剣 KENSAI
← All posts · security · 2026-01-01 · 5 min

Escaneo de vulnerabilidades del marco de ciberseguridad del NIST

NIST CSF 2.0 amplió el marco de 5 a 6 funciones principales, con gestión de vulnerabilidades que abarca Identificar, Proteger y la nueva función Gobernar. KENSAI se asigna directamente a las subcategorías de CSF para respaldar a las agencias federales y organizaciones privadas que se alinean con el NIST.

Mapa KENSAI a NIST CSF → Ver panel NIST

NIST CSF 2.0 Funciones principales y gestión de vulnerabilidades

Lanzado en febrero de 2024, NIST CSF 2.0 agrega una sexta función (Gobierno) y reorganiza las subcategorías. La gestión de vulnerabilidades abarca múltiples funciones:

GOBIERNO (GV) — Nuevo en CSF 2.0

GV.RM-07:Gestión de riesgos de vulnerabilidad a nivel estratégico: garantizar que la gestión de vulnerabilidades sea parte de las decisiones de riesgo empresarial y tenga visibilidad ejecutiva.

IDENTIFICAR (ID)

ID.RA-01:Las vulnerabilidades de los activos se identifican y documentan.ID.RA-02:La inteligencia sobre amenazas cibernéticas se recibe de foros de intercambio de información.ID.AM-02:Inventarios de software, servicios y sistemas. Estos son la base de cualquier programa de gestión de vulnerabilidades.

PROTEGER (PR)

PR.PS-02:El software se mantiene para reducir la explotabilidad.PR.PS-04:Los registros de registro se generan y se ponen a disposición.PR.MA-01/02:Mantenimiento y reparaciones realizadas, autorizadas y registradas.

DETECTAR (DE)

DE.CM-01/02/09:Se monitorean las redes y los sistemas para encontrar anomalías y posibles eventos de ciberseguridad. El escaneo continuo admite la detección continua.

RESPONDER (RS)

RS.MI-02:Se mitigan las incidencias. Los flujos de trabajo de corrección de vulnerabilidades respaldan una respuesta rápida a incidentes cuando las vulnerabilidades se explotan activamente.

Mapeo de KENSAI a las subcategorías NIST CSF 2.0

Subcategoría de LCRDescripciónCapacidad KENSAI
ID.RA-01Vulnerabilidades de activos identificadasEscaneo automatizado de vulnerabilidades
ID.RA-02Información sobre amenazas recibidaIntegración de inteligencia sobre amenazas CVE
ID.AM-02Inventario de software/servicioDescubrimiento e inventario de activos
PR.PS-02Software mantenidoMonitoreo del cumplimiento de parches
DE.CM-01Redes monitoreadasEscaneo continuo de red
DE.CM-09Hardware informático monitoreadoEvaluación de vulnerabilidad de endpoints
RS.MI-02Incidentes mitigadosFlujo de trabajo y seguimiento de remediación

Niveles de implementación y gestión de vulnerabilidades del NIST CSF

NIST CSF define cuatro niveles de implementación que describen el grado de sofisticación en las prácticas de ciberseguridad:

La mayoría de las organizaciones deberían apuntar al Nivel 3. La automatización de KENSAI permite capacidades de Nivel 4 sin la complejidad típicamente asociada con los programas de seguridad empresarial.

Cómo KENSAI apoya la implementación del NIST CSF

✓ Escaneo centrado en activos

Descubra y escanee continuamente todos los activos para cumplir con los requisitos de ID.AM e ID.RA para un inventario completo y una identificación de vulnerabilidades.

✓ Integración de inteligencia de amenazas

Se integra con fuentes de amenazas para priorizar las vulnerabilidades que se explotan activamente (ID.RA-02): céntrese en lo más importante.

✓ Priorización basada en riesgos

La puntuación CVSS + explotabilidad + criticidad de los activos permite tomar decisiones basadas en riesgos requeridas en el Nivel 2 y superiores.

✓ Panel de control NIST CSF

Visualice su postura de seguridad asignada a las funciones de CSF. Realice un seguimiento del progreso hacia niveles de implementación más altos a lo largo del tiempo.

✓ Informes Ejecutivos

Los informes de la función GV (Gobierno) brindan a los líderes la visibilidad del riesgo de vulnerabilidad necesaria para las decisiones estratégicas de seguridad.

✓ Métricas de remediación

Realice un seguimiento del MTTR (tiempo medio de reparación) por gravedad y clase de activo: métricas clave para demostrar la progresión del nivel CSF.

Integración NIST SP 800-53

Para agencias y organizaciones federales que siguen NIST SP 800-53, KENSAI se asigna a las familias de control RA (Evaluación de riesgos) y SI (Integridad de la información y el sistema):

Alinee su programa de seguridad con NIST CSF 2.0

KENSAI proporciona capacidades de gestión y escaneo de vulnerabilidades que implementan directamente las subcategorías NIST CSF 2.0. Genere informes de cumplimiento asignados al marco y demuestre el progreso hacia niveles de implementación más altos.

Iniciar la evaluación NIST CSF → Hable con un experto del NIST

Artículos relacionados