Inicio Ethical Hacking Ciberseguridad ISO 27001 Blog

Perfiles del Marco NIST CSF 2.0

lcspc

Perfil actual vs perfil objetivo con el NIST CSF 2.0

Hasta ahora ya has visto:

  • Qué es el NIST CSF 2.0.

  • Cómo se organiza su núcleo (funciones, categorías y subcategorías).

  • Qué son los niveles de implementación (tiers).

En esta entrada vamos a entender dos piezas que conectan todo eso y convierten el marco en una herramienta práctica:

  • El perfil actual

  • El perfil objetivo

Son conceptos clave para evaluar dónde estás hoy y hacia dónde quieres llevar la ciberseguridad de una organización.

Qué es el perfil actual

El perfil actual es una representación de la situación real de la organización cuando se mira a través del NIST CSF 2.0.

Dicho de otra forma, responde a:

“Si miro mi organización usando las funciones, categorías y subcategorías del Core del NIST CSF… ¿qué tan cerca estoy de los resultados que propone el marco?”

Al construir un perfil actual se busca tener una visión ordenada de:

  • Qué resultados de ciberseguridad (subcategorías) se están logrando de manera consistente.

  • Cuáles solo se cumplen de forma parcial.

  • Cuáles prácticamente no se alcanzan.

  • Qué nivel de implementación describe mejor el comportamiento de la organización en cada área (más bien parcial, más bien repetible, etc.).

El perfil actual funciona como una foto diagnóstica:

  • No es todavía un plan.

  • No es una lista de compras de herramientas.

  • Es la descripción honesta de “así estamos hoy”.

Qué es el perfil objetivo

El perfil objetivo describe la situación deseada: cómo querría verse la organización frente al NIST CSF en el futuro.

Responde a preguntas como:

  • ¿Qué resultados de ciberseguridad (subcategorías) son imprescindibles para nuestro contexto y nivel de riesgo?

  • ¿Qué funciones y categorías deben estar más fortalecidas para proteger la misión del negocio?

  • ¿Qué niveles de implementación son razonables y necesarios para cada área (por ejemplo, Nivel 3 en protección de datos críticos, Nivel 2 en otras áreas menos sensibles)?

El perfil objetivo:

  • No es un sueño irreal, sino un objetivo alineado con el contexto, los riesgos y los recursos.

  • Debe considerar:

    • Requisitos legales y regulatorios.

    • Compromisos con clientes, socios y terceros.

    • Capacidad económica y tecnológica de la organización.

Mientras el perfil actual responde a “¿dónde estamos?”,
el perfil objetivo responde a “¿dónde tenemos que estar y por qué?”.

Relación con el núcleo del marco (Core)

Tanto el perfil actual como el perfil objetivo se expresan utilizando el mismo lenguaje del núcleo del marco:

  • Funciones (Gobernar, Identificar, Proteger, Detectar, Responder, Recuperar).

  • Categorías (gestión de activos, seguridad de datos, gestión de incidentes, etc.).

  • Subcategorías (resultados concretos).

Esto permite que la comparación entre ambos perfiles sea:

  • Clara: se compara resultado por resultado.

  • Trazable: se puede justificar por qué algo es prioritario.

  • Comunicable: dirección, TI, seguridad y negocio hablan con el mismo mapa.

En vez de una lista desordenada de controles, tienes un marco estructurado para discutir la postura de ciberseguridad.

Relación con los niveles de implementación

Los niveles de implementación (parcial, gestionado en función del riesgo, repetible, adaptativo) te ayudan a:

  • Describir la madurez de las prácticas actuales (perfil actual).

  • Definir qué nivel de madurez quieres alcanzar en cada área (perfil objetivo).

Por ejemplo:

  • Puede que hoy la gestión de incidentes se parezca más a un Nivel 1–2.

  • Pero para el perfil objetivo se quiere llegar a algo cercano a Nivel 3 (procesos repetibles, bien integrados en la gestión de riesgos).

Así, los niveles de implementación agregan una dimensión de madurez al análisis de perfiles:

  • No solo ves “cumple / no cumple” una subcategoría,

  • sino también cómo se gestiona ese resultado dentro de la organización.

