Inicio » Zero Day Unit » politica de uso » NSA ZIGs 2026: cómo implementar Zero Trust por fases (Discovery → Phase 1 → Phase 2) sin salirte de NIST

NSA ZIGs 2026: cómo implementar Zero Trust por fases (Discovery → Phase 1 → Phase 2) sin salirte de NIST

Por / / Riesgo y Cumplimiento, Tendencias de Seguridad / 5 minutes of reading
Banner QMA: NSA ZIGs 2026 para implementar Zero Trust por fases (Discovery, Phase 1 y Phase 2), alineado a NIST SP 800-207

Última actualización: 14 de enero de 2026

En enero de 2026, la National Security Agency (NSA) de Estados Unidos publicó los dos primeros documentos de su serie Zero Trust Implementation Guidelines (ZIGs): el Primer y el Discovery Phase ZIG.

La intención es clara: pasar de la conversación conceptual a una ejecución práctica, con actividades y resultados esperados por fase.

En QMA seguimos NIST SP 800-207 como referencia de arquitectura Zero Trust. Lo valioso del enfoque ZIG es que agrega un “cómo” operativo: un roadmap por fases y un Discovery formal para construir una línea base confiable antes de acelerar la implementación.

Si desea una vista general de nuestro hub, puede consultar:
https://qma.mx/zero-trust/

Qué son las NSA Zero Trust Implementation Guidelines (ZIGs)

Las ZIGs son una serie de guías orientadas a implementación, diseñadas para ayudar a organizaciones a ejecutar Zero Trust de forma práctica y modular.

El Primer explica la estrategia y el “método de lectura/uso” de la serie, mientras que el Discovery Phase funciona como punto de entrada (“gateway”) para preparar la adopción de las siguientes fases.

Un punto importante: el enfoque está construido para ser modular. Esto permite que organizaciones con distintos niveles de madurez seleccionen e implementen capacidades relevantes sin “rehacer todo” de golpe.

El valor real del enfoque ZIG: un roadmap por fases

Uno de los aportes más útiles del Primer es ordenar Zero Trust en fases. En lugar de iniciar comprando herramientas o aplicando cambios aislados, el modelo propone avanzar por etapas con actividades y outcomes definidos.

  • Priorizar por riesgo y dependencias reales (no por modas de mercado).
  • Evitar implementaciones parciales que generan fricción y poco impacto.
  • Alinear arquitectura, operaciones, telemetría y gobierno desde el inicio.

Discovery Phase: el paso que casi todos se saltan (y por eso se atoran)

La NSA plantea Discovery como una fase para establecer visibilidad fundacional y entender de forma verificable datos, aplicaciones, activos y servicios, además de la actividad real de acceso y autorización dentro de la arquitectura.

El objetivo es construir una línea base confiable que permita priorizar y planear de manera informada antes de ejecutar fases posteriores.

Qué significa “Discovery” en la vida real

En un programa Zero Trust, Discovery no es “un inventario bonito”. Es identificar y validar qué identidades existen (humanas y no humanas), qué recursos son realmente críticos, por dónde fluye el acceso en la práctica y qué telemetría falta para tomar decisiones de acceso basadas en contexto.

Infografía técnica: roadmap de Zero Trust por fases (Discovery, Phase 1 y Phase 2) según NSA ZIGs 2026, alineado a NIST SP 800-207
Roadmap técnico de Zero Trust por fases: Discovery (baseline), Phase 1 (foundation) y Phase 2 (target-level), alineado a NIST SP 800-207 y a un enfoque de resultados medibles.

Cómo se alinea esto con NIST SP 800-207

NIST SP 800-207 define el modelo de referencia de Zero Trust Architecture (ZTA).

Las ZIGs no contradicen ese enfoque; lo complementan al proponer una forma estructurada de llegar a una adopción madura con fases y actividades.

