Prayukth KV
Comprendiendo la actualización CPG 2.0 de la CISA
En el mundo de rápida evolución de la ciberseguridad, el "seguridad base" es casi siempre un blanco móvil. El 11 de diciembre de 2025, la CISA oficialmente elevó el estándar de seguridad con el lanzamiento de los Objetivos de Desempeño de Ciberseguridad (CPG) 2.0.
Si la versión 1.0 se trataba de identificar "qué" hacer, la versión 2.0 habla de "cómo" gobernar y escalar esas acciones de seguridad en entornos y procesos cada vez más complejos. Esta actualización no es solo un pequeño refresco o siquiera una revisión de fin de año. En cambio, es un realineamiento estratégico con el último panorama de amenazas, imperativos operativos y el Marco de Ciberseguridad de NIST (CSF) 2.0.
Esto es lo que cada CISO, gerente de TI, analista de seguridad, miembro del equipo SOC y miembro del directorio necesita saber sobre el nuevo Informe CPG 2.0.
Antes de avanzar, no olvide revisar nuestro informe inicial de investigación y análisis sobre la violación de Nissan-Red Hat aquí.
El ascenso de "Gobernar": La seguridad comienza desde lo más alto
El cambio más significativo en CPG 2.0 es la integración completa de la función de Gobernar. Mientras que la versión anterior se centraba mucho en controles técnicos, la 2.0 reconoce que incluso las mejores herramientas fallan sin responsabilidad organizacional.
Responsabilidad del liderazgo: Los objetivos actualizados exigen explícitamente responsabilidades de ciberseguridad definidas a nivel ejecutivo.
Gestión de riesgos: Impulsa a las organizaciones a tratar el riesgo cibernético como un riesgo empresarial, alejándose de las conversaciones aisladas de TI.
Integración estratégica: La seguridad ya no es un "extra"—debe integrarse en las operaciones diarias y la planificación de inversiones de capital.
Rompiendo los silos: Unificando los objetivos de seguridad de TI y OT
Durante años, la Tecnología Operativa (OT) y la Tecnología de la Información (IT) se han tratado como mundos diferentes. CISA 2.0 efectivamente termina esa era. El nuevo informe consolida los objetivos específicos de OT en Objetivos Universales.
Al crear un marco unificado, CISA está ayudando a organizaciones, especialmente las pequeñas y medianas, a gestionar toda su huella digital sin necesidad de guías separadas para sus redes de oficina y sus líneas de producción o bombas de agua. Este es un gran paso hacia la simplificación de los objetivos de SecOp.
Nuevos objetivos para amenazas modernas
El informe 2.0 introduce nuevos objetivos mientras elimina tres que se consideraron duplicados o infrautilizados. Estas adiciones abordan las tácticas específicas que hemos visto dominar el panorama de amenazas el año pasado:
Riesgo de Proveedores de Servicios Gestionados (MSP): Nuevos objetivos para gestionar proveedores externos con acceso profundo al sistema.
Mínimo privilegio y confianza cero: Expectativas más claras para implementar los "Principios de Menor Privilegio" para detener el movimiento lateral.
Detección de código malicioso: Un enfoque dedicado a identificar y bloquear código no autorizado antes de que se ejecute.
Comunicación de incidentes: Procedimientos estandarizados para cómo las organizaciones deben hablar con los interesados durante una crisis.
Mejores datos para mejores decisiones
CISA ha revisado las calificaciones de implementación en el informe. Cada objetivo ahora incluye métricas mejoradas para:
Costo: ¿Cuál es la carga financiera real?
Impacto: ¿Cuánto reduce realmente el riesgo?
Complejidad: ¿Qué tan difícil es mantener esto a largo plazo?
Estas calificaciones proporcionan a los equipos de seguridad una poderosa herramienta para justificar presupuestos ante el directorio. En lugar de pedir "más seguridad", ahora puede presentar un caso basado en datos para "victorias rápidas" de alto impacto y bajo costo descritas en los CPG.
Cómo comenzar con CPG 2.0
Los CPG siguen siendo voluntarios, pero rápidamente se están convirtiendo en el "estándar de oro" de lo que parece una postura de seguridad básica a los ojos de los reguladores y proveedores de seguros.
Realice un Análisis de Brechas: Use la nueva lista de verificación CPG 2.0 para ver dónde se encuentra su programa actual.
Enfoque en la Función de "Gobernar": Si su liderazgo aún no está involucrado en la conversación, use la nueva estructura de informes 2.0 para integrarlos.
Aproveche los Recursos de CISA: Busque el nuevo módulo del CSET (Cyber Security Evaluation Tool) que viene en el Q1 2026 para automatizar su evaluación.
La Conclusión: CISA CPG 2.0 no se trata de hacer más. En cambio, se trata de hacer las cosas correctas más efectivamente para lograr resultados más alineados. Al alinearse con el NIST CSF 2.0 y unificar la seguridad de TI/OT, CISA ha proporcionado una hoja de ruta que finalmente es tan integrada como los sistemas que intentamos proteger.
Puede descargar el documento completo aquí.
Aprenda más sobre el panorama de amenazas al que se refiere este documento, aquí.
Regístrese para una evaluación de riesgos basada en IEC 62443 de Shieldworkz, aquí.
Vea la plataforma de Seguridad OT de Shieldworkz en acción, aquí.
Recibe semanalmente
Recursos y Noticias
También te puede interesar
NERC CIP-015-2 Explicado: Ampliación de INSM a EACMS y PACS
Equipo Shieldworkz
Protegiendo la infraestructura crítica de los grupos APT durante eventos geopolíticos
Prayukth K V
Decodificando el silencio estratégico de los grupos cibernéticos iraníes
Equipo Shieldworkz
Cómo la crisis de Irán está afectando el ciberespacio
Equipo Shieldworkz
Amenazas cibernéticas en Medio Oriente: Lo que las organizaciones necesitan saber ahora mismo
Equipo Shieldworkz
Construyendo un programa de ciberseguridad OT con IEC 62443 y NIST SP 800-82
Equipo Shieldworkz