De la comparación de perfiles a las brechas (visión conceptual)

La verdadera utilidad de trabajar con perfil actual y perfil objetivo aparece cuando los comparas.

Al hacerlo, se identifican:

  • Subcategorías que hoy no se logran, pero que sí están en el perfil objetivo.

  • Áreas donde el nivel actual de implementación está muy por debajo del nivel que se considera adecuado.

  • Temas donde la organización tiene un nivel aceptable y solo requiere ajustes menores.

Esa comparación es lo que revela las brechas de ciberseguridad:

“Aquí es donde estamos; aquí es donde necesitamos estar; esta es la distancia que debemos salvar.”

A partir de esas brechas se construyen:

  • Planes de acción.

  • Roadmaps de proyectos de ciberseguridad.

  • Justificaciones de inversión (presupuesto, personal, herramientas).

En otras palabras:

Perfil actual + Perfil objetivo → Brechas → Plan de mejora.

Cómo encaja esto en la implementación paso a paso

En esta entrada el enfoque es conceptual:
que tengas claro el rol del perfil actual y del perfil objetivo dentro del NIST CSF 2.0.

En el Bloque 3 de esta serie veremos:

  • Cómo definir el alcance de un ejercicio de perfiles.

  • Cómo recopilar información para describir el estado actual.

  • Cómo documentar el perfil actual de forma ordenada.

  • Cómo traducir la comparación en brechas y plan de acción.

Es decir, más adelante trabajaremos el “cómo hacerlo” paso a paso.
Aquí te llevas el “qué es” y “para qué sirve”, que es lo que se suele evaluar en preguntas conceptuales de examen.

Preguntas tipo examen (3 preguntas)

Pregunta 1

¿Cuál de las siguientes opciones describe mejor el perfil actual en el contexto del NIST CSF 2.0?

A. La lista de herramientas de seguridad que la organización planea adquirir.
B. El conjunto de procesos ideales que la organización quisiera tener a largo plazo.
C. La representación de la situación real de la organización frente a las funciones, categorías y subcategorías del NIST CSF, incluyendo su nivel de implementación.
D. Un listado de incidentes históricos ocurridos en la organización.

Pregunta 2

¿Qué afirmación describe mejor el perfil objetivo?

A. Es una copia exacta del perfil actual, pero con nombres más técnicos.
B. Es la descripción de los resultados de ciberseguridad que la organización desea alcanzar, teniendo en cuenta su contexto, riesgos, obligaciones y prioridades.
C. Es exclusivamente un mapa de los activos de información críticos.
D. Es un documento que solo utilizan los proveedores externos.

Pregunta 3

¿Cuál es el principal propósito de comparar el perfil actual con el perfil objetivo?

A. Identificar qué funciones del NIST CSF pueden eliminarse por no ser relevantes.
B. Calcular un puntaje numérico para competir con otras organizaciones.
C. Determinar qué subcategorías no aplican al sector de la organización.
D. Identificar brechas que sirvan como base para definir y priorizar un plan de mejora en ciberseguridad.

Respuestas correctas y breve explicación

  • Pregunta 1 → Respuesta correcta: C
    El perfil actual refleja la situación real de la organización al mirarla a través del NIST CSF (funciones, categorías, subcategorías y niveles de implementación).

  • Pregunta 2 → Respuesta correcta: B
    El perfil objetivo describe la situación deseada, considerando contexto, riesgos, requisitos legales y prioridades de negocio.

  • Pregunta 3 → Respuesta correcta: D
    La comparación entre perfil actual y perfil objetivo se utiliza para detectar brechas y construir un plan de mejora priorizado en ciberseguridad.

¿Quieres alcanzar la certificación LCSPC?

Hasta aquí llega la entrada de hoy.

Si buscas una formación avalada, con acompañamiento y totalmente enfocada en el examen LCSPC, te invito a conocer mi Curso Oficial LCSPC con una oferta increíble activa ahora mismo:

👉 Conoce aqui el Curso Oficial LCSPC

Nos vemos en la siguiente entrada.

Fernando Conislla
Instructor oficial LCSPC

Categories

All Categories cyber cybersecurity forense hacking infosec iso27001 lcspc malware osint owasp phishing