Hub México · NIST CSF
NIST CSF en México: adopta el marco, mide tu madurez y demuestra postura
El NIST Cybersecurity Framework 2.0 (publicado en febrero de 2024) es el lenguaje común con el que hoy se conversa sobre ciberseguridad entre direcciones, consejos, auditores y clientes en Estados Unidos y, cada vez más, en México. No es una norma que se “apruebe”: es un marco voluntario de gestión de riesgo que organiza lo que ya haces (y lo que te falta) en seis Funciones, con niveles de madurez (Tiers) y perfiles (Profiles) que convierten la ciberseguridad en un roadmap medible.
En QMA acompañamos a organizaciones mexicanas a adoptar y operar el CSF: levantar tu Perfil Actual, definir el Perfil Objetivo según tu apetito de riesgo, priorizar la brecha y sostener la postura con evidencia viva. No emitimos un “certificado NIST” —no existe tal cosa— sino una postura defendible que puedes mostrar a tu consejo, a un comprador enterprise o a un cliente de EE.UU.
Si ya trabajas hacia ISO 27001 o SOC 2, el CSF no es trabajo duplicado: es el mapa que conecta esos marcos con tu gestión de riesgo. Implementas una vez y hablas varios lenguajes a la vez gracias al crosswalk oficial de NIST.
Agenda tu diagnóstico NIST sin costo Conocer QMA Certeza
Qué es el CSF 2.0 y por qué NO es una certificación
El NIST Cybersecurity Framework lo publica el National Institute of Standards and Technology de EE.UU. Su versión 2.0 (febrero de 2024) amplió el alcance original —pensado para infraestructura crítica— a cualquier organización, de cualquier tamaño y sector. Su estructura es simple y poderosa: Funciones → Categorías → Subcategorías. Las Subcategorías son resultados concretos de seguridad (no controles prescriptivos), lo que te deja decidir cómo lograrlos con los controles que ya usas.
Aquí el punto que más confusión genera: NIST CSF no es certificable. No hay un “certificado NIST”, ni un organismo que audite y emita un sello del CSF, ni una “certificación NIST” comparable a ISO 27001. El CSF es un marco voluntario de gestión de riesgo. Lo que sí puedes hacer —y lo que demuestra seriedad ante un consejo o un cliente— es adoptar el marco, medir tu nivel de madurez (Tiers) y mostrar tu postura con evidencia. Cuando alguien pide “certificación NIST”, normalmente busca exactamente eso: una postura alineada y demostrable, no un papel.
QMA no certifica NIST CSF (nadie lo hace). Te acompañamos a adoptarlo, alinearlo a tus marcos existentes, medir tu madurez y operarlo en el día a día.
| Mito común | Realidad del CSF 2.0 |
|---|---|
| “Necesito una certificación NIST” | No existe. El CSF es un marco voluntario; demuestras postura y madurez, no un sello. |
| “NIST me dice exactamente qué controles poner” | El CSF define resultados (Subcategorías); tú eliges los controles. Es flexible por diseño. |
| “Es solo para infraestructura crítica de EE.UU.” | Desde 2.0 aplica a cualquier organización y tamaño, incluida cualquier empresa en México. |
| “Reemplaza a ISO 27001 o SOC 2” | No: los integra vía crosswalk. Es la capa de gestión de riesgo que conecta tus marcos. |
Las 6 Funciones del CSF 2.0
El CSF 2.0 organiza toda la ciberseguridad en seis Funciones de alto nivel. La gran novedad de la versión 2.0 es GOVERN: una Función que coloca la gobernanza del riesgo —roles, políticas, supervisión del consejo, riesgo de terceros— en el centro, envolviendo a las otras cinco. Estas son las seis, con el rol que juega cada una en tu postura.
GOVERN (Gobernar)
Nueva en 2.0. Establece y supervisa la estrategia, expectativas y políticas de gestión de riesgo de ciberseguridad: roles, responsabilidades, riesgo de la cadena de suministro y supervisión del consejo.
