo de vida. La fase de disefio debe tener en cuenta los requisitos de ciberseguridad como parte de un proceso de ingenieria de sistemas multidisciplinarios mas amplio. Un hito clave de la fase de disefio es la validacién de que las especificaciones de seguridad cibernética del sistema coinciden con|as necesidades yla disposicién de riesgo de la organizacién como se captura en un Perfil Marco. Los resultados de ciberseguridad deseados priorizados en un perfil objetivo deben incorporarse cuando: a) Desarrollo del sistema durante la fase de construcci6n. b) Comprar o externalizar el sistema durante la fase de compra durante la comprar fase. EI mismo perfil de destino sirve como una lista de caracteristicas de seguridad cibernética del sistema que deben evaluarse al implementar el sistema para verificar que se implementen todas las funciones. Los resultados de seguridad cibernética determinados mediante e! Marco deberian servir como base para la operacién continua del sistema. Esto incluye reevaluaciones ocasionales, capturando resultados [Link] Perfil actual, para verificar que los requisitos de ciberseguridad atin se cumplan. Porlogeneral, una red compleja de dependencias (por ejemplo, controles compensatorios y comunes) entre sistemas significa que los resultados documentados enlos Perfiles de destino delos sistemas relacionados deben considerarse cuidadosamente a medida que los sistemas estn fuera de servicio. Las siguientes secciones presentan diferentes formas en que las organizaciones pueden usar el marco. [Link] CERTIPROF® is a registere trademark of CertiProf, LLC in the United States and/or other countries. PC) LATE (LCS LURITY PROFESSIONAL CERTI > CYBERSEC CERTIPROF LEARevison Basica de Practicas de Ciberseguridad Prof’ Professional KnowledgeCertiProf’ Professional Knowledge Revisién Basica de las Practicas de Ciberseguridad EI marco se puede utilizar para comparar las actividades de seguridad cibernética actuales de una organizacién con las descritas en el marco basico del marco. Mediante la creaci6n de un Perfil actual, las organizaciones pueden examinar en qué medida estan logrando los resultados descritos en las Categorias y subcategorias principales, alineadas con Cinco funciones de alto nivel Identificar, proteger, detectar, responder y recuperar. Una organizacién puede descubrir que ya est logrando los resultados deseados, gestionando asi la ciberseguridad acorde con el riesgo conocido. Alternativamente, una organizacién puede determinar que tiene oportunidades para (0 necesita) mejorar. La organizacién puede usar esa informacion para desarrollar un plan de accién para fortalecer las practicas de seguridad cibernética existentes y reducir el riesgo de seguridad cibernética. Una organizaci6n también puede descubrir que esta invirtiendo demasiado para lograr ciertos resultados La organizacién puede utilizar esta informacién para priorizar los recursos. Si bien no reemplazan un proceso de gestién de riesgos, estas cinco funciones de alto nivel proporcionaran una forma concisa para que los altos ejecutivos y otros destilen los conceptos fundamentals del riesgo de ciberseguridad para que puedan evaluar cémo se gestionan los riesgos identificados y cémo se acumula su organizacién a un alto nivel en comparacién con los estandares, las pautas y las practicas de ciberseguridad existentes. E! Marco también puede ayudar a una organizacién a responder preguntas fundamentales, incluyendo ";Cémo lo estamos haciendo?" necesario. [Link] CERTIPROF@ is a registered trademark of CertiProf, LLC in the United States and/or other countries. PC) ITY PROFESSIONAL CERTIFICATE (LCS! ECURI > CYBERS! CERTIPROF LEAEstablecimiento o Mejora de un Programa de Ciberseguridad Prof? Professional Knowledge ntriesCertiProf’ Professional Knowledge Establecimiento o Mejora de un Programa de Ciberseguridad Les Es Priorizacion PASO 3: Cr Perfil Actual ata) LNs) eee ttl esse PASO 7: Tacit PASO 6: Arretrreg ete ie) Los siguientes pasos ilustran