CNSD - Pag.

HERRAMIENTA DE DIAGNOSTICO NIST - CSF

NIST Framework
El NIST Framework es la guía basada en estándares, pautas y prácticas existentes, en la cual una organización puede administrar y reducir el
riesgo de ciberseguridad. Asimismo, fomentar la comunicación de gestión de riesgos y ciberseguridad entre todas las partes interesadas de la
organización (internas y externas).

Fuente:
https://www.nist.gov/cyberframework

Instructivo:

1. Para consultar la estructura del Marco de Seguridad Digital, puede usar las pestañas de Funciones, Categorías y Subcategorías.
2. Para iniciar el análisis del estado situacional de la Seguridad Digital de su organización, diríjase a la pestaña de Evaluación.

3. Para la evaluación existen 2 columnas: Estado actual y Objetivo deseado. El estado actual es cómo se encuentra actualmente la
organización respecto al Marco de Seguridad Digital y la columna de objetivo deseado, es la clasificación a la que se desea alcanzar en el
corto o mediano plazo.
4. La tabla de clasificación para las columnas de estado actual y objetivo deseado son:
- Nivel 1: Parcial; Las prácticas de gestión de riesgos de seguridad cibernética de la organización no están formalizadas, y el riesgo se gestiona de forma ad hoc y,
en ocasiones, de forma reactiva. Existe una conciencia limitada sobre el riesgo de seguridad cibernética a nivel organizacional. La organización no comprende su
función en el ecosistema más amplio con respecto a sus dependencias o dependientes.

- Nivel 2: Riesgo Informado; Las prácticas de gestión de riesgos son aprobadas por la administración, pero posiblemente no son establecidas como políticas de
toda la organización. Existe una conciencia del riesgo de seguridad cibernética a nivel organizacional, pero no se ha establecido un enfoque en toda la
organización para gestionar el riesgo de seguridad cibernética. Generalmente, la organización entiende su función en el ecosistema más amplio con respecto a
sus propias dependencias o dependientes, pero no ambos.
- Nivel 3: Repetible. Las prácticas para la gestión de riesgos de la organización se aprueban formalmente y se expresan como políticas. Existe un enfoque de toda
la organización para gestionar el riesgo de seguridad cibernética. La organización entiende su función, dependencias y dependientes en un ecosistema más
amplio y posiblemente contribuya a una más amplia comprensión de los riesgos por parte de la comunidad.

- Nivel 4: Adaptable. La organización adapta sus prácticas de seguridad cibernética basándose en actividades previas y actuales de ciberseguridad, el cual incluye
las lecciones aprendidas y los indicadores predictivos. Existe un enfoque en toda la organización para gestionar el riesgo de seguridad cibernética que utiliza las
políticas, los procesos y los procedimientos informados sobre riesgos para abordar posibles eventos de seguridad cibernética. La organización entiende su rol, sus
dependencias y sus dependientes en el ecosistema más amplio y contribuye a una mayor comprensión de los riesgos por parte de la comunidad.

5. En la pestaña Resultados, podrá visualizar el resumen estadístico, expresado en porcentajes (%) de todos los resultados por categorías.
6. En el Cuadro de Mando, encontrará automaticamente generado todos los gráficos de los elementos puestos en el análisis, obteniendo un
estudio situacional.
CNSD - Pag. 2

HERRAMIENTA DE DIAGNOSTICO NIST - CSF

Identificador único de Identificador único de
Función Categoría
función categoría
ID Identificar ID.AM Gestión de activos
ID.BE Entorno empresarial
ID.GV Gobernanza
ID.RA Evaluación de riesgos
ID.RM Estrategia de gestión de riesgos
ID.SC Gestión del riesgo de la cadena de suministro
PR Proteger PR.AC Gestión de identidad y control de acceso
PR.AT Conciencia y capacitación
PR.DS Seguridad de datos
PR.IP Procesos y procedimientos de protección de la información
PR.MA Mantenimiento
PR.PT Tecnología protectora
DE Detectar DE.AE Anomalías y eventos
DE.CM Vigilancia continua de seguridad
DE.DP Procesos de detección
RS Responder RS.RP Planificación de respuesta
RS.CO Comunicaciones
RS.AN Análisis
RS.MI Mitigación
RS.IM Mejoras
RC Recuperar RC.RP Planificación de recuperación
RC.IM Mejoras
RC.CO Comunicaciones
CNSD - Pag. 3

HERRAMIENTA DE DIAGNOSTICO NIST - CSF

Función Categoría Subcategoría

IDENTIFICAR (ID) Gestión de activos (ID.AM): Los datos, el personal, ID.AM-1: Los dispositivos y sistemas físicos dentro de la organización
los dispositivos, los sistemas y las instalaciones que están inventariados.
permiten a la organización alcanzar los objetivos
empresariales se identifican y se administran de ID.AM-2: Las plataformas de software y las aplicaciones dentro de la
forma coherente con su importancia relativa para organización están inventariadas.
los objetivos organizativos y la estrategia de riesgos ID.AM-3: La comunicación organizacional y los flujos de datos están
de la organización. mapeados.
ID.AM-4: Los sistemas de información externos están catalogados.

ID.AM-5: Los recursos (por ejemplo, hardware, dispositivos, datos,

tiempo, personal y software) se priorizan en función de su
clasificación, criticidad y valor comercial.

ID.AM-6: Los roles y las responsabilidades de la seguridad cibernética

para toda la fuerza de trabajo y terceros interesados (por ejemplo,
proveedores, clientes, socios) están establecidas.

Entorno empresarial (ID.BE): Se entienden y se ID.BE-1: Se identifica y se comunica la función de la organización en

priorizan la misión, los objetivos, las partes la cadena de suministro.
interesadas y las actividades de la organización; esta
información se utiliza para informar los roles, ID.BE-2: Se identifica y se comunica el lugar de la organización en la
responsabilidades y decisiones de gestión de los infraestructura crítica y su sector industrial.
riesgos de seguridad cibernética. ID.BE-3: Se establecen y se comunican las prioridades para la misión,
los objetivos y las actividades de la organización.
ID.BE-4: Se establecen las dependencias y funciones fundamentales
para la entrega de servicios críticos.

ID.BE-5: Los requisitos de resiliencia para respaldar la entrega de

servicios críticos se establecen para todos los estados operativos (p.
ej. bajo coacción o ataque, durante la recuperación y operaciones
normales).

