NIST CSF 2.0 — GOVERN: La base de todo programa de ciberseguridad
La función más nueva del CSF 2.0 y la más estratégica. Sin gobernanza, todo lo demás falla. Analizamos sus 6 categorías, evaluamos a TechCorp Latam y diseñamos su plan de implementación.
¿Por qué GOVERN es la función más importante del NIST CSF 2.0?
Cuando el NIST rediseñó el framework para su versión 2.0, tomó una decisión significativa: añadir una función completamente nueva que no existía en la v1.1. No fue una categoría adicional dentro de una función existente — fue una función entera, al mismo nivel que Identify, Protect, Detect, Respond y Recover.
Esa función es GOVERN (GV), y su creación responde a una realidad que los auditores y consultores de seguridad conocen bien: la mayoría de los programas de ciberseguridad fracasan no por falta de tecnología, sino por falta de dirección estratégica, roles claros y rendición de cuentas.
"Puedes tener el mejor firewall del mundo. Si nadie sabe quién es responsable de configurarlo, actualizarlo y reportar sus alertas — no sirve de nada."
GOVERN es la función que responde la pregunta fundamental: ¿quién gobierna la ciberseguridad en tu organización?
¿Qué es la función GOVERN y qué cubre?
La función GOVERN establece el contexto, las prioridades y la supervisión del programa de ciberseguridad. Es transversal — sus resultados condicionan cómo se ejecutan todas las demás funciones (ID, PR, DE, RS, RC). Sin una gobernanza clara, las otras cinco funciones operan en el vacío.
Se estructura en 6 categorías y 22 subcategorías. Cada categoría produce resultados específicos que la organización debe alcanzar y mantener:
Desglose de las 6 categorías
| Código | Categoría | Resultado esperado |
|---|---|---|
| GV.OC | Contexto Organizacional | La misión, expectativas de partes interesadas y requisitos legales son comprendidos e informan la estrategia de ciberseguridad. |
| GV.RM | Estrategia de Gestión de Riesgos | Las prioridades, restricciones, apetito de riesgo y tolerancias están establecidas y comunicadas. |
| GV.RR | Roles, Responsabilidades y Autoridades | Los roles y responsabilidades de ciberseguridad están coordinados y alineados con los roles internos y externos. |
| GV.PO | Política | Las políticas de ciberseguridad están establecidas, comunicadas y aplicadas. |
| GV.OV | Supervisión | Los resultados de las actividades de gestión de riesgos son usados para informar y ajustar la estrategia. |
| GV.SC | Gestión de Riesgos en la Cadena de Suministro | Los riesgos de proveedores y terceros son identificados, priorizados y gestionados. |
Paso 1: Cómo evaluar tu nivel actual en GOVERN
Antes de implementar cualquier cosa, necesitas un diagnóstico honesto. El NIST CSF 2.0 no prescribe una escala de madurez oficial, pero en la práctica se utiliza una escala de 5 niveles que va desde Inexistente hasta Gestionado.
Para cada categoría, responde: ¿Existe evidencia documentada de este resultado? ¿Es consistente y revisado periódicamente? La honestidad en este diagnóstico es lo que hace útil el ejercicio.
El diagnóstico de TechCorp Latam revela un patrón común en empresas medianas de la región: la ciberseguridad existe como práctica técnica informal, pero no existe como función gestionada. No hay quién sea responsable formalmente, no hay política aprobada por la dirección, y no hay métricas que suban hasta el nivel ejecutivo.
GV.RR — Sin un CISO ni propietario formal de ciberseguridad, cualquier incidente derivará en caos de responsabilidades. Esto es lo primero que hay que resolver, incluso de forma provisional.
Paso 2: Cómo implementar GOVERN desde cero
La buena noticia: GOVERN no requiere grandes inversiones tecnológicas. Sus resultados son principalmente organizacionales — políticas, roles, estrategia. Esto lo hace abordable incluso con recursos limitados.
El error más común es querer documentar todo antes de tener claridad. La recomendación es empezar por lo que produce impacto inmediato y construir el resto de forma iterativa:
-
Designar un responsable provisional de seguridad
No necesitas contratar un CISO en el día 1. Asigna el rol a alguien de Infraestructura o TI con autoridad para escalar decisiones. Documenta el rol y comunícalo a la organización.
-
Definir el apetito de riesgo con la dirección (GV.RM)
Una sesión de 2 horas con el CEO y los directores para responder: ¿qué riesgos son inaceptables? ¿Cuáles son tolerables si tienen compensaciones? Esto alinea la estrategia de seguridad con el negocio.
-
Redactar la política de ciberseguridad v1 (GV.PO)
No necesitas 80 páginas. Una política de 5-8 páginas que cubra: propósito, alcance, roles, uso aceptable, gestión de incidentes y sanciones. Aprobada y firmada por la dirección general.
-
Identificar los requisitos legales aplicables (GV.OC)
En Chile: Ley 19.628 de Protección de Datos, normativas de la CMF si aplica, y requisitos contractuales de clientes. Documentar qué controles exigen y cuáles ya se cumplen.
-
Establecer un comité de ciberseguridad (GV.RR / GV.OV)
No necesita ser formal. Puede ser una reunión mensual de 45 minutos entre TI, dirección general y el área legal/compliance. Lo importante es que la seguridad suba al nivel directivo con periodicidad.
-
Evaluar proveedores críticos (GV.SC)
Listar los 5-10 proveedores con acceso a sistemas o datos sensibles. Para cada uno: ¿tienen política de seguridad? ¿Hay cláusulas de seguridad en el contrato? ¿Pueden acceder a sistemas internos?
TechCorp Latam: El plan de implementación de GOVERN
Con el diagnóstico en mano, el equipo de TechCorp Latam diseña su hoja de ruta de 90 días para GOVERN. El enfoque no es perfección — es establecer una base funcional que permita avanzar con las otras funciones del CSF 2.0.
🏢 TechCorp Latam — Resultados al día 90
La dirección general no tenía conciencia del nivel de exposición real de la empresa hasta la primera sesión de apetito de riesgo. GOVERN no es solo un ejercicio de documentación — es el proceso que convierte la ciberseguridad en una decisión de negocio.
Conclusión: GOVERN como fundamento, no como trámite
La función GOVERN existe porque el NIST reconoció algo que los profesionales de seguridad saben desde hace tiempo: sin apoyo ejecutivo, sin roles claros y sin políticas aprobadas, ningún control técnico funciona de manera sostenible.
No importa si tienes el mejor SIEM, el mejor firewall o el equipo más capacitado — si nadie sabe quién es responsable cuando ocurre un incidente, si la dirección no ha aprobado el apetito de riesgo, si los proveedores críticos no tienen controles mínimos exigidos: tu programa de ciberseguridad descansa sobre arena.
TechCorp Latam terminó sus primeros 90 días con algo que no tenía antes: una base de gobernanza desde la cual construir todo lo demás. En el próximo post veremos cómo usan esa base para ejecutar la función IDENTIFY — conocer exactamente qué tienen que proteger.
📅 Serie: NIST CSF 2.0 en la práctica
Una publicación por día · Caso de estudio: TechCorp Latam
No hay comentarios.:
Publicar un comentario