Componentes del NIST CSF 2.0
Componentes del NIST CSF 2.0: Core, Perfiles y Niveles de implementación
En la entrada anterior viste qué es el NIST CSF 2.0 y para qué sirve.
Ahora vamos a entender sus tres componentes principales:
-
El Core (CSF Core).
-
Los Perfiles.
-
Los Niveles de implementación (Tiers).
Son la base para aplicar el marco en la práctica.
1. CSF Core: funciones, categorías y subcategorías
El CSF Core es el “corazón” del marco.
Organiza las actividades de ciberseguridad en tres niveles:
-
Funciones (nivel más alto).
-
Categorías (agrupaciones de actividades relacionadas).
-
Subcategorías (resultados específicos que se buscan).
La versión 2.0 incluye 6 funciones:
-
Gobernar
-
Identificar
-
Proteger
-
Detectar
-
Responder
-
Recuperar
Cada función se divide en categorías, y cada categoría en subcategorías, que describen outcomes concretos, por ejemplo:
-
“Los activos son inventariados”.
-
“Las actividades de respaldo se realizan y prueban regularmente”.
Más adelante tendrás entradas específicas sobre las funciones y el CSF Core (Apéndice A). Por ahora, quédate con esto:
el Core es el catálogo estructurado de resultados de ciberseguridad del marco.
2. Perfiles: perfil actual y perfil objetivo
Los perfiles sirven para conectar el Core con la realidad de una organización concreta.
Un perfil responde a la pregunta:
“¿Qué subcategorías del Core son relevantes para mi organización, y a qué nivel las cumplo?”
Normalmente se trabajan dos tipos de perfil:
-
Perfil actual
Describe cómo está la organización hoy respecto a las actividades del Core (qué se hace, qué no, y con qué calidad). -
Perfil objetivo
Describe el nivel de ciberseguridad al que la organización quiere llegar, considerando riesgos, prioridades, presupuesto, regulaciones, etc.
La comparación entre perfil actual y perfil objetivo permite:
-
Identificar brechas.
-
Priorizar acciones de mejora.
-
Construir un plan de implementación realista.
3. Niveles de implementación
Los Niveles de implementación (Tiers) describen cómo gestiona la organización sus riesgos de ciberseguridad, en términos de:
-
Formalidad del enfoque.
-
Grado de repetibilidad.
-
Nivel de integración con la gestión de riesgos del negocio.
En el NIST CSF se definen cuatro niveles:
-
Nivel 1 – Parcial
-
Enfoque reactivo.
-
Procesos poco definidos o ad hoc.
-
La ciberseguridad no está bien integrada en la gestión de riesgos del negocio.
-
-
Nivel 2 – Riesgo informado
-
Se reconocen los riesgos de ciberseguridad.
-
Hay políticas o prácticas básicas, aunque no siempre consistentes.
-
Existe cierta alineación con la gestión de riesgos corporativa.
-
-
Nivel 3 – Repetible
-
Los procesos de ciberseguridad están definidos y documentados.
-
Se aplican de forma consistente y repetible.
-
La gestión de riesgos de ciberseguridad está integrada con la gestión de riesgos del negocio.
-
-
Nivel 4 – Adaptativo
-
La organización ajusta sus actividades de ciberseguridad de forma proactiva.
-
Se usan lecciones aprendidas, inteligencia de amenazas y métricas para mejorar.
-
Alta integración con el negocio y capacidad de adaptación continua.
-
Importante:
-
No es obligatorio aspirar siempre al Nivel 4.
-
Lo clave es que el Tier esté alineado con el perfil de riesgo y la realidad de la organización.
-
Los Tiers ayudan a describir el contexto general en el que se aplican el Core y los Perfiles.
Cómo encajan los tres componentes
Puedes verlo así:
-
El CSF Core te dice “qué resultados de ciberseguridad existen”.
-
Los Perfiles te ayudan a decidir “qué es relevante para mí hoy y a dónde quiero llegar”.
-
Los Tiers describen “con qué madurez y nivel de integración gestiono esos riesgos”.
Con estos tres elementos, el NIST CSF 2.0 se convierte en una herramienta para:
-
Diagnosticar el estado actual.
-
Definir un estado deseado.
-
Priorizar pasos de mejora intermedios.
Preguntas tipo examen (3 preguntas)
Pregunta 1
¿Cuál de las siguientes opciones describe mejor el propósito del CSF Core en el NIST CSF 2.0?
A. Definir los niveles de madurez que debe alcanzar cada organización.
B. Proporcionar un catálogo estructurado de funciones, categorías y subcategorías que describen resultados de ciberseguridad.
C. Establecer un listado de herramientas tecnológicas recomendadas por NIST.
D. Indicar los requisitos legales de ciberseguridad para organismos públicos.
Pregunta 2
¿Para qué se utilizan los perfiles en el NIST CSF 2.0?
A. Para medir el rendimiento financiero de la organización.
B. Para comparar el nivel de adopción de distintas soluciones de seguridad en el mercado.
C. Para describir la situación actual y la situación objetivo de una organización respecto a las actividades del Core.
D. Para definir qué proveedores de servicios deben ser contratados.
Pregunta 3
¿Qué describen los Niveles de implementación (Tiers) en el NIST CSF 2.0?
A. El número de subcategorías que la organización ha implementado.
B. La madurez y el grado de integración de la gestión de riesgos de ciberseguridad en la organización.
C. La cantidad de incidentes de seguridad ocurridos en el último año.
D. El porcentaje del presupuesto de TI destinado a ciberseguridad.
Respuestas correctas y breve explicación
-
Pregunta 1 → Respuesta correcta: B
El CSF Core organiza la ciberseguridad en funciones, categorías y subcategorías, describiendo resultados (outcomes) que la organización puede perseguir. -
Pregunta 2 → Respuesta correcta: C
Los perfiles permiten describir el perfil actual y el perfil objetivo, conectando el Core con la realidad y las metas de la organización. -
Pregunta 3 → Respuesta correcta: B
Los Tiers indican el nivel de madurez e integración de la gestión de riesgos de ciberseguridad, no el número de controles ni el presupuesto.
¿Quieres alcanzar la certificación LCSPC?
Hasta aquí llega la entrada de hoy.
Si buscas una formación avalada, con acompañamiento y totalmente enfocada en el examen LCSPC, te invito a conocer mi Curso Oficial LCSPC con una oferta increíble activa ahora mismo:
👉 Conoce aqui el Curso Oficial LCSPC
Nos vemos en la siguiente entrada.
Fernando Conislla
Instructor oficial LCSPC