Gobernanza (ID.GV): Las políticas, los ID.GV-1: Se establece y se comunica la política de seguridad
procedimientos y los procesos para administrar y cibernética organizacional.
monitorear los requisitos regulatorios, legales, de
riesgo, ambientales y operativos de la organización ID.GV-2: Los roles y las responsabilidades de seguridad cibernética
se comprenden y se informan a la gestión del riesgo están coordinados y alineados con roles internos y socios externos.
de seguridad cibernética.
ID.GV-3: Se comprenden y se gestionan los requisitos legales y
regulatorios con respecto a la seguridad cibernética, incluidas las
obligaciones de privacidad y libertades civiles.

ID.GV-4: Los procesos de gobernanza y gestión de riesgos abordan

los riesgos de seguridad cibernética.

Evaluación de riesgos (ID.RA): La organización ID.RA-1: Se identifican y se documentan las vulnerabilidades de los
comprende el riesgo de seguridad cibernética para activos.
las operaciones de la organización (incluida la
misión, las funciones, la imagen o la reputación), los ID.RA-2: La inteligencia de amenazas cibernéticas se recibe de foros y
activos de la organización y las personas. fuentes de intercambio de información.
ID.RA-3: Se identifican y se documentan las amenazas, tanto internas
como externas.
ID.RA-4: Se identifican los impactos y las probabilidades del negocio.

ID.RA-5: Se utilizan las amenazas, las vulnerabilidades, las

probabilidades y los impactos para determinar el riesgo.
ID.RA-6: Se identifican y priorizan las respuestas al riesgo.
CNSD - Pag. 4

Estrategia de gestión de riesgos (ID.RM): Se ID.RM-1: Los actores de la organización establecen, gestionan y
establecen las prioridades, restricciones, tolerancias acuerdan los procesos de gestión de riesgos.
de riesgo y suposiciones de la organización y se
usan para respaldar las decisiones de riesgos ID.RM-2: La tolerancia al riesgo organizacional se determina y se
operacionales. expresa claramente.
ID.RM-3: La determinación de la tolerancia del riesgo de la
organización se basa en parte en su rol en la infraestructura crítica y
el análisis del riesgo específico del sector.

Gestión del riesgo de la cadena de suministro ID.SC-1: Los actores de la organización identifican, establecen,
(ID.SC): evalúan, gestionan y acuerdan los procesos de gestión del riesgo de
Las prioridades, limitaciones, tolerancias de riesgo y la cadena de suministro cibernética.
suposiciones de la organización se establecen y se
utilizan para respaldar las decisiones de riesgo ID.SC-2: Los proveedores y socios externos de los sistemas de
asociadas con la gestión del riesgo de la cadena de información, componentes y servicios se identifican, se priorizan y se
suministro. La organización ha establecido e evalúan mediante un proceso de evaluación de riesgos de la cadena
implementado los procesos para identificar, evaluar de suministro cibernético.
y gestionar los riesgos de la cadena de suministro.
ID.SC-3: Los contratos con proveedores y socios externos se utilizan
para implementar medidas apropiadas diseñadas para cumplir con
los objetivos del programa de seguridad cibernética de una
organización y el plan de gestión de riesgos de la cadena de
suministro cibernético.

ID.SC-4: Los proveedores y los socios externos se evalúan de forma

rutinaria mediante auditorías, resultados de pruebas u otras formas
de evaluación para confirmar que cumplen con sus obligaciones
contractuales.

ID.SC-5: Las pruebas y la planificación de respuesta y recuperación se

llevan a cabo con proveedores.

PROTEGER (PR) Gestión de identidad, autenticación y control de PR.AC-1: Las identidades y credenciales se emiten, se administran, se
acceso (PR.AC): El acceso a los activos físicos y verifican, se revocan y se auditan para los dispositivos, usuarios y
lógicos y a las instalaciones asociadas está limitado procesos autorizados.
a los usuarios, procesos y dispositivos autorizados, y
se administra de forma coherente con el riesgo PR.AC-2: Se gestiona y se protege el acceso físico a los activos.
evaluado de acceso no autorizado a actividades PR.AC-3: Se gestiona el acceso remoto.
autorizadas y transacciones.
PR.AC-4: Se gestionan los permisos y autorizaciones de acceso con
incorporación de los principios de menor privilegio y separación de
funciones.

PR.AC-5: Se protege la integridad de la red (por ejemplo, segregación

de la red, segmentación de la red).
PR.AC-6: Las identidades son verificadas y vinculadas a credenciales y
afirmadas en las interacciones.

PR.AC-7: Se autentican los usuarios, dispositivos y otros activos (por

ejemplo, autenticación de un solo factor o múltiples factores) acorde
al riesgo de la transacción (por ejemplo, riesgos de seguridad y
privacidad de individuos y otros riesgos para las organizaciones).

Concienciación y capacitación (PR.AT): El personal y PR.AT-1: Todos los usuarios están informados y capacitados.
los socios de la organización reciben educación de PR.AT-2: Los usuarios privilegiados comprenden sus roles y
concienciación sobre la seguridad cibernética y son responsabilidades.
capacitados para cumplir con sus deberes y
responsabilidades relacionados con la seguridad PR.AT-3: Los terceros interesados (por ejemplo, proveedores,
cibernética, en conformidad con las políticas, los clientes, socios) comprenden sus roles y responsabilidades.
procedimientos y los acuerdos relacionados al
campo. PR.AT-4: Los ejecutivos superiores comprenden sus roles y
responsabilidades.
PR.AT-5: El personal de seguridad física y cibernética comprende sus
roles y responsabilidades.

Seguridad de los datos (PR.DS): La información y los PR.DS-1: Los datos en reposo están protegidos.
registros (datos) se gestionan en función de la PR.DS-2: Los datos en tránsito están protegidos.
estrategia de riesgo de la organización para
proteger la confidencialidad, integridad y PR.DS-3: Los activos se gestionan formalmente durante la
disponibilidad de la información. eliminación, las transferencias y la disposición.
PR.DS-4: Se mantiene una capacidad adecuada para asegurar la
disponibilidad.
PR.DS-5: Se implementan protecciones contra las filtraciones de
datos.
CNSD - Pag. 5

PR.DS-6: Se utilizan mecanismos de comprobación de la integridad

para verificar el software, el firmware y la integridad de la
información.

