Sign in Subscribe

🌐 Las cinco funciones del NIST Cybersecurity Framework explicadas de forma sencilla

La ciberseguridad puede parecer un mundo complejo, lleno de siglas, normas y controles. Sin embargo, el NIST Cybersecurity Framework (CSF) ofrece una manera simple de organizar nuestras estrategias de seguridad: a través de cinco funciones básicas que forman un ciclo de mejora continua.

Estas funciones no solo son útiles para grandes organizaciones; también pueden aplicarse a pequeñas empresas, proyectos personales e incluso a nuestra vida digital diaria.

Serie de publicaciones: Esta es la primera de cinco entradas, donde explicaremos cada función del CSF y su correspondencia con los controles del ISO/IEC 27001.

Referencias principales:

  • NIST Cybersecurity Framework 2.0: Guía de inicio rápido para pequeñas empresas
  • CSF 2.0 Informative References | NIST

🔹 Identificar (ID) – La base de la ciberseguridad

La función Identificar del NIST CSF se centra en conocer y gestionar los riesgos de seguridad cibernética que enfrenta la organización. Antes de poder proteger algo, es fundamental saber qué activos tenemos y cuál es su importancia para nuestros objetivos.

📌 Gestión de activos (ID.AM – Asset Management)

Los activos incluyen datos, hardware, software, sistemas, instalaciones, servicios y personas. Se deben identificar y gestionar según su relevancia para la estrategia de riesgos y los objetivos organizativos.

Mantener un inventario actualizado y preciso es la primera línea de defensa en ciberseguridad.

Ejemplos prácticos:

  • ID.AM-1: Inventarios de hardware gestionados por la organización – ISO/IEC 27001:2023 A.5.9
  • ID.AM-2: Inventarios de software, servicios y sistemas gestionados por la organización – ISO/IEC 27001:2023 A.5.9
  • ID.AM-4: Inventarios de los servicios prestados por proveedoresISO/IEC 27001:2023 5.22

Resumen: Identificar activos críticos y mantener su inventario actualizado permite gestionar riesgos de manera efectiva y sentar las bases para las demás funciones del NIST CSF.

🔹 Evaluación e innovación (ID.RA – Risk Assessment & ID.IM – Improvement)

Estas subcategorías ayudan a comprender los riesgos de ciberseguridad y a mejorar continuamente la gestión de dichos riesgos.

📌 ID.RA – Risk Assessment (Evaluación de riesgos)

La organización identifica y comprende los riesgos que pueden afectar a sus activos, operaciones y personas. Esto permite priorizar medidas de protección y respuesta.

📌 ID.IM – Improvement (Mejora)

La organización detecta oportunidades de mejora en procesos, procedimientos y actividades de gestión de riesgos. Esto asegura una visión dinámica y de mejora continua, adaptada a cambios y lecciones aprendidas.

Ejemplos prácticos:

  • ID.RA-01: Se identifican y documentan las vulnerabilidades de los activosISO/IEC 27001:2023 A.8.8
  • ID.IM-01: Las mejoras se identifican a partir de evaluacionesISO/IEC 27001:2023 Cláusulas obligatorias 10.1 y 10.2

Resumen: Mientras que ID.RA ayuda a entender amenazas y vulnerabilidades, ID.IM asegura que la organización aprenda y evolucione continuamente.

🔹 Establezca prioridades

No todos los activos, datos o riesgos tienen la misma relevancia. Definir prioridades permite enfocar recursos donde más valor aportan.

Ejemplos prácticos:

  • ID.AM-07: Inventarios de datos y metadatos correspondientesISO/IEC 27001:2023 A.5.9
  • ID.RA: Documentación y priorización de amenazas internas y externas mediante un registro de riesgos – ISO/IEC 27001:2023 Cláusulas obligatorias 6.1.1, 6.1.2 y 6.1.3

Resumen: Priorizar significa identificar qué activos y riesgos requieren mayor atención, asignar recursos adecuados y alinear la seguridad con los objetivos estratégicos.

🔹 Comunicar

La comunicación efectiva asegura que los procesos de ciberseguridad se apliquen en toda la organización.

Ejemplos prácticos:

  • ID.IM-04: Establecer, comunicar y mejorar los planes de respuesta a incidentesISO/IEC 27001:2023 Cláusulas obligatorias 9.1, A.5.24, A.5.26 y A.5.27
  • Comunicar al personal la importancia de identificar mejoras en procesos y actividades de gestión de riesgosISO/IEC 27001:2023 Cláusulas obligatorias 10.1 y 10.2

Resumen: Comunicar de forma clara asegura que las mejoras y planes de seguridad se integren en la cultura organizacional y que todo el personal esté preparado para actuar de manera coherente.

🔹 Conclusión

La función Identificar (ID) del NIST CSF es la base de toda estrategia de ciberseguridad. Desde mantener inventarios precisos y evaluar riesgos hasta priorizar esfuerzos y comunicar mejoras, esta función permite que las organizaciones gestionen sus riesgos de manera efectiva y continua.

En la próxima publicación de esta serie, exploraremos la función Proteger (PR), donde veremos cómo aplicar controles, políticas y procedimientos para asegurar la confidencialidad, integridad y disponibilidad de los activos críticos.

📚 Serie completa: NIST Cybersecurity Framework explicado

Explora las cinco funciones básicas del NIST CSF y cómo aplicarlas en tu organización:

  1. 🧩 Identificar (IDENTIFY) 👈 (estás aquí)
  2. 🛡️ Proteger (PROTECT)
  3. 🔎 Detectar (DETECT)
  4. 🚨 Responder (RESPOND)
  5. 🔁 Recuperar (RECOVER)

💡 Esta publicación forma parte de una serie dedicada a explicar el NIST Cybersecurity Framework (CSF) de forma sencilla y práctica.

Subscribe to Handerson Boratto

Sign up now to get access to the library of members-only issues.
Jamie Larson
Subscribe