Sign in Subscribe

🛡️ Cómo aplicar la función Proteger del NIST CSF en tu organización

Capítulo 2: Proteger

En el artículo anterior vimos cómo la función Identificar del NIST Cybersecurity Framework (CSF) ayuda a entender qué activos y datos son más relevantes para la organización. Ahora avanzamos al segundo paso: Proteger.

El objetivo de esta función es garantizar que la información, los sistemas y los usuarios estén adecuadamente resguardados mediante políticas, controles técnicos y buenas prácticas. Proteger no significa solo poner contraseñas o instalar un antivirus: implica diseñar una estrategia integral que combine gestión de accesos, capacitación, medidas preventivas y cultura de ciberseguridad.

Entender

El primer paso para proteger es comprender qué información deben tener o tienen acceso los empleados. La regla de oro es simple:
👉 restringir el acceso a la información sensible únicamente a quienes la necesitan para cumplir con su trabajo.

Para lograrlo, los permisos de acceso, derechos y autorizaciones deben definirse en políticas claras, gestionarse de forma centralizada y revisarse de manera periódica. Esto incluye aplicar principios de privilegio mínimo (dar solo los accesos necesarios) y separación de funciones (evitar que una sola persona concentre demasiadas facultades críticas).

🔎 Ejemplo práctico: revisar los accesos cada vez que alguien cambia de rol o deja la organización, y revocar de inmediato cualquier privilegio que ya no sea necesario.

📑 Referencia NIST CSF: PR.AA-05 (Proteger - Access Control).
📑 ISO/IEC 27001:2023:
- A 5.1 Políticas para la seguridad de la información.
- A 5.3 Segregación de tareas.
- A 5.14 Transferencia de la información.
- A 5.15 Control de acesso.
- A 5.16 Gestión de identidad.
- A 5.17 Información de autenticación.
- A 5.18 Derechos de acceso.
- A 8.2 Gestión de privilegios de acceso.
- A 8.3 Restricción del acceso a la información.
- A 8.5 Autenticación segura.
- A 8.18 Uso de los programas de utilidad con privilegios.

Evaluar

Las personas son la primera línea de defensa. Por ello, resulta esencial evaluar la calidad, puntualidad y frecuencia de la capacitación en ciberseguridad que ofrece la organización.

  • PR.AT-01 (Proteger - Awareness and Training): el personal en general recibe formación para realizar sus tareas considerando los riesgos de seguridad.
  • PR.AT-02: el personal con funciones especializadas recibe formación específica acorde a su rol.

Un buen programa de concienciación no se limita a una charla anual, sino que debe ser continuo, práctico y adaptado al contexto de la organización.

📑 ISO/IEC 27001:2023:
- Cláusula 7.3 Obligatoria.
- A 5.2 Roles y responsabilidades en seguridad de la información.
- A 6.3 Concienciación, educación y formación en seguridad de la información.

Establecer prioridades

La ciberseguridad es un campo amplio y los recursos siempre son limitados. Por eso, el NIST CSF recomienda priorizar acciones de protección que generen mayor impacto:

  1. Autenticación robusta

    • Active la autenticación multifactor (MFA) en todas las cuentas que lo permitan.
    • Use gestores de contraseñas para generar y proteger credenciales seguras.
    • Cambie las contraseñas predeterminadas de fábrica en todos los equipos.
    • 📑 PR.AA-01, PR.AA-03
    • 📑 ISO/IEC 27001:2023:
      • A 5.15 Control de acceso.
      • A 5.16 Gestión de Identidad.
      • A 5.17 Información de autenticación.
      • A 5.18 Derechos de acceso.
      • A 8.2 Gestión de privilegios de acceso.
      • A 8.5 Autenticación segura.

  2. Gestión de software y parches

    • Mantenga sistemas y aplicaciones actualizados.
    • Configure actualizaciones automáticas siempre que sea posible.
    • 📑 PR.PS-02 (Proteger - Plataform Security)
    • 📑 ISO/IEC 27001:2023:
      • A 5.9 Inventario de información y otros activos asociados.

  3. Respaldo de datos

    • Realice copias de seguridad periódicas.
    • Verifique regularmente que esas copias puedan restaurarse.
    • 📑 PR.DS-11 (Proteger - Data Security)
    • 📑 ISO/IEC 27001:2023:
      • A 8.13 Copias de seguridad de la información.

  4. Cifrado de dispositivos

    • Active el cifrado de disco completo en portátiles y tabletas.
    • Así, en caso de pérdida o robo, la información seguirá protegida.
    • 📑 PR.DS-01
    • 📑 ISO/IEC 27001:2022:
      • A 5.1 Políticas para la seguridad de la información.
      • A 5.3 Segregación de tareas.
      • A 5.10 Uso aceptable de la información y otros activos asociados.
      • A 5.13 Etiquetado de la información.
      • A 5.14 Transferencia de la información.
      • A 5.15 Control de acceso.
      • A 6.1 Comprobación.
      • A 6.2 Términos y condiciones de contratación.
      • A 6.5 Responsabilidad ante la finalización o cambio.
      • A 7.7 Puesto de trabajo despejado y pantalla limpia.
      • A 7.10 Soportes de almacenamiento.
      • A 8.2 Gestión de privilegios de acceso.
      • A 8.3 Restricción dele acceso a la información.
      • A 8.4 Acceso al código fuente.
      • A 8.7 Controles contra el código malicioso.
      • A 8.8 Gestión de vulnerabilidades técnicas.
      • A 8.17 Sincronización del reloj.
      • A 8.19 Instalación del software en sistemas en producción.
      • A 8.22 Segregación en redes.
      • A 8.26 Requisitos de seguridad de las aplicaciones.

Comunicar

La protección no se sostiene solo con herramientas técnicas. Es fundamental comunicar y capacitar al personal para que sepa:

  • Reconocer ataques comunes (phishing, ingeniería social).
  • Reportar incidentes o actividades sospechosas.
  • Mantener hábitos de higiene digital (contraseñas, actualizaciones, copias de seguridad).

📑 NIST CSF: PR.AT-01, PR.AT-02
📑 ISO/IEC 27001:2023:
- Cláusula Obligatoria 7.3.
- A 5.2 Roles y responsabilidades en seguridad de la información.
- A 6.3 Concienciación, educación y formación en seguridad de la información.

Conclusión

La función Proteger del NIST CSF convierte la identificación de riesgos en acciones concretas que blindan la organización frente a incidentes. Se trata de combinar controles técnicos (MFA, parches, cifrado) con gestión de accesos y formación del personal.

Invertir en protección no solo reduce el riesgo de ataques, también genera confianza en clientes, pacientes y socios estratégicos.

En el próximo capítulo abordaremos la siguiente función del marco: Detectar, que nos permitirá identificar de manera temprana actividades sospechosas o anomalías en nuestros sistemas.

📚 Serie completa: NIST Cybersecurity Framework explicado

Explora las cinco funciones básicas del NIST CSF y cómo aplicarlas en tu organización:

  1. 🧩 Identificar (IDENTIFY)
  2. 🛡️ Proteger (Protect) 👈 (estás aquí)
  3. 🔎 Detectar (DETECT)
  4. 🚨 Responder (RESPOND)
  5. 🔁 Recuperar (RECOVER)

💡 Esta publicación forma parte de una serie dedicada a explicar el NIST Cybersecurity Framework (CSF) de forma sencilla y práctica.

Subscribe to Handerson Boratto

Sign up now to get access to the library of members-only issues.
Jamie Larson
Subscribe