PR.DS-7: Los entornos de desarrollo y prueba(s) están separados del

entorno de producción.
PR.DS-8: Se utilizan mecanismos de comprobación de la integridad
para verificar la integridad del hardware.
Procesos y procedimientos de protección de la PR.IP-1: Se crea y se mantiene una configuración de base de los
información (PR.IP): Se mantienen y se utilizan sistemas de control industrial y de tecnología de la información con
políticas de seguridad (que abordan el propósito, el incorporación de los principios de seguridad (por ejemplo, el
alcance, los roles, las responsabilidades, el concepto de funcionalidad mínima).
compromiso de la jefatura y la coordinación entre
las entidades de la organización), procesos y PR.IP-2: Se implementa un ciclo de vida de desarrollo del sistema
procedimientos para gestionar la protección de los para gestionar los sistemas.
sistemas de información y los activos.
PR.IP-3: Se encuentran establecidos procesos de control de cambio
de la configuración.
PR.IP-4: Se realizan, se mantienen y se prueban copias de seguridad
de la información.
PR.IP-5: Se cumplen las regulaciones y la política con respecto al
entorno operativo físico para los activos organizativos.
PR.IP-6: Los datos son eliminados de acuerdo con las políticas.
PR.IP-7: Se mejoran los procesos de protección.
PR.IP-8: Se comparte la efectividad de las tecnologías de protección.

PR.IP-9: Se encuentran establecidos y se gestionan planes de

respuesta (Respuesta a Incidentes y Continuidad del Negocio) y
planes de recuperación (Recuperación de Incidentes y Recuperación
de Desastres).

PR.IP-10: Se prueban los planes de respuesta y recuperación.

PR.IP-11: La seguridad cibernética se encuentra incluida en las
prácticas de recursos humanos (por ejemplo, desaprovisionamiento,
selección del personal).

PR.IP-12: Se desarrolla y se implementa un plan de gestión de las

vulnerabilidades.
Mantenimiento (PR.MA): El mantenimiento y la PR.MA-1: El mantenimiento y la reparación de los activos de la
reparación de los componentes del sistema de organización se realizan y están registrados con herramientas
información y del control industrial se realizan de aprobadas y controladas.
acuerdo con las políticas y los procedimientos.
PR.MA-2: El mantenimiento remoto de los activos de la organización
se aprueba, se registra y se realiza de manera que evite el acceso no
autorizado.

Tecnología de protección (PR.PT): Las soluciones PR.PT-1: Los registros de auditoría o archivos se determinan, se
técnicas de seguridad se gestionan para garantizar documentan, se implementan y se revisan en conformidad con la
la seguridad y la capacidad de recuperación de los política.
sistemas y activos, en consonancia con las políticas,
procedimientos y acuerdos relacionados. PR.PT-2: Los medios extraíbles están protegidos y su uso se
encuentra restringido de acuerdo con la política.
PR.PT-3: Se incorpora el principio de menor funcionalidad mediante
la configuración de los sistemas para proporcionar solo las
capacidades esenciales.

PR.PT-4: Las redes de comunicaciones y control están protegidas.

PR.PT-5: Se implementan mecanismos (por ejemplo, a prueba de

fallas, equilibrio de carga, cambio en caliente o “hot swap”) para
lograr los requisitos de resiliencia en situaciones normales y adversas.

DETECTAR (DE) Anomalías y Eventos (DE.AE): se detecta actividad DE.AE-1: Se establece y se gestiona una base de referencia para
anómala y se comprende el impacto potencial de operaciones de red y flujos de datos esperados para los usuarios y
los eventos. sistemas.

DE.AE-2: Se analizan los eventos detectados para comprender los

objetivos y métodos de ataque.
CNSD - Pag. 6

DE.AE-3: Los datos de los eventos se recopilan y se correlacionan de

múltiples fuentes y sensores.
DE.AE-4: Se determina el impacto de los eventos.
DE.AE-5: Se establecen umbrales de alerta de incidentes.
Monitoreo Continuo de la Seguridad (DE.CM): El DE.CM-1: Se monitorea la red para detectar posibles eventos de
sistema de información y los activos son seguridad cibernética.
monitoreados a fin de identificar eventos de
seguridad cibernética y verificar la eficacia de las DE.CM-2: Se monitorea el entorno físico para detectar posibles
medidas de protección. eventos de seguridad cibernética.
DE.CM-3: Se monitorea la actividad del personal para detectar
posibles eventos de seguridad cibernética.

DE.CM-4: Se detecta el código malicioso.

DE.CM-5: Se detecta el código móvil no autorizado.

DE.CM-6: Se monitorea la actividad de los proveedores de servicios

externos para detectar posibles eventos de seguridad cibernética.

DE.CM-7: Se realiza el monitoreo del personal, conexiones,

dispositivos y software no autorizados.
DE.CM-8: Se realizan escaneos de vulnerabilidades.

Procesos de Detección (DE.DP): Se mantienen y se DE.DP-1: Los roles y los deberes de detección están bien definidos
aprueban los procesos y procedimientos de para asegurar la responsabilidad.
detección para garantizar el conocimiento de los
eventos anómalos. DE.DP-2: Las actividades de detección cumplen con todos los
requisitos aplicables.
DE.DP-3: Se prueban los procesos de detección.
DE.DP-4: Se comunica la información de la detección de eventos.

DE.DP-5: los procesos de detección se mejoran continuamente.

RESPONDER (RS) Planificación de la Respuesta (RS.RP): Los procesos RS.RP-1: El plan de respuesta se ejecuta durante o después de un
y procedimientos de respuesta se ejecutan y se incidente.
mantienen a fin de garantizar la respuesta a los
incidentes de seguridad cibernética detectados.

Comunicaciones (RS.CO): Las actividades de RS.CO-1: El personal conoce sus roles y el orden de las operaciones
respuesta se coordinan con las partes interesadas cuando se necesita una respuesta.
internas y externas (por ejemplo, el apoyo externo
de organismos encargados de hacer cumplir la ley).
RS.CO-2: Los incidentes se informan de acuerdo con los criterios
establecidos.
RS.CO-3: La información se comparte de acuerdo con los planes de
respuesta.
RS.CO-4: La coordinación con las partes interesadas se realiza en
consonancia con los planes de respuesta.

RS.CO-5: El intercambio voluntario de información se produce con las

partes interesadas externas para lograr una mayor conciencia
situacional de seguridad cibernética.

Análisis (RS.AN): Se lleva a cabo el análisis para RS.AN-1: Se investigan las notificaciones de los sistemas de
garantizar una respuesta eficaz y apoyar las detección.
actividades de recuperación.
RS.AN-2: Se comprende el impacto del incidente.
RS.AN-3: Se realizan análisis forenses.
RS.AN-4: Los incidentes se clasifican de acuerdo con los planes de
respuesta.

RS.AN-5: Se establecen procesos para recibir, analizar y responder a

las vulnerabilidades divulgadas a la organización desde fuentes
internas y externas (por ejemplo, pruebas internas, boletines de
seguridad o investigadores de seguridad).

