Inicio Ethical Hacking Ciberseguridad ISO 27001 Blog

Núcleo del marco NIST CSF 2.0: funciones, categorías y subcategorías

lcspc

Núcleo del marco NIST CSF 2.0: funciones, categorías y subcategorías

Dentro del NIST CSF 2.0, el núcleo del marco (CSF Core) es la parte que organiza los resultados de ciberseguridad de forma estructurada.
Este núcleo se detalla en el Apéndice A del documento oficial e incluye:

  • Funciones

  • Categorías

  • Subcategorías

Si te estás preparando para una certificación como LCSPC, entender este núcleo es clave para interpretar casos, escenarios y preguntas sobre gestión de la ciberseguridad.

Estructura del núcleo: funciones, categorías y subcategorías

Funciones

Son los grandes bloques del marco, que agrupan actividades de ciberseguridad a alto nivel:

  • GOBERNAR (GV)

  • IDENTIFICAR (ID)

  • PROTEGER (PR)

  • DETECTAR (DE)

  • RESPONDER (RS)

  • RECUPERAR (RC)

Categorías

Dentro de cada función, las categorías agrupan temas relacionados.
Por ejemplo, en una función puedes tener categorías como “gestión de activos”, “seguridad de los datos” o “gestión de incidentes”.

Subcategorías

Cada categoría se desglosa en subcategorías, que describen resultados específicos de ciberseguridad (outcomes).
No son listas de tareas ni productos, sino frases del tipo:

“Se mantiene un inventario actualizado de activos de información.”

A partir de esos resultados, la organización define sus controles, procesos, herramientas y responsabilidades.

Función GOBERNAR (GV)

La función GOBERNAR se centra en cómo la organización dirige y controla la ciberseguridad dentro de la gestión global de riesgos.

Categorías de GOBERNAR

Según el NIST CSF 2.0, las categorías de esta función son:

  • GV.OC – Contexto organizativo

    • Entender la misión, el entorno, las partes interesadas y el contexto en el que opera la organización.

  • GV.RM – Estrategia de gestión de riesgos

    • Definir cómo se gestionan los riesgos de seguridad cibernética y cuál es el apetito y tolerancia al riesgo.

  • GV.RR – Funciones, responsabilidades y autoridades

    • Establecer quién hace qué, quién decide y quién supervisa en ciberseguridad.

  • GV.PO – Política

    • Definir y mantener políticas de gestión de riesgos de seguridad cibernética.

  • GV.OV – Supervisión

    • Supervisar resultados y desempeño de la gestión de riesgos.

  • GV.SC – Gestión de riesgos de la cadena de suministro

    • Gestionar los riesgos de ciberseguridad asociados a proveedores y terceros.

Ejemplo de subcategorías en GOBERNAR (GV.RM – Estrategia de gestión de riesgos)

Tomemos la categoría GV.RM – Estrategia de gestión de riesgos y veamos algunos ejemplos típicos de subcategorías (en lenguaje resumido):

  • La organización establece y documenta su apetito y tolerancia al riesgo de seguridad cibernética, y lo comunica a las áreas relevantes.

  • Los criterios para identificar, evaluar y priorizar riesgos (impacto, probabilidad, requisitos legales, reputación) están definidos.

  • La estrategia de gestión de riesgos de ciberseguridad está alineada con los objetivos del negocio y se revisa periódicamente.

Función IDENTIFICAR (ID)

La función IDENTIFICAR ayuda a comprender qué activos existen, qué es crítico y qué riesgos afectan a la organización.

Categorías de IDENTIFICAR

Las categorías oficiales de esta función son:

  • ID.AM – Gestión de activos

    • Inventario, propiedades y priorización de activos.

  • ID.RA – Evaluación de riesgos

    • Identificación y análisis de riesgos de ciberseguridad.

  • ID.IM – Mejora

    • Identificación de oportunidades de mejora en la gestión de riesgos.

Ejemplo de subcategorías en IDENTIFICAR (ID.AM – Gestión de activos)

Dentro de la categoría ID.AM – Gestión de activos, puedes encontrar subcategorías como:

  • Se mantiene un inventario actualizado de activos (hardware, software, datos, servicios) y se conocen sus propietarios.

  • Los activos se clasifican y priorizan según su importancia para la misión de la organización, el impacto potencial de incidentes y requisitos regulatorios.

  • Se identifican las dependencias críticas entre activos (por ejemplo, servicios que dependen de ciertos sistemas o proveedores).

Función PROTEGER (PR)

La función PROTEGER agrupa las salvaguardas que reducen la probabilidad o el impacto de incidentes.

Categorías de PROTEGER

Las categorías de esta función incluyen:

  • PR.AA – Gestión de identidades, autenticación y control de acceso

  • PR.AT – Concienciación y formación

  • PR.DS – Seguridad de los datos

  • PR.PS – Seguridad de las plataformas

  • PR.IR – Resiliencia de la infraestructura tecnológica

Ejemplo de subcategorías en PROTEGER (PR.AA – Identidades y acceso)

Tomemos PR.AA – Gestión de identidades, autenticación y control de acceso:

  • El acceso a sistemas y datos se concede aplicando el principio de mínimo privilegio y se revisa periódicamente.

  • Se utilizan mecanismos de autenticación robusta (como autenticación multifactor) cuando corresponde.

  • Se gestionan de forma segura los ciclos de vida de cuentas (alta, modificación, baja) para empleados, contratistas y terceros.

Función DETECTAR (DE)

La función DETECTAR se enfoca en que la organización sea capaz de darse cuenta a tiempo cuando algo anómalo o malicioso está ocurriendo.