IDENTIFY (Identificar)
Entiende el contexto: activos, datos, proveedores y los riesgos que enfrentan. Sin un inventario y un mapa de riesgo claros, todo lo demás se construye a ciegas.
PROTECT (Proteger)
Implementa salvaguardas para gestionar el riesgo: control de acceso, concientización, seguridad de datos, configuración segura y resiliencia de la tecnología.
DETECT (Detectar)
Encuentra y analiza posibles ataques y compromisos a tiempo: monitoreo continuo y análisis de eventos para no enterarte tarde.
RESPOND (Responder)
Actúa ante un incidente detectado: gestión del incidente, análisis, mitigación, comunicación y reporte para contener el daño.
RECOVER (Recuperar)
Restaura capacidades y servicios afectados por un incidente, con comunicación de recuperación, para volver a la operación normal de forma ordenada.
Tiers y Profiles: madurez y roadmap
Las Funciones te dicen qué cubrir. Los Tiers y los Profiles te dicen qué tan bien lo haces hoy y hacia dónde vas. Aquí es donde el CSF deja de ser un checklist y se vuelve un programa medible.
Los Tiers describen el rigor con que gestionas el riesgo de ciberseguridad, del 1 al 4. No son una calificación de “bueno/malo”: son una decisión de negocio sobre cuánto rigor amerita tu apetito de riesgo y tu industria.
| Tier | Cómo se ve la gestión de riesgo |
|---|---|
| Tier 1 · Partial (Parcial) | Reactiva y ad hoc. Poca conciencia del riesgo a nivel organización; las prácticas dependen de personas, no de procesos. |
| Tier 2 · Risk Informed | Hay conciencia del riesgo, pero las prácticas no están formalizadas ni son consistentes en toda la organización. |
| Tier 3 · Repeatable | Prácticas formalizadas como política, repetibles y revisadas con regularidad; la gestión de riesgo es parte de la operación. |
| Tier 4 · Adaptive | La organización aprende y se adapta: mejora continua basada en lecciones y métricas, con el riesgo integrado a la cultura. |
Los Profiles (Perfiles) convierten esto en un roadmap. Levantamos tu Perfil Actual (qué resultados del CSF ya logras y a qué nivel) y definimos tu Perfil Objetivo (a dónde quieres llegar según riesgo, regulación y exigencias de clientes). La brecha entre ambos es, literalmente, tu plan priorizado: dónde invertir primero y por qué.
NIST CSF en el contexto de México
El CSF no es un marco “de afuera” que no aplique aquí. Dos fuerzas lo vuelven cada vez más relevante para una empresa mexicana.
Primero, la política pública. El Plan Nacional de Ciberseguridad 2025-2030 se alinea explícitamente con enfoques tipo NIST y Zero Trust, lo que está normalizando este lenguaje en el sector público y en los proveedores que le venden. Adoptar el CSF te deja del lado correcto de esa conversación si aplica a tu industria o servicio.
Segundo, la venta. Si tu cliente —o tu casa matriz— está en Estados Unidos, el NIST CSF es muchas veces el idioma por defecto del cuestionario de seguridad y del due diligence de proveedores. Poder presentar tu Perfil CSF y tu Tier acorta ciclos de venta y evita el “tradúceme tu ISO/SOC a NIST” de último minuto. Es postura demostrable en el lenguaje que el comprador enterprise ya entiende.
- Alineación con la dirección de política pública en México (Plan Nacional, enfoque Zero Trust) si aplica a tu sector.
- Lenguaje común con compradores y matrices en EE.UU. para cuestionarios y due diligence.
- Marco que no compite con tus marcos actuales: los integra y los hace contables ante el consejo.