Mitigación (RS.MI): Se realizan actividades para RS.MI-1: Los incidentes son contenidos.
evitar la expansión de un evento, mitigar sus
efectos y resolver el incidente.
RS.MI-2: Los incidentes son mitigados.
 Mitigación (RS.MI): Se realizan actividades para
CNSD - Pag. 7 evitar la expansión de un evento, mitigar sus
efectos y resolver el incidente.

RS.MI-3: Las vulnerabilidades recientemente identificadas son

mitigadas o se documentan como riesgos aceptados.
Mejoras (RS.IM): Las actividades de respuesta de la RS.IM-1: Los planes de respuesta incorporan las lecciones
organización se mejoran al incorporar las lecciones aprendidas.
aprendidas de las actividades de detección y
respuesta actuales y previas. RS.IM-2: Se actualizan las estrategias de respuesta.

RECUPERAR (RC) Planificación de la recuperación (RC.RP): Los RC.RP-1: El plan de recuperación se ejecuta durante o después de un
procesos y procedimientos de recuperación se incidente de seguridad cibernética.
ejecutan y se mantienen para asegurar la
restauración de los sistemas o activos afectados por
incidentes de seguridad cibernética.

Mejoras (RC.IM): La planificación y los procesos de RC.IM-1: Los planes de recuperación incorporan las lecciones
recuperación se mejoran al incorporar en las aprendidas.
actividades futuras las lecciones aprendidas.
RC.IM-2: Se actualizan las estrategias de recuperación.
Comunicaciones (RC.CO): Las actividades de RC.CO-1: Se gestionan las relaciones públicas.
restauración se coordinan con partes internas y RC.CO-2: La reputación se repara después de un incidente.
externas (por ejemplo, centros de coordinación,
proveedores de servicios de Internet, propietarios RC.CO-3: Las actividades de recuperación se comunican a las partes
de sistemas de ataque, víctimas, otros CSIRT y interesadas internas y externas, así como también a los equipos
vendedores). ejecutivos y de administración.
CNSD - Pag. 8

HERRAMIENTA DE DIAGNOSTICO NIST - CSF

Función Categoría Subcategoría Estado actual Objetivo deseado Prioridad

Logro Nivel Logro Nivel Brecha Prioridad

IDENTIFICAR (ID) Gestión de activos (ID.AM): Los datos, el personal, ID.AM-1: Los dispositivos y sistemas físicos dentro de la organización están inventariados. Riesgo
los dispositivos, los sistemas y las instalaciones que Parcial 1 2 1 Baja
Informado
permiten a la organización alcanzar los objetivos
empresariales se identifican y se administran de ID.AM-2: Las plataformas de software y las aplicaciones dentro de la organización están
forma coherente con su importancia relativa para inventariadas. Parcial 1 Adaptable 4 3 Alta
los objetivos organizativos y la estrategia de riesgos
de la organización.
ID.AM-3: La comunicación organizacional y los flujos de datos están mapeados.
Parcial 1 Repetible 3 2 Media

ID.AM-4: Los sistemas de información externos están catalogados.

Parcial 1 Repetible 3 2 Media

ID.AM-5: Los recursos (por ejemplo, hardware, dispositivos, datos, tiempo, personal y software)
se priorizan en función de su clasificación, criticidad y valor comercial.
Parcial 1 Repetible 3 2 Media

ID.AM-6: Los roles y las responsabilidades de la seguridad cibernética para toda la fuerza de
trabajo y terceros interesados (por ejemplo, proveedores, clientes, socios) están establecidas. Parcial 1 Adaptable 4 3 Alta

Resumen de la categoría "ID-AM: Gestión de activos" %Logro 25.00% %Objetivo 79.17% 54.17% %Prioridad
Entorno empresarial (ID.BE): Se entienden y se ID.BE-1: Se identifica y se comunica la función de la organización en la cadena de suministro.
priorizan la misión, los objetivos, las partes
interesadas y las actividades de la organización; esta Riesgo
Parcial 1 Informado 2 1 Baja
información se utiliza para informar los roles,
responsabilidades y decisiones de gestión de los
riesgos de seguridad cibernética. ID.BE-2: Se identifica y se comunica el lugar de la organización en la infraestructura crítica y su Riesgo
sector industrial. Parcial 1 2 1 Baja
Informado
ID.BE-3: Se establecen y se comunican las prioridades para la misión, los objetivos y las Riesgo
actividades de la organización. Parcial 1 2 1 Baja
Informado
ID.BE-4: Se establecen las dependencias y funciones fundamentales para la entrega de servicios
críticos.
Parcial 1 Repetible 3 2 Media

ID.BE-5: Los requisitos de resiliencia para respaldar la entrega de servicios críticos se establecen
para todos los estados operativos (p. ej. bajo coacción o ataque, durante la recuperación y
operaciones normales).
Parcial 1 Repetible 3 2 Media

Resumen de la categoría "ID-BE: Entorno empresarial" %Logro 25.00% %Objetivo 60.00% 35.00% %Prioridad
Gobernanza (ID.GV): Las políticas, los ID.GV-1: Se establece y se comunica la política de seguridad cibernética organizacional. Riesgo
procedimientos y los procesos para administrar y Parcial 1 Informado 2 1 Baja
monitorear los requisitos regulatorios, legales, de
riesgo, ambientales y operativos de la organización ID.GV-2: Los roles y las responsabilidades de seguridad cibernética están coordinados y alineados
se comprenden y se informan a la gestión del riesgo con roles internos y socios externos. Parcial 1 Repetible 3 2 Media
de seguridad cibernética.
ID.GV-3: Se comprenden y se gestionan los requisitos legales y regulatorios con respecto a la
seguridad cibernética, incluidas las obligaciones de privacidad y libertades civiles. Riesgo
Parcial 1 Informado 2 1 Baja
 riesgo, ambientales y operativos de la organización
se comprenden y se informan a la gestión del riesgo
de seguridad cibernética.
CNSD - Pag. 9

ID.GV-4: Los procesos de gobernanza y gestión de riesgos abordan los riesgos de seguridad
cibernética. Riesgo
Parcial 1 2 1 Baja
Informado

