Función de gobernanza en el CSF
del NIST

La función de gobernanza en el CSF del NIST: la estrategia, las expectativas y la política de gestión de riesgos de seguridad cibernética de la organización se establecen, comunican y supervisan.
Fuente: CSF 2.0 del NIST

Los objetivos de la función de gobernanza en el Marco de Ciberseguridad (CSF) del NIST son:

• Garantizar que los objetivos, las políticas y los procesos de seguridad cibernética de la organización se alinean con sus objetivos empresariales, su tolerancia al riesgo y los requisitos normativos.
• Definir y comunicar los roles, las responsabilidades y la autoridad para tomar decisiones en caso de un incidente cibernético.
• Decidir la priorización y asignación de recursos, incluyendo personal, tecnología y financiación, durante los incidentes de seguridad cibernética.

La función de Gobernanza tiene seis categorías, y cada categoría tiene varias subcategorías.

1. Contexto organizativo (GV.OC)

Esta categoría ayuda a las organizaciones a comprender el entorno interno y externo en el que operan. Incluye la definición de la misión, la visión y los objetivos estratégicos de la organización, así como la comprensión de los requisitos normativos, legales y específicos del sector.

Las subcategorías de GV.OC son:

• GV.OC-01: se comprende la misión de la organización y se informa sobre la gestión de riesgos de seguridad cibernética.

Esta subcategoría hace hincapié en la alineación de los esfuerzos de seguridad cibernética con la misión y los objetivos de la organización.

Estos pasos prácticos pueden ayudarle a cumplir con esta subcategoría:

• Comprender el propósito central de la organización, sus objetivos estratégicos y sus prioridades operativas.
• Adaptar las actividades de gestión de riesgos de seguridad cibernética para proteger los activos, los procesos y las funciones.
• Integrar la misión en la gestión de riesgos para garantizar que se priorizan los recursos para proteger lo que más importa, como los datos de los pacientes en el sector de la salud, la propiedad intelectual en las instituciones de investigación o los datos financieros en la banca.
• Garantizar la comunicación entre los equipos de seguridad cibernética y otras partes interesadas de la organización.
• GV.OC-02: las partes interesadas internas y externas son comprendidas, y sus necesidades y expectativas con respecto a la gestión de riesgos de seguridad cibernética son comprendidas y consideradas.

• Esta subcategoría hace hincapié en la participación de las partes interesadas como un componente crítico en la gobernanza efectiva de la seguridad cibernética.

Estos pasos prácticos pueden ayudarle a cumplir con esta subcategoría:

• Identificar y correlacionar a las partes interesadas clave tanto dentro como fuera de la organización.
• Comprender la función, los intereses y el impacto potencial de las partes interesadas en o por los riesgos de seguridad cibernética.
• Recopilar las opiniones de las partes interesadas para elaborar estrategias de gestión de riesgos que satisfagan sus necesidades y expectativas.
• Garantizar un proceso de compromiso continuo para atender las necesidades de las partes interesadas.

• GV.OC-03: se comprenden y gestionan los requisitos legales, normativos y contractuales relativos a la seguridad cibernética, incluidas las obligaciones en materia de privacidad y libertades civiles.

Esta subcategoría destaca la necesidad de que las organizaciones identifiquen y comprendan todas las obligaciones legales, regulatorias y contractuales relacionadas con la seguridad cibernética, la privacidad y las libertades civiles. Estos requisitos podrían incluir el cumplimiento de leyes como la HIPAA, el GDPR, o mandatos específicos del sector y otras normas industriales. Su organización también debe garantizar que se respetan y no se obstaculizan las libertades civiles de los ciudadanos del país en el que opera, tal y como están consagradas en su constitución.

Estos pasos prácticos pueden ayudarle a cumplir con esta subcategoría:

• Garantizar que los equipos de cumplimiento revisen y actualicen periódicamente sus conocimientos sobre la evolución del panorama normativo y jurídico.
• Fomentar la colaboración entre los equipos jurídicos, de cumplimiento y de seguridad cibernética para identificar los riesgos asociados al incumplimiento y establecer medidas para mitigarlos.
• Garantizar que la documentación y las pruebas de cumplimiento adecuadas (como pistas de auditoría, políticas y evaluaciones) se mantienen y se puede acceder fácilmente a ellas para las auditorías o consultas.
• Educar a los empleados sobre las obligaciones en materia de privacidad y libertades civiles para minimizar los errores humanos que puedan causar infracciones.v
• Monitorear su adherencia continuamente e implementar acciones correctivas si se identifican brechas.

• GV.OC-04: se comprenden y comunican los objetivos, las capacidades y los servicios críticos de los que dependen las partes interesadas externas o que esperan de la organización.

Las partes interesadas externas pueden depender de su organización para ciertos servicios críticos. Esta subcategoría destaca la importancia de comprender estas dependencias críticas y comunicarlas a las partes interesadas externas. Por ejemplo, un banco puede depender de su organización para que le proporcione una pasarela de pago que facilite las transacciones en línea a sus clientes, o un hospital puede confiar en su organización para que le proporcione un acceso seguro e ininterrumpido a un sistema de EHR para gestionar los datos de los pacientes.

Estos pasos prácticos pueden ayudarle a cumplir con esta subcategoría:

• Identificar los objetivos, funciones y servicios clave en los que confían o esperan las partes interesadas externas. Estas partes interesadas pueden incluir clientes, socios, reguladores y proveedores.
• Comunicar este entendimiento a las partes interesadas para ayudar a construir la confianza y garantizar que estén informadas sobre la capacidad de la organización para prestar estos servicios de forma segura y fiable.
• Mantener abiertas las líneas de comunicación con las partes interesadas, especialmente en caso de incidentes que puedan afectar a la prestación de servicios críticos.
• Considerar y prepararse para afrontar las interrupciones de estos servicios críticos que podrían propagarse por todo el entorno, afectando a las partes interesadas.
• Documentar y formalizar estas dependencias para garantizar la transparencia y facilitar la planificación estratégica de la gestión de riesgos.

• GV.OC-05: se comprenden y comunican los resultados, capacidades y servicios de los que depende la organización.

