MARCO DE REFERENCIA DE LA NIST

Diseñado y ejecutado para proteger su información, su activo más importante, y para actuar de
la mejor manera frente a un ataque cibernético porque, como sucede con los riesgos
financieros o de reputación, el riesgo cibernético genera impacto negativo en los objetivos de
negocio.

El marco de referencia de la NIST está compuesto por tres partes: el núcleo, los niveles de
implementación y los perfiles del Marco.

1. El Núcleo: está conformado por cinco funciones, simultáneas y continuas, que deben
seguirse para implementar o complementar un buen programa de seguridad de la
información.
El núcleo está conformado por otros tres elementos: categorías, subcategorías y referencias
informativas.

2. Niveles de implementación del marco

Los niveles respaldan la toma de decisiones organizacionales sobre cómo gestionar el riesgo de
seguridad cibernética, así como qué dimensiones de la organización son de mayor prioridad y
podrían recibir recursos adicionales.

Los niveles son cuatro y se definen por el proceso de gestión de riesgos, el programa integrado
de gestión de riesgos y la participación externa:
 3. Perfiles: estos perfiles sirven para describir el estado actual u objetivo de las
actividades que se realizan en ciberseguridad.

¿Cómo puedes utilizar en tu empresa el Marco de Ciberseguridad del NITS?

 Revisar y comparar las prácticas de ciberseguridad existentes al interior de la

organización con las que presenta el núcleo del Marco para ver si se están logrando los
resultados esperados y determinar qué cosas debe o puede mejorar para reducir
mucho más el riesgo de seguridad cibernética.
 Crear un programa nuevo de ciberseguridad o mejorar uno existente. El Marco
propone los siguientes pasos para hacerlo:

 Priorizar y determinar el alcance: identificar los objetivos empresariales y las

prioridades de alto nivel para tomar decisiones respecto al alcance del programa de
ciberseguridad.
 Orientación: identificar los sistemas y activos relacionados al alcance del programa,
los requisitos reglamentarios y el enfoque de riesgo general.
 Crear un perfil actual: desarrollar un perfil actual para ver qué resultados por
categoría y subcategoría del núcleo del Marco se están logrando.
 Realizar una evaluación de riesgos: analizar el entorno para entender la
probabilidad de que ocurra un evento
 Crear un perfil objetivo: este perfil se centra en la evaluación de las categorías y
subcategorías del núcleo del Marco que señalan los resultados esperados por la
organización.
 Determinar, analizar y priorizar brechas: comparar el perfil actual y el perfil objetivo
para ver cuáles son las brechas y crear un plan de acción para abordarlas y poder
lograr los resultados esperados del perfil objetivo. Además, se deben determinar los
fondos y el personal que se requiere para superar estas brechas.
 Implementar el plan de acción: por último, poner en marcha el plan de acción y
ajustar las prácticas de ciberseguridad para lograr el perfil objetivo.

Todas estas acciones deben ser implementadas dentro de un entorno de mejora continua,
permitiendo que de forma continua la organización optimice sus controles de seguridad y
escale a niveles superiores dentro del marco de trabajo.