NIST CSF: cómo responder un cuestionario basado en este framework
Si vendés a clientes en Estados Unidos o a filiales de multinacionales americanas, probablemente ya recibiste un cuestionario de seguridad basado en el NIST Cybersecurity Framework. Es el estándar de referencia del gobierno americano para seguridad de la información y su adopción en el sector privado es masiva. Esta guía te explica qué evalúa cada función y cómo responder.
Las cinco funciones del NIST CSF
El NIST CSF organiza los controles de seguridad en cinco funciones. Identificar (Identify) — conocer los activos, riesgos y contexto de negocio. Proteger (Protect) — implementar salvaguardas para limitar el impacto de un incidente. Detectar (Detect) — desarrollar actividades para identificar la ocurrencia de un evento de seguridad. Responder (Respond) — tomar acciones ante un incidente detectado. Recuperar (Recover) — mantener planes para restaurar capacidades afectadas. Un cuestionario basado en NIST CSF va a tener preguntas en cada una de estas cinco categorías.
Función Identificar: qué esperan ver
Las preguntas de la función Identify evalúan si conocés tu entorno. Inventario de activos — ¿tenés un inventario actualizado de hardware, software y datos? Gestión de riesgos — ¿tenés un proceso formal de identificación y evaluación de riesgos? Gobierno — ¿tenés políticas de seguridad formales y un responsable designado? Para empresas medianas, lo mínimo esperado es un responsable de seguridad designado, una política de seguridad documentada y un inventario básico de sistemas críticos.
Funciones Proteger y Detectar: los controles técnicos
Las preguntas de Protect y Detect son las más técnicas. En Protect evalúan controles de acceso (MFA, privilegios mínimos), protección de datos (cifrado, backup), seguridad en endpoints (antivirus, parches), y seguridad en la cadena de suministro. En Detect evalúan monitoreo de eventos de seguridad, gestión de logs, y capacidades de detección de anomalías. Para cada control, la respuesta debe especificar si está implementado, qué herramientas se usan, y con qué frecuencia se revisa su efectividad.
Funciones Responder y Recuperar: los procesos ante incidentes
Respond y Recover evalúan qué harías si algo falla. Las preguntas clave son: ¿tenés un plan de respuesta a incidentes documentado y probado? ¿Cuál es el proceso de comunicación ante un incidente que afecta a clientes? ¿Cuáles son tu RTO y RPO? ¿Con qué frecuencia probás la recuperación de backups? Para muchas empresas medianas, estas son las áreas con más gaps — no porque no tengan controles técnicos sino porque no tienen los procesos formalizados y documentados. Documentarlos antes de recibir un cuestionario es una inversión de horas que puede desbloquear contratos de alto valor.
¿Recibís cuestionarios basados en NIST CSF?
FormReply genera respuestas alineadas al NIST CSF usando tu documentación interna. Respondés de forma consistente y precisa sin dedicarle días de trabajo.
Ver demo de FormReply →