Esta subcategoría hace hincapié en la necesidad de comprender y transmitir qué es lo que impulsa el éxito de una organización. Esta subcategoría es similar a GV.OC-01, en el sentido de que ambas abordan la misión principal de la organización. La diferencia es que aquí también nos fijamos en los servicios y funciones de los que dependemos para cumplir la misión de nuestra organización.

Estos pasos prácticos pueden ayudarle a cumplir con esta subcategoría:

• Identificar los resultados clave, como la satisfacción del cliente, la generación de ingresos o el cumplimiento normativo.
• Reconocer las funciones básicas, como los conocimientos especializados, las tecnologías propias o la fiabilidad de la cadena de suministro, que permiten a su organización lograr resultados empresariales positivos.
• Identificar los servicios esenciales, incluyendo la infraestructura de TI, los servicios de proveedores externos y otras dependencias operativas.
• Documentar y comunicar estos datos a las partes interesadas para aumentar la concienciación.

2. Estrategia de gestión de riesgos (GV.RM)

La categoría ayuda a las organizaciones a garantizar que la estrategia de gestión de riesgos se alinea con la misión general, los objetivos y la tolerancia al riesgo.

Las subcategorías de GV.RM son:

• GV.RM-01: los objetivos de la gestión de riesgos son establecidos y acordados por las partes interesadas de la organización.

Esta subcategoría ayuda a establecer objetivos de gestión de riesgos claros y consensuados dentro de una organización.

Estos pasos prácticos pueden ayudarle a cumplir con esta subcategoría:

• Garantizar que los líderes de la organización y las principales partes interesadas coinciden en lo que constituye un riesgo aceptable y en el enfoque para gestionarlo.
• Llevar a cabo un ejercicio de colaboración en el que los ejecutivos, equipos de seguridad y otros departamentos críticos se reúnan para definir la tolerancia al riesgo y los resultados deseados de las iniciativas de gestión de riesgos.
• Garantizar que los objetivos de la gestión de riesgos reflejen la misión general de la organización, sus valores y sus obligaciones normativas. Un ejemplo de dicho objetivo podría ser salvaguardar la confidencialidad y la integridad de los datos de los pacientes implementando controles de acceso y cifrado sólidos para cumplir con la normativa de la HIPAA, al tiempo que se mantiene el compromiso con la privacidad de los pacientes.
• Tener en cuenta el impacto potencial de los riesgos de seguridad cibernética en las operaciones, la reputación y la posición legal de la organización.
• Realizar revisiones y actualizaciones periódicas de estos objetivos para garantizar que siguen siendo relevantes a medida que evolucionan el negocio y el panorama de las amenazas.

• GV.RM-02: se establecen, se comunican y se mantienen las declaraciones sobre el apetito de riesgo y la tolerancia al riesgo.

Esta subcategoría ayuda a definir y gestionar el enfoque global de la organización sobre el apetito de riesgo y la tolerancia al riesgo. El apetito de riesgo se refiere al tipo de riesgo que una organización está dispuesta a asumir para lograr sus objetivos, mientras que la tolerancia al riesgo define el nivel aceptable de riesgo que la organización está dispuesta a soportar en diversas circunstancias.

Ejemplo de declaración de apetito de riesgo: "nuestra organización tiene un apetito de riesgo mínimo para las violaciones de la seguridad de los datos que implican información sensible de los pacientes y registros financieros. Sin embargo, estamos dispuestos a aceptar riesgos moderados relacionados con la adopción de nuevas soluciones tecnológicas que cuenten con sólidos controles de seguridad y un monitoreo continuo".

Ejemplo de declaración de tolerancia al riesgo: "nuestra organización no tolerará ningún acceso no autorizado a los registros confidenciales de los pacientes. Sin embargo, para la disponibilidad del sistema y el tiempo de actividad, aceptamos una tolerancia de inactividad de hasta el 1% anual, siempre que se establezca una respuesta ante incidentes, se apliquen procedimientos de recuperación y las interrupciones del servicio no afecten a los sistemas críticos de atención al paciente".

Estos pasos prácticos pueden ayudarle a cumplir con esta subcategoría:

• Garantizar que la organización tiene una comprensión clara de sus límites para la asunción de riesgos y proporcionar un marco para la toma de decisiones relacionadas con las inversiones y estrategias de seguridad cibernética.
• Comunicar el enfoque de la organización sobre el riesgo a todos los niveles, garantizando que las partes interesadas (desde los ejecutivos hasta los equipos operativos) lo conozcan y estén alineados.
• Reevaluar y actualizar el apetito de riesgo y los niveles de tolerancia a medida que cambien las circunstancias, como las modificaciones en el entorno empresarial o el descubrimiento de nuevas vulnerabilidades.
• Crear una declaración de apetito de riesgo bien documentada y accesible que guíe la implementación de las medidas de seguridad, ayudando a priorizar las inversiones y las acciones.

• GV.RM-03: las actividades y los resultados de la gestión de riesgos de seguridad cibernética se incluyen en los procesos de gestión de riesgos de la empresa.

Esta subcategoría hace hincapié en la integración de la gestión de riesgos de seguridad cibernética en el marco más amplio de la gestión de riesgos empresariales (ERM). La gestión de riesgos de seguridad cibernética se centra específicamente en identificar, evaluar y mitigar los riesgos relacionados con los sistemas digitales, los datos y las ciberamenazas, mientras que la ERM abarca un ámbito más amplio, abordando todo tipo de riesgos organizativos, incluyendo los estratégicos, financieros, operativos y de reputación. Por lo tanto, esta subcategoría garantiza que los riesgos de seguridad cibernética se consideren junto con otros tipos de riesgos empresariales, lo que permite adoptar un enfoque más holístico del riesgo organizativo.

