Prayukth KV
Entendiendo la actualización CPG 2.0 del CISA
En el mundo de la ciberseguridad en constante movimiento, la "seguridad base" es casi siempre un objetivo en movimiento. El 11 de diciembre de 2025, CISA elevó oficialmente el nivel de seguridad con el lanzamiento de los Objetivos de Rendimiento de la Ciberseguridad (CPG) 2.0.
Si la versión 1.0 era sobre identificar "qué" hacer, la versión 2.0 habla sobre "cómo" gobernar y escalar esas acciones de seguridad en entornos y procesos cada vez más complejos. Esta actualización no es solo un cambio menor o un replanteamiento de fin de año. En cambio, es una realineación estratégica con el panorama de amenazas más reciente, los imperativos operacionales y el Marco de Ciberseguridad del NIST (CSF) 2.0.
Aquí está lo que cada CISO, gerente de TI, analista de seguridad, miembro del equipo SOC y miembro de la junta deben saber sobre el nuevo Informe CPG 2.0.
Antes de seguir adelante, no olvides revisar nuestra investigación inicial e informe de análisis sobre la brecha de Nissan-Red Hat aquí.
El ascenso de "Gobernar": La seguridad empieza desde la cima
El cambio más significativo en CPG 2.0 es la integración completa de la función Gobernar. Mientras que la versión anterior se centraba fuertemente en los controles técnicos, la 2.0 reconoce que incluso las mejores herramientas fallan sin responsabilidad organizacional.
Responsabilidad del liderazgo: Los objetivos actualizados exigen explícitamente responsabilidades de ciberseguridad definidas a nivel ejecutivo.
Gestión de riesgos: Impulsa a las organizaciones a tratar el riesgo cibernético como un riesgo empresarial, alejándose de las conversaciones aisladas de TI.
Integración estratégica: La seguridad ya no es un "complemento"—debe estar integrada en las operaciones diarias y en la planificación de inversiones de capital.
Rompiendo los silos: Unificando los objetivos de seguridad de IT y OT
Durante años, la Tecnología Operacional (OT) y la Tecnología de la Información (IT) se han tratado como mundos diferentes. CISA 2.0 efectivamente pone fin a esa era. El nuevo informe consolida los objetivos específicos de OT en Objetivos Universales.
Al crear un marco unificado, CISA está ayudando a las organizaciones, especialmente a las pequeñas y medianas, a gestionar toda su huella digital sin necesidad de manuales separados para sus redes de oficina y sus pisos de fábrica o bombos de agua. Este es un gran paso hacia la simplificación de los objetivos de operaciones de seguridad.
Nuevos objetivos para amenazas modernas
El informe 2.0 introduce nuevos objetivos mientras elimina tres que se consideraron duplicativos o infrautilizados. Estas adiciones abordan las tácticas específicas que hemos visto dominar el panorama de amenazas durante el último año:
Riesgo de Proveedores de Servicios Gestionados (MSP): Nuevos objetivos para gestionar proveedores externos con acceso profundo al sistema.
Mínimo privilegio y confianza cero: Expectativas más claras para implementar "Principios de Mínimo Privilegio" para detener el movimiento lateral.
Detección de código malicioso: Un enfoque dedicado a identificar y bloquear código no autorizado antes de su ejecución.
Comunicación de incidentes: Procedimientos estandarizados para cómo las organizaciones se comunican con las partes interesadas durante una crisis.
Mejores datos para mejores decisiones
CISA ha revisado las calificaciones de implementación en el informe. Cada objetivo ahora incluye métricas mejoradas para:
Costo: ¿Cuál es la carga financiera real?
Impacto: ¿Cuánto reduce realmente el riesgo?
Complejidad: ¿Cuán difícil es mantener esto a largo plazo?
Estas calificaciones proporcionan a los equipos de seguridad una herramienta poderosa para justificar presupuestos ante la junta. En lugar de pedir "más seguridad", ahora puedes presentar un caso basado en datos para "victorias rápidas" de alto impacto y bajo costo delineadas en los CPG.
Cómo empezar con CPG 2.0
Los CPG siguen siendo voluntarios, pero están convirtiéndose rápidamente en el "estándar de oro" de cómo luce una postura de seguridad fundamental a los ojos de los reguladores y proveedores de seguros.
Realizar un Análisis de Brechas: Usa la nueva lista de verificación CPG 2.0 para ver dónde se sitúa tu programa actual.
Centrarse en la Función "Gobernar": Si tu liderazgo aún no está involucrado en la conversación, utiliza la nueva estructura de informes 2.0 para incorporarlos.
Aprovechar los Recursos de CISA: Busca el nuevo módulo de CSET (Cyber Security Evaluation Tool) que llegará en el Q1 2026 para automatizar tu evaluación.
En resumen: CISA CPG 2.0 no se trata de hacer más. En su lugar, se trata de hacer las cosas correctas de manera más efectiva y lograr resultados más alineados. Al alinearse con NIST CSF 2.0 y unificar la seguridad IT/OT, CISA ha proporcionado un mapa que finalmente es tan integrado como los sistemas que estamos tratando de proteger.
Puedes descargar el documento completo aquí.
Aprende más sobre el panorama de amenazas al que se refiere este documento, aquí.
Regístrate para una evaluación de riesgos basada en IEC 62443 de Shieldworkz, aquí.
Ve la plataforma de seguridad OT de Shieldworkz en acción, aquí.
Recibe semanalmente
Recursos y Noticias
También te puede interesar
Top 15 Challenges in CPS Protection and How OT Teams Can Address Them
Team Shieldworkz
Demystifying IEC 62443 Security Levels SL1-SL4 for Critical Infrastructure Defense
Team Shieldworkz
The attack that failed: Lessons from Sweden’s near-miss OT incident
Prayukth K V
NERC CIP-015 & Internal Network Security Monitoring (INSM)
Team Shieldworkz
Handala’s next gambit: From "hack-and-leak" to "cognitive siege"
Prayukth K V
HMI vulnerabilities in Venice: A deep dive into the San Marco pump incident
Prayukth K V