Si ya está trabajando con NIST, la recomendación es simple:

  1. Mantenga NIST como arquitectura y lenguaje común.
  2. Use Discovery (ZIG) para construir baseline y priorización.
  3. Aplique Phase 1/2 como ejecución incremental, basada en evidencia.

Entregables recomendados de un Discovery bien ejecutado (lo que sí mueve la aguja)

Si su organización quiere avanzar en semanas y no en “años de iniciativa”, el Discovery debe terminar con artefactos accionables.
Estos entregables son los que típicamente generan tracción:

1) Inventario de identidades y privilegios

  • Usuarios, cuentas privilegiadas, cuentas de servicio, identidades de workload.
  • Riesgos: cuentas huérfanas, permisos excesivos, MFA incompleto.

2) Baseline de DAAS (Data, Applications, Assets, Services)

  • Qué existe, qué es crítico, dónde reside, quién accede y cómo.

3) Mapa real de acceso y autorización

  • Caminos de acceso, dependencias, puntos de enforcement y excepciones.
  • Evidencia para justificar ZTNA, SWG, CASB, DLP, PAM, etc. según prioridad.

4) Brechas de telemetría

  • Qué señales faltan para tomar decisiones de acceso (postura de dispositivo, riesgo de sesión, comportamiento, etc.).

5) Backlog priorizado para Phase 1 y Phase 2

  • Lista de iniciativas por impacto/riesgo, con dependencias y quick wins medibles.

Qué cambia en la conversación con el negocio cuando existe Discovery

Cuando existe un baseline confiable, el discurso deja de ser “queremos Zero Trust” y se vuelve:

  • “Estas son las rutas de acceso de mayor riesgo y estas son las tres que reducimos primero.”
  • “Estos son los privilegios en pie permanente que reducimos (y por qué).”
  • “Esta es la telemetría faltante que hoy impide detectar abuso de identidad.”
  • “Este es el plan por fases con métricas de reducción de exposición.”

Eso es lo que convierte Zero Trust en una decisión ejecutiva, no solo técnica.

Recomendación práctica para México: empezar por riesgo operativo y cumplimiento

En México, muchas organizaciones enfrentan presión por continuidad operativa, auditoría y cumplimiento (por ejemplo, sector financiero, infraestructura crítica, sector público, educación). Discovery ayuda a priorizar de forma defensible porque convierte requisitos en evidencia: rutas, accesos y datos sensibles realmente expuestos.

Si su organización ya adoptó NIST como base, el paso lógico es integrar un Discovery formal para ejecutar con menos fricción y mejores resultados.

Próximo paso: cómo avanzar sin canibalizar su estrategia actual

Si ya tiene una arquitectura base (NIST) y un stack de controles (ZTNA/SWG/CASB/DLP/SIEM), este es el enfoque recomendado:

  1. Discovery (baseline)
  2. Piloto acotado con métricas
  3. Escalamiento por fases según backlog priorizado
  4. Telemetría y operación continua

Puede ver la guía general y recursos de QMA aquí:
https://qma.mx/zero-trust/

Fuentes oficiales

Preguntas frecuentes

¿Las ZIGs reemplazan a NIST SP 800-207?

No. NIST define la arquitectura y el modelo; las ZIGs agregan una estructura de ejecución por fases y un Discovery formal.

¿Discovery es solo inventario?

No. Discovery busca crear una línea base accionable: DAAS, identidades, rutas de acceso y telemetría necesaria para priorizar implementación y medir avance.

¿Se puede implementar Zero Trust “por partes”?

Sí. El enfoque ZIG destaca la implementación modular: seleccionar capacidades relevantes según madurez y necesidades del entorno.

Nota: Si usted ya está trabajando su estrategia Zero Trust bajo NIST, este material funciona como acelerador práctico para ordenar
fases, construir baseline y ejecutar con métricas. Para una guía evergreen con pilares, comparativas y recursos, visite:
https://qma.mx/zero-trust/

Entradas relacionadas

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Scroll al inicio