Estos pasos prácticos pueden ayudarle a cumplir con esta subcategoría:

• Desarrollar un proceso de comunicación y colaboración continuas entre el equipo de seguridad cibernética y otros departamentos, como el financiero, el jurídico y el de operaciones.
• Identificar, evaluar y priorizar los riesgos de seguridad cibernética en el contexto de su impacto potencial en las operaciones empresariales, la reputación y los resultados financieros.
• Realizar evaluaciones periódicas de los riesgos que evalúen los riesgos de seguridad cibernética junto con otros riesgos empresariales.
• Desarrollar planes de mitigación de riesgos que incluyan no sólo controles técnicos sino también procesos efectivos. Involucrar a las distintas unidades de negocio en el desarrollo de estos planes para garantizar una gestión integral del riesgo. Incluir umbrales claros de aceptación de riesgos, acciones de mitigación y partes interesadas responsables, y alinearlos con la estrategia más amplia de mitigación de riesgos de la organización.

• GV.RM-04: se establece y comunica una dirección estratégica que describa las opciones adecuadas de respuesta al riesgoz

Esta subcategoría ayuda a establecer estrategias claras y procesables para abordar los riesgos de seguridad cibernética. El objetivo es proporcionar un marco claro para gestionar los riesgos de forma que se minimice el impacto en las operaciones al tiempo que se maximiza la seguridad y la resiliencia.

Estos pasos prácticos pueden ayudarle a cumplir con esta subcategoría:

• Establecer una estrategia de respuesta al riesgo clara y documentada que describa cómo abordará su organización los distintos tipos de riesgo (por ejemplo, mitigarlos, aceptarlos, transferirlos o evitarlos).
• Definir criterios específicos para elegir entre diferentes opciones de respuesta al riesgo. Por ejemplo, puede que desee priorizar las estrategias de mitigación para los riesgos de alto impacto o alta probabilidad y considerar la aceptación del riesgo para las amenazas de menor impacto y baja probabilidad que no justifiquen una gran inversión de recursos.
• Establecer una estructura de gobernanza que guíe el proceso de toma de decisiones para seleccionar las opciones adecuadas de respuesta al riesgo.
• Garantizar que la estrategia de respuesta al riesgo y sus criterios se comunican claramente a todas las partes interesadas de la organización.
• Monitorear continuamente la efectividad de las respuestas al riesgo implementadas y revisarlas periódicamente para garantizar que permanezcan alineadas con los objetivos empresariales en evolución, el panorama de amenazas y los requisitos normativos.

• GV.RM-05: se establecen líneas de comunicación en toda la organización para los riesgos de seguridad cibernética, lo que incluye a los riesgos de proveedores y otros terceros.

Esta subcategoría se centra en la importancia de establecer unos canales de comunicación claros y estructurados para gestionar los riesgos de seguridad cibernética. Estos canales deben establecerse no sólo dentro de la organización, sino también extenderse a socios externos, proveedores y terceros que puedan plantear riesgos de seguridad cibernética.

Estos pasos prácticos pueden ayudarle a cumplir con esta subcategoría:

• Establecer funciones y responsabilidades claros para la gestión de los riesgos de seguridad cibernética dentro de la organización.
• Designar al personal de distintos niveles (ejecutivo, TI, jurídico, compras) que se encargará de comunicar los riesgos. Esto ayuda a crear transparencia y garantiza que las personas adecuadas participen en las decisiones relacionadas con los riesgos.
• Crear un plan formalizado de comunicación de riesgos de seguridad cibernética que defina los métodos de comunicación, la frecuencia y el proceso de escalamiento en caso de un evento cibernético.
• Establecer líneas de comunicación con proveedores y terceros para garantizar que se identifican y mitigan los riesgos de seguridad cibernética asociados a sus servicios.
• Implementar auditorías de seguridad periódicas, evaluaciones de riesgos y protocolos compartidos de respuesta a incidentes para garantizar que los riesgos de terceros se gestionan y comunican adecuadamente.
• Establecer sistemas de información automatizados o manuales que proporcionen actualizaciones periódicas sobre los riesgos de seguridad cibernética tanto a las partes interesadas internas como a terceros. Estos informes deben incluir el estado de los riesgos identificados, las medidas de mitigación adoptadas y las amenazas emergentes.

• GV.RM-06: se establece y comunica un método estandarizado para calcular, documentar, categorizar y priorizar los riesgos de seguridad cibernética.

Esta subcategoría enfatiza la importancia de tener un enfoque consistente y transparente para garantizar que los riesgos se evalúan, documentan y comunican.

Estos pasos prácticos pueden ayudarle a cumplir con esta subcategoría:

• Desarrollar un marco estandarizado para el cálculo de riesgos (como la matriz de riesgos, FAIR o los modelos SLE/ARO) que evalúe la probabilidad y el impacto de los riesgos de seguridad cibernética. Este marco se debe utilizar de forma consistente en toda la organización para garantizar que todos los riesgos se calculan utilizando los mismos criterios.
• Crear categorías de riesgo que tengan en cuenta la sensibilidad o criticidad del activo de datos. Por ejemplo, se pueden considerar sensibles los datos financieros, la propiedad intelectual, las historias médicas de los pacientes, entre otros.
• Implementar un registro de riesgos centralizado o una base de datos para registrar y supervisar todos los riesgos de seguridad cibernética identificados. El registro debe incluir detalles como la descripción del riesgo, los resultados del cálculo del riesgo, las categorías, la probabilidad, el impacto y las estrategias de mitigación.
• Priorizar los riesgos teniendo en cuenta sus puntuaciones de riesgo calculadas. Utilizar el contexto empresarial (por ejemplo, los requisitos normativos, las pérdidas financieras, la reputación) para sopesar los riesgos y asignar los recursos de forma eficaz.

• GV.RM-07: se caracterizan las oportunidades estratégicas (es decir, los riesgos positivos) y se incluyen en las discusiones sobre riesgos de seguridad cibernética de la organización.

Esta subcategoría se centra en reconocer los riesgos positivos (oportunidades) que surgen como parte de los esfuerzos de seguridad cibernética. Aunque la seguridad cibernética suele centrarse en mitigar las amenazas, también es importante identificar las oportunidades en las que las inversiones o estrategias pueden llevar a resultados beneficiosos, como una mayor eficiencia, una mejora de la innovación o ventajas competitivas.

