Inicio Ethical Hacking Ciberseguridad ISO 27001 Blog

Paso 3 – Crear el perfil organizativo

lcspc

Paso 3 – Crear el perfil organizativo con el NIST CSF 2.0

En los pasos anteriores ya hiciste dos cosas clave:

  • Paso 1: Definiste el alcance del perfil organizativo.

  • Paso 2: Recopilaste la información necesaria sobre contexto, activos, riesgos, controles e incidentes.

Ahora toca el corazón del trabajo:

Crear el perfil organizativo, es decir, traducir toda esa realidad al
lenguaje del NIST CSF 2.0 (funciones, categorías y subcategorías),
construyendo tu perfil actual y tu perfil objetivo.

Este paso es el puente entre:

  • Lo que pasa de verdad en la organización, y

  • Lo que el marco propone como resultados de ciberseguridad.

¿Qué es exactamente el perfil organizativo?

En la práctica, el perfil organizativo es:

  • Una representación de cómo la organización se alinea (o no) con los resultados del Core del NIST CSF.

  • Expresada en términos de:

    • Funciones, categorías y subcategorías.

    • Perfil actual vs. perfil objetivo.

    • En muchos casos, también niveles de implementación (tiers) asociados.

No es un documento artístico:
suele tomar la forma de tablas, matrices o fichas donde:

  • En filas: subcategorías relevantes del Core.

  • En columnas:

    • Estado actual.

    • Situación deseada (objetivo).

    • Observaciones de riesgo.

    • Prioridad, si ya quieres ir adelantando.

Cómo se crea el perfil organizativo

Podemos dividir este paso en cuatro subpasos simples:

  1. Seleccionar las subcategorías relevantes del Core.

  2. Describir el perfil actual para esas subcategorías.

  3. Definir el perfil objetivo para esas mismas subcategorías.

  4. Dejar todo plasmado en una tabla o matriz de perfil organizativo.

Más adelante (en el Paso 4) esa misma tabla servirá para identificar brechas y construir el plan de acción.

1. Seleccionar las subcategorías relevantes

No siempre es necesario usar todas las subcategorías del NIST CSF.
Lo normal es seleccionar aquellas que:

  • Están claramente relacionadas con el alcance definido.

  • Tienen impacto directo en los riesgos identificados.

  • Responden a requisitos regulatorios o contractuales importantes.

Ejemplos típicos para un servicio digital:

  • Gestión de activos dentro del alcance.

  • Gestión de identidades y accesos.

  • Protección de datos sensibles.

  • Detección de eventos de seguridad.

  • Gestión de incidentes y recuperación.

En SeguriBank Online, podrían ser relevantes, por ejemplo:

  • Subcategorías sobre inventario y clasificación de activos del canal online.

  • Subcategorías sobre autenticación de usuarios, sesiones y control de acceso.

  • Subcategorías sobre protección de datos de clientes y registros de transacciones.

  • Subcategorías sobre monitoreo y detección de actividades sospechosas.

  • Subcategorías sobre respuesta y recuperación ante incidentes que afecten el servicio.

La selección debe estar justificada por el contexto y los riesgos recopilados en el Paso 2.

2. Describir el perfil actual

Para cada subcategoría seleccionada, debes responder:

  • ¿Se cumple de forma consistente?

  • ¿Se cumple parcialmente?

  • ¿No se cumple en absoluto?

  • ¿Qué evidencia respalda esa conclusión?

Aquí es donde se usa todo lo recogido en el Paso 2:

  • Políticas y procedimientos.

  • Controles técnicos.

  • Incidentes y auditorías.

  • Entrevistas con responsables.

Ejemplo simplificado para SeguriBank Online

Imagina una subcategoría relacionada con la gestión de accesos de clientes:

“Los mecanismos de autenticación reducen el riesgo de uso indebido de cuentas.”

Para el perfil actual podríamos documentar algo como:

  • Estado: Parcialmente cumplida.

  • Evidencia:

    • Se usa usuario/contraseña + OTP por SMS.

    • Sin embargo, no todos los clientes tienen MFA activado como obligatorio.

    • Se han detectado casos de phishing exitosos en los últimos 12 meses.

Este tipo de descripción es suficiente para caracterizar el perfil actual respecto a esa subcategoría.

3. Definir el perfil objetivo

Para las mismas subcategorías, hay que definir la situación deseada:

  • ¿Qué esperas lograr en esa subcategoría dada la realidad del negocio y sus riesgos?

  • ¿Cuál sería un nivel razonable de protección y madurez?

Siguiendo el mismo ejemplo de autenticación en SeguriBank Online, el perfil objetivo podría ser:

  • Estado deseado:

    • MFA obligatorio para todas las cuentas de clientes.

    • Mecanismos adicionales de detección de accesos sospechosos (por contexto, dispositivo, localización, etc.).

  • Motivación:

    • Alto riesgo de fraude y robo de credenciales.

    • Requerimientos del regulador sobre protección de canales digitales.