cémo una organizacién podria usar el Marco para crear un nuevo programa de ciberseguridad o mejorar un programa existente. Estos pasos deben repetirse segiin sea necesario para mejorar continuamente la ciberseguridad. [Link] CERTIPROF® is a registered trademark of CertiProf, LLC in the United States and/or other countries. CERTIPROF LEAD CYBERSECURITY PROFESSIONAL CERTIFICATE (LCSPC)PC) -ATE (LSE ITY PROFESSIONAL CERTIFIC ECURI > CYBERS! CERTIPROF LEA CertiProf’ Professional Knowledge Paso 1: Priorizacién y Alcance La organizacién identifica sus _objetivos empresariales 0 de misién y las prioridades organizacionales de alto nivel. Con esta informacién, la organizacién toma decisiones estratégicas con respecto a las implementaciones de seguridad cibernética y determina el alcance de los sistemas y activos que respaldan la linea o proceso comercial seleccionado. Se puede adaptar El Marco para admitir las diferentes lineas de negocio o procesos dentro de una organizacién, que pueden tener diferentes necesidades empresariales y la tolerancia al riesgo asociada. Las tolerancias de riesgo pueden reflejarse en un Nivel de Implementacién Objetivo. Paso 2: Orientacién Una vez que se ha determinado el alcance del programa de seguridad cibernética para la linea de negocio 0 el proceso, la organizacién identifica los sistemas y activos relacionados, los requisitos reglamentarios y el enfoque de riesgo general. La organizacién luego consulta las fuentes para identificar las amenazas y vulnerabilidades aplicables a esos sistemas y activos. Paso 3: Crear un Perfil Actual La organizacién desarrolla un Perfil Actual en que indica qué resultados de categoria y subcategoria del Nuicleo del Marco se estan logrando actualmente. Si se logra parcialmente un resultado, tomar nota de este hecho ayudaré a respaldar los pasos posteriores al proporcionar informacién de referencia. Paso 4: Realizar una Evaluacién de Riesgos Esta evaluacién podria estar guiada por el proceso de gestién de riesgos general de la organizacién © actividades previas de evaluacién de riesgos. La organizacién analiza el entorno operativo para discemir la probabilidad de un evento de seguridad cibernética y el impacto que el evento podria tener en la organizacién. Es importante que las organizaciones identifiquen los riesgos emergentes y utilicen la informacién de amenazas de seguridad cibernética de fuentes internas y externas para obtener una mejor comprensién de la probabilidad y el impacto de los eventos de seguridad cibernética Paso 5: Crear un Perfil Objetivo La organizacién crea un Perfil Objetivo que se centra en la evaluacién de las Categorias y Subcategorias del Marco que describen los resultados deseados de seguridad cibernética de la organizacién. Las organizaciones también pueden desarrollar sus propias Categorias adicionales y Subcategorias para tener en cuenta los riesgos Unicos de la organizaci La organizacién también puede considerar las influencias y los requisitos de las partes interesadas externas, como las entidades del sector, los clientes y los socios empresariales, al Objetivo debe reflejar adecuadamente los criterios dentro del Nivel de Implementacién objetivo. [Link] CERTIPROF@ is a registered trademark of CertiProf, LLC in the Unit id States and/or other countries.CertiProf’ Professional Knowledge Paso 6: Determinar, Analizar y Priorizar Brechas Laorganizacién compara el Perfil Actual ye! Perfil Objetivo para determinar las brechas. A continuacién, crea un plan de accién priorizado para abordar las brechas (que reflejan los impulsores, los costos y los beneficios, y los riesgos de la misién) para lograr los resultados en el Perfil Objetivo. Luego, la organizacién determina los recursos necesarios para abordar las brechas, que incluyen los fondos y la fuerza laboral, El uso de Perfiles de esta manera alienta a la organizacién a tomar decisiones informadas sobre las actividades de seguridad cibernética, respalda la gestion de riesgos y permite a