NIST Cybersecurity Framework 2.0

Resumen Ejecutivo

¿Qué es el NIST CSF 2.0?

El NIST Cybersecurity Framework (CSF) 2.0, publicado en febrero de 2024, es un marco voluntario desarrollado por el National Institute of Standards and Technology de Estados Unidos. Organiza las capacidades de ciberseguridad en 6 funciones de alto nivel que permiten a las organizaciones gestionar y comunicar su postura de ciberseguridad de forma estructurada.

A diferencia de la versión 1.1, el CSF 2.0 expande su aplicabilidad más allá de infraestructura crítica, es aplicable a organizaciones de cualquier tamaño, sector o madurez, e incorpora una nueva función: Governar (GV), que reconoce que la ciberseguridad es una función de gestión empresarial, no solo técnica.

// Versión 1.1 vs 2.0

Las principales adiciones del CSF 2.0 son: nueva función GV.Governar, enfoque explícito en gestión de riesgos de la cadena de suministro (C-SCRM), mayor integración con gestión de riesgos empresariales, y un catálogo de referencias cruzadas con ISO 27001, CIS Controls y COBIT.

// Marco de referencia universalEl NIST CSF 2.0 es adoptado por organizaciones de más de 50 países como lenguaje común para comunicar postura de ciberseguridad ante directorios y reguladores.

Las 6 Funciones

Estructura del Framework

GV — Governar

Nuevo en v2.0. Establece la estrategia, expectativas y política de ciberseguridad. Cubre roles, responsabilidades, supervisión del directorio y cultura de seguridad.

ID — Identificar

Inventario de activos, contexto organizacional, evaluación de riesgos y estrategia de mejora. Base para todo el programa de ciberseguridad.

PR — Proteger

Controles de acceso, formación y concienciación, seguridad de datos, procesos de protección y mantenimiento de tecnologías de seguridad.

DE — Detectar

Monitoreo continuo, procesos de detección de anomalías y eventos de ciberseguridad. Incluye inteligencia de amenazas.

RS — Responder

Planificación de respuesta, comunicación, análisis, mitigación y mejoras post-incidente. Incluye coordinación con partes externas.

RC — Recuperar

Planes de recuperación, mejoras basadas en lecciones aprendidas y comunicación durante la recuperación para restaurar capacidades.

// Detectar · Responder · RecuperarLas funciones operativas del CSF 2.0 exigen capacidades de monitoreo continuo, playbooks de respuesta y planes de recuperación probados con RTO/RPO definidos.

Perfiles y Niveles

Midiendo la Madurez

El CSF 2.0 utiliza dos herramientas complementarias para medir y comunicar la postura de ciberseguridad:

// Perfiles del Framework

Un perfil representa la selección de resultados del Core que una organización ha priorizado. El "Perfil Actual" describe el estado presente; el "Perfil Objetivo" describe el estado deseado. La brecha entre ambos define el plan de trabajo.

// Niveles de Implementación (Tiers)

Tier 1 — Parcial: prácticas ad hoc, sin formalización. Tier 2 — Riesgo Informado: prácticas aprobadas, no institucionalizadas. Tier 3 — Repetible: prácticas formalizadas y actualizadas. Tier 4 — Adaptativo: prácticas basadas en lecciones aprendidas y mejora continua activa.

Aplicación Práctica

Implementando NIST CSF 2.0 en Chile

El NIST CSF 2.0 es un excelente punto de partida para organizaciones que no tienen un programa de ciberseguridad formalizado, ya que su lenguaje de alto nivel facilita la comunicación entre equipos técnicos y la alta dirección.

Paso 1 — Alcance y Priorización

Define el alcance del framework (toda la organización o una unidad específica) y prioriza las categorías según el impacto al negocio. No es necesario implementar todo el framework de inmediato.

Paso 2 — Creación del Perfil Actual

Realiza un assessment de las prácticas existentes mapeadas a las subcategorías del CSF. Documenta las evidencias disponibles y las brechas identificadas.

Paso 3 — Definición del Perfil Objetivo

Basado en el apetito de riesgo, los requisitos regulatorios (Ley 21.719, CMF) y los recursos disponibles, define qué subcategorías deben mejorar y hacia qué Tier.

Paso 4 — Plan de Acción y Medición

Desarrolla un plan de trabajo con responsables, plazos y métricas. Revisa el progreso semestralmente y ajusta el Perfil Objetivo según cambios en el contexto.

Integración

NIST CSF 2.0 e ISO 27001

NIST CSF 2.0 e ISO 27001 son complementarios. El CSF proporciona una estructura de alto nivel ideal para la comunicación ejecutiva y la medición de madurez, mientras que ISO 27001 provee el marco de gestión formal con requisitos certificables.

// Uso Combinado Recomendado

Muchas organizaciones utilizan el CSF como brújula estratégica para priorizar inversiones en ciberseguridad y el SGSI ISO 27001 como motor operacional para implementar y certificar los controles. ShellTI trabaja con ambos marcos de forma integrada.

Preguntas Frecuentes

Lo que Nuestros Clientes Preguntan

¿El NIST CSF 2.0 es obligatorio en Chile?

▼

No es obligatorio por ley en Chile, pero es adoptado voluntariamente como marco de referencia por empresas financieras reguladas por la CMF, operadores de infraestructura crítica bajo la ANCI y empresas multinacionales con requisitos globales de ciberseguridad.

¿En qué se diferencia el NIST CSF de ISO 27001?

