NIST CSF 2.0voluntary · 6 functionsISO 27001international · certifiableCIS Controls v8prioritized · actionableSOC 2B2B vendor trustPCI-DSS / HIPAA / FedRAMPsector-specific

Marcos de ciberseguridad

12 lectura mínimaSeguridad

Toda organización que se toma en serio la seguridad eventualmente elige un marco: NIST CSF, ISO 27001, CIS Controls o uno de varios otros. Los marcos no son herramientas de seguridad en sí mismos; son formas estructuradas de pensar sobre los programas de seguridad. Elegir uno (y comprender lo que realmente ofrece) es una decisión estratégica clave.

El cuerpo completo del artículo se proporciona en inglés a continuación.

Marcos de ciberseguridad son colecciones estructuradas de prácticas, controles y criterios de evaluación que las organizaciones utilizan para crear y medir sus programas de seguridad. No te hacen sentir seguro por sí solos; Proporcionan un vocabulario, una lista de verificación y un punto de referencia. Los marcos principales tienen diferentes orígenes, audiencias y compensaciones.

Los marcos principales

  • NIST Cybersecurity Framework (CSF) 2.0. Marco voluntario de EE. UU., ahora en su versión 2.0 (2024). Organizado en torno a seis funciones: Gobernar, Identificar, Proteger, Detectar, Responder, Recuperar. Diseñado para una amplia aplicabilidad en todas las industrias y tamaños. Gratuito y ampliamente adoptado.
  • ISO/IEC 27001. Estándar internacional para sistemas de gestión de seguridad de la información (SGSI). Certificable mediante auditoría externa. El estándar internacional para organizaciones que desean el reconocimiento de terceros de su postura de seguridad. Detallado; importante sobrecarga de cumplimiento.
  • CIS Controles v8. Los 18 controles priorizados del Centro para la Seguridad de Internet. Pragmático y táctico: qué hacer realmente, clasificado por impacto. Los Grupos de Implementación (IG1, IG2, IG3) escalan hasta la madurez de la organización. Free.
  • SOC 2. Control de organización de servicios 2 de AICPA. Criterios de servicios de confianza que cubren seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad. Obligatorio para muchos proveedores de SaaS B2B.
  • HIPAA Regla de seguridad. Específico para atención médica de EE. UU. Requerido por ley para las entidades de atención médica que manejan PHI.
  • PCI-DSS. Estándar de seguridad de datos de la industria de tarjetas de pago. Requerido para organizaciones que manejan datos de tarjetas. Altamente prescriptivo; cubre controles técnicos específicos.
  • NIST SP 800-53 / 800-171. Catálogo de controles detallado utilizado por agencias y contratistas federales de EE. UU. El más granular de todos: cientos de controles específicos organizados por familia.
  • FedRAMP, CMMC. Marcos federales específicos de EE. UU. para servicios en la nube y contratistas de defensa, respectivamente.
  • MITRE ATT&CK. No es un marco per se: una taxonomía de tácticas adversarias. Utilizado por equipos de ingeniería de detección para medir la cobertura.

En qué se diferencian

Las categorías se superponen pero enfatizan cosas diferentes:

  • Prescriptivo vs flexible. PCI-DSS especifica controles exactos (cifra los datos del titular de la tarjeta con algoritmos específicos). NIST CSF describe los resultados ("Protect: Gestión de identidad y control de acceso") y permite a las organizaciones elegir cómo lograrlos.
  • Certificable frente a voluntario. ISO 27001 da como resultado un certificado después de la auditoría. NIST CSF es autoevaluado, sin certificado.
  • Gratis frente a pago. NIST y CIS son gratuitos. ISO 27001 y SOC 2 tienen un costo significativo (tarifas de auditoría, tarifas de certificación).
  • Específico del sector versus general. HIPAA, PCI-DSS se aplican a industrias específicas. NIST CSF, ISO 27001 son de uso general.
  • Basado en riesgos versus basado en control. ISO 27001 comienza con la evaluación de riesgos. Los controles CIS le brindan una lista de prioridades para implementar independientemente del perfil de riesgo.

Funciones NIST CSF 2.0

El marco principal: lo que la mayoría de los programas de seguridad con influencia estadounidense utilizan como referencia:

  • Govern. Establezca y supervise la estrategia, política y supervisión de ciberseguridad. Agregado en 2.0; lleva el liderazgo y la gestión de riesgos a un alcance explícito.
  • Identify. Gestión de activos, entorno empresarial, gobernanza, evaluación de riesgos.
  • Protect. Gestión de identidades, control de acceso, seguridad de datos, formación de concienciación, mantenimiento.
  • Detect. Anomalías continuas monitoreo, procesos de detección.
  • Respond. Planificación de respuesta, comunicaciones, análisis, mitigación.
  • Recover. Planificación de recuperación, mejoras, comunicaciones.