Estos pasos prácticos pueden ayudarle a cumplir con esta subcategoría:

• Crear un proceso estructurado para que las partes interesadas evalúen las iniciativas o inversiones en seguridad cibernética que podrían generar beneficios estratégicos, como la adopción de nuevos marcos tales como la arquitectura de confianza cero o nuevas tecnologías como los sistemas avanzados de detección de amenazas.
• Caracterizar cada oportunidad utilizando una matriz de riesgo-oportunidad para determinar su valor potencial, viabilidad y alineación con los objetivos de la organización. Evaluar las oportunidades basándose en parámetros claros como el ahorro de costos, la mejora del rendimiento, el potencial de innovación o la mejora de la reputación, al tiempo que se equilibran los riesgos.
• Documentar las oportunidades en registros de riesgos, dashboards o informes para demostrar su valor estratégico.
• Utilizar las mejoras en seguridad cibernética (por ejemplo, la migración a plataformas seguras en la nube) como una ventaja estratégica para la agilidad, la escalabilidad y la innovación, al tiempo que se protegen los activos críticos.
• Establecer KPI para supervisar el rendimiento de los riesgos positivos (por ejemplo, la reducción del tiempo de inactividad, el aumento de la confianza de los clientes o la mejora de los flujos de trabajo operativos) y revisar periódicamente los resultados para una mejora continua.

3. Roles, responsabilidades y autoridades (GV.RR)

Esta categoría se centra en definir y asignar claramente las responsabilidades de las actividades relacionadas con la seguridad cibernética en toda una organización.

Las subcategorías de GV.RR son:

• GV.RR-01: el liderazgo organizativo es responsable de los riesgos de seguridad cibernética y fomenta una cultura consciente de los riesgos, ética y de mejora continua.

Esta subcategoría destaca la función crítica del liderazgo en promover la transparencia en materia de seguridad informática y cultivar una cultura consciente de la seguridad.

Estos pasos prácticos pueden ayudarle a cumplir con esta subcategoría:

• Desarrollar una estructura de gobierno clara que defina las funciones, las responsabilidades y la transparencia en materia de seguridad cibernética dentro del equipo directivo. Designar a un director de seguridad de la información (CISO) o a un líder equivalente para que supervise la gestión de los riesgos de seguridad cibernética e informe a la dirección ejecutiva o al consejo.
• Integrar la gestión de los riesgos de seguridad cibernética en los procesos más amplios de planificación estratégica y toma de decisiones de la organización. Incluir regularmente actualizaciones sobre seguridad cibernética en las reuniones de liderazgo y establecer KPI para medir la efectividad de la gestión de riesgos.
• Implementar políticas que fomenten un comportamiento ético, como el manejo responsable de los datos, el reporte de incidentes y el seguimiento de los protocolos de mitigación de riesgos.
• Establecer un proceso para la evaluación periódica de los riesgos y la elaboración de informes sobre los riesgos identificados, los planes de mitigación y la postura general de seguridad cibernética para la alta dirección y las partes interesadas. Aprovechar herramientas como los registros de riesgos y los dashboards para obtener visibilidad.

• GV.RR-02: se establecen, comunican, comprenden y aplican las funciones, responsabilidades y autoridades relacionadas con la gestión de riesgos de seguridad cibernética.

Esta subcategoría se centra en definir y formalizar quién es responsable de la gestión de los riesgos de seguridad cibernética dentro de una organización. Esto garantiza que todos los miembros del equipo comprendan claramente sus obligaciones y cómo contribuyen a la postura general de seguridad, fomentando la transparencia y la eficiencia.

Estos pasos prácticos pueden ayudarle a cumplir con esta subcategoría:

• Desarrollar un marco detallado de gobernanza de la seguridad cibernética que defina claramente las funciones, las responsabilidades y las autoridades en todos los niveles, incluyendo la dirección ejecutiva, TI, los equipos de seguridad, los proveedores externos y los empleados individuales.
• Divulgar las funciones y responsabilidades documentadas a través de políticas, reuniones de equipo, formación de ingreso y portales internos para garantizar que todo el mundo entiende su papel en la seguridad cibernética.
• Incluir las funciones y expectativas relacionados con la seguridad cibernética en las descripciones de los puestos de trabajo, los acuerdos de empleo y las evaluaciones de rendimiento para formalizar las responsabilidades.
• Lleva a cabo programas de formación en seguridad cibernética basados en los roles para garantizar que las personas entienden sus responsabilidades en materia de seguridad cibernética y cómo ejecutarlas con efectividad.

• GV.RR-03: se asignan recursos adecuados de acuerdo con la estrategia de riesgos de seguridad cibernética, las funciones, las responsabilidades y las políticas.

Esta subcategoría garantiza que las organizaciones asignen recursos suficientes —tanto financieros como humanos— a su estrategia de gestión de riesgos de seguridad cibernética.

Estos pasos prácticos pueden ayudarle a cumplir con esta subcategoría:

• Evaluar los recursos existentes, incluyendo el personal, la tecnología y los presupuestos, para identificar las carencias.
• Priorizar la asignación de recursos basándose en una evaluación exhaustiva de los riesgos y centrándose en las áreas con mayor impacto o probabilidad de amenazas (por ejemplo, activos críticos, datos sensibles). Garantizar que la distribución de los recursos sea proporcional a los niveles de riesgo identificados en la estrategia de riesgos de la organización.
• Definir y documentar claramente las funciones y responsabilidades de todo el personal implicado en la seguridad cibernética, incluyendo los equipos del SOC, los administradores de TI y la dirección.
• Desarrollar un presupuesto dedicado a la seguridad cibernética que cubra las necesidades de herramientas, tecnologías, formación y personal.
• Implementar un monitoreo continuo para evaluar si los recursos asignados están mitigando efectivamente los riesgos y logrando los resultados deseados en materia de seguridad cibernética./li>

• GV.RR-04: la seguridad cibernética se incluye en las prácticas de recursos humanos.

Esta subcategoría destaca la integración de los principios de seguridad cibernética en las prácticas de recursos humanos para construir una cultura de seguridad y garantizar que el personal contribuye de forma efectiva a la postura de seguridad cibernética de su organización.

