NIST CSF es un marco. ISO 27001 es un sistema certificable. Operan en planos distintos.
Un marco no es un sistema certificable. La confusión cuesta presupuesto.
NIST Cybersecurity Framework 2.0 (publicado en febrero de 2024) e ISO/IEC 27001:2022 aparecen juntos en RFP, contratos federales y políticas internas. Conviven sin sustituirse — y la confusión sobre cuál demuestra qué genera duplicaciones de esfuerzo evitables.
La diferencia conceptual es de naturaleza. NIST CSF es un marco de referencia voluntario emitido por el National Institute of Standards and Technology, originalmente diseñado para infraestructura crítica US. ISO 27001 es una norma certificable internacional. Un marco describe qué hacer; un sistema certificable demuestra que se hace.
NIST CSF 2.0 organiza la práctica de ciberseguridad en seis funciones: Govern (nueva en 2.0), Identify, Protect, Detect, Respond, Recover. Cada función contiene categorías y subcategorías con resultados deseados. No hay certificación asociada. Una organización puede declarar su perfil objetivo y su perfil actual, y trabajar para cerrar la brecha — pero el cierre no se valida externamente con un certificado.
ISO 27001:2022 establece requisitos verificables y certificables. La cláusula 6 obliga análisis de riesgo documentado; la cláusula 9 obliga auditoría interna y revisión por la dirección; la cláusula 10 obliga mejora continua con evidencia. Un organismo acreditado audita y emite un certificado con validez formal.
Esto significa que CSF y 27001 no compiten — operan en planos distintos. Una organización madura usa CSF como lenguaje de planificación interna (los CISOs piensan en Identify-Protect-Detect-Respond-Recover) y 27001 como vehículo de demostración externa.
El alineamiento operativo entre ambos es del 60-70%. La función Govern de CSF 2.0 mapea a la cláusula 5 (Liderazgo) y 6 (Planificación) de ISO 27001. Identify mapea a A.5.9-A.5.12, A.5.19-A.5.22 (inventarios y gestión de proveedores). Protect mapea a A.5.1-A.5.8, A.5.15-A.5.17, A.8.* (controles técnicos y de acceso). Detect mapea a A.5.7 (threat intelligence), A.8.15, A.8.16. Respond y Recover mapean a A.5.24-A.5.30 y a ISO 22301 cuando se integra.
La cláusula 4 de ISO 27001 (contexto de la organización) no tiene un homólogo directo en CSF. Tampoco lo tiene la cláusula 10 (mejora) como artefacto obligatorio. Inversamente, las subcategorías de CSF a nivel granular (NIST SP 800-53 enriquece muchas) pueden ser más específicas que los controles de Anexo A.
CSF 2.0 introduce Govern como sexta función. Cubre estrategia, expectativas, gestión de riesgo de la cadena de suministro, supervisión por la dirección. Este movimiento alinea a CSF más cerca de la cláusula 5 de ISO 27001 — la dimensión de liderazgo que la versión 1.1 trataba más débilmente.
Para organizaciones que ya operaban bajo CSF 1.1 y planeaban certificar ISO 27001, la incorporación de Govern en 2.0 reduce el delta. Lo que antes era una capa adicional (la cláusula 5) ahora encuentra eco en CSF nativo.
CSF tiene sentido como herramienta interna de planificación, comunicación al directorio y benchmark sectorial — sobre todo si la organización opera en infraestructura crítica US o supply-chain de contratistas federales. CMS, EPA, DoE y otras agencias usan CSF como referencia.
ISO 27001 tiene sentido cuando se necesita demostrar control a un tercero (cliente, regulador, auditor de contratos). Es la moneda corriente fuera de Estados Unidos y la moneda complementaria dentro. Para una organización con clientes EU o LATAM, ISO 27001 es prácticamente obligatoria. Para una organización 100% federal contractor US, CSF + FedRAMP + NIST SP 800-53 pueden bastar.
En la práctica, muchas organizaciones reguladas mantienen ambos. CSF se usa internamente como mapa estratégico y como vehículo de comunicación con el directorio (las seis funciones son legibles para no especialistas). ISO 27001 se ejecuta como sistema de gestión documentado, con evidencia trazable a sus controles.
La duplicación documental no es alta cuando se planifica desde el inicio. Un análisis de riesgo bajo ISO 27001 cláusula 6.1 sirve también como insumo para los perfiles CSF. El cross-reference oficial publicado por NIST entre CSF 2.0 e ISO 27001:2022 permite mantener un solo cuerpo documental con referencias dobles.
| Dimensión | ISO/IEC 27001:2022 | NIST CSF 2.0 |
|---|---|---|
| Tipo | Norma certificable | Marco voluntario de referencia |
| Emisor | ISO + IEC | NIST (US Department of Commerce) |
| Certificación | Sí, por organismo acreditado | No existe certificación oficial |
| Validación externa | Auditoría tercera parte acreditada | Autoevaluación o evaluación voluntaria |
| Funciones / cláusulas | 7 cláusulas (4-10) + 93 controles | 6 funciones × categorías × subcategorías |
| Liderazgo / gobierno | Cláusula 5 obligatoria | Función Govern (nueva en 2.0) |
| Análisis de riesgo formal | Cláusula 6.1 obligatoria | Implícito en perfiles |
| Mejora continua | Cláusula 10 obligatoria | No estructurada formalmente |
| Audiencia primaria | Global | US Federal + infraestructura crítica |
| Costo de adopción | Alto (certificación) | Bajo (adopción voluntaria) |
| Reconocimiento regulatorio EU | Alto | Bajo |
| Reconocimiento regulatorio US | Medio-alto | Alto (FedRAMP, EO 14028) |
Contratista federal US
NIST CSF 2.0 + SP 800-53 + FedRAMP cuando aplica. ISO 27001 si hay clientes internacionales.
Tecnológica B2B con clientes globales
ISO 27001 certificada. CSF como mapa interno de planificación.
Banco regulado bajo BCRA / Banco Central LATAM
ISO 27001 + ISO 22301. CSF opcional como segundo mapa.
Operador de infraestructura crítica EU
ISO 27001 obligatoria bajo NIS2. CSF como referencia técnica.
CSF y 27001 no son alternativas. Son herramientas en distintos planos. Una organización madura usa el marco como lenguaje estratégico interno y la norma como demostración externa. La pregunta operativa no es "cuál elegir" — es "cómo coordinar ambos sin duplicar documentación".
Una evaluación preliminar independiente — bajo criterio ISO 19011, sin venta de implementación ni de certificación — clarifica qué demuestra cada esquema para su caso real.
Solicitar diagnóstico