Integrado con ISO 27001 y SOC 2: implementa una vez, habla varios lenguajes
La pregunta “¿NIST o ISO 27001?” suele estar mal planteada. NIST define que ambos describen, en gran medida, el mismo trabajo de seguridad desde ángulos distintos, y publica crosswalks oficiales que mapean el CSF a ISO/IEC 27001 y a los Trust Services Criteria de SOC 2, entre otros. En la práctica conviven: el CSF es tu capa de gestión de riesgo y comunicación; ISO 27001 es la norma certificable de tu sistema de gestión; SOC 2 es el informe de atestiguamiento sobre tus controles.
Cuando se implementan juntos, una sola evidencia bien organizada sirve a los tres marcos. Eso es lo que QMA hace por diseño: levantar controles una vez y mapearlos a cada lenguaje.
| Función / tema CSF 2.0 | ISO/IEC 27001:2022 | SOC 2 (TSC) |
|---|---|---|
| GOVERN · gobernanza y roles | Cláusulas 4-6, 9.3; A.5 Organizacional | CC1 Entorno de control |
| IDENTIFY · activos y riesgo | Cláusula 6.1; A.5.9 Inventario de activos | CC3 Evaluación de riesgo |
| PROTECT · salvaguardas | A.5 / A.6 / A.7 / A.8 (control de acceso, datos) | CC6 Controles de acceso lógico y físico |
| DETECT · monitoreo | A.8.15 Logging; A.8.16 Monitoreo | CC7 Operaciones del sistema |
| RESPOND · gestión de incidentes | A.5.24-A.5.28 Gestión de incidentes | CC7.3-CC7.5 Respuesta a incidentes |
| RECOVER · continuidad | A.5.29-A.5.30 Continuidad TIC | A1 Disponibilidad (criterio adicional) |
El mapeo exacto depende de tu alcance; lo afinamos en el diagnóstico. Si tu meta final es certificarte, complementa esta página con la guía de ISO 27001 y con SOC 2.
Medición continua: postura viva, no foto anual
El mayor riesgo de un programa CSF es que se vuelva un PowerPoint que envejece. Tu Tier de hoy no garantiza tu Tier de dentro de seis meses: cambian proveedores, salen empleados, se abren nuevos sistemas. Por eso el CSF habla de monitoreo continuo (Función DETECT y mejora en Tier 4), y por eso QMA opera la postura, no solo la levanta.
Con QMA Certeza tu Perfil CSF deja de ser un documento: las evidencias de cada Subcategoría viven en un repositorio vivo, con responsables, vencimientos y alertas cuando un control deja de estar respaldado. Cuando llega un cuestionario de un cliente de EE.UU. o una revisión del consejo, tu postura ya está lista y al día —no se reconstruye a las prisas.
Esto es lo que nos distingue de un diagnóstico de una sola vez: tomamos tu Tier y tu Perfil Objetivo y los sostenemos como un programa medible mes a mes, listo además para reusarse el día que vayas por ISO 27001 o SOC 2.
Cómo te acompaña QMA
No certificamos NIST CSF (nadie certifica el CSF). Lo que hacemos es llevarte de “no sé dónde estoy parado” a una postura medible y defendible, integrada a tus demás marcos y sostenida en el tiempo.
- Diagnóstico inicial sin costo: levantamos tu Perfil Actual contra las 6 Funciones y estimamos tu Tier.
- Definición del Perfil Objetivo según tu apetito de riesgo, regulación aplicable y exigencias de clientes.
- Roadmap priorizado por brecha: qué cerrar primero, con qué impacto y a qué costo realista.
- Crosswalk a ISO 27001 y SOC 2 para que cada control y evidencia sirva a varios marcos.
- Implementación acompañada de las Subcategorías prioritarias junto a tus equipos de TI y negocio.
- Evidencia continua en QMA Certeza: postura viva, con responsables, vencimientos y alertas.
- Reportes para consejo y para cuestionarios de clientes en el lenguaje NIST que ya esperan.
El alcance —y por lo tanto la inversión— depende de tu tamaño, número de sistemas y Tier objetivo; no hay un precio de catálogo serio para esto. El diagnóstico inicial sin costo cierra contigo un rango realista antes de comprometer nada. Si gobernar el riesgo de forma integral es tu prioridad, empieza por nuestra práctica de gobernanza, riesgo y cumplimiento (GRC).