Estos pasos prácticos pueden ayudarle a cumplir con esta subcategoría:

• Definir claramente las responsabilidades en materia de seguridad cibernética en todas las descripciones de puestos relevantes, especialmente para los roles con acceso a sistemas críticos o datos sensibles. Por ejemplo, especificar expectativas como el cumplimiento de los protocolos de seguridad, las prácticas seguras de manejo de datos y el reporte de incidentes de seguridad.
• A continuación encontrará un ejemplo de la descripción del puesto de un director de ventas que aborda las responsabilidades en materia de seguridad cibernética.

"Como gestor de ventas, se espera que defienda las políticas de seguridad cibernética de la organización garantizando que los datos de los clientes y de las empresas se manejan de forma segura. Tendrá que seguir los protocolos establecidos de protección de datos, completar la capacitación obligatoria de concienciación sobre seguridad cibernética, reportar cualquier sospecha de incidente de seguridad y asegurarse de que los procesos de venta cumplen las normas de seguridad cibernética de la empresa, incluyendo el tratamiento seguro de la información de los clientes y el cumplimiento de las políticas de control de acceso".

• Desarrollar y exigir la formación periódica de todos los empleados. Incluir simulacros de phishing, creación de contraseñas seguras y uso seguro de Internet como módulos de formación para reforzar la concienciación.
• Implementar sólidas comprobaciones de antecedentes previas a la contratación para los roles que impliquen el acceso a datos confidenciales o sistemas críticos.
• Alinear las evaluaciones de rendimiento con el grado de adhesión a las prácticas de seguridad cibernética. Por ejemplo, evaluar si los empleados siguen las políticas de protección de datos, reportan las actividades sospechosas y completan la capacitación obligatoria en materia de seguridad.

4. Política (GV.PO)

Esta categoría se centra en el establecimiento y la implementación de políticas de seguridad cibernética organizacional.

Las subcategorías de GV.PO son:

• GV.PO-01: la política de gestión de riesgos de seguridad cibernética se establece en base al contexto organizativo, la estrategia de seguridad cibernética y las prioridades, y es comunicada y aplicada.

Esta subcategoría exige que las organizaciones creen una política de seguridad cibernética que se alinee con su contexto empresarial único, sus objetivos estratégicos y sus prioridades de gestión de riesgos.

Estos pasos prácticos pueden ayudarle a cumplir con esta subcategoría:

• Realizar una evaluación exhaustiva de las operaciones de la organización, las amenazas específicas del sector, los requisitos normativos y la postura de seguridad cibernética existente. Utilizar marcos como el análisis SWOT o el análisis del impacto en el negocio (BIA) para comprender los factores internos y externos que influyen en la gestión de riesgos.
• Desarrollar una estrategia de seguridad cibernética que describa los objetivos a largo plazo de la organización, la tolerancia al riesgo y las prioridades clave basadas en la evaluación.
• Crear una política formal de gestión de riesgos de seguridad cibernética que describa cómo se identificarán, evaluarán, mitigarán y monitorearán los riesgos.
• Difundir la política a todos los empleados y partes interesadas mediante sesiones de formación, talleres y documentación accesible.
• Establecer mecanismos para aplicar la política, como auditorías periódicas, herramientas de cumplimiento automatizadas y sistemas de reporte de incidentes. Aprovechar herramientas como la SIEM para el monitoreo.

• GV.PO-02: la política de gestión de riesgos de seguridad cibernética se revisa, actualiza, comunica y aplica para reflejar los cambios en los requisitos, las amenazas, la tecnología y la misión de la organización.

Esta subcategoría hace hincapié en la necesidad de adoptar políticas de seguridad cibernética dinámicas y efectivas. Estas políticas se deben adaptar a las circunstancias para garantizar que siguen siendo pertinentes y aplicables.

Estos pasos prácticos pueden ayudarle a cumplir con esta subcategoría:

• Implementar un calendario formalizado para revisar las políticas de seguridad cibernética (por ejemplo, trimestral o anualmente). Utilizar los comentarios de las auditorías, los análisis de incidentes y las lecciones aprendidas para orientar las actualizaciones durante las revisiones.
• Incluir en el proceso de revisión de las políticas a las principales partes interesadas, como los equipos de TI, jurídico, de cumplimiento y ejecutivo.
• Revisar las políticas para tener en cuenta los cambios en las normativas (por ejemplo, actualizaciones en el GDPR, la HIPAA), los cambios tecnológicos (por ejemplo, adopción de servicios en la nube, modelos de confianza cero) y los procesos empresariales.
• Distribuir las políticas actualizadas a través de canales de comunicación formales (por ejemplo, correos electrónicos, portales de intranet) y exigir a los empleados que acusen recibo y las comprendan.

5. Supervisión (GV.OV)

Esta categoría ayuda a garantizar que las políticas de seguridad cibernética, los procedimientos y las actividades de gestión de riesgos se controlan de forma efectiva y se alinean con los objetivos de la organización.

Las subcategorías de GV.OV son:

• GV.OV-01: los resultados de la estrategia de gestión de riesgos de seguridad cibernética se revisan para informar y ajustar la estrategia y la dirección.

Esta subcategoría se centra en evaluar continuamente la efectividad de las estrategias de gestión de riesgos de seguridad cibernética de una organización. Garantiza que los resultados de estas estrategias se analicen para perfeccionar y adaptar el enfoque general de seguridad cibernética.

Estos pasos prácticos pueden ayudarle a cumplir con esta subcategoría:

• Definir métricas específicas, medibles y procesables para evaluar el éxito de su estrategia de gestión de riesgos de seguridad cibernética. Por ejemplo, supervisar el número de incidentes detectados, el tiempo medio hasta la resolución (MTTR) y la reducción de vulnerabilidades de alto riesgo a lo largo del tiempo.
• Programar revisiones periódicas (por ejemplo, trimestrales o semestrales) para evaluar los resultados de las estrategias implementadas. Estas revisiones deben involucrar a las partes interesadas de TI, seguridad, gestión de riesgos y liderazgo para garantizar una evaluación holística.
• Comparar los resultados actuales con los objetivos definidos e identificar brechas en el rendimiento.
• Realizar un análisis de impacto para comprender cómo los cambios en el panorama de las amenazas, los objetivos empresariales o las normativas pueden requerir ajustes en la estrategia.
• Crear un proceso formal para recopilar información detallada de incidentes, auditorías y evaluaciones para retroalimentar el proceso de desarrollo de la estrategia.

