Inicio Ethical Hacking Ciberseguridad ISO 27001 Blog

Paso 4 – Analizar las brechas y crear un plan de acción

lcspc

Paso 4 – Analizar las brechas y crear un plan de acción

En el Paso 3 creaste el perfil organizativo:

  • Definiste un perfil actual.

  • Definiste un perfil objetivo.

  • Lo expresaste en términos del Core del NIST CSF (funciones, categorías y subcategorías).

El siguiente paso lógico es:

Comparar ambos perfiles, identificar las brechas
y convertirlas en un plan de acción priorizado.

Este es el punto donde el trabajo deja de ser solo análisis y empieza a convertirse en una hoja de ruta concreta de mejora en ciberseguridad.

¿Qué es una brecha en el contexto del NIST CSF?

Una brecha es la diferencia entre:

  • Lo que tienes hoy (perfil actual), y

  • Lo que necesitas (perfil objetivo),

para una subcategoría o conjunto de subcategorías del Core.

Ejemplos típicos:

  • Subcategorías que hoy no se cumplen, pero están en el perfil objetivo.

  • Subcategorías que se cumplen parcialmente, y necesitan fortalecerse.

  • Áreas en las que el nivel de implementación actual está claramente por debajo de lo que exige el perfil objetivo.

Las brechas son, básicamente, la lista de:

“Aquí estamos quedando cortos”.

Paso 4.1 – Identificar brechas a partir del perfil organizativo

Usando la tabla de perfil organizativo del Paso 3, puedes proceder así:

  1. Revisar subcategoría por subcategoría:

    • ¿El estado actual coincide con el objetivo?

    • ¿Hay distancia clara entre ambos?

  2. Marcar las brechas donde:

    • Actual = “No cumple” y Objetivo = “Debe cumplir”.

    • Actual = “Parcialmente cumple” y Objetivo = “Cumple de forma robusta”.

    • El nivel de implementación actual está lejos del nivel deseado.

  3. Registrar la brecha en una lista de trabajo:

    • Subcategoría afectada.

    • Descripción sencilla del problema.

    • Relación con riesgos y requisitos.

Ejemplo de brecha en SeguriBank Online

Tomemos de nuevo el ejemplo de autenticación:

  • Subcategoría (resumen): Autenticación fuerte de clientes en el canal online.

  • Perfil actual: Usuario/contraseña + OTP por SMS; MFA no es obligatorio para todos.

  • Perfil objetivo: MFA obligatorio para todos los clientes + mecanismos adicionales de detección de accesos sospechosos.

Brecha identificada:

“La autenticación actual no garantiza un nivel suficiente de protección frente al fraude y al robo de credenciales en todos los clientes.”

Esta brecha se relaciona con:

  • Riesgos de fraude financiero.

  • Impacto en la reputación.

  • Posibles requerimientos de regulador.

Paso 4.2 – Evaluar impacto y prioridad de las brechas

No todas las brechas son igual de importantes.
Antes de crear un plan de acción, hay que priorizar.

Criterios habituales para priorizar:

  • Impacto en el negocio / riesgo asociado

    • ¿Qué pasa si esta brecha se materializa en un incidente?

    • ¿Afecta a datos críticos, continuidad, cumplimiento regulatorio?

  • Probabilidad

    • ¿Qué tan probable es que esta brecha sea explotada o cause un problema?

  • Dependencias

    • ¿La corrección de esta brecha habilita otras mejoras?

    • ¿Depende de cambios en otros sistemas o procesos?

  • Esfuerzo y costo

    • ¿Es algo relativamente sencillo o requiere inversiones importantes/proyectos largos?

Una forma simple de priorizar:

  • Alta / Media / Baja,
    basada en una combinación de impacto y probabilidad.

Priorizando brechas en SeguriBank Online (ejemplos)

Imagina que SeguriBank identifica, entre otras, estas brechas:

  1. Autenticación no obligatoriamente fuerte para todos los clientes.

  2. No se realizan pruebas periódicas de recuperación del servicio.

  3. Registros (logs) insuficientes para investigar incidentes en el canal online.

  4. Falta de un procedimiento específico de respuesta a incidentes para SeguriBank Online.

Podría evaluarlas así:

  • Brecha 1 (Autenticación)

    • Impacto: Alto (fraude, robo de fondos, reputación).

    • Probabilidad: Media/Alta (canales de phishing activos).

    • Prioridad: Alta.

  • Brecha 2 (Pruebas de recuperación)

    • Impacto: Alto (indisponibilidad prolongada del servicio).

    • Probabilidad: Media (según histórico).

    • Prioridad: Alta.

  • Brecha 3 (Logs insuficientes)

    • Impacto: Medio/Alto (dificultad para investigar incidentes, cumplimiento).

    • Probabilidad: Media.

    • Prioridad: Media.

  • Brecha 4 (Procedimiento específico de respuesta)

    • Impacto: Medio (respuestas lentas o descoordinadas).

    • Probabilidad: Media.

    • Prioridad: Media.

Esto permite ordenar por dónde empezar y qué puede ir en fases posteriores.