Así se va construyendo una visión coherente de:

“Dónde estamos hoy” vs. “dónde deberíamos estar”
para cada resultado relevante del Core.

4. Ponerlo todo en una tabla de perfil organizativo

Una forma muy habitual de representar el perfil organizativo es una tabla parecida a esta (simplificada):

Subcategoría (resumen) Perfil actual Perfil objetivo Comentarios / Riesgo
Autenticación de clientes en canal online Usuario/contraseña + OTP SMS, opcional MFA MFA obligatorio, detección de accesos anómalos Riesgo de fraude alto
Protección de datos de clientes en bases de datos Cifrado parcial, algunos entornos sin cifrar Cifrado completo en producción y entornos no productivos Riesgo de fuga de datos
Gestión de incidentes que afecten SeguriBank Online Procedimiento genérico, poca práctica Procedimiento específico probado con simulacros Riesgo operativo

En la práctica, esta tabla puede incluir más columnas:

  • Nivel de implementación actual.

  • Nivel deseado.

  • Prioridad (Alta/Media/Baja).

  • Responsable.

Ese nivel de detalle ya empieza a conectar con el Paso 4, pero la esencia del Paso 3 es:

Dejar claramente documentado el perfil actual y el perfil objetivo, subcategoría por subcategoría.

¿Qué gana SeguriBank al finalizar el Paso 3?

Al terminar este paso, SeguriBank Online debería tener:

  • Una lista de subcategorías del NIST CSF relevantes para el servicio.

  • Un perfil actual que describe honestamente dónde se está cumpliendo, dónde no y con qué evidencia.

  • Un perfil objetivo alineado con:

    • Riesgos de negocio.

    • Requisitos regulatorios.

    • Capacidad real de la organización.

  • Una tabla de perfil organizativo que será la base del análisis de brechas en el Paso 4.

En otras palabras:

El banco ahora tiene un mapa claro entre
“lo que el NIST CSF propone” y “lo que SeguriBank hace hoy y quiere hacer mañana”.

Preguntas tipo examen

Pregunta 1

¿Cuál de las siguientes opciones describe mejor el objetivo del Paso 3 – Crear el perfil organizativo?

A. Definir qué parte de la organización será analizada con el NIST CSF 2.0.
B. Ejecutar las acciones del plan de mejora y actualizar los controles de seguridad.
C. Traducir la realidad del alcance al lenguaje del Core del NIST CSF, construyendo el perfil actual y el perfil objetivo por subcategoría.
D. Realizar pruebas técnicas de penetración sobre todos los sistemas de la organización.

Pregunta 2

En el caso de SeguriBank Online, ¿qué actividad encaja mejor dentro del Paso 3?

A. Decidir que el alcance incluirá únicamente las oficinas físicas del banco.
B. Documentar, para una subcategoría de autenticación, que hoy se usa usuario/contraseña + OTP opcional y que el objetivo es MFA obligatorio para todos los clientes.
C. Contratar una nueva pasarela de pagos para reducir costos.
D. Probar la restauración del servicio después de una caída del centro de datos.

Pregunta 3

¿Cuál de las siguientes afirmaciones es correcta respecto a la construcción del perfil actual y perfil objetivo?

A. El perfil actual se define solo con opiniones de la dirección, sin revisar evidencias.
B. El perfil objetivo debe ignorar el contexto y los riesgos, para alinearse siempre con el nivel máximo posible.
C. Ambos perfiles deben relacionarse con funciones, categorías y subcategorías del NIST CSF para que la comparación sea coherente.
D. El perfil organizativo solo se basa en herramientas tecnológicas, sin considerar procesos ni personas.

Respuestas correctas y explicación breve

  • Pregunta 1 → Respuesta correcta: C
    El Paso 3 consiste en crear el perfil organizativo conectando la realidad del alcance con las funciones, categorías y subcategorías del Core, y construyendo el perfil actual y el perfil objetivo.

  • Pregunta 2 → Respuesta correcta: B
    Documentar la situación actual y deseada de una subcategoría (como autenticación en SeguriBank Online) es justamente una actividad típica del Paso 3.

  • Pregunta 3 → Respuesta correcta: C
    Para que la comparación entre perfil actual y objetivo tenga sentido, ambos deben expresarse en el lenguaje del NIST CSF (funciones, categorías y subcategorías), considerando procesos, personas y tecnología.

¿Quieres alcanzar la certificación LCSPC?

Hasta aquí llega la entrada de hoy.

Si buscas una formación avalada, con acompañamiento y totalmente enfocada en el examen LCSPC, te invito a conocer mi Curso Oficial LCSPC con una oferta increíble activa ahora mismo:

👉 Conoce aqui el Curso Oficial LCSPC

Nos vemos en la siguiente entrada,

Fernando Conislla
Instructor oficial LCSPC

Categories

All Categories cyber cybersecurity forense hacking infosec iso27001 lcspc malware osint owasp phishing