Resumen de la categoría "ID-GV: Gobernanza" %Logro 25.00% %Objetivo 56.25% 31.25% %Prioridad
Evaluación de riesgos (ID.RA): La organización ID.RA-1: Se identifican y se documentan las vulnerabilidades de los activos. Parcial 1 Repetible 3 2 Media
comprende el riesgo de seguridad cibernética para ID.RA-2: La inteligencia de amenazas cibernéticas se recibe de foros y fuentes de intercambio de
las operaciones de la organización (incluida la información. Parcial 1 Adaptable 4 3 Alta
misión, las funciones, la imagen o la reputación), los
activos de la organización y las personas. ID.RA-3: Se identifican y se documentan las amenazas, tanto internas como externas. Riesgo
Parcial 1 Informado 2 1 Baja
ID.RA-4: Se identifican los impactos y las probabilidades del negocio. Riesgo
Parcial 1 2 1 Baja
Informado
ID.RA-5: Se utilizan las amenazas, las vulnerabilidades, las probabilidades y los impactos para
determinar el riesgo. Parcial 1 Adaptable 4 3 Alta
ID.RA-6: Se identifican y priorizan las respuestas al riesgo. Riesgo
Parcial 1 Informado 2 1 Baja
Resumen de la categoría "ID-RA: Evaluación de riesgos" %Logro 25.00% %Objetivo 70.83% 45.83% %Prioridad
Estrategia de gestión de riesgos (ID.RM): Se ID.RM-1: Los actores de la organización establecen, gestionan y acuerdan los procesos de gestión Riesgo
establecen las prioridades, restricciones, tolerancias de riesgos. Parcial 1 2 1 Baja
Informado
de riesgo y suposiciones de la organización y se
usan para respaldar las decisiones de riesgos ID.RM-2: La tolerancia al riesgo organizacional se determina y se expresa claramente. Riesgo
Parcial 1 Informado 2 1 Baja
operacionales.
ID.RM-3: La determinación de la tolerancia del riesgo de la organización se basa en parte en su
rol en la infraestructura crítica y el análisis del riesgo específico del sector. Parcial 1 Repetible 3 2 Media
Resumen de la categoría "ID-RM: Estrategia de gestión de riesgos" %Logro 25.00% %Objetivo 58.33% 33.33% %Prioridad
Gestión del riesgo de la cadena de suministro ID.SC-1: Los actores de la organización identifican, establecen, evalúan, gestionan y acuerdan los
(ID.SC): procesos de gestión del riesgo de la cadena de suministro cibernética. Parcial 1 Adaptable 4 3 Alta
Las prioridades, limitaciones, tolerancias de riesgo y
suposiciones de la organización se establecen y se ID.SC-2: Los proveedores y socios externos de los sistemas de información, componentes y
utilizan para respaldar las decisiones de riesgo servicios se identifican, se priorizan y se evalúan mediante un proceso de evaluación de riesgos Riesgo
Parcial 1 2 1 Baja
asociadas con la gestión del riesgo de la cadena de de la cadena de suministro cibernético. Informado
suministro. La organización ha establecido e
implementado los procesos para identificar, evaluar ID.SC-3: Los contratos con proveedores y socios externos se utilizan para implementar medidas
y gestionar los riesgos de la cadena de suministro. apropiadas diseñadas para cumplir con los objetivos del programa de seguridad cibernética de Riesgo
una organización y el plan de gestión de riesgos de la cadena de suministro cibernético. Parcial 1 2 1 Baja
Informado

ID.SC-4: Los proveedores y los socios externos se evalúan de forma rutinaria mediante auditorías,
resultados de pruebas u otras formas de evaluación para confirmar que cumplen con sus Riesgo
Parcial 1 2 1 Baja
obligaciones contractuales. Informado

ID.SC-5: Las pruebas y la planificación de respuesta y recuperación se llevan a cabo con

proveedores. Riesgo
Parcial 1 Informado 2 1 Baja

Resumen de la categoría "ID-SC: Gestión del riesgo de la cadena de suministro" %Logro 25.00% %Objetivo 60.00% 35.00% %Prioridad
PROTEGER (PR) Gestión de identidad, autenticación y control de PR.AC-1: Las identidades y credenciales se emiten, se administran, se verifican, se revocan y se
acceso (PR.AC): El acceso a los activos físicos y auditan para los dispositivos, usuarios y procesos autorizados.
lógicos y a las instalaciones asociadas está limitado Riesgo
Parcial 1 Informado 2 1 Baja
a los usuarios, procesos y dispositivos autorizados, y
se administra de forma coherente con el riesgo
evaluado de acceso no autorizado a actividades PR.AC-2: Se gestiona y se protege el acceso físico a los activos.
autorizadas y transacciones. Riesgo
Parcial 1 2 1 Baja
Informado
PR.AC-3: Se gestiona el acceso remoto. Parcial 1 Adaptable 4 3 Alta
PR.AC-4: Se gestionan los permisos y autorizaciones de acceso con incorporación de los
principios de menor privilegio y separación de funciones.
Parcial 1 Adaptable 4 3 Alta

PR.AC-5: Se protege la integridad de la red (por ejemplo, segregación de la red, segmentación de

la red). Parcial 1 Adaptable 4 3 Alta
CNSD - Pag. 10

PR.AC-6: Las identidades son verificadas y vinculadas a credenciales y afirmadas en las

interacciones. Riesgo
Parcial 1 Informado 2 1 Baja

PR.AC-7: Se autentican los usuarios, dispositivos y otros activos (por ejemplo, autenticación de
un solo factor o múltiples factores) acorde al riesgo de la transacción (por ejemplo, riesgos de
seguridad y privacidad de individuos y otros riesgos para las organizaciones).
Parcial 1 Riesgo 2 1 Baja
Informado

Resumen de la categoría "PR-AC: Gestión de identidad, autenticación y control de acceso" %Logro 25.00% %Objetivo 71.43% 46.43% %Prioridad
Concienciación y capacitación (PR.AT): El personal y PR.AT-1: Todos los usuarios están informados y capacitados. Parcial 1 Adaptable 4 3 Alta
los socios de la organización reciben educación de PR.AT-2: Los usuarios privilegiados comprenden sus roles y responsabilidades.
concienciación sobre la seguridad cibernética y son Parcial 1 Riesgo 2 1 Baja
capacitados para cumplir con sus deberes y Informado
responsabilidades relacionados con la seguridad PR.AT-3: Los terceros interesados (por ejemplo, proveedores, clientes, socios) comprenden sus Riesgo
cibernética, en conformidad con las políticas, los roles y responsabilidades. Parcial 1 Informado 2 1 Baja
procedimientos y los acuerdos relacionados al
campo. PR.AT-4: Los ejecutivos superiores comprenden sus roles y responsabilidades. Riesgo
Parcial 1 Informado 2 1 Baja
PR.AT-5: El personal de seguridad física y cibernética comprende sus roles y responsabilidades.
Riesgo
Parcial 1 2 1 Baja
Informado

