Marco de Ciberseguridad 5.0

Estructura del Marco de Ciberseguridad

A continuación, se describe el Marco de Ciberseguridad y su estructura. 

Función 

Es el nivel más alto en la estructura para organizar las actividades básicas de ciberseguridad.  

Categoría 

Es la subdivisión de una función en grupos de resultados de ciberseguridad estrechamente ligados a las necesidades funcionales y actividades particulares. Algunos ejemplos son: “Contexto organizativo”, “Concientización y capacitación”, “Análisis de incidentes”. 

Subcategoría 

Divide una categoría en resultados concretos de las actividades técnicas y/o de gestión. Proporcionan un conjunto de resultados que, aunque no de forma exhaustiva, ayudan al logro de los resultados en cada categoría. Algunos ejemplos son: “Se mantienen inventarios de los servicios prestados por los proveedores.”, “Se correlaciona la información procedente de diversas fuentes.”, “Se estima y valida la magnitud de un incidente.”. 

Perfil 

Un perfil representa las necesidades de ciberseguridad, basadas en los objetivos de negocio, considerando el riesgo percibido y la dependencia existente de las TIC. Cada organización tendrá asignado un perfil sobre el cual trabajar. 

Se han definido tres perfiles para poder priorizar y establecer el avance en ciberseguridad: básico, estándar y avanzado. 

  • Básico (B): el riesgo percibido vinculado a ciberseguridad es bajo; una falla, disrupción o incidente que pueda afectar los servicios propios, se recuperan al mejor esfuerzo, no existiendo afectación directa a los objetivos del negocio.  
  • Estándar (E): el riesgo percibido vinculado a ciberseguridad es moderado, pero existe alta dependencia de las TIC para el cumplimiento de los objetivos del negocio. La continuidad de los servicios no soporta más de 48h corridas de indisponibilidad. 
  • Avanzado (A): el riesgo percibido vinculado a ciberseguridad es alto; una falla, disrupción o incidente puede afectar servicios transversales y/o críticos propios o de terceros. La continuidad de los servicios no soporta más de 24h corridas de indisponibilidad. 

Prioridad 

Las subcategorías del Marco, dentro de un perfil (Básico - B, Estándar - E, Avanzado - A) tienen asociado un nivel de prioridad de abordaje.  

Las prioridades definidas son:  

  • Alta: son críticas y deben ser abordadas de inmediato, ya que representan la primera línea de defensa. Su implementación es esencial para la seguridad y el funcionamiento óptimo. Retrasar su atención podría resultar en riesgos significativos, como vulnerabilidades críticas, interrupciones de servicio o incumplimiento de normativas clave. Se consideran la base indispensable sobre la cual se construyen las demás capas de seguridad y eficiencia. 
  • Media: son importantes para fortalecer la postura general y mejorar la resiliencia del sistema. Si bien no son tan críticas como los de alta prioridad para la operación inmediata, su abordaje es necesario para optimizar el rendimiento, reducir riesgos potenciales a mediano plazo y asegurar una mayor robustez. Una vez que las tareas de alta prioridad estén encauzadas, estas deberían ser el siguiente foco de atención para evitar que se conviertan en problemas mayores en el futuro. 
  • Baja: son valiosas para perfeccionar la configuración, mejorar la eficiencia y añadir capas adicionales de seguridad o funcionalidad. Aunque no son urgentes ni representan riesgos inmediatos, su implementación contribuye a un marco más completo y maduro. Abordar estas tareas demuestra un compromiso con la mejora continua y la búsqueda de la excelencia, incluso si su realización puede planificarse con mayor flexibilidad una vez que las prioridades más altas estén gestionadas. No deben ser ignoradas, sino programadas para ser ejecutadas cuando los recursos y el tiempo lo permitan, ya que su cumplimiento mejora el nivel general de madurez y protección. 

La asignación de prioridades a las subcategorías del Marco se adapta fundamentalmente al perfil de riesgo y dependencia tecnológica de cada organización. Para un perfil Básico, donde el riesgo percibido es bajo y la recuperación se basa en el mejor esfuerzo, las prioridades "altas" se enfocarán en la implementación de medidas fundamentales que prevengan interrupciones básicas, ya que la afectación al negocio es mínima. En contraste, un perfil Estándar, con una dependencia moderada de las TIC y una tolerancia a la indisponibilidad de 48 horas, requerirá que las prioridades "altas" aborden no solo la prevención, sino también la capacidad de respuesta y recuperación para mantener la continuidad del servicio dentro de ese plazo. Finalmente, para un perfil Avanzado, con alto riesgo y una tolerancia a la indisponibilidad de solo 24 horas, las prioridades "altas" serán las más estrictas y urgentes, centradas en la resiliencia proactiva, la protección de servicios críticos y transversales, y la minimización del impacto, dado que cualquier interrupción puede tener consecuencias significativas para la organización y terceros. En esencia, la prioridad de una medida se magnifica a medida que la dependencia de la tecnología y el impacto de una falla se incrementan en cada perfil. 

Asimismo, podrían definirse otros perfiles (por ejemplos sectoriales) que manifiesten otra priorización según los riesgos identificados. 

Requisitos 

Requisito o conjunto de requisitos mínimos incluidos en cada subcategoría. El detalle de cada requisito podrá consultarse en la “Guía de implementación”. 

Un requisito podrá mencionarse en más de una subcategoría, dependiendo de su enfoque.  

Modelo de Madurez 

El modelo de madurez propuesto para la evaluación consta de cinco niveles, que se describen a continuación:

Los niveles de madurez en cada subcategoría serán descritos según sus requisitos.  

  • Nivel 0: Es el primer nivel del modelo de madurez donde las acciones vinculadas a seguridad de la información y ciberseguridad son casi o totalmente inexistentes. La organización no ha reconocido aún la necesidad de realizar esfuerzos en ciberseguridad. Este nivel no es incluido en la tabla del modelo de madurez. 
  • Nivel 1: Es el segundo nivel del modelo. Existen algunas iniciativas sobre ciberseguridad, aunque los esfuerzos se realizan en forma aislada. Se realizan implementaciones con enfoques ad-hoc y existe alta dependencia del personal que lleva a cabo las tareas que habitualmente no se encuentran documentadas. Existe una actitud reactiva ante incidentes de seguridad. 
  • Nivel 2: Es el tercer nivel del modelo de madurez. Se han establecido ciertos lineamientos o pautas para la ejecución de las tareas, pero aún existe dependencia del conocimiento individual. Se ha avanzado en el desarrollo de los procesos y existe cierta documentación para realizar las tareas.  
  • Nivel 3: Es el cuarto nivel del modelo de madurez y se caracteriza por la formalización y documentación de políticas y procedimientos, así como implementaciones de alta complejidad y/o automatizaciones que centralizan y permiten iniciativas de gobernanza. Las políticas y procedimientos son difundidos, facilitan la gestión y posibilitan establecer controles y métricas. Los esfuerzos en ciberseguridad se enfocan en los procesos, las personas y la tecnología.  
  • Nivel 4: Es el último nivel del modelo de madurez. El Responsable de la Seguridad de la Información (RSI) tiene un rol clave en el control y mejora del Sistema de Gestión de Seguridad de la Información (SGSI) realizando o coordinando actividades de control interno para verificar cumplimientos y desvíos. Se desarrollan las lecciones aprendidas que, junto con los controles determinan las acciones para la mejora continua. Las partes interesadas son informadas periódicamente, lo cual permite alinear los esfuerzos, estrategias y tecnologías de ciberseguridad con los objetivos y estrategias de la organización. 

 

Etiquetas

Gestión y auditoría de Seguridad de la Información Marco de Referencia Política Digital del Uruguay Políticas de Ciberseguridad Ciberseguridad Herramientas para organismos Política Digital del Uruguay