Ir al contenido
Gobernanza y Conformidad

¿Qué es el NIST CSF (Cybersecurity Framework)?

El NIST CSF (Cybersecurity Framework) es el marco de gestión de riesgo cibernético mantenido por el instituto de estándares de Estados Unidos (NIST), gratuito y voluntario, usado por organizaciones de cualquier tamaño y sector para organizar su postura de seguridad en seis funciones: Gobernar, Identificar, Proteger, Detectar, Responder y Recuperar. La versión 2.0, publicada en febrero de 2024, es la vigente.

Zamak TechnologiesActualizado el 10 de julio de 2026

Cómo organiza el NIST CSF la ciberseguridad

El marco no es una lista de herramientas para comprar, es un lenguaje común para mapear dónde está la empresa y hacia dónde necesita ir, alrededor de seis funciones que se sostienen entre sí.

1

Gobernar marca el rumbo

Estrategia de riesgo cibernético, roles, política y supervisión. Es la función más nueva (agregada en la versión 2.0) y la que sostiene a todas las demás.

2

Identificar mapea lo que existe

Activos, datos, proveedores y los riesgos que amenazan a cada uno. No se puede proteger lo que la empresa no sabe que tiene.

3

Proteger y Detectar reducen y ven el riesgo

Los controles de acceso, el backup y la capacitación (Proteger) trabajan junto con el monitoreo continuo (Detectar) para reducir la probabilidad de un incidente y acortar el tiempo hasta notarlo.

4

Responder y Recuperar cierran el ciclo

Un plan de respuesta probado (Responder) y una capacidad comprobada de volver a operar (Recuperar) convierten un incidente de crisis permanente en una interrupción gestionada.

Fuente: NIST Cybersecurity Framework 2.0 (National Institute of Standards and Technology, feb. 2024).

Las 6 funciones del NIST CSF 2.0

  • Gobernar (Govern) Estrategia, roles y política de riesgo cibernético. Función nueva de la versión 2.0.
  • Identificar (Identify) Inventario de activos, datos y riesgo de proveedores.
  • Proteger (Protect) Control de acceso, backup, capacitación, protección técnica.
  • Detectar (Detect) Monitoreo continuo para encontrar anomalías e incidentes.
  • Responder (Respond) El plan de acción para cuando ocurre un incidente.
  • Recuperar (Recover) La capacidad de restaurar la operación después del incidente.

Por qué el CSF se volvió referencia aunque sea voluntario

6
funciones del NIST CSF 2.0: Gobernar, Identificar, Proteger, Detectar, Responder y Recuperar
22/106
categorías y subcategorías distribuidas en las 6 funciones
4
Tiers de implementación, de Parcial a Adaptativo, que describen el rigor de la gestión de riesgo

El NIST CSF no es obligatorio por ley, pero se convirtió en el vocabulario común entre auditores, aseguradoras y directorios justamente porque es gratuito, público y aplicable a cualquier sector. La versión 2.0 amplió ese alcance: antes hablaba principalmente con la infraestructura crítica, ahora se dirige a organizaciones de cualquier tamaño, incluidas las pequeñas y medianas empresas. El marco incluye 22 categorías y 106 subcategorías distribuidas en las 6 funciones, y para describir el rigor de esa gestión de riesgo, el NIST define 4 Tiers de implementación, de Parcial (reactivo, ad hoc) a Adaptativo (proactivo, con mejora continua). Sin ese retrato de madurez, “estamos seguros” es una opinión, no una medida.

Cómo empieza una empresa a usar el NIST CSF

El marco es flexible por diseño, pero el punto de partida suele ser el mismo:

  1. Elabore el perfil actualEvalúe, función por función, dónde está la empresa hoy. No se trata de llegar perfecto en la primera ronda, sino de tener una línea base honesta.
  2. Defina el perfil objetivoDecida, según el riesgo real del negocio (no el miedo), hasta dónde necesita avanzar la empresa en cada función.
  3. Priorice la brecha, no todo a la vezLa distancia entre el perfil actual y el objetivo se convierte en la hoja de ruta de inversión, ordenada por lo que reduce más riesgo primero.
  4. Revise en cada cicloEl CSF no es un proyecto de una sola vez, es un ciclo. La amenaza cambia, y el perfil objetivo también debe cambiar.

En la práctica

La pregunta que resuelve la función Gobernar: si hoy ocurriera un incidente, ¿alguien en la cima de la empresa sabe, de memoria, quién decide qué, o eso se descubrirá en medio de la crisis?

Cómo aplica Zamak el NIST CSF

Zamak Technologies organiza la entrega de ciberseguridad y cumplimiento alrededor de las 6 funciones del NIST CSF, desde la gobernanza hasta la recuperación, dentro de la Gobernanza y Conformidad del Método Zamak. El Compliance Audit Express usa el mismo tipo de lectura por dominio para mostrar, en minutos, dónde está más expuesta la empresa.

Preguntas frecuentes sobre el NIST CSF

¿El NIST CSF es obligatorio?
No, es voluntario y gratuito. Pero los contratos, las aseguradoras y los reguladores usan cada vez más el lenguaje del CSF como referencia, incluso cuando no exigen el marco formalmente.
¿Cuál es la diferencia entre el NIST CSF y la ISO 27001?
Ambos organizan la gestión de riesgo de seguridad, pero el CSF es gratuito, está más enfocado en el riesgo y la función (qué hacer), mientras que la ISO 27001 es una norma certificable, con un sistema de gestión auditable por un organismo externo.
¿Qué cambió entre el CSF 1.1 y el 2.0?
Agregar la función Gobernar es el cambio central, que reconoce que la estrategia y la supervisión del riesgo vienen antes de las acciones técnicas. La versión 2.0 también amplió el público objetivo, de la infraestructura crítica a cualquier organización.
¿Una empresa pequeña puede usar el NIST CSF?
Sí, y ese es justamente uno de los objetivos de la versión 2.0: darle a una empresa pequeña el mismo lenguaje estructurado que usa una gran corporación, sin costo de licencia.
¿Los Tiers de implementación son niveles de madurez obligatorios?
No son obligatorios ni una escala de aprobado/reprobado. Son una forma de que la empresa describa, para sí misma y para terceros, qué tan integrada y proactiva es su gestión de riesgo, de Parcial a Adaptativo.
¿El NIST CSF reemplaza una evaluación de madurez cibernética?
No, es la base para una. Los propios Tiers de implementación del CSF ya son un tipo de evaluación de madurez, y otros modelos, como el C2M2, usan el CSF como referencia.

Términos relacionados

Amenazas y Ataques
Endpoint e Identidad
MFAPAM (acceso privilegiado)SSO (inicio de sesión único)
Detección y Respuesta
EDRMDRXDRMITRE ATT&CKSIEMSOC (centro de operaciones)
Red y Acceso
ZTNAFirewallVPNSASE
Gobernanza y Conformidad
LGPDISO 27001SOC 2NIST CSFShadow ITEvaluación de madurez cibernéticaHIPAAPCI DSSGDPRCMMCCIS ControlsISO 42001 (gestión de IA)NIST AI RMFNIST 800-171FTC SafeguardsISO 27701 (privacidad)FedRAMPGRC (gobernanza, riesgo, cumplimiento)vCIOvCISO
Conceptos y Fundamentos
Deep webZero TrustDefensa en profundidadSuperficie de ataqueEndpointMenor privilegio
IA y Seguridad
Shadow AIGobernanza de IAInyección de promptsOWASP LLM Top 10Deepfake