El CAF es una herramienta independiente del sector desarrollada por el NCSC para proporcionar a las organizaciones un enfoque estructurado a fin de evaluar, lograr y demostrar un nivel adecuado de ciberresiliencia.
Conclusiones clave
La ciberresiliencia es una necesidad de servicio público. El aumento de los ataques promovidos por naciones amenazan la infraestructura crítica y los datos confidenciales. La adopción de un marco basado en resultados permite a las organizaciones mantener los servicios esenciales a pesar de las amenazas persistentes y sofisticadas.
La visibilidad de los activos es la base del objetivo A del CAF. Las organizaciones no pueden gestionar los riesgos de seguridad sin una comprensión completa de su infraestructura; la detección automatizada de activos y API en la sombra es esencial para cumplir los principios básicos de gestión de activos.
Zero Trust es fundamental para lograr el objetivo B del CAF. Para protegerse de los ciberataques, las organizaciones deben pasar de la defensa perimetral a un acceso granular basado en identidades y una microsegmentación que evite el movimiento lateral dentro de los sistemas esenciales.
CAF v4.0 exige una detección proactiva frente a la monitorización reactiva. Para cumplir el objetivo C es necesario pasar del análisis básico de registros a la búsqueda avanzada de amenazas y la observación del comportamiento para identificar a los adversarios ocultos antes de que puedan afectar a las funciones esenciales.
- La integridad de la cadena de suministro es un resultado fundamental para la seguridad del CAF. La seguridad debe integrarse a lo largo del ciclo de vida del software y las ejecuciones de scripts de terceros para proteger la procedencia de los componentes y la seguridad de los datos de los ciudadanos.
Preguntas frecuentes
Está diseñado para organizaciones sujetas a las normativas NIS, para aquellas que gestionan infraestructuras nacionales críticas (CNI) y para entidades del sector público que respaldan funciones gubernamentales básicas o gestionan riesgos de seguridad pública.
La versión 4.0 del Marco de Evaluación Cibernética se publicó en agosto de 2025.
El marco se basa en cuatro objetivos de alto nivel y 14 principios, que se miden a través de 41 resultados contribuyentes e indicadores específicos de prácticas recomendadas.
Los objetivos son: Objetivo A: gestionar los riesgos de seguridad; Objetivo B: proteger frente a ciberataques; Objetivo C: detectar eventos de ciberseguridad; y Objetivo D: minimizar el impacto de los incidentes.
El marco actualizado (Principio A2.b) requiere que las organizaciones comprendan las capacidades y técnicas de los atacantes, al tiempo que integran una inteligencia específica contra ciberamenazas en sus decisiones de gestión de riesgos.
Según el principio C1.f, las organizaciones ahora deben ir más allá del análisis de registros tradicional para comprender el comportamiento de los usuarios y del sistema, lo que les permite identificar anomalías que indican actividad maliciosa.
La fase inicial implica "Comprender sus necesidades", lo que requiere identificar las funciones esenciales que dependen de los sistemas de TI críticos y priorizar los riesgos en función de las amenazas y vulnerabilidades potenciales.