Resumen de la categoría "PR-AT: Concienciación y capacitación" %Logro 25.00% %Objetivo 60.00% 35.00% %Prioridad
Seguridad de los datos (PR.DS): La información y los PR.DS-1: Los datos en reposo están protegidos. Parcial 1 Adaptable 4 3 Alta
registros (datos) se gestionan en función de la PR.DS-2: Los datos en tránsito están protegidos. Parcial 1 Adaptable 4 3 Alta
estrategia de riesgo de la organización para
proteger la confidencialidad, integridad y PR.DS-3: Los activos se gestionan formalmente durante la eliminación, las transferencias y la
disponibilidad de la información. disposición. Riesgo
Parcial 1 2 1 Baja
Informado

PR.DS-4: Se mantiene una capacidad adecuada para asegurar la disponibilidad. Riesgo

Parcial 1 2 1 Baja
Informado
PR.DS-5: Se implementan protecciones contra las filtraciones de datos. Riesgo
Parcial 1 2 1 Baja
Informado
PR.DS-6: Se utilizan mecanismos de comprobación de la integridad para verificar el software, el
firmware y la integridad de la información.
Riesgo
Parcial 1 Informado 2 1 Baja

PR.DS-7: Los entornos de desarrollo y prueba(s) están separados del entorno de producción.
Parcial 1 Adaptable 4 3 Alta
PR.DS-8: Se utilizan mecanismos de comprobación de la integridad para verificar la integridad del
hardware. Riesgo
Parcial 1 2 1 Baja
Informado

Resumen de la categoría "PR-DS: Seguridad de los datos" %Logro 25.00% %Objetivo 68.75% 43.75% %Prioridad
Procesos y procedimientos de protección de la PR.IP-1: Se crea y se mantiene una configuración de base de los sistemas de control industrial y
información (PR.IP): Se mantienen y se utilizan de tecnología de la información con incorporación de los principios de seguridad (por ejemplo, el Parcial 1 Riesgo 2 1 Baja
políticas de seguridad (que abordan el propósito, el concepto de funcionalidad mínima). Informado
alcance, los roles, las responsabilidades, el
compromiso de la jefatura y la coordinación entre PR.IP-2: Se implementa un ciclo de vida de desarrollo del sistema para gestionar los sistemas. Riesgo
las entidades de la organización), procesos y Parcial 1 2 1 Baja
Informado
procedimientos para gestionar la protección de los
sistemas de información y los activos. PR.IP-3: Se encuentran establecidos procesos de control de cambio de la configuración.
Parcial 1 Adaptable 4 3 Alta
PR.IP-4: Se realizan, se mantienen y se prueban copias de seguridad de la información. Riesgo
Parcial 1 2 1 Baja
Informado
PR.IP-5: Se cumplen las regulaciones y la política con respecto al entorno operativo físico para los Riesgo
activos organizativos. Parcial 1 2 1 Baja
Informado
PR.IP-6: Los datos son eliminados de acuerdo con las políticas. Riesgo
Parcial 1 2 1 Baja
Informado
PR.IP-7: Se mejoran los procesos de protección. Parcial 1 Adaptable 4 3 Alta
CNSD - Pag. 11

PR.IP-8: Se comparte la efectividad de las tecnologías de protección. Riesgo

Parcial 1 Informado 2 1 Baja
PR.IP-9: Se encuentran establecidos y se gestionan planes de respuesta (Respuesta a Incidentes y
Continuidad del Negocio) y planes de recuperación (Recuperación de Incidentes y Recuperación
de Desastres).
Parcial 1 Adaptable 4 3 Alta

PR.IP-10: Se prueban los planes de respuesta y recuperación. Parcial 1 Repetible 3 2 Media

PR.IP-11: La seguridad cibernética se encuentra incluida en las prácticas de recursos humanos
(por ejemplo, desaprovisionamiento, selección del personal).
Riesgo
Parcial 1 2 1 Baja
Informado

PR.IP-12: Se desarrolla y se implementa un plan de gestión de las vulnerabilidades. Riesgo

Parcial 1 Informado 2 1 Baja
Resumen de la categoría "PR-IP: Procesos y procedimientos de protección de la información" %Logro 25.00% %Objetivo 64.58% 39.58% %Prioridad
Mantenimiento (PR.MA): El mantenimiento y la PR.MA-1: El mantenimiento y la reparación de los activos de la organización se realizan y están
reparación de los componentes del sistema de registrados con herramientas aprobadas y controladas.
información y del control industrial se realizan de Parcial 1 Repetible 3 2 Media
acuerdo con las políticas y los procedimientos.

PR.MA-2: El mantenimiento remoto de los activos de la organización se aprueba, se registra y se

realiza de manera que evite el acceso no autorizado.
Riesgo
Parcial 1 Informado 2 1 Baja

Resumen de la categoría "PR-MA: Procesos y procedimientos de protección de la información" %Logro 25.00% %Objetivo 62.50% 37.50% %Prioridad
Tecnología de protección (PR.PT): Las soluciones PR.PT-1: Los registros de auditoría o archivos se determinan, se documentan, se implementan y Riesgo
técnicas de seguridad se gestionan para garantizar se revisan en conformidad con la política. Parcial 1 2 1 Baja
Informado
la seguridad y la capacidad de recuperación de los
sistemas y activos, en consonancia con las políticas, PR.PT-2: Los medios extraíbles están protegidos y su uso se encuentra restringido de acuerdo
procedimientos y acuerdos relacionados. con la política. Riesgo
Parcial 1 Informado 2 1 Baja

PR.PT-3: Se incorpora el principio de menor funcionalidad mediante la configuración de los

sistemas para proporcionar solo las capacidades esenciales.
Parcial 1 Repetible 3 2 Media

PR.PT-4: Las redes de comunicaciones y control están protegidas.

Parcial 1 Repetible 3 2 Media

PR.PT-5: Se implementan mecanismos (por ejemplo, a prueba de fallas, equilibrio de carga,

cambio en caliente o “hot swap”) para lograr los requisitos de resiliencia en situaciones normales
y adversas.
Riesgo
Parcial 1 2 1 Baja
Informado

Resumen de la categoría "PR-PT: Tecnología de protección" %Logro 25.00% %Objetivo 60.00% 35.00% %Prioridad
DETECTAR (DE) Anomalías y Eventos (DE.AE): se detecta actividad DE.AE-1: Se establece y se gestiona una base de referencia para operaciones de red y flujos de
anómala y se comprende el impacto potencial de datos esperados para los usuarios y sistemas. Riesgo
los eventos. Parcial 1 2 1 Baja
Informado

DE.AE-2: Se analizan los eventos detectados para comprender los objetivos y métodos de
ataque. Riesgo
Parcial 1 2 1 Baja
Informado

DE.AE-3: Los datos de los eventos se recopilan y se correlacionan de múltiples fuentes y

sensores. Parcial 1 Adaptable 4 3 Alta
CNSD - Pag. 12

DE.AE-4: Se determina el impacto de los eventos. Riesgo

Parcial 1 Informado 2 1 Baja
DE.AE-5: Se establecen umbrales de alerta de incidentes. Parcial 1 Repetible 3 2 Media
Resumen de la categoría "DE-AE: Anomalías y Eventos" %Logro 25.00% %Objetivo 65.00% 40.00% %Prioridad
Monitoreo Continuo de la Seguridad (DE.CM): El DE.CM-1: Se monitorea la red para detectar posibles eventos de seguridad cibernética.
sistema de información y los activos son Parcial 1 Repetible 3 2 Media
monitoreados a fin de identificar eventos de
seguridad cibernética y verificar la eficacia de las DE.CM-2: Se monitorea el entorno físico para detectar posibles eventos de seguridad cibernética. Parcial 1 Repetible 3 2 Media
medidas de protección.
DE.CM-3: Se monitorea la actividad del personal para detectar posibles eventos de seguridad
cibernética.
Parcial 1 Repetible 3 2 Media

DE.CM-4: Se detecta el código malicioso. Riesgo

Parcial 1 2 1 Baja
Informado
DE.CM-5: Se detecta el código móvil no autorizado. Riesgo
Parcial 1 2 1 Baja
Informado
DE.CM-6: Se monitorea la actividad de los proveedores de servicios externos para detectar
posibles eventos de seguridad cibernética. Riesgo
Parcial 1 2 1 Baja
Informado

DE.CM-7: Se realiza el monitoreo del personal, conexiones, dispositivos y software no Riesgo

autorizados. Parcial 1 2 1 Baja
Informado
DE.CM-8: Se realizan escaneos de vulnerabilidades.
Parcial 1 Repetible 3 2 Media

Resumen de la categoría "DE-CM: Monitoreo Continuo de la Seguridad" %Logro 25.00% %Objetivo 62.50% 37.50% %Prioridad
Procesos de Detección (DE.DP): Se mantienen y se DE.DP-1: Los roles y los deberes de detección están bien definidos para asegurar la Riesgo
aprueban los procesos y procedimientos de responsabilidad. Parcial 1 2 1 Baja
Informado
detección para garantizar el conocimiento de los
eventos anómalos. DE.DP-2: Las actividades de detección cumplen con todos los requisitos aplicables. Riesgo
Parcial 1 2 1 Baja
Informado
DE.DP-3: Se prueban los procesos de detección. Riesgo
Parcial 1 2 1 Baja
Informado
DE.DP-4: Se comunica la información de la detección de eventos. Riesgo
Parcial 1 2 1 Baja
Informado
DE.DP-5: los procesos de detección se mejoran continuamente. Riesgo
Parcial 1 2 1 Baja
Informado
Resumen de la categoría "DE-DP: Procesos de Detección" %Logro 25.00% %Objetivo 50.00% 25.00% %Prioridad
RESPONDER (RS) Planificación de la Respuesta (RS.RP): Los procesos RS.RP-1: El plan de respuesta se ejecuta durante o después de un incidente.
y procedimientos de respuesta se ejecutan y se
mantienen a fin de garantizar la respuesta a los Riesgo
incidentes de seguridad cibernética detectados. Parcial 1 2 1 Baja
Informado

Resumen de la categoría "RS-RP: Planificación de la Respuesta" %Logro 25.00% %Objetivo 50.00% 25.00% %Prioridad
Comunicaciones (RS.CO): Las actividades de RS.CO-1: El personal conoce sus roles y el orden de las operaciones cuando se necesita una
respuesta se coordinan con las partes interesadas respuesta. Parcial 1 Riesgo 2 1 Baja
internas y externas (por ejemplo, el apoyo externo Informado
de organismos encargados de hacer cumplir la ley).
RS.CO-2: Los incidentes se informan de acuerdo con los criterios establecidos. Riesgo
Parcial 1 Informado 2 1 Baja
RS.CO-3: La información se comparte de acuerdo con los planes de respuesta. Riesgo
Parcial 1 2 1 Baja
Informado
RS.CO-4: La coordinación con las partes interesadas se realiza en consonancia con los planes de
respuesta.
Riesgo
Parcial 1 Informado 2 1 Baja
CNSD - Pag. 13

RS.CO-5: El intercambio voluntario de información se produce con las partes interesadas

externas para lograr una mayor conciencia situacional de seguridad cibernética.
Parcial 1 Riesgo 2 1 Baja
Informado

Resumen de la categoría "RS-CO: Comunicaciones" %Logro 25.00% %Objetivo 50.00% 25.00% %Prioridad
Análisis (RS.AN): Se lleva a cabo el análisis para RS.AN-1: Se investigan las notificaciones de los sistemas de detección.
garantizar una respuesta eficaz y apoyar las Parcial 1 Repetible 3 2 Media
actividades de recuperación.
RS.AN-2: Se comprende el impacto del incidente. Riesgo
Parcial 1 Informado 2 1 Baja
RS.AN-3: Se realizan análisis forenses. Riesgo
Parcial 1 Informado 2 1 Baja
RS.AN-4: Los incidentes se clasifican de acuerdo con los planes de respuesta.
Riesgo
Parcial 1 2 1 Baja
Informado

RS.AN-5: Se establecen procesos para recibir, analizar y responder a las vulnerabilidades

divulgadas a la organización desde fuentes internas y externas (por ejemplo, pruebas internas,
boletines de seguridad o investigadores de seguridad).
Parcial 1 Repetible 3 2 Media

Resumen de la categoría "RS-AN: Análisis" %Logro 25.00% %Objetivo 60.00% 35.00% %Prioridad
Mitigación (RS.MI): Se realizan actividades para RS.MI-1: Los incidentes son contenidos. Riesgo
evitar la expansión de un evento, mitigar sus Parcial 1 2 1 Baja
Informado
efectos y resolver el incidente.
RS.MI-2: Los incidentes son mitigados. Riesgo
Parcial 1 Informado 2 1 Baja
RS.MI-3: Las vulnerabilidades recientemente identificadas son mitigadas o se documentan como
riesgos aceptados. Riesgo
Parcial 1 2 1 Baja
Informado

Resumen de la categoría "RS-MI: Mitigación" %Logro 25.00% %Objetivo 50.00% 25.00% %Prioridad
Mejoras (RS.IM): Las actividades de respuesta de la RS.IM-1: Los planes de respuesta incorporan las lecciones aprendidas. Riesgo
organización se mejoran al incorporar las lecciones Parcial 1 Informado 2 1 Baja
aprendidas de las actividades de detección y
respuesta actuales y previas. RS.IM-2: Se actualizan las estrategias de respuesta.
Riesgo
Parcial 1 2 1 Baja
Informado

Resumen de la categoría "RS-IM: Mejoras" %Logro 25.00% %Objetivo 50.00% 25.00% %Prioridad
RECUPERAR (RC) Planificación de la recuperación (RC.RP): Los RC.RP-1: El plan de recuperación se ejecuta durante o después de un incidente de seguridad
procesos y procedimientos de recuperación se cibernética.
ejecutan y se mantienen para asegurar la
restauración de los sistemas o activos afectados por Riesgo
Parcial 1 Informado 2 1 Baja
incidentes de seguridad cibernética.

