NIST CSF 2.0 — IDENTIFY: Conoce tus activos antes de protegerlos
No puedes proteger lo que no sabes que tienes. IDENTIFY es el mapa que toda organización necesita antes de implementar cualquier control de seguridad. Analizamos sus 3 categorías y construimos el inventario de TechCorp Latam.
El error más costoso en ciberseguridad: proteger sin saber qué tienes
Imagina contratar una empresa de seguridad para custodiar tu edificio, pero nadie te da el plano del edificio. ¿Cuántas entradas hay? ¿Dónde están los archivos más valiosos? ¿Qué puertas dan al exterior? Sin ese plano, la seguridad es aleatoria.
Exactamente eso ocurre cuando una organización invierte en firewalls, antivirus y monitoreo sin haber hecho antes un trabajo sistemático de identificación de activos y evaluación de riesgos. Los controles protegen cosas, pero si no sabes qué cosas tienes ni cuáles son más críticas, estás distribuyendo tu presupuesto de seguridad a ciegas.
"El inventario de activos no es un ejercicio burocrático. Es el documento más estratégico que puede tener un equipo de seguridad."
La función IDENTIFY (ID) del NIST CSF 2.0 responde tres preguntas fundamentales: ¿qué tenemos? ¿cuál es nuestro riesgo real? ¿cómo mejoramos continuamente ese conocimiento?
¿Qué cubre la función IDENTIFY en el NIST CSF 2.0?
IDENTIFY es la función de conocimiento y comprensión. Su propósito es que la organización entienda su entorno — activos, riesgos, vulnerabilidades y amenazas — para tomar decisiones informadas sobre cómo y dónde aplicar los controles de las funciones siguientes (PROTECT, DETECT, RESPOND, RECOVER).
En la versión 2.0, IDENTIFY se estructura en 3 categorías y 21 subcategorías:
| Código | Categoría | Resultado esperado |
|---|---|---|
| ID.AM | Asset Management | Los activos de hardware, software, datos, sistemas y personas están inventariados, clasificados y tienen propietario asignado. |
| ID.RA | Risk Assessment | Los riesgos de ciberseguridad están identificados, analizados y priorizados según probabilidad e impacto para el negocio. |
| ID.IM | Improvement | Las mejoras al programa de ciberseguridad se identifican e implementan con base en evaluaciones, lecciones aprendidas y tendencias de amenazas. |
En CSF v1.1, IDENTIFY tenía 6 categorías incluyendo Business Environment (BE), Governance (GV) y Risk Management Strategy (RM). En la v2.0, estas migraron a la nueva función GOVERN, dejando IDENTIFY más enfocada en lo que realmente le corresponde: conocer el entorno.
Paso 1: Cómo evaluar tu nivel actual en IDENTIFY
Antes de construir cualquier inventario, necesitas saber en qué punto estás. Las preguntas clave son directas y reveladoras:
- ¿Tienes un inventario actualizado de todos los dispositivos conectados a tu red?
- ¿Sabes qué software está instalado en cada endpoint y si tiene licencias vigentes?
- ¿Tus activos están clasificados por criticidad? ¿Hay un propietario asignado por activo?
- ¿Tienes un registro de riesgos documentado, priorizado y revisado periódicamente?
- ¿Consultas fuentes de inteligencia de amenazas para actualizar tu evaluación de riesgos?
Muchas organizaciones tienen un inventario desactualizado que da falsa sensación de control. Un inventario con 6 meses de antigüedad en un entorno dinámico es casi tan peligroso como no tenerlo — los activos no inventariados son exactamente los que explotan los atacantes.
Paso 2: Cómo implementar IDENTIFY desde cero
El error más frecuente es querer hacer un inventario perfecto antes de hacer ninguno. La recomendación es empezar con un alcance acotado, completar el ciclo completo y luego expandir:
-
Descubrimiento automatizado de activos de red (ID.AM)
Antes de llenar hojas de cálculo manualmente, ejecuta un escaneo de red con herramientas como Nmap, Lansweeper o Spiceworks. Obtendrás un inventario base de todos los dispositivos activos en minutos. En entornos cloud, usa las consolas de inventario de Azure, AWS o GCP.
-
Clasificar activos por criticidad y asignar propietarios (ID.AM)
No todos los activos valen lo mismo. Define 3 niveles: Crítico (su compromiso paraliza el negocio), Alto (impacto significativo) y Medio/Bajo. Asigna un propietario responsable por cada activo — sin propietario, ningún activo tiene quien lo gestione.
-
Mapear flujos de datos sensibles (ID.AM)
Identifica dónde viven los datos más críticos: bases de datos de clientes, contratos, información financiera, credenciales. Documenta quién accede, desde dónde y hacia dónde fluyen. Este mapa es esencial para PROTECT y DETECT.
-
Construir el registro de riesgos (ID.RA)
Para cada activo crítico, identifica sus amenazas principales (ransomware, acceso no autorizado, error humano, fallo de proveedor), estima probabilidad e impacto, y calcula el nivel de riesgo. Prioriza los de mayor nivel para acción inmediata.
-
Incorporar inteligencia de amenazas (ID.RA)
No evalúes riesgos en el vacío. Suscríbete a fuentes gratuitas como CISA Alerts, CVE Database o el blog de CERT Chile. Las amenazas evolucionan — tu registro de riesgos debe evolucionar con ellas.
-
Establecer un ciclo de revisión periódica (ID.IM)
El inventario y el registro de riesgos son documentos vivos. Define una cadencia de revisión: mensual para cambios de activos críticos, trimestral para revisión completa del registro de riesgos. Documenta lecciones aprendidas de cada incidente o casi-incidente.
TechCorp Latam: Construyendo el inventario desde cero
Con la base de gobernanza establecida en GOVERN, el equipo de TechCorp Latam ejecuta su primer ejercicio formal de identificación. El resultado fue revelador — y preocupante.
El 60% de los laptops corporativos accedía a sistemas cloud sin MFA. Las cuentas de administrador de Azure AD — las llaves del reino — tampoco tenían MFA habilitado. Esto no era desconocido para TI, pero nunca había sido escalado a la dirección con la criticidad adecuada. El inventario lo puso en blanco y negro.
TechCorp Latam: El registro de riesgos prioritarios
Una vez mapeados los activos, el equipo construyó su primer registro formal de riesgos. Se identificaron 8 riesgos de alta y extrema criticidad que requerían acción inmediata o planificada:
🏢 TechCorp Latam — Resultados de IDENTIFY
El ejercicio de IDENTIFY tomó 3 semanas con 2 personas. El resultado más valioso no fue el documento — fue la conversación con la dirección general cuando vieron los riesgos EXTREMOS en pantalla. IDENTIFY convierte la intuición en evidencia.
Conclusión: IDENTIFY como punto de partida real
Sin un inventario actualizado y un registro de riesgos priorizado, todas las decisiones de ciberseguridad son opiniones. IDENTIFY las convierte en decisiones informadas.
TechCorp Latam terminó esta fase con algo que nunca había tenido: visibilidad real de su superficie de ataque. Los dos riesgos de nivel EXTREMO — Azure AD sin MFA y ransomware vía endpoints — serán los primeros en abordar en la próxima función.
En el siguiente post veremos cómo TechCorp Latam usa este mapa de riesgos para diseñar e implementar sus controles de protección en NIST CSF 2.0 — PROTECT.
📅 Serie: NIST CSF 2.0 en la práctica
Una publicación por día · Caso de estudio: TechCorp Latam
No hay comentarios.:
Publicar un comentario