Metodología de CyberCheck NIST

Fundamento teórico, diseño del instrumento y lógica de generación de recomendaciones basadas en el NIST Cybersecurity Framework 1.1.

Base: NIST CSF 1.1

El NIST Cybersecurity Framework 1.1 (National Institute of Standards and Technology, 2018) es el estándar internacional más adoptado para gestionar el riesgo de ciberseguridad. Proporciona un lenguaje común y un conjunto de actividades organizadas en 5 funciones核心 que cubren el ciclo completo de la ciberseguridad organizacional.

Su aplicación en MYPEs latinoamericanas está respaldada por investigaciones recientes (Rodríguez-Flores et al., 2023; Herrera & Vásquez, 2022) que confirman su viabilidad en organizaciones con recursos limitados, siempre que se adapten los controles al contexto local.

Contexto de aplicación

CyberCheck NIST fue diseñado específicamente para MYPEs de la ciudad de Piura, Perú (2026), en el marco de la tesis "Evaluación de Ciberseguridad basada en el NIST CSF 1.1 para Mypes de Piura, 2026".

Este sector fue seleccionado por su alta exposición a riesgos de ciberseguridad (manejo de datos de clientes, transacciones digitales, acceso a plataformas de proveedores internacionales) y la escasa adopción de controles formales documentada en la literatura regional.

Las 5 funciones del NIST CSF 1.1

ID Identify

Identificar

Comprender el contexto organizacional, los activos críticos, las amenazas y las vulnerabilidades para gestionar el riesgo de ciberseguridad.

ID.AM, ID.GV, ID.RA, ID.SC

14 ítems

PR Protect

Proteger

Implementar salvaguardas para garantizar la prestación de servicios críticos y limitar el impacto de un posible incidente.

PR.AC, PR.AT, PR.DS, PR.IP, PR.MA, PR.PT

19 ítems

DE Detect

Detectar

Definir y ejecutar actividades para identificar la ocurrencia de eventos de ciberseguridad de manera oportuna.

DE.AE, DE.CM, DE.DP

9 ítems

RS Respond

Responder

Tomar acciones coordinadas ante un incidente de ciberseguridad detectado para contener el impacto.

RS.RP, RS.CO, RS.AN, RS.MI, RS.IM

10 ítems

RC Recover

Recuperar

Mantener planes de resiliencia y restaurar los servicios afectados por un incidente de ciberseguridad.

RC.RP, RC.IM, RC.CO

8 ítems

Las 21 categorías del instrumento

Haz clic en una función para expandir sus categorías

ID.AM

Gestión de Activos — Asset Management

Identifica y documenta los activos físicos (hardware) y lógicos (software, datos, sistemas) de la organización, asigna responsables y los clasifica según su criticidad para el negocio. Sin saber qué se tiene, no se puede proteger.

ID.GV

Gobernanza — Governance

Define la política de ciberseguridad de la organización, establece roles y responsabilidades, y asegura que la gestión del riesgo esté alineada con los objetivos del negocio. Es la base normativa del programa de seguridad.

ID.RA

Evaluación de Riesgos — Risk Assessment

Identifica las amenazas y vulnerabilidades de los activos, evalúa su probabilidad e impacto, y documenta los riesgos priorizados. Permite tomar decisiones informadas sobre dónde invertir en controles de seguridad.

ID.SC

Gestión de Riesgo en Cadena de Suministro — Supply Chain Risk Management

Identifica y gestiona los riesgos de ciberseguridad asociados a proveedores tecnológicos y terceros con acceso a sistemas o datos. Incluye evaluación de sus prácticas de seguridad antes de contratarlos.

PR.AC

Control de Acceso e Identidades — Identity Management, Authentication & Access Control

Gestiona las identidades y credenciales de los usuarios, implementa autenticación para acceder a sistemas, controla los accesos según el rol de cada persona y asegura el acceso remoto. Principio de mínimo privilegio.

PR.AT

Concienciación y Formación — Awareness and Training

Capacita al personal en ciberseguridad, realiza simulacros (ej. phishing), y evalúa el nivel de conocimiento. El factor humano es la principal vulnerabilidad; la formación reduce el riesgo de incidentes por error o descuido.

PR.DS

Seguridad de Datos — Data Security

Protege los datos en reposo y en tránsito mediante cifrado, realiza y verifica copias de seguridad, controla el acceso a bases de datos y garantiza la integridad de la información durante su almacenamiento y transmisión.

PR.IP

Procesos y Procedimientos de Protección — Information Protection Processes & Procedures

Verifica el cumplimiento de las políticas de seguridad establecidas y define procesos formales para gestionar la pérdida o fuga de información. Convierte las políticas en prácticas operativas verificables.

