Marco de Seguridad

Por Qué Importa

Los marcos convierten el caos de la ciberseguridad en una estructura manejable. Sin ellos, las organizaciones reinventan la rueda, pasan por alto controles obvios y luchan por comunicar el riesgo. Con ellos, los programas ganan vocabulario común, hojas de ruta priorizadas y credibilidad ante reguladores, aseguradoras y clientes.

El NIST CSF de 2014 surgió de una orden ejecutiva en EE.UU. para ayudar a operadores de infraestructura crítica. Su éxito impulsó una adopción masiva más allá de su alcance original. ISO 27001 permite reconocimiento global mediante certificación. MITRE ATT&CK se ha convertido en el estándar operativo para emulación de adversarios y cobertura de detección. Los programas eficaces combinan varios marcos.

Marcos Principales

NIST CSF 2.0

Estructura flexible y orientada a resultados, organizada en seis funciones:

Los Implementation Tiers (1–4) miden madurez; los Profiles alinean el marco a prioridades.

ISO/IEC 27001:2022

Estándar internacional para Sistemas de Gestión de Seguridad de la Información (SGSI) con 93 controles en 4 temas (Organizativo, Personas, Físico, Tecnológico). Certificarse exige:

• Alcance del SGSI documentado
• Evaluación y tratamiento del riesgo
• Declaración de Aplicabilidad
• Compromiso de la dirección y mejora continua
• Auditoría externa por entidad acreditada

CIS Controls v8

Dieciocho controles priorizados agrupados en Implementation Groups (IG1–IG3) según recursos:

IG1 (higiene esencial - 56 salvaguardas):
Inventario y control de activos, proteccion de datos,
gestion de cuentas, gestion continua de vulnerabilidades,
gestion de logs, proteccion de email/web,
defensa antimalware, copias y recuperacion

IG2 anade 74 salvaguardas (riesgo medio)
IG3 anade 23 salvaguardas (riesgo alto, amenazas sofisticadas)

MITRE ATT&CK

Base de conocimiento de tácticas (el porqué) y técnicas (el cómo) observadas en intrusiones reales. Se usa para:

• Ingeniería de detección y mapeo de reglas SIEM
• Operaciones de red team y emulación de adversarios
• Threat intelligence y seguimiento de campañas
• Evaluación de cobertura con ATT&CK Navigator

COBIT

Marco de ISACA para gobierno y gestión de TI, frecuentemente combinado con ISO 27001 y NIST CSF.

Marcos Sectoriales

• HITRUST CSF: sanidad
• PCI DSS v4.0: datos de tarjeta
• NERC CIP: red eléctrica norteamericana
• TISAX: automoción
• FedRAMP: cloud federal EE.UU.
• ENS: sector público España

Elegir el Marco Adecuado

Criterios de selección:

• Geografía y regulación: ISO 27001 global, NIST CSF en EE.UU.
• Requisitos de cliente: SOC 2 para SaaS, FedRAMP para cliente gubernamental
• Industria: PCI DSS para pagos, HIPAA/HITRUST en sanidad
• Objetivos de madurez: certificación (ISO) vs flexibilidad (NIST CSF)
• Recursos: CIS IG1 para pymes, ISO 27001 completo en empresas

Enfoque de Implementación

1. Inventaria el estado actual: ¿qué controles existen y operan?
2. Selecