La seguridad nacional y econmica de los Estados Unidos depende del

funcionamiento confiable de la infraestructura crtica. Las amenazas de seguridad

ciberntica explotan la mayor complejidad y conectividad de los sistemas de
infraestructura crtica, poniendo en riesgo la seguridad, la economa y la seguridad
pblica y la salud de la nacin. Al igual que el riesgo financiero y de reputacin, el
riesgo de seguridad ciberntica afecta a los resultados finales de una empresa.
Puede aumentar los costos y afectar los ingresos
Como resultado de la creciente cantidad de ataques informticos a sistemas de
infraestructuras crticas y al impacto que dichos ataques pudieran tener en el
contexto de la seguridad nacional de Estados Unidos, el 12 de febrero de 2013 el
Presidente Barack Obama redact una Orden Ejecutiva en donde se delegaba en
el NIST (National Institute of Standards and Technology) el desarrollo de un
Framework consistente para identificar, evaluar y gestionar el riesgo de
ciberseguridad y as reducir los riesgos asociados con el soporte del Gobierno, la
industria y los usuarios.
 Se define en la Orden Ejecutiva como Sistemas y activos, ya sea fsicos o
virtuales, tan vital para los Estados Unidos que su incapacidad o destruccin
provocara un impacto sobre la seguridad, la economa nacional, la salud
pblica o la seguridad nacional, o cualquier combinacin de las anteriores.
 Sectores

Administracin Industria Qumica Agua

Industria Nuclear

Tecnologas de la
Centrales y Redes Informacin y las Instalaciones del
Sanitaria
de energa Comunicaciones Espacio
(TIC)

Sistema Financiero y Instalaciones de

Transportes Alimentacin
Tributario Investigacin
Un ataque masivo y coordinado a alguno o varios de los sectores de la CI
establece una condicin importante y crtica para una nacin, pues se pone en
juego la estabilidad de la misma y la confianza de la ciudadana en el Estado
para enfrentarse a estas amenazas.

En este sentido, el concepto de seguridad

tradicional se transforma para dar paso a una
nueva funcin del Estado que es la defensa de su
soberana en el espacio digital y la proteccin
de los derechos de sus ciberciudadanos frente
a las amenazas emergentes en el escenario de
una vida ms digital y gobernada por la
informacin.
 El marco de trabajo es una gua voluntaria, basada en estndares,
directrices y prcticas existentes para que las organizaciones de
infraestructura crtica gestionen mejor y reduzcan el riesgo de
ciberseguridad. Adems, se dise para fomentar las comunicaciones de
gestin del riesgo y la seguridad ciberntica entre los interesados internos y
externos de la organizacin".
 El Marco resultante, creado mediante la colaboracin entre el gobierno y el
sector privado, utiliza un lenguaje comn para abordar y gestionar el riesgo de la
seguridad ciberntica de una manera rentable basada en las necesidades
empresariales sin colocar requisitos regulatorios adicionales a las empresas.
Debido a que la base del marco de trabajo est fundamentada en la integracin
de los criterios de diferentes estndares, directrices y mejores prcticas a nivel
internacional, su implementacin no est limitada nicamente a Estados Unidos.
El Marco se centra en el uso de impulsores empresariales para guiar las
actividades de seguridad ciberntica y considerar los riesgos de seguridad
ciberntica como parte de los procesos de gestin de riesgos de la organizacin.
El Marco consta de tres partes: El marco bsico (Framework Core), los niveles
de implementacin del marco (Framework Implementation Tiers) y los perfiles
del marco (Framework Profiles).
 Son un conjunto de actividades de seguridad ciberntica, resultados deseados
y referencias aplicables que son comunes en todos los sectores de
infraestructura crtica.
 Permite determinar los sistemas, activos, datos y competencias de la
organizacin, su contexto de negocio, los recursos que soportan las
funciones crticas y los riesgos de ciberseguridad que afectan este
entorno.
 Permite desarrollar e implementar las contramedidas y salvaguardas
necesarias para limitar o contener el impacto de un evento potencial de
ciberseguridad.
 Permite desarrollar e implementar las actividades apropiadas para
identificar la ocurrencia de un evento de ciberseguridad a travs de la
monitorizacin continua.
Al estar en alerta continua, disminuye el riesgo ante diversos eventos de
ciberseguridad.
 Permite la definicin y despliegue de actividades para reaccionar frente a
un evento de ciberseguridad identificado y mitigar su impacto.
 Permite el despliegue de actividades para la gestin de resiliencia y el
retorno a la operacin normal despus de un incidente.
 Los marcos de implementacin del marco ("Tiers") proporcionan contexto sobre
cmo una organizacin ve el riesgo de seguridad ciberntica y los procesos
implementados para manejar ese riesgo.
Los marcos varan de parcial a nivel adaptativo y describen un grado cada vez
mayor de rigor y sofisticacin en las prcticas de gestin del riesgo ciberntico y
la medida en que la gestin del riesgo ciberntico se basa en las necesidades
empresariales y se integra en el riesgo global de una organizacin Prcticas de
manejo.
 En este nivel las prcticas de gestin de riesgos de ciberseguridad no
estn formalizadas y actan por lo general de forma reactiva.
La priorizacin de actividades no se encuentra alineada con los objetivos
de riesgo organizacionales, el entorno de amenazas ni con los
requerimientos de negocio.
Se cuenta con una mnima participacin externa en trminos de
colaboracin y comparticin de informacin.
 En este nivel las prcticas de gestin de riesgo estn aprobadas por la
Direccin, pero pueden no estar establecidas como una poltica global. Se
cuenta con procedimientos y procesos definidos e implementados y con
personal cualificado.
La participacin externa se realiza de manera informal.
 En este nivel las prcticas formales de gestin de riesgo son actualizadas
regularmente como parte de la aplicacin de anlisis en cambios en
requerimientos de negocio, amenazas o tecnologas.
Se ha establecido un marco de colaboracin formal con terceros.
 Las prcticas de ciberseguridad estn basadas en lecciones aprendidas e
indicadores predictivos derivados de actividades previas y actuales de
ciberseguridad, a travs de un proceso de mejora continua de adaptacin
a los cambios.
Estas tareas hacen parte de la cultura organizacional. Se colabora de
forma activa con terceros, compartiendo informacin de eventos de
ciberseguridad.
 Los perfiles del marco de
trabajo pueden ser usados
para describir el estado de
madurez actual y el estado de
madurez objetivo en las
distintas actividades del
marco.
Puede ser usado para
identificar oportunidades de
mejoras comparando el Perfil
actual con el Perfil objetivo.
Describe un flujo
de
informacin y
decisiones en los
siguientes niveles
dentro de una
organizacin:

Ejecutivo
Negocios
Implementacin
y Operaciones
 Mediante la identificacin de los objetivos y misin del negocio y las
prioridades de alto nivel en trminos organizacionales, se decide de
forma estratgica el entorno de aplicabilidad de los controles. Este
entorno puede ser toda la organizacin, una lnea de negocio en
particular o un proceso, teniendo presente que cada uno de estos
elementos puede tener diferentes niveles de tolerancia al riesgo.
 Se identifican los sistemas, activos, requerimientos regulatorios,
amenazas y vulnerabilidades vinculadas al entorno de aplicabilidad
definido.
 A travs de las funciones del marco bsico y empleando las
categoras y subcategoras, se obtienen los resultados de
implementacin de controles en el entorno.
 La organizacin analiza el ambiente operacional con la finalidad de
discernir la probabilidad de cualquier riesgo de ciberseguridad y el
impacto que un evento de esta magnitud podra tener en la organizacin.
Es importante que la organizacin identifique los riesgos y use la
informacin de fuentes exteriores e interiores para lograr obtener un mejor
entendimiento de la probabilidad de un impacto en la ciberseguridad.
 Se establecen los objetivos que en trminos de ciberseguridad la
organizacin pretende cubrir.
La organizacin crea perfiles que se enfocan en la evaluacin de los
frameworks categoras y subcategoras ideales para la organizacin y
describen tambin los resultados ideales de ciberseguridad que se
espera.
 La organizacin compara el anlisis diferencial entre el perfil actual y el
perfil objetivo, se define un plan de accin priorizado en trminos de
coste/beneficio, que permita la determinacin de recursos y acciones de
mejora para lograr alcanzar el perfil objetivo. La organizacin luego
determina los recursos necesarios para lograr tapar las brechas entre el
perfil actual al perfil objetivo.
 La organizacin determina cual accin tomar en funcin a las brechas, si
encuentra alguna brecha en los pasos anteriores. Luego monitorea sus
actuales practicas en ciberseguridad con el perfil objetivo. Se procede con
la alineacin de controles y despliegue de mejoras de forma paulatina y
monitorizada. Aunque la organizacin debera determinar que estndares
y practicas funcionan mejor a sus necesidades.
 Todas estas acciones deben ser
implementadas dentro de un
entorno de mejora continua por lo
que se deber repetir estos pasos
como sean necesitados,
permitiendo que de forma
continua la organizacin optimice
sus controles de seguridad y
escale a niveles superiores
dentro del marco de trabajo.