• GV.OV-02: la estrategia de gestión de riesgos de seguridad cibernética se revisa y ajusta para garantizar la cobertura de los requisitos y riesgos de la organización.

Esta subcategoría hace hincapié en la mejora continua de la estrategia de gestión de riesgos de seguridad cibernética de una organización. Se necesitan revisiones y actualizaciones periódicas para abordar las nuevas amenazas, los avances tecnológicos y los cambios organizativos.

Estos pasos prácticos pueden ayudarle a cumplir con esta subcategoría:

• Programar revisiones periódicas (por ejemplo, trimestrales o semestrales) de la estrategia de gestión de riesgos de seguridad cibernética.
• Evaluar las amenazas, vulnerabilidades y riesgos actuales y emergentes para los activos y operaciones de la organización. Incorporar las conclusiones en las actualizaciones de la estrategia de gestión de riesgos.
• Mantenerse informado sobre los cambios en los requisitos reglamentarios, las normas del sector y los panoramas de amenazas relevantes para la organización.
• Definir y controlar los KPI y las métricas para evaluar hasta qué punto la estrategia actual de gestión de riesgos aborda los requisitos y los riesgos de la organización. Utilizar los datos de los informes sobre incidentes, la inteligencia de amenazas y las auditorías de los sistemas para identificar deficiencias o áreas de mejora.

• GV.OV-03: el rendimiento de la gestión de riesgos de seguridad cibernética de la organización se evalúa y revisa para realizar los ajustes necesarios.

Esta subcategoría ayuda a garantizar que las prácticas de gestión de riesgos de seguridad cibernética de una organización se monitorean y evalúan continuamente.

Estos pasos prácticos pueden ayudarle a cumplir con esta subcategoría:

• Definir KPI mensurables para evaluar la efectividad de la gestión de los riesgos de seguridad cibernética, como el número de incidentes detectados, el tiempo medio de respuesta y el cumplimiento de los marcos normativos.
• Programar evaluaciones periódicas (por ejemplo, trimestrales o anuales) del rendimiento del programa de gestión de los riesgos de seguridad cibernética.
• Realizar auditorías internas y externas para validar la efectividad de los actuales controles y prácticas de seguridad cibernética.
• Crear un mecanismo para recopilar los comentarios de las autopsias de incidentes de seguridad cibernética, las sugerencias de los empleados y los hallazgos normativos.
• Revisar periódicamente el marco de gestión de riesgos de seguridad cibernética para reflejar los cambios en el panorama de las amenazas, los objetivos empresariales y las normas de cumplimiento.

6. Gestión de riesgos de la cadena de suministro en materia de seguridad cibernética (GV.SC)

Esta categoría se centra en la gestión de los riesgos asociados a los proveedores externos, los vendedores y los servicios de terceros.

Las subcategorías de GV.SC son:

• GV.SC-01: las partes interesadas de la organización establecen y acuerdan un programa, estrategia, objetivos, políticas y procesos de gestión de riesgos de seguridad cibernética en la cadena de suministro.

Esta subcategoría hace hincapié en la necesidad de adoptar un enfoque estructurado y colaborativo para gestionar los riesgos asociados a terceros proveedores, vendedores y socios.

Estos pasos prácticos pueden ayudarle a cumplir con esta subcategoría:

• Crear un programa formalizado de gestión de riesgos de la cadena de suministro en materia de seguridad cibernética (C-SCRM) que defina los objetivos, el alcance y los componentes clave, como la evaluación de riesgos, la evaluación de proveedores y las estrategias de mitigación de riesgos.
• Llevar a cabo un análisis exhaustivo de su cadena de suministro para identificar las dependencias críticas y los riesgos potenciales, incluyendo aquellos relacionados con proveedores, hardware, software y servicios.
• Establecer políticas y procesos específicos para evaluar, incorporar y monitorear continuamente a los proveedores y vendedores para detectar riesgos de seguridad cibernética.
• Organizar talleres y sesiones colaborativas para alinear los objetivos de la C-SCRM con las metas de la organización y los requisitos normativos.
• Realizar evaluaciones periódicas de los riesgos de los socios de la cadena de suministro para identificar las vulnerabilidades y priorizar los riesgos según su impacto potencial en la organización. Utilizar herramientas y metodologías como cuestionarios para proveedores, auditorías de seguridad y marcos de puntuación de riesgos para evaluar a los proveedores.
• Implementar herramientas automatizadas para monitorear la inteligencia sobre amenazas y los riesgos de los proveedores, y llevar a cabo revisiones periódicas del desempeño de los proveedores con respecto a los requisitos contractuales de seguridad cibernética.

• GV.SC-02: se establecen, comunican y coordinan interna y externamente las funciones y responsabilidades de seguridad cibernética para proveedores, clientes y colaboradores.

Esta subcategoría hace hincapié en la necesidad de claridad, colaboración y comunicación de las funciones de seguridad cibernética entre todas las partes implicadas en el entorno.

Estos pasos prácticos pueden ayudarle a cumplir con esta subcategoría:

• Desarrollar un documento detallado que describa las funciones y responsabilidades específicos en materia de seguridad cibernética para proveedores, clientes y socios. Identificar las funciones críticas como el manejo de datos, el reporte de incidentes, la verificación del cumplimiento y la asignación de propiedad.
• Incluir requisitos específicos de seguridad cibernética, como la adhesión al CSF del NIST u otras normas, contratos, SLA y acuerdos de asociación. Trabajar con los equipos jurídicos y de compras para estandarizar las cláusulas de seguridad cibernética.
• Crear canales de comunicación formales y protocolos de escalamiento para asuntos de seguridad cibernética entre su organización y las partes interesadas externas.
• Ofrecer formación de concienciación sobre seguridad cibernética adaptada a proveedores, clientes y socios, centrada en sus funciones y responsabilidades. Realizar webinarios conjuntos, distribuir las directrices y ofrecer recursos para educar a las partes interesadas sobre las políticas, la detección de amenazas y las expectativas de respuesta.