Categorías de DETECTAR

En el CSF 2.0, las categorías son:

  • DE.CM – Monitoreo continuo

  • DE.AE – Análisis de eventos adversos

Ejemplo de subcategorías en DETECTAR (DE.CM – Monitoreo continuo)

Dentro de DE.CM – Monitoreo continuo podemos encontrar subcategorías como:

  • Se realiza monitoreo continuo de eventos de seguridad en redes, sistemas, aplicaciones y servicios en la nube.

  • Se generan alertas cuando se detectan comportamientos anómalos o indicadores de compromiso.

  • La información de monitoreo se integra con fuentes de inteligencia de amenazas para mejorar la detección.

Función RESPONDER (RS)

La función RESPONDER define cómo actuar durante un incidente para contenerlo, analizarlo y gestionar su impacto.

Categorías de RESPONDER

Las categorías de esta función son:

  • RS.MA – Gestión de incidentes

  • RS.AN – Análisis de incidentes

  • RS.CO – Notificación y comunicación de incidentes

  • RS.MI – Mitigación de incidentes

Ejemplo de subcategorías en RESPONDER (RS.MA – Gestión de incidentes)

En RS.MA – Gestión de incidentes, algunos ejemplos típicos de subcategorías serían:

  • Existe un proceso formal de gestión de incidentes, documentado y conocido por el personal relevante.

  • Los incidentes se registran y documentan (origen, impacto, sistemas afectados, acciones realizadas).

  • Se realizan ejercicios o simulacros para probar y mejorar la capacidad de respuesta ante incidentes.

Función RECUPERAR (RC)

La función RECUPERAR se centra en restaurar operaciones y aprender de lo ocurrido después de un incidente.

Categorías de RECUPERAR

Las categorías oficiales son:

  • RC.RP – Ejecución del plan de recuperación de incidentes

  • RC.CO – Comunicación durante la recuperación de incidentes

Ejemplo de subcategorías en RECUPERAR (RC.RP – Plan de recuperación)

En la categoría RC.RP – Ejecución del plan de recuperación de incidentes, puedes encontrar subcategorías como:

  • Se ejecutan planes de recuperación para restaurar servicios y capacidades críticas después de un incidente.

  • Se restauran sistemas y datos desde copias de seguridad confiables, verificando su integridad antes de volver a producción.

  • Se revisan los resultados de la recuperación para identificar lecciones aprendidas y reforzar la resiliencia.

Dónde encontrar la lista completa (Apéndice A)

En esta entrada viste:

  • Cómo se estructura el núcleo del marco (Funciones, Categorías y Subcategorías).

  • El sentido de cada función.

  • Las categorías oficiales y ejemplos de subcategorías por función.

Si quieres revisar la lista completa y detallada de subcategorías, debes ir al documento oficial del NIST:

📄 Marco de Seguridad Cibernética (CSF) 2.0 del NIST – Versión en español (PDF oficial)
Apéndice A – CSF Core (Funciones, Categorías y Subcategorías)
https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.29.spa.pdf

Ese Apéndice A es la referencia formal que complementa lo que has visto aquí.

Preguntas tipo examen (3 preguntas)

Pregunta 1

¿Qué componente del NIST CSF 2.0 organiza los resultados de ciberseguridad en funciones, categorías y subcategorías?

A. Los Perfiles del marco.
B. Los Niveles de implementación.
C. El Núcleo del marco (CSF Core), descrito en el Apéndice A.
D. El anexo de referencias informativas.

Pregunta 2

¿Qué afirmación describe mejor la relación entre funciones, categorías y subcategorías?

A. Las funciones agrupan categorías, y las categorías se desglosan en subcategorías que describen resultados específicos de ciberseguridad.
B. Las subcategorías agrupan funciones, y las funciones se desglosan en categorías.
C. Las funciones solo se aplican a la gobernanza y las subcategorías solo a la respuesta a incidentes.
D. Las categorías y subcategorías son opcionales y no forman parte del núcleo del marco.

Pregunta 3

Un equipo establece políticas de acceso, aplica mínimo privilegio y revisa periódicamente los permisos de usuarios.
¿En qué función y tipo de elemento del núcleo del marco encaja mejor esta actividad?

A. Función IDENTIFICAR, categoría de mejora.
B. Función PROTEGER, categoría de gestión de identidades y acceso, subcategorías sobre mínimo privilegio.
C. Función DETECTAR, categoría de monitoreo continuo, subcategorías sobre alertas.
D. Función RECUPERAR, categoría de comunicación, subcategorías sobre mensajes públicos.

Respuestas correctas y breve explicación

  • Pregunta 1 → Respuesta correcta: C
    El Núcleo del marco (CSF Core), descrito en el Apéndice A, es el que organiza los resultados de ciberseguridad en funciones, categorías y subcategorías.

  • Pregunta 2 → Respuesta correcta: A
    Las Funciones agrupan grandes áreas de actividad; cada función se divide en Categorías, y estas se desglosan en Subcategorías que describen resultados concretos.

  • Pregunta 3 → Respuesta correcta: B
    Hablar de mínimo privilegio y revisión de permisos corresponde a PROTEGER, dentro de la categoría Gestión de identidades, autenticación y control de acceso (PR.AA), en subcategorías sobre acceso y privilegios.

¿Quieres alcanzar la certificación LCSPC?

Hasta aquí llega la entrada de hoy.

Si buscas una formación avalada, con acompañamiento y totalmente enfocada en el examen LCSPC, te invito a conocer mi Curso Oficial LCSPC con una oferta increíble activa ahora mismo:

👉 Conoce aqui el Curso Oficial LCSPC

Nos vemos en la siguiente entrada.

Fernando Conislla
Instructor oficial LCSPC

Categories

All Categories cyber cybersecurity forense hacking infosec iso27001 lcspc malware osint owasp phishing