SATÉLITE 2 · PLAN APF

De la Política APF al control técnico

Los 8 ejes estratégicos traducidos a controles operativos, evidencia auditable y mapping a frameworks NIST CSF 2.0, ISO 27001, CIS Controls y NIST SP 800-207.

Ver 8 ejes
Plan 90 días

8Ejes estratégicos APF
4Frameworks de referencia
12Semanas plan 90 días
~Jun 2026Plazo lineamientos ATDT

Los 8 ejes estratégicos: detalle operativo

La Política General de Ciberseguridad APF organiza la implementación en 8 ejes. Cada uno con framework de referencia, evidencia auditable y servicio QMA que lo cubre.

Eje 1 — Gobernanza, marco normativo y cumplimiento

Qué exige: RIC distinto del titular de TI. Plan Institucional de Ciberseguridad aprobado.

Framework: NIST CSF 2.0 GV · ISO 27001 Cl. 5

Evidencia: Nombramiento RIC notificado a ATDT. Plan firmado.

Servicio QMA: GRC

Eje 2 — Gestión de riesgos y resiliencia

Qué exige: Inventario de activos. Escaneo continuo de vulnerabilidades.

Framework: NIST CSF 2.0 ID.RA, ID.AM · ISO 27001 Cl. 6.1 · CIS C1

Evidencia: Reportes de escaneo. Registro de remediación con SLAs.

Servicio QMA: VM

Eje 3 — Protección de infraestructura crítica

Qué exige: Inspección de tráfico, control de shadow IT, prevención de fuga.

Framework: NIST CSF 2.0 PR.DS, PR.PS · CIS C3, C12

Evidencia: Logs de tráfico. Políticas DLP activas. Reportes shadow IT.

Servicio QMA: iboss Zero Trust SASE

Eje 4 — Prevención, detección y respuesta

Qué exige: Monitoreo continuo. Reporte al CSIRT Nacional-APF en menos de 24 horas.

Framework: NIST CSF 2.0 DE.CM, RS.RP, RS.CO · CIS C17

Evidencia: Logs. MTTD/MTTR. Notificaciones CSIRT. Post-mortems.

Servicio QMA: MDR 24/7 · IR

Eje 5 — Identidad, accesos y Zero Trust

Qué exige: NIST SP 800-207. MFA. PAM. ZTNA a aplicaciones.

Framework: NIST 800-207 · NIST CSF 2.0 PR.AA · CIS C5, C6

Evidencia: Políticas de acceso. Sesiones PAM. Cobertura MFA.

Servicio QMA: IAM/PAM · Zero Trust

Eje 6 — Cadena de suministro

Qué exige: Evaluación de proveedores y terceros. Auditorías de cadena.

Framework: NIST CSF 2.0 GV.SC · ISO 27001 A.15 · CIS C15

Evidencia: Matrices de riesgo proveedor. Cláusulas contractuales firmadas.

Servicio QMA: GRC · VM

Eje 7 — Talento y cultura

Qué exige: Concientización continua. Phishing. Métricas riesgo humano.

Framework: NIST CSF 2.0 PR.AT · CIS C14 · ISO 27001 Cl. 7.2/7.3

Evidencia: Capacitación con asistencia. Tasas de click/reporte.

Servicio QMA: Awareness · Kymatio

Eje 8 — Innovación y madurez

Qué exige: Indicadores de madurez. Niveles por eje. Mejora continua.

Framework: NIST CSF 2.0 GV.OC, ID.IM · ISO 27001 Cl. 10 · CMM/CMMI

Evidencia: SoA. Tratamiento de riesgos. KPIs con tendencia.

Servicio QMA: GRC · ISO 27001

Mapping: mandato APF → control técnico → framework

Cada mandato de la Política APF se traduce a un control técnico específico de un framework reconocido. Tabla de prioridad para construir la hoja de ruta.

Mandato Política APFControl técnicoFrameworkPrioridad
Inventario de activos críticosAsset Management (ID.AM-1, ID.AM-2)NIST CSF 2.0Alta — prerequisito
Gestión de identidades y accesosAC-2 Account Management, IA-2 MFANIST 800-53Alta
Monitoreo continuoDE.CM Continuous MonitoringNIST CSF 2.0Alta
Respuesta a incidentes (<24h)RS.RP Response Planning, RS.CO CommunicationNIST CSF 2.0Crítica
Protección de datos personalesPR.DS Data SecurityNIST CSF 2.0Alta
Capacitación y concientizaciónPR.AT Awareness and TrainingNIST CSF 2.0Media-alta
Control de acceso privilegiadoCIS Control 5/6, AC-6 Least PrivilegeCIS v8 / NIST 800-53Alta
Evaluación de riesgosGV.RM Risk Management StrategyNIST CSF 2.0Alta — prerequisito
Zero TrustZTA completa (NIST SP 800-207)NIST 800-207Estratégica
Evaluación de proveedoresGV.SC Supply Chain Risk ManagementNIST CSF 2.0Media

Estos mappings son proyecciones informadas basadas en las referencias explícitas del documento DOF. Los lineamientos ATDT (~junio 2026) definirán los controles definitivos.

Plan de acción: primeros 90 días

Seis movimientos concretos que la mayoría de organizaciones pueden ejecutar en 90 días para posicionarse antes de los lineamientos ATDT.

Semana 1-2: Diagnóstico 360°

Revisión de madurez en identidad, red, endpoints, datos y factor humano. Mapeo contra Zero Trust y los pilares del Plan.

Semana 3-4: Mapa de activos

Identificación de sistemas críticos, dependencias y puntos únicos de falla. Priorización por impacto para negocio y auditores.

Semana 5-6: Zero Trust y SASE

Definición de arquitectura objetivo: acceso por aplicación, inspección SSL, CASB/DLP con iboss Zero Trust SASE.

Semana 7-8: Vulnerabilidades

Implementación o fortalecimiento con Tenable One. Integración de escaneos con procesos de cambio y operación.

Semana 9-10: Capacitación

Campañas de concientización y simulaciones de phishing. Métricas de riesgo humano para demostrar avance ante auditores.

Semana 11-12: Simulacro

Table-top o simulacro técnico de incidente mayor. Revisión de roles, tiempos de respuesta y comunicación.

¿Listo para iniciar?

QMA acompaña la implementación completa: desde el diagnóstico inicial hasta la evidencia auditable que los lineamientos ATDT exigirán.

Solicitar evaluación
← Hub principal

Scroll al inicio