• GV.SC-03: la gestión de riesgos de la cadena de suministro de seguridad cibernética está integrada en la seguridad cibernética y la gestión de riesgos empresariales, la evaluación de riesgos y los procesos de mejora.

Esta subcategoría destaca la importancia de integrar la gestión de riesgos de la cadena de suministro en el marco general de gestión de riesgos de una organización. Esta integración garantiza un enfoque holístico para identificar, evaluar y mitigar los riesgos asociados a terceros proveedores, vendedores y socios.

Estos pasos prácticos pueden ayudarle a cumplir con esta subcategoría:

• Definir políticas y marcos claros que incorporen la SCRM a sus procesos de ERM.
• Realizar una evaluación exhaustiva para identificar y clasificar los riesgos de la cadena de suministro, centrándose en los proveedores que manejan datos confidenciales o infraestructuras críticas.
• Incorporar las consideraciones de la SCRM a sus procesos habituales de evaluación de riesgos, garantizando que los riesgos asociados a proveedores externos se identifican, evalúan y priorizan junto con los riesgos internos. Utilizar herramientas como cuestionarios, auditorías o software de gestión de riesgos de terceros para obtener información detallada sobre las prácticas de los proveedores.
• Establecer acuerdos de nivel de servicio y obligaciones contractuales que exijan su cumplimiento.
• Desarrollar planes de contingencia para mitigar el impacto de los incidentes en la cadena de suministro, como proveedores de respaldo, estrategias de redundancia y coordinación de la respuesta a incidentes con los proveedores.

• GV.SC-04: los proveedores son conocidos y priorizados por criticidad.

Esta subcategoría hace hincapié en la importancia de identificar y evaluar a los proveedores con base en su rol en las operaciones de su organización y el impacto potencial de los riesgos asociados.

Estos pasos prácticos pueden ayudarle a cumplir con esta subcategoría:

• Mantener un inventario exhaustivo de todos los proveedores, vendedores y socios externos. Incluir información sobre los productos, servicios o sistemas que proporcionan y cómo interactúan con las operaciones críticas de su organización. Utilizar una base de datos centralizada para documentar los detalles de los proveedores, como la información de contacto, el alcance del servicio y las obligaciones contractuales.
• Clasificar a los proveedores según la importancia para sus operaciones. Por ejemplo, dar prioridad a los proveedores que presten servicios esenciales, manejen datos confidenciales o incidan directamente en procesos empresariales críticos. Considerar factores como el acceso del proveedor a sistemas sensibles, la dependencia de sus servicios y el impacto potencial de una interrupción o una brecha en su organización.
• Realizar evaluaciones de riesgos para los proveedores, centrándose en los riesgos de seguridad cibernética. Evaluar su postura de seguridad, el cumplimiento de las normas pertinentes y el historial de incidentes.
• Crear una matriz para clasificar a los proveedores según su criticidad y riesgo. Asignar puntuaciones a factores como el impacto empresarial, la sensibilidad de los datos manejados y la frecuencia de interacción con sus sistemas. Utilizar esta matriz para clasificar a los proveedores en niveles (por ejemplo, criticidad alta, media, baja).
• Establecer canales de comunicación regulares con los proveedores de alta criticidad para compartir expectativas de seguridad cibernética, actualizaciones e información sobre amenazas.

• GV.SC-05: los requisitos para abordar los riesgos de seguridad cibernética en las cadenas de suministro se establecen, priorizan e integran en contratos y otros tipos de acuerdos con proveedores y otras terceras partes pertinentes.

Esta subcategoría se centra en garantizar que los riesgos de seguridad cibernética dentro de la cadena de suministro se abordan de forma efectiva estableciendo requisitos claros e integrándolos en los acuerdos contractuales.

Estos pasos prácticos pueden ayudarle a cumplir con esta subcategoría:

• Realizar una evaluación exhaustiva de los riesgos para identificar las posibles amenazas a la seguridad cibernética de sus proveedores y terceros. Esto podría incluir la evaluación de la postura de seguridad de los proveedores, la sensibilidad de los datos que manejan y su acceso a los sistemas de su organización.
• Priorizar estos riesgos según el posible impacto sobre sus operaciones, su estabilidad financiera y su reputación.
• Desarrollar requisitos específicos de seguridad cibernética para los proveedores, abordando cuestiones como la protección de datos, los controles de acceso seguro, las funciones de respuesta a incidentes y el cumplimiento de las normas pertinentes.
• Garantizar que los requisitos de seguridad cibernética se integran en los contratos y acuerdos de servicios con proveedores y terceros. Incluir cláusulas claras que describan las expectativas de las prácticas de seguridad cibernética, las obligaciones de reportar cualquier violación de la seguridad y las responsabilidades de mantener los estándares de seguridad. Esto también debe abarcar los derechos de auditoría y las sanciones por incumplimiento.
• Basándose en su evaluación de riesgos, dar prioridad a los requisitos de seguridad cibernética para los proveedores de alto riesgo que tengan acceso a información sensible o a sistemas críticos. Considerar la posibilidad de aplicar medidas de seguridad más estrictas, como evaluaciones de seguridad periódicas, cifrado o limitación del acceso a segmentos específicos de la red, para los proveedores de alta prioridad.

• GV.SC-06: se llevan a cabo la planificación y la diligencia debida para reducir los riesgos antes de entablar relaciones formales con proveedores u otros terceros.

Esta subcategoría resalta la importancia de evaluar y mitigar los riesgos relacionados con las relaciones con terceros antes de formalizar los contratos.