Resumen de la categoría "RC-RP: Planificación de la recuperación" %Logro 25.00% %Objetivo 50.00% 25.00% %Prioridad
Mejoras (RC.IM): La planificación y los procesos de RC.IM-1: Los planes de recuperación incorporan las lecciones aprendidas. Parcial 1 Repetible 3 2 Media
recuperación se mejoran al incorporar en las RC.IM-2: Se actualizan las estrategias de recuperación.
actividades futuras las lecciones aprendidas. Riesgo
Parcial 1 Informado 2 1 Baja
Resumen de la categoría "RC-IM: Mejoras" %Logro 25.00% %Objetivo 62.50% 37.50% %Prioridad
Comunicaciones (RC.CO): Las actividades de RC.CO-1: Se gestionan las relaciones públicas. Riesgo
restauración se coordinan con partes internas y Parcial 1 2 1 Baja
Informado
externas (por ejemplo, centros de coordinación,
proveedores de servicios de Internet, propietarios RC.CO-2: La reputación se repara después de un incidente. Parcial 1
Riesgo
2 1 Baja
de sistemas de ataque, víctimas, otros CSIRT y Informado
vendedores). RC.CO-3: Las actividades de recuperación se comunican a las partes interesadas internas y Riesgo
externas, así como también a los equipos ejecutivos y de administración. Parcial 1 2 1 Baja
Informado
Resumen de la categoría "RC-CO: Comunicaciones" %Logro 25.00% %Objetivo 50.00% 25.00% %Prioridad
CNSD - Pag. 14

HERRAMIENTA DE DIAGNOSTICO NIST - CSF

Función Categoría %Logro %Objetivo %Brecha
IDENTIFICAR (ID) ID.AM 25.00% 79.17% 54.17%
ID.BE 25.00% 60.00% 35.00%
ID.GV 25.00% 56.25% 31.25%
ID.RA 25.00% 70.83% 45.83%
ID.RM 25.00% 58.33% 33.33%
ID.SC 25.00% 60.00% 35.00%
Función ID 25.00% 64.10% 39.10%
PROTEGER (PR) PR.AC 25.00% 71.43% 46.43%
PR.AT 25.00% 60.00% 35.00%
PR.DS 25.00% 68.75% 43.75%
PR.IP 25.00% 64.58% 39.58%
PR.MA 25.00% 62.50% 37.50%
PR.PT 25.00% 60.00% 35.00%
Función PR 25.00% 64.54% 39.54%
DETECTAR (DE) DE.AE 25.00% 65.00% 40.00%
DE.CM 25.00% 62.50% 37.50%
DE.DP 25.00% 50.00% 25.00%
Función DE 25.00% 59.17% 34.17%
RESPONDER (RS) RS.RP 25.00% 50.00% 25.00%
RS.CO 25.00% 50.00% 25.00%
RS.AN 25.00% 60.00% 35.00%
RS.MI 25.00% 50.00% 25.00%
RS.IM 25.00% 50.00% 25.00%
Función RS 25.00% 52.00% 27.00%
RECUPERAR (RC) RC.RP 25.00% 50.00% 25.00%
RC.IM 25.00% 62.50% 37.50%
RC.CO 25% 50.00% 25.00%
Función RC 25.00% 54.17% 29.17%
CNSD - Pag. 15

HERRAMIENTA DE DIAGNOSTICO NIST - CSF

Identificar
ID.AM

ID.SC ID.BE PR.PT

ID.RM ID.GV PR.MA

ID.RA

%Logro %Objetivo

Responder
RS.RP

RS.IM RS.CO

RC.CO

RS.MI RS.AN

%Logro %Objetivo
CNSD - Pag. 16

IDENTIFICAR
80.00%
90.00%
80.00% 70.00%

70.00% 60.00%
60.00% 50.00%
50.00% 40.00%
40.00%
30.00%
30.00%
20.00%
20.00%
10.00%
10.00%
0.00%
0.00% PR.AC PR.A
ID.AM ID.BE ID.GV ID.RA ID.RM ID.SC

%Logro %Objetivo

RESPONDER
70.00% 70.00%

60.00% 60.00%

50.00% 50.00%

40.00% 40.00%

30.00% 30.00%

20.00% 20.00%

10.00% 10.00%

0.00% 0.00%
RS.RP RS.CO RS.AN RS.MI RS.IM RC.RP

%Logro %Objetivo

Funciones % Logro
70.00%

60.00%

50.00%

40.00%

30.00%
CNSD - Pag. 17
40.00%

30.00%

20.00%

10.00%

0.00%
Función ID Función PR Función DE Función RS

%Logro %Objetivo
CNSD - Pag. 18

Proteger Detectar
Óptimo DE.AE
PR.AC

PR.PT PR.AT

PR.MA PR.DS
DE.DP

PR.IP

%Logro %Objetivo %Logro %

Recuperar
RC.RP

RC.CO RC.IM

%Logro %Objetivo
 CNSD - Pag. 19

PROTEGER DETEC
80.00% 70.00%

70.00% 60.00%
60.00% 50.00%
50.00%
40.00%
40.00%
30.00%
30.00%
20.00%
20.00%
10.00% 10.00%

0.00% 0.00%
PR.AC PR.AT PR.DS PR.IP PR.MA PR.PT DE.AE D

%Logro %Objetivo %Logro

RECUPERAR
70.00%

60.00%

50.00%

40.00%

30.00%

20.00%

10.00%

0.00%
RC.RP RC.IM RC.CO

%Logro %Objetivo
 CNSD - Pag. 20

Función RS Función RC
 CNSD - Pag. 21

Detectar
DE.AE

E.DP DE.CM

%Logro %Objetivo
 CNSD - Pag. 22

DETECTAR

DE.AE DE.CM DE.DP

%Logro %Objetivo