Preguntas frecuentes
¿NIST CSF es una certificación?
No. El NIST Cybersecurity Framework es un marco voluntario de gestión de riesgo, no un esquema certificable. No existe un “certificado NIST” ni un organismo que audite y emita un sello del CSF. Lo que sí demuestras es la adopción del marco, tu nivel de madurez (Tier) y tu postura mediante evidencia. Cuando alguien pide “certificación NIST”, casi siempre busca esa postura alineada y demostrable, no un papel.
¿Qué cambió en CSF 2.0 respecto a la versión anterior?
El cambio más visible de la versión 2.0 (febrero de 2024) es la nueva Función GOVERN, que coloca la gobernanza del riesgo —roles, políticas, supervisión del consejo y riesgo de terceros— como eje que envuelve a las otras cinco Funciones. Además, el alcance se amplió de infraestructura crítica a cualquier organización y tamaño, y se reforzó la orientación a la cadena de suministro.
¿NIST CSF o ISO 27001? ¿Puedo tener los dos?
No es una disyuntiva real: conviven. NIST CSF es tu capa de gestión de riesgo y comunicación; ISO 27001 es la norma certificable de tu sistema de gestión. NIST publica crosswalks oficiales que mapean el CSF a ISO 27001, así que implementas los controles una vez y los presentas en ambos lenguajes. Muchas organizaciones usan el CSF como mapa y van por la certificación ISO 27001 como meta formal.
¿Qué son los Tiers del CSF?
Los Tiers describen, del 1 al 4, el rigor con que gestionas el riesgo de ciberseguridad: Tier 1 Partial (reactivo y ad hoc), Tier 2 Risk Informed (hay conciencia pero sin formalizar), Tier 3 Repeatable (prácticas formalizadas como política y repetibles) y Tier 4 Adaptive (mejora continua basada en métricas y lecciones). No son una calificación de bueno o malo: son una decisión de negocio sobre cuánto rigor amerita tu apetito de riesgo.
¿Cómo se mide la madurez en NIST CSF?
Se mide combinando Tiers y Profiles. Levantamos tu Perfil Actual —qué resultados (Subcategorías) del CSF ya logras y a qué nivel— y lo expresamos en un Tier. Luego definimos un Perfil Objetivo según tu riesgo y exigencias de clientes. La diferencia entre ambos perfiles es tu medición de madurez y, a la vez, tu roadmap priorizado.
¿NIST CSF sirve para vender a clientes en Estados Unidos?
Sí, y mucho. En EE.UU. el CSF es con frecuencia el lenguaje por defecto de los cuestionarios de seguridad y del due diligence de proveedores. Presentar tu Perfil CSF y tu Tier acorta ciclos de venta y evita traducciones de último minuto. Es postura demostrable en el idioma que el comprador enterprise ya entiende, sin necesidad de un certificado que no existe.
¿NIST CSF aplica en México?
Sí. Desde la versión 2.0 el CSF aplica a cualquier organización y tamaño, incluida cualquier empresa mexicana. Además, el Plan Nacional de Ciberseguridad 2025-2030 se alinea con enfoques tipo NIST y Zero Trust, lo que está normalizando este lenguaje en el sector público y en sus proveedores. Si vendes a EE.UU. o a entidades alineadas a esa política, adoptarlo te coloca del lado correcto de la conversación.
¿Cómo mantengo mi postura NIST al día y no como una foto anual?
Operándola, no solo levantándola. El propio CSF promueve el monitoreo continuo (Función DETECT y la mejora del Tier 4). Con QMA Certeza tu Perfil CSF vive en un repositorio de evidencia con responsables, vencimientos y alertas cuando un control deja de estar respaldado, de modo que tu postura está siempre lista para un cuestionario de cliente o una revisión del consejo, sin reconstruirla a las prisas.