Estos pasos prácticos pueden ayudarle a cumplir con esta subcategoría:

• Antes de ingresar en cualquier relación formal con proveedores o terceros, debe evaluar sus prácticas de seguridad cibernética, sus controles y su postura general ante el riesgo. Esto incluye evaluar su protección de datos, sus capacidades de respuesta a incidentes y el cumplimiento de marcos normativos como GDPR o HIPAA. Utilizar cuestionarios, auditorías y herramientas de evaluación de riesgos de terceros para identificar posibles riesgos de seguridad cibernética.
• Establecer requisitos específicos de seguridad cibernética como parte del acuerdo contractual. Garantizar que los terceros siguen las mejores prácticas del sector, como los protocolos de cifrado, los controles de acceso y los mecanismos de monitoreo.
• Establecer herramientas automatizadas que alerten a su organización de cualquier problema de seguridad o incumplimiento de las políticas por parte de terceros.
• Garantizar que los proveedores o suministradores externos tengan el acceso mínimo necesario a los sistemas y datos confidenciales de su organización. Implementar controles de acceso basado en roles (RBAC).
• Planificar contingencias en caso de que un proveedor o suministrador externo incumpla sus obligaciones de seguridad o se convierta en un riesgo para la seguridad. Establecer procedimientos claros para mitigar los daños, como cambiar a proveedores alternativos o activar un plan de gestión de crisis. Mantener una lista de proveedores de respaldo y asegurarse de que cumplen las mismas normas de seguridad en caso de que sea necesario cambiar.

• GV.SC-07: los riesgos planteados por un proveedor, sus productos y servicios y otros terceros se comprenden, registran, priorizan, evalúan, responden y monitorean a lo largo de la relación

Esta subcategoría hace hincapié en un enfoque integral para gestionar los riesgos de seguridad cibernética asociados a los proveedores y prestadores de servicios de terceros.

Estos pasos prácticos pueden ayudarle a cumplir con esta subcategoría:

• Documentar y registrar los riesgos asociados a cada proveedor, incluyendo el tipo de productos o servicios que proporcionan, las vulnerabilidades potenciales y las amenazas identificadas.
• Priorizar la gestión del riesgo de los proveedores con base en su acceso a los sistemas, datos o infraestructuras críticos. Para los proveedores de alto riesgo, desarrollar planes específicos de mitigación o respuesta para abordar los riesgos identificados, como imponer controles de acceso más estrictos o exigir auditorías de seguridad periódicas.
• Monitorear y supervisar continuamente a los proveedores para detectar cualquier cambio en su postura de seguridad cibernética, como nuevas vulnerabilidades, incidentes de seguridad o cambios en las operaciones comerciales. Utilizar herramientas de monitoreo, inteligencia sobre amenazas y comunicación regular con los proveedores para mantenerse informado.
• Establecer canales claros de comunicación con los proveedores para garantizar que los riesgos de seguridad cibernética se debaten con regularidad. Organizar revisiones periódicas de la relación, las evaluaciones de riesgos y las estrategias de respuesta.

• GV.SC-08: los proveedores pertinentes y otros terceros se incluyen en las actividades de planificación, respuesta y recuperación de incidentes.

Esta subcategoría ayuda a garantizar que los socios externos, proveedores y vendedores participan activamente en los procesos de gestión de incidentes de seguridad cibernética de la organización.

Estos pasos prácticos pueden ayudarle a cumplir con esta subcategoría:

• Evaluar la postura de seguridad cibernética de los proveedores y terceros pertinentes e integrar sus funciones y responsabilidades en el plan de respuesta a incidentes (IRP).
• Establecer procedimientos de respuesta conjuntos con los proveedores críticos y los proveedores de servicios de terceros.
• Organizar ejercicios de simulación conjuntos con sus proveedores y socios externos para simular incidentes de seguridad cibernética.
• Garantizar que los contratos con proveedores clave y terceros incluyan términos claros relacionados con el reporte de incidentes, los plazos de respuesta y la participación en los esfuerzos de recuperación.

• GV.SC-09: las prácticas de seguridad de la cadena de suministro se integran en los programas de seguridad cibernética y de gestión de riesgos empresariales, y su rendimiento se monitorea a lo largo del ciclo de vida de los productos y servicios tecnológicos.

Esta subcategoría se centra en integrar la seguridad de la cadena de suministro en los marcos más amplios de seguridad cibernética y gestión de riesgos de una organización.

Estos pasos prácticos pueden ayudarle a cumplir con esta subcategoría:

• Integrar las prácticas de seguridad de la cadena de suministro en el marco de seguridad cibernética y ERM de su organización. Definir políticas claras para evaluar y gestionar los riesgos de terceros, incluyendo las evaluaciones de riesgos de proveedores, y garantizar que estas prácticas están alineadas con los objetivos generales del negocio y la seguridad cibernética.
• Evaluar periódicamente los riesgos de seguridad cibernética asociados a los proveedores, especialmente los que suministran infraestructuras, software o servicios críticos.
• Establecer requisitos de seguridad claros para todos los proveedores y vendedores externos, garantizando que cumplen las normas básicas de seguridad cibernética.
• Implementar herramientas y procesos de monitoreo continuo para supervisar el desempeño de las prácticas de seguridad de los proveedores a lo largo del ciclo de vida de sus productos y servicios.
• Garantizar que las consideraciones sobre los riesgos de la cadena de suministro se incluyen en sus planes de respuesta a incidentes y de recuperación ante desastres.

• GV.SC-10: Los planes de gestión de riesgos de la cadena de suministro de seguridad cibernética incluyen disposiciones para las actividades que ocurren después de la conclusión de un acuerdo de colaboración o servicio.

Esta subcategoría se centra en garantizar que las organizaciones dispongan de una estrategia integral para gestionar los riesgos de seguridad cibernética incluso después de que finalice una asociación o un acuerdo de servicios.

Estos pasos prácticos pueden ayudarle a cumplir con esta subcategoría:

• Garantizar que los contratos con proveedores y prestadores de servicios incluyan cláusulas específicas que obliguen a eliminar o devolver de forma segura los datos confidenciales una vez finalizado el acuerdo.
• Revocar inmediatamente cualquier acceso del proveedor a sus sistemas, redes y aplicaciones una vez que concluya su acuerdo de servicio.
• Implementar un proceso para verificar que toda la propiedad intelectual, el software y otros materiales patentados se devuelven o se destruyen de forma segura al concluir la relación.
• Continuar monitoreando los posibles riesgos de seguridad cibernética tras la asociación, especialmente en torno a los datos que se hayan conservado o los sistemas que se hayan compartido.
• Garantizar que sus contratos con proveedores externos describen claramente las obligaciones de seguridad cibernética post contractuales, como el soporte continuo, el reporte de incidentes o la posible responsabilidad por fallos de seguridad que puedan producirse una vez finalizada la relación.