Referencia Oficial NIST 2.0

Gobernar (GV)

La función GOVERN es el núcleo táctico que establece y monitorea la estrategia de gestión de riesgos, expectativas y políticas.

01

Contexto Organizacional

(GV.OC): Comprender la misión, expectativas de stakeholders y requisitos legales.

Foco Misión y Requisitos Externos
Acciones Concretas
  • Analizar impacto de riesgos en la misión.
  • Gestionar requisitos legales y regulatorios.
  • Comunicar objetivos críticos a stakeholders.
Resultados Clave
  • Expectativas de stakeholders integradas.
  • Dependencias de servicios mapeadas.
Validación (Evidencia)
  • Registro de obligaciones legales.
  • Mapa de riesgos vs misión corporativa.
02

Estrategia de Gestión de Riesgos

(GV.RM): Establecer prioridades, límites y apetito al riesgo.

Foco Apetito al Riesgo y ERM
Acciones Concretas
  • Establecer objetivos con stakeholders.
  • Estandarizar método de cálculo de riesgo.
  • Evaluar necesidad de ciber-seguro.
Resultados Clave
  • Declaraciones de apetito comunicadas.
  • Integración en Riesgo Empresarial (ERM).
Validación (Evidencia)
  • Metodología de priorización de riesgos.
  • Registro de riesgos estratégico (ERM).
03

Roles y Autoridades

(GV.RR): Establecer responsabilidad y rendición de cuentas.

Foco Rendición de Cuentas y Cultura
Acciones Concretas
  • Definir autoridades para ejecución.
  • Asignar recursos según la estrategia.
  • Integrar ciberseguridad en prácticas de RRHH.
Resultados Clave
  • Liderazgo rinde cuentas del riesgo.
  • Fomento de cultura ética y consciente.
Validación (Evidencia)
  • Descripciones de cargo detalladas.
  • Presupuestos aprobados de seguridad.
04

Políticas (Policy)

(GV.PO): Establecer, comunicar y hacer cumplir las reglas.

Foco Formalización y Cumplimiento
Acciones Concretas
  • Establecer políticas basadas en contexto.
  • Comunicar políticas a todos los niveles.
  • Revisar y actualizar políticas anualmente.
Resultados Clave
  • Reglas claras que gobiernan el riesgo.
  • Alineación con amenazas actuales.
Validación (Evidencia)
  • Documentos de políticas publicados.
  • Registros de revisiones por versión.
05

Supervisión (Oversight)

(GV.OV): Ajustar la estrategia basada en el desempeño real.

Foco Monitoreo Estratégico y Mejora
Acciones Concretas
  • Revisar resultados de gestión de riesgos.
  • Ajustar estrategia ante nuevos riesgos.
  • Evaluar desempeño organizacional.
Resultados Clave
  • Bucles de retroalimentación creados.
  • Estrategia dinámica y adaptable.
Validación (Evidencia)
  • Métricas y reportes de desempeño.
  • Actas del comité de supervisión.
06

Cadena de Suministro

(GV.SC): Gestionar riesgos de proveedores y socios externos.

Foco Riesgo de Terceros (Supply Chain)
Acciones Concretas
  • Priorizar proveedores por su criticidad.
  • Realizar due diligence pre-contratación.
  • Integrar requisitos cyber en contratos.
Resultados Clave
  • Programa de riesgos supply chain activo.
  • Monitoreo del ciclo de vida del proveedor.
Validación (Evidencia)
  • Inventario prioritario de proveedores.
  • Contratos con SLAs de ciberseguridad.

¿Comprendido el Marco Oficial 2.0?

Ahora que domina las categorías oficiales de NIST 2.0, es momento de evaluar su madurez.

Iniciar Evaluación Gobernar