PR.MA

Mantenimiento — Maintenance

Mantiene actualizados los sistemas operativos y aplicaciones con parches de seguridad, y registra formalmente las actualizaciones aplicadas. Los sistemas sin parchear son el vector de ataque más común en MYPEs.

PR.PT

Tecnología de Protección — Protective Technology

Implementa herramientas de seguridad (antivirus, EDR, cifrado) y controles perimetrales (firewall, segmentación de red) para limitar la superficie de ataque y bloquear amenazas antes de que alcancen activos críticos.

RS.RP

Planificación de Respuesta — Response Planning

Define un plan formal de respuesta ante incidentes de seguridad con roles y responsables asignados. Es el protocolo de acción que la organización sigue cuando ocurre un ataque: quién hace qué, cuándo y cómo.

RS.CO

Comunicaciones de Respuesta — Communications

Registra formalmente los incidentes cuando ocurren y define procesos para comunicarlos internamente a los niveles directivos correspondientes. La comunicación oportuna reduce el tiempo de respuesta y el impacto del incidente.

RS.AN

Análisis de Incidentes — Analysis

Analiza las causas raíz de los incidentes ocurridos y evalúa su impacto operativo y económico. El análisis post-incidente permite aprender de los errores y evitar que el mismo tipo de ataque se repita.

RS.MI

Mitigación — Mitigation

Contiene el incidente para limitar su propagación y posteriormente elimina las vulnerabilidades explotadas. La contención detiene el daño; la eliminación previene la reincidencia.

RS.IM

Mejoras post-Respuesta — Improvements

Incorpora las lecciones aprendidas de cada incidente para mejorar las capacidades de respuesta, y actualiza el plan de respuesta con base en la experiencia acumulada. La mejora continua fortalece la resiliencia.

El instrumento de evaluación

Ítems

Categorías

Recomendaciones

Cada ítem está redactado en escala Likert adaptada de 4 puntos y trazado a una subcategoría oficial del NIST CSF 1.1 (ej. PR.AC-1). Los ítems fueron seleccionados mediante juicio de expertos aplicando criterios de pertinencia, claridad y aplicabilidad al contexto MYPE.

El instrumento cubre las 21 categorías del framework distribuidas entre las 5 funciones, con entre 2 y 5 ítems por categoría según su relevancia para MYPEs de Piura.

Escala de medición

Se utiliza una escala ordinal de 4 niveles, alineada con los Implementation Tiers del NIST CSF 1.1 (NIST, 2018, p. 8):

Ausente / Ad hoc

No existe práctica formal. Las acciones son reactivas y no están definidas.

Informal, sin política

Existe práctica no documentada. Depende de personas, no de procesos.

Documentado y repetible

Proceso formal, documentado, comunicado y aplicado consistentemente.

Adaptativo y continuo

Proceso medido, revisado periódicamente y mejorado con base en resultados.

¿Cómo funciona la evaluación?

Crear evaluación

Se registran los datos de la MYPE: nombre, sector, ciudad, evaluador y fecha.

Agregar encuestados

Se registran los responsables de la empresa que responderán el cuestionario (nombre y cargo).

Responder checklist

Cada encuestado responde los 59 ítems usando la escala 1-4. El sistema valida coherencia lógica en tiempo real.

Ver resultados

Se calculan promedios por función y categoría. Se muestra el gráfico radar de madurez y el Tier global.

Recomendaciones + PDF

Se generan recomendaciones por categoría según el Tier alcanzado. Descarga el informe completo en PDF.

Cálculo del Tier de madurez

El puntaje de cada función es el promedio aritmético de las respuestas de todos los encuestados en los ítems que la conforman. El Tier se asigna según los siguientes rangos:

Tier 1 Parcial 1.00 – 1.50

Tier 2 Informado 1.51 – 2.50

Tier 3 Repetible 2.51 – 3.50

Tier 4 Adaptativo 3.51 – 4.00

El Promedio General es el promedio de los 5 puntajes por función y determina el Tier global de la organización.

Validación de coherencia lógica

El sistema aplica 29 reglas de coherencia entre ítems para detectar respuestas contradictorias desde el punto de vista lógico del framework.

Ejemplo: Si un encuestado responde 1 ("no existe plan de recuperación"), no puede responder 4 ("el plan se prueba de forma adaptativa"), ya que lógicamente no se puede probar algo que no existe.

Las advertencias son no bloqueantes: el evaluador puede mantener las respuestas si considera que existe una justificación válida. El objetivo es mejorar la calidad y consistencia interna del instrumento.

¿De dónde salen las recomendaciones?

