¿Qué es el NIST CSF (Cybersecurity Framework)?
El NIST CSF (Cybersecurity Framework) es el marco de gestión de riesgo cibernético mantenido por el instituto de estándares de Estados Unidos (NIST), gratuito y voluntario, usado por organizaciones de cualquier tamaño y sector para organizar su postura de seguridad en seis funciones: Gobernar, Identificar, Proteger, Detectar, Responder y Recuperar. La versión 2.0, publicada en febrero de 2024, es la vigente.
Cómo organiza el NIST CSF la ciberseguridad
El marco no es una lista de herramientas para comprar, es un lenguaje común para mapear dónde está la empresa y hacia dónde necesita ir, alrededor de seis funciones que se sostienen entre sí.
Gobernar marca el rumbo
Estrategia de riesgo cibernético, roles, política y supervisión. Es la función más nueva (agregada en la versión 2.0) y la que sostiene a todas las demás.
Identificar mapea lo que existe
Activos, datos, proveedores y los riesgos que amenazan a cada uno. No se puede proteger lo que la empresa no sabe que tiene.
Proteger y Detectar reducen y ven el riesgo
Los controles de acceso, el backup y la capacitación (Proteger) trabajan junto con el monitoreo continuo (Detectar) para reducir la probabilidad de un incidente y acortar el tiempo hasta notarlo.
Responder y Recuperar cierran el ciclo
Un plan de respuesta probado (Responder) y una capacidad comprobada de volver a operar (Recuperar) convierten un incidente de crisis permanente en una interrupción gestionada.
Fuente: NIST Cybersecurity Framework 2.0 (National Institute of Standards and Technology, feb. 2024).
Las 6 funciones del NIST CSF 2.0
- Gobernar (Govern) Estrategia, roles y política de riesgo cibernético. Función nueva de la versión 2.0.
- Identificar (Identify) Inventario de activos, datos y riesgo de proveedores.
- Proteger (Protect) Control de acceso, backup, capacitación, protección técnica.
- Detectar (Detect) Monitoreo continuo para encontrar anomalías e incidentes.
- Responder (Respond) El plan de acción para cuando ocurre un incidente.
- Recuperar (Recover) La capacidad de restaurar la operación después del incidente.
Por qué el CSF se volvió referencia aunque sea voluntario
El NIST CSF no es obligatorio por ley, pero se convirtió en el vocabulario común entre auditores, aseguradoras y directorios justamente porque es gratuito, público y aplicable a cualquier sector. La versión 2.0 amplió ese alcance: antes hablaba principalmente con la infraestructura crítica, ahora se dirige a organizaciones de cualquier tamaño, incluidas las pequeñas y medianas empresas. El marco incluye 22 categorías y 106 subcategorías distribuidas en las 6 funciones, y para describir el rigor de esa gestión de riesgo, el NIST define 4 Tiers de implementación, de Parcial (reactivo, ad hoc) a Adaptativo (proactivo, con mejora continua). Sin ese retrato de madurez, “estamos seguros” es una opinión, no una medida.
Cómo empieza una empresa a usar el NIST CSF
El marco es flexible por diseño, pero el punto de partida suele ser el mismo:
- Elabore el perfil actualEvalúe, función por función, dónde está la empresa hoy. No se trata de llegar perfecto en la primera ronda, sino de tener una línea base honesta.
- Defina el perfil objetivoDecida, según el riesgo real del negocio (no el miedo), hasta dónde necesita avanzar la empresa en cada función.
- Priorice la brecha, no todo a la vezLa distancia entre el perfil actual y el objetivo se convierte en la hoja de ruta de inversión, ordenada por lo que reduce más riesgo primero.
- Revise en cada cicloEl CSF no es un proyecto de una sola vez, es un ciclo. La amenaza cambia, y el perfil objetivo también debe cambiar.
En la práctica
La pregunta que resuelve la función Gobernar: si hoy ocurriera un incidente, ¿alguien en la cima de la empresa sabe, de memoria, quién decide qué, o eso se descubrirá en medio de la crisis?
Cómo aplica Zamak el NIST CSF
Zamak Technologies organiza la entrega de ciberseguridad y cumplimiento alrededor de las 6 funciones del NIST CSF, desde la gobernanza hasta la recuperación, dentro de la Gobernanza y Conformidad del Método Zamak. El Compliance Audit Express usa el mismo tipo de lectura por dominio para mostrar, en minutos, dónde está más expuesta la empresa.