Cada función tiene categorías y subcategorías: cientos de resultados específicos en total. Las organizaciones evalúan el estado actual y el estado objetivo por resultado.

CIS Controles 18

El enfoque CIS es más procesable:

  1. Inventario y control de activos empresariales
  2. Inventario y control de activos de software
  3. Protección de datos
  4. Configuración segura de activos y software empresariales
  5. Gestión de cuentas
  6. Gestión de control de acceso
  7. Vulnerabilidad continua Gestión
  8. Administración de registros de auditoría
  9. Protecciones de correo electrónico y navegador web
  10. Defensas contra malware
  11. Recuperación de datos
  12. Gestión de infraestructura de red
  13. Monitoreo y defensa de redes
  14. Conciencia y habilidades de seguridad Capacitación
  15. Gestión de proveedores de servicios
  16. Seguridad de software de aplicaciones
  17. Gestión de respuesta a incidentes
  18. Pruebas de penetración

Los grupos de implementación dividen los controles:

  • IG1 — ciberhigiene mínima esencial. ~56 salvaguardias. Para organizaciones pequeñas.
  • IG2: controles adicionales para organizaciones con datos confidenciales. ~131 salvaguardias.
  • IG3: todos los controles. ~153 salvaguardias. Para organizaciones que enfrentan amenazas sofisticadas.

Cuál elegir

La respuesta pragmática depende del contexto:

  • Pequeñas empresas sin presión de cumplimiento específica: CIS Controls IG1. Concreto, gratuito, alcanzable.
  • Empresa estadounidense de tamaño mediano con clientes B2B: NIST CSF para programa interno, SOC 2 para confianza de cara al cliente.
  • Empresa internacional o grande: ISO 27001 para certificable credibilidad.
  • Contratista federal de EE. UU.: Lo que requiera el contrato, a menudo NIST 800-171 o CMMC para trabajos del Departamento de Defensa.
  • Cuidado de la salud: La regla de seguridad HIPAA es obligatoria; complementar con NIST CSF o CIS.
  • Procesamiento de pagos: PCI-DSS es obligatorio; complemente de manera similar.

La mayoría de las organizaciones maduras terminan con múltiples marcos: uno para la estructura del programa interno, otro para la certificación de cara al cliente, requisitos específicos del sector estratificados.

Qué marcos no hacen

No lo hacen seguro. Un programa compatible con el marco con controles mal implementados no es mejor que un programa ad hoc con controles bien implementados. El marco proporciona estructura; la ejecución proporciona seguridad.

El fracaso clásico: las organizaciones crean documentación elaborada para pasar las auditorías mientras las operaciones de seguridad reales se atrofian. Los marcos ayudan cuando organizan el trabajo real; duelen cuando lo sustituyen.

Preguntas frecuentes

¿Necesito un marco?
Si tiene clientes, reguladores o miembros de juntas directivas que le preguntan cómo gestiona la ciberseguridad, sí: tener un marco de referencia hace que la respuesta sea creíble. Para programas puramente internos en organizaciones pequeñas, CIS Controls IG1 es la respuesta mínima. La mayoría de las organizaciones deberían utilizar al menos uno.
¿SOC 2 es lo mismo que ISO 27001?
Diferente. SOC 2 es un tipo de certificación (opinión de auditor sobre controles) con sede en EE. UU., que a menudo lo requieren los clientes empresariales de EE. UU. ISO 27001 es internacional, de estilo certificación (SGSI certificado), más riguroso y prescriptivo. Muchas empresas hacen ambas cosas. SOC 2 es más rápido de lograr inicialmente; ISO 27001 cubre más terreno.
¿Qué marco me brinda la mayor seguridad real?
Controles CIS, por reputación. Los controles están priorizados por impacto, son concretos y ejecutables. Implementarlos en orden produce una mejora visible. NIST CSF es más útil para la gobernanza; CIS para operaciones.
¿Cuánto tiempo lleva la certificación ISO 27001?
Normalmente, entre 9 y 18 meses desde el inicio hasta la certificación. Incluye análisis de brechas, implementación de controles, auditoría interna, auditoría del organismo de certificación (Etapa 1 y Etapa 2) y remediación de hallazgos. Las organizaciones más pequeñas se mueven más rápido; los complejos más lentos.
¿MITRE ATT&CK es un marco de ciberseguridad?
Técnicamente no: es una taxonomía de técnicas adversarias, utilizadas para medir la cobertura de detección. A menudo se utiliza junto con marcos. CIS Controls y NIST CSF describen qué hacer; ATT&CK describe lo que hacen los atacantes. Los programas maduros usan ambos.
Explicación de los marcos de ciberseguridad: NIST, ISO 27001, controles CIS y por qué son importantes