Cada recomendación sigue la siguiente cadena causal:

Respuestas del encuestado

Escala 1–4 por ítem

→

Promedio por categoría

Media aritmética consolidada

→

Tier de la categoría

Parcial / Informado / Repetible / Adaptativo

→

Recomendación específica

1 por categoría × Tier

→

Sustento académico

Literatura científica 2021–2025

Cobertura

Hay 3 recomendaciones por categoría (una para Tier 1, una para Tier 2, una para Tier 3–4), lo que resulta en 63 recomendaciones para las 21 categorías del NIST CSF 1.1.

Trazabilidad NIST

Cada recomendación está explícitamente vinculada a su subcategoría NIST CSF 1.1 (ej. PR.AC-1), lo que permite consultar el framework oficial para profundizar en cada control.

Sustento científico

Cada recomendación está respaldada por literatura científica reciente (2021–2025) de bases de datos indexadas (Scopus, Web of Science), lo que garantiza su validez y actualidad.

Validez del instrumento

✓ Validez de contenido — revisión por juicio de expertos en ciberseguridad y NIST CSF.
✓ Trazabilidad completa — cada ítem vinculado a una subcategoría NIST CSF 1.1 oficial.
✓ Consistencia interna — validación lógica automatizada de coherencia entre ítems relacionados.
✓ Recomendaciones con sustento — referencias académicas indexadas (2021–2025) por cada control.
✓ Multi-encuestado — consolida respuestas de varios evaluados para reducir sesgo individual.

Limitaciones y alcance

⚠ Las recomendaciones son orientativas. La implementación de controles específicos debe adaptarse al contexto y presupuesto de cada organización.
⚠ El instrumento evalúa madurez percibida, no ejecuta pruebas técnicas de penetración ni auditorías de infraestructura.
⚠ Diseñado para el contexto de MYPEs de Piura. Su aplicación en otros contextos requiere validación adicional.
⚠ Los resultados reflejan el estado en el momento de la evaluación. Se recomienda reevaluar periódicamente.

CyberCheck NIST aplica los controles que evalúa

Una herramienta de evaluación de ciberseguridad debe cumplir los mismos controles que exige a las organizaciones que evalúa. A continuación se describe cómo CyberCheck NIST implementa las funciones del NIST CSF 1.1 en su propio diseño y operación.

PR.AC Control de Acceso e Identidades

✓ Autenticación obligatoria con contraseñas hasheadas (bcrypt)
✓ Ningún auditor accede sin aprobación explícita del administrador
✓ Roles diferenciados: administrador y auditor, con permisos separados
✓ Sesiones invalidadas correctamente al cerrar sesión

PR.DS Protección de Datos

✓ Contraseñas nunca almacenadas en texto plano
✓ Documentos de auditores almacenados fuera del directorio público
✓ Resultados de auditoría accesibles solo con autorización de la empresa evaluada
✓ Datos sensibles nunca expuestos en URLs ni logs

ID.AM Gestión de Activos e Identidades

✓ Cada evaluación está vinculada a un auditor verificado y a una empresa específica
✓ Los auditores deben acreditar su identidad con documentos antes de acceder
✓ Solo usuarios registrados y aprobados pueden gestionar evaluaciones

PR.IP Procesos y Procedimientos de Protección

✓ Consentimiento informado documentado antes de cada evaluación
✓ Proceso formal de autorización empresa → auditor para acceder a resultados
✓ La empresa puede revocar acceso al auditor en cualquier momento

RS.CO Comunicaciones ante Eventos de Seguridad

✓ Notificación automática al administrador ante cada solicitud de registro
✓ Notificación al auditor cuando su cuenta es aprobada o rechazada
✓ Notificación a la empresa cuando un auditor solicita acceso a sus resultados
✓ Confirmación inmediata a la empresa al autorizar o revocar un acceso

Este diseño refleja el principio de coherencia metodológica: una herramienta que evalúa ciberseguridad debe ser, en sí misma, un ejemplo de buenas prácticas en ciberseguridad (NIST, 2018).

Referencia principal

National Institute of Standards and Technology. (2018). Framework for Improving Critical Infrastructure Cybersecurity, Version 1.1. U.S. Department of Commerce. https://doi.org/10.6028/NIST.CSWP.04162018

Herramienta desarrollada como parte de la tesis "Evaluación de Ciberseguridad basada en el NIST CSF 1.1 para Mypes de Piura, 2026" — Bach. Córdova Ramírez, Ronal Eduardo / Bach. Jimenez Abad, Enso Ronaldo. Facultad de Ingeniería — Ingeniería de Sistemas e Informática, Piura 2026.