Paso 4.3 – Convertir brechas en acciones concretas

Una vez priorizadas, hay que convertir las brechas en acciones claras:

  • ¿Qué se debe hacer?

  • ¿Quién será responsable?

  • ¿En qué plazo?

  • ¿Qué recursos se necesitan?

Ejemplos para SeguriBank Online:

  • Acción para la brecha de autenticación

    • Definir e implementar MFA obligatorio para todos los clientes.

    • Revisar y endurecer políticas de contraseñas.

    • Evaluar mecanismos de detección de accesos anómalos.

  • Acción para la brecha de recuperación

    • Diseñar y documentar un plan específico de recuperación para SeguriBank Online.

    • Programar y ejecutar pruebas periódicas (al menos una vez al año).

Cada brecha puede generar una o varias acciones, y algunas acciones pueden resolver varias brechas a la vez.

Paso 4.4 – Construir el plan de acción

El resultado de este paso es un plan de acción que suele representarse en una tabla con columnas como:

  • Brecha / Subcategoría relacionada.

  • Acción propuesta.

  • Prioridad (Alta / Media / Baja).

  • Responsable.

  • Plazo objetivo.

  • Recursos necesarios (tiempo, presupuesto, herramientas).

  • Estado (pendiente, en curso, completado).

Ejemplo muy resumido:

Brecha Acción principal Prioridad Responsable Plazo estimado
Autenticación débil para algunos clientes Implementar MFA obligatorio para todos los clientes Alta Banca Digital + TI 6 meses
Sin pruebas periódicas de recuperación del servicio Definir y probar DRP específico para SeguriBank Online Alta Continuidad + TI 9 meses
Logs insuficientes en canal online Ampliar registro de eventos y retención de logs Media Seguridad + TI 4 meses

Este plan de acción será la base del trabajo del Paso 5, donde se ejecutan estas mejoras y se actualiza el perfil organizativo.

¿Qué gana SeguriBank al finalizar el Paso 4?

Al completar este paso, SeguriBank Online obtiene:

  • Una lista clara de brechas entre su realidad actual y el objetivo definido con el NIST CSF.

  • Un plan de acción priorizado, alineado con:

    • Riesgos del negocio.

    • Requisitos del regulador.

    • Capacidades internas.

  • Una herramienta de gestión que se puede compartir con:

    • Dirección.

    • TI y seguridad.

    • Riesgos y cumplimiento.

Es decir, el NIST CSF deja de ser solo un marco teórico y se convierte en una agenda de trabajo concreta.

 

Preguntas tipo examen

Pregunta 1

¿Cuál es el objetivo principal del Paso 4 – Analizar las brechas y crear un plan de acción?

A. Definir qué parte de la organización será analizada con el NIST CSF 2.0.
B. Traducir la situación actual al lenguaje del Core del NIST CSF.
C. Identificar las diferencias entre el perfil actual y el perfil objetivo y convertirlas en un plan de acción priorizado.
D. Ejecutar todas las mejoras previstas para alcanzar el nivel de madurez deseado.

Pregunta 2

En el caso de SeguriBank Online, ¿cuál de las siguientes situaciones representa mejor una brecha?

A. El alcance definido incluye SeguriBank Online y las oficinas físicas.
B. Hoy la autenticación de clientes se basa en usuario/contraseña + OTP opcional, pero el objetivo es MFA obligatorio para todos los clientes.
C. Se realizó una prueba de recuperación del servicio el mes pasado con buenos resultados.
D. Se decidió no usar el NIST CSF para otros servicios del banco.

Pregunta 3

¿Cuál de las siguientes acciones es más coherente con la creación de un plan de acción a partir de brechas identificadas?

A. Describir el alcance del servicio en términos de objetivos de negocio.
B. Elaborar una tabla donde se indique, para cada brecha, la acción a realizar, la prioridad, el responsable y el plazo.
C. Ejecutar inmediatamente cambios en producción sin análisis previo.
D. Actualizar el perfil organizativo para reflejar mejoras ya implementadas.

Respuestas correctas y explicación breve

  • Pregunta 1 → Respuesta correcta: C
    El Paso 4 se centra en analizar las brechas entre perfil actual y objetivo y convertir ese análisis en un plan de acción priorizado.

  • Pregunta 2 → Respuesta correcta: B
    La opción B describe claramente una diferencia entre el estado actual y el objetivo (autenticación actual vs. MFA obligatorio), es decir, una brecha.

  • Pregunta 3 → Respuesta correcta: B
    Crear una tabla con brechas, acciones, prioridad, responsable y plazo es una forma típica y correcta de construir un plan de acción a partir del análisis de brechas.

¿Quieres alcanzar la certificación LCSPC?

Hasta aquí llega la entrada de hoy.

Si buscas una formación avalada, con acompañamiento y totalmente enfocada en el examen LCSPC, te invito a conocer mi Curso Oficial LCSPC con una oferta increíble activa ahora mismo:

👉 Conoce aqui el Curso Oficial LCSPC

Nos vemos en la siguiente entrada,

Fernando Conislla
Instructor oficial LCSPC

Categories

All Categories cyber cybersecurity forense hacking infosec iso27001 lcspc malware osint owasp phishing