▼

ISO 27001 es un estándar certificable con requisitos específicos para un SGSI. El NIST CSF es un framework de referencia flexible sin certificación. El CSF es más accesible para comenzar, mientras que ISO 27001 ofrece mayor rigor y reconocimiento formal en licitaciones.

¿Cuánto cuesta implementar NIST CSF?

▼

El costo depende del alcance y madurez inicial. Un assessment inicial de postura usando CSF 2.0 puede realizarse en 2-4 semanas. La implementación completa puede tomar 6-12 meses. ShellTI ofrece assessments basados en CSF 2.0 como servicio independiente.

¿NIST CSF 2.0 aplica a pequeñas empresas?

▼

Sí. El CSF 2.0 incluye guías de inicio rápido específicas para pequeñas y medianas empresas, con un conjunto reducido de controles prioritarios que permiten mejorar significativamente la postura de seguridad con recursos limitados.

Evaluación de Conocimiento

Quiz NIST CSF 2.0

12 preguntas para validar tu dominio del framework

0 / 12

Pregunta 01 / 12

¿En qué año fue publicado el NIST CSF 2.0?

Correcto: C — 2024. El NIST CSF 2.0 fue publicado en febrero de 2024, actualizando la versión 1.1 de 2018. La versión 2.0 introdujo la nueva función Governar (GV) y amplió el alcance a toda cadena de suministro.

Pregunta 02 / 12

¿Cuál es la función nueva que incorporó el CSF 2.0 respecto a la versión 1.1?

Correcto: B — Governar (GV). La función GV es completamente nueva en el CSF 2.0 y reconoce que la ciberseguridad es una función de gestión empresarial. Cubre estrategia, roles, responsabilidades, supervisión del directorio y cultura de seguridad.

Pregunta 03 / 12

¿Cuántas funciones tiene el NIST CSF 2.0?

Correcto: C — 6 funciones. GV (Governar), ID (Identificar), PR (Proteger), DE (Detectar), RS (Responder) y RC (Recuperar). La versión 1.1 tenía 5 funciones; el CSF 2.0 añadió GV.

Pregunta 04 / 12

¿Qué representa un "Perfil Actual" en el CSF 2.0?

Correcto: C. El Perfil Actual describe el estado presente de la organización respecto a los resultados del Core del CSF. La brecha entre el Perfil Actual y el Perfil Objetivo define el plan de mejora.

Pregunta 05 / 12

¿Qué Tier del CSF 2.0 describe prácticas formalizadas, repetibles y actualizadas?

Correcto: C — Tier 3 Repetible. En el Tier 3, las prácticas están formalizadas, aprobadas y actualizadas regularmente. El Tier 4 (Adaptativo) va más allá: incluye mejora continua basada en lecciones aprendidas y amenazas emergentes.

Pregunta 06 / 12

¿Qué función del CSF cubre el inventario de activos y la evaluación de riesgos?

Correcto: B — ID Identificar. La función ID cubre el contexto organizacional, inventario de activos (hardware, software, datos), evaluación de riesgos y estrategia de mejora. Es la base sobre la que se construyen las demás funciones.

Pregunta 07 / 12

¿Qué enfoque nuevo incorpora el CSF 2.0 respecto a la cadena de suministro?

Correcto: B — C-SCRM. El CSF 2.0 incorpora explícitamente la Gestión de Riesgos de la Cadena de Suministro de Ciberseguridad (C-SCRM), reconociendo que los ataques a proveedores (como SolarWinds) son uno de los vectores más relevantes de los últimos años.

Pregunta 08 / 12

¿El NIST CSF 2.0 es un estándar certificable como ISO 27001?

Correcto: B. El NIST CSF es un framework voluntario sin proceso de certificación formal. A diferencia de ISO 27001, no existe un organismo que emita certificados de conformidad. Sin embargo, muchas auditorías y licitaciones lo aceptan como evidencia de madurez.

Pregunta 09 / 12

¿Qué función del CSF 2.0 aborda los planes de recuperación y restauración de capacidades?

Correcto: C — RC Recuperar. La función RC cubre los planes de recuperación, mejoras basadas en lecciones aprendidas y comunicación durante la recuperación. Es complementaria a RS (Responder), que cubre la contención activa del incidente.

Pregunta 10 / 12

¿Cómo se recomienda combinar el NIST CSF 2.0 con ISO 27001?

Correcto: B. La estrategia más efectiva es usar el CSF 2.0 para comunicar postura y priorizar inversiones a nivel ejecutivo, mientras el SGSI ISO 27001 provee el rigor operacional y la certificación formal. Son marcos complementarios, no competidores.

Pregunta 11 / 12

¿Cuál de las siguientes es una característica clave del CSF 2.0 en comparación con la versión 1.1?

Correcto: C. La versión 1.1 estaba diseñada originalmente para infraestructura crítica. El CSF 2.0 amplía explícitamente su alcance a organizaciones de cualquier tamaño, sector y nivel de madurez, incluyendo guías específicas para pymes.

Pregunta 12 / 12

¿Qué función del CSF 2.0 incluye la inteligencia de amenazas y el monitoreo continuo?

Correcto: D — DE Detectar. La función Detectar cubre el monitoreo continuo de eventos de seguridad, la detección de anomalías y la integración de inteligencia de amenazas para identificar incidentes de forma oportuna.

¿Necesitas implementar este marco en tu organización?

ShellTI acompaña a empresas chilenas desde el diagnóstico hasta la certificación, con foco en Ley 21.719 e ISO 27001.

Agendar Evaluación →

NIST CSF 2.0Cybersecurity Framework