la organizacién realizar mejoras especificas y rentables. Paso 7: Implementar Plan de Accién La organizacién determina qué acciones tomar para abordar las brechas, si las hay, identificadas en el paso anterior y luego ajusta sus practicas actuales de seguridad cibernética para lograr el Perfil Objetivo. Para proveer mas direccién, el Marco identifica ejemplos de referencias informativas sobre las Categorias y Subcategorias, pero las organizaciones deben determinar qué normas, directrices y practicas, incluidas aquellas que son especificas del sector, funcionan mejor para sus necesidades. Establecer o Mejorar un Programa de Ciberseguridad Una organizacién repite los pasos seguin sea necesario para evaluar y mejorar continuamente su ciberseguridad. Por ejemplo, las organizaciones pueden encontrar que la repeticion mas frecuente del paso de orientacién mejora la calidad de las evaluaciones de riesgos. Ademéas, las organizaciones pueden monitorear el progreso a través de actualizaciones iterativas del Perfil actual, comparando posteriormente el Perfil actual con el Perfil objetivo Las organizaciones también pueden usar este proceso para alinear su programa de ciberseguridad con su Nivel de implementacién de marco deseado. [Link] @) CERTIPROF® is a registered trademark of CertiProf, LLC in the United States and/or other countries. CERTIPROF LEAD CYBERSECURITY PROFESSIONAL CERTIFICATE (LCSPC)Comunicacién de Requisitos de Ciberseguridad a las eV aM Rego [ 6-1 Prof’ Professional KnowledgeCertiProf’ Professional Knowledge Comunicacién de Requisitos de Ciberseguridad a las Partes Interesadas EI Marco proporciona un lenguaje comtin para comunicar los requisitos entre las partes interesadas interdependientes responsable de la entrega de productos y servicios esenciales de infraestructura critica. Por ejemplo: © Una organizacién puede utilizar un Perfil Objetivo para expresar los requisitos de gestién de riesgos de seguridad cibernética a un proveedor de servicios externo. + Una organizacién puede expresar su estado de seguridad cibernética a través de un Perfil Actual para informar resultados o comparar con los requisitos de adquisicién. + Un propietario u operador de infraestructura critica, después de identificar un socio externo del que depende esa infraestructura, puede utilizar un Perfil Objetivo para transmitir Categorias y Subcategorias requeridas. © Un sector de infraestructura critica puede establecer un Perfil Objetivo que se pueda utilizar entre sus componentes como un Perfil de Referencia Inicial para construir sus Perfiles Objetivo personalizados. + Una organizacién puede gestionar mejor el riesgo de seguridad cibernética entre sus partes interesadas mediante la evaluacién de su posicién en la infraestructura critica y la economia digital mas amplia al utilizar Niveles de implementacién. La comunicacién es especialmente importante Mas especificamente, el cyber SCRM aborda entre las partes interesadas en las cadenas tanto el efecto de ciberseguridad que una de suministro. Las cadenas de suministro son organizacién tiene en las partes externas como el conjuntos de recursos y procesos complejos, efecto de ciberseguridad que las partes externas distribuidos globalmente e interconectados entre _ tienen en una organizacién. miltiples niveles de organizaciones. Las cadenas de suministro comienzan con el suministro de productos y servicios y se extienden desde el mmm disefio, desarrollo, fabricacién, procesamiento, ECOSISTEMA manejo y entrega de productos y servicios al ey usuario final. Dadas estas relaciones complejas_e interconectadas, la gestion de riesgos de la cadena de suministro (SCRM) es un funcién organizacional critica. Cyber SCRM es el conjunto de actividades necesarias para gestionar el riesgo de = ciberseguridad asociado con terceros. [Link] (@) CERTIPROF@ is a registered trademark of CertiProf, LLC in the United States and/or other countries. PC) ITY PROFESSIONAL CERTIFICATE (LCS! ECURI > CYBERS! CERTIPROF LEA