Inicio Ethical Hacking Ciberseguridad ISO 27001 Blog

Paso 1 – Alcance del perfil organizativo

lcspc

Paso 1 – Alcance del perfil organizativo con NIST CSF 2.0

El primer paso para implementar el NIST CSF 2.0 es decidir dónde vas a aplicarlo.

Si intentas abarcar toda la organización desde el inicio, es fácil:

  • Perder foco.

  • Quedarte sin tiempo.

  • Terminar con un diagnóstico tan general que no sirva para tomar decisiones.

Por eso el marco propone empezar por definir el alcance del perfil organizativo.

¿Qué significa “alcance del perfil organizativo”?

Es delimitar con claridad:

  • Qué parte de la organización será analizada usando el NIST CSF 2.0.

  • Qué servicios, procesos, personas, tecnologías y proveedores quedan dentro del ejercicio.

  • Qué objetivo de negocio estás protegiendo.

En términos simples:

“Vamos a aplicar el NIST CSF a esto y no a todo.”

Ese “esto” puede ser:

  • Un servicio digital (como un portal online).

  • Una planta de producción.

  • Una unidad de negocio específica.

  • Un conjunto de sistemas que soportan un proceso crítico.

Claves para definir un buen alcance

Al definir el alcance del perfil organizativo, ten en cuenta:

  1. Relevancia para el negocio

    • Elige algo que realmente importe: un servicio o proceso con impacto claro en clientes, ingresos o cumplimiento regulatorio.

  2. Tamaño manejable

    • Demasiado grande → se vuelve inabarcable.

    • Demasiado pequeño → el esfuerzo no se justifica.

    • Piensa en un ámbito donde puedas ver resultados en semanas/meses, no años.

  3. Límites claros

    • Qué entra (sistemas, áreas, procesos).

    • Qué queda fuera (otros servicios, sedes, tecnologías no relacionadas).

  4. Participantes identificados

    • ¿Quiénes tienen conocimiento y responsabilidad sobre ese alcance?

    • Normalmente: negocio, TI, seguridad, riesgos, continuidad, legal, etc.

  5. Alineación con la dirección

    • El alcance debe estar acordado con la dirección o con el patrocinador del proyecto.

    • Eso evita conflictos después (“¿por qué no incluimos también…?”).

Aplicando esto al caso SeguriBank Online

Recordemos el caso de estudio:

SeguriBank Online es el servicio de banca digital (web y app) de un banco mediano, donde los clientes consultan saldos, hacen transferencias, pagan servicios y gestionan tarjetas.

La dirección de SeguriBank decide que el primer ejercicio de NIST CSF se centrará en este servicio.

Un posible alcance bien definido sería:

Alcance del perfil organizativo
“Aplicación del NIST CSF 2.0 a los servicios, procesos, personas, tecnologías y proveedores que soportan SeguriBank Online, incluyendo la capa de aplicaciones web y móviles, APIs, bases de datos críticas, infraestructura asociada y proveedores de pagos y notificaciones.”

Observa que:

  • No incluye todo el banco.

  • No incluye todos los canales (ej. oficinas físicas).

  • Se centra en SeguriBank Online como servicio y en lo que lo hace posible.

Preguntas tipo examen (3 preguntas)

Pregunta 1

¿Cuál de las siguientes opciones representa mejor un alcance correctamente definido para aplicar el NIST CSF 2.0?

A. “Toda la organización, todos los procesos, todos los sistemas, sin excepciones.”
B. “Solo el equipo de TI, sin considerar otros procesos del negocio.”
C. “El servicio de banca en línea, incluyendo las aplicaciones web y móviles, la infraestructura que las soporta y los proveedores críticos que intervienen en las transacciones.”
D. “Únicamente la red interna de la organización, sin tomar en cuenta servicios ni usuarios.”

Pregunta 2

En el contexto del Paso 1 – Alcance del perfil organizativo, ¿cuál de las siguientes acciones es la más adecuada?

A. Comprar nuevas herramientas de monitoreo para toda la organización.
B. Definir qué servicios, procesos, personas y tecnologías se analizarán con el NIST CSF 2.0 y qué quedará fuera.
C. Ejecutar un simulacro de respuesta a incidentes a gran escala.
D. Revisar únicamente los registros de auditoría del último año.

Pregunta 3

¿Cuál de los siguientes errores es más común al definir el alcance del perfil organizativo?

A. Limitarse a un servicio crítico en el primer ciclo.
B. Involucrar a las áreas de negocio en la definición del alcance.
C. Establecer claramente qué procesos, sistemas y proveedores quedan dentro.
D. Intentar abarcar toda la organización sin recursos ni tiempo suficientes.

Respuestas correctas y breve explicación

  • Pregunta 1 → Respuesta correcta: C
    La opción C define un alcance concreto y relevante (banca en línea) e incluye servicios, infraestructura y proveedores críticos, lo que encaja con el concepto de perfil organizativo.

  • Pregunta 2 → Respuesta correcta: B
    El Paso 1 busca precisamente delimitar el alcance: qué se analizará con el NIST CSF y qué no.

  • Pregunta 3 → Respuesta correcta: D
    Intentar abarcar toda la organización desde el primer ciclo, sin recursos ni tiempo, es uno de los errores más frecuentes al definir el alcance.

¿Quieres alcanzar la certificación LCSPC?

Hasta aquí llega la entrada de hoy.

Si buscas una formación avalada, con acompañamiento y totalmente enfocada en el examen LCSPC, te invito a conocer mi Curso Oficial LCSPC con una oferta increíble activa ahora mismo:

👉 Conoce aqui el Curso Oficial LCSPC

Nos vemos en la siguiente entrada

Fernando Conislla
Instructor oficial LCSPC

Categories

All Categories cyber cybersecurity forense hacking infosec iso27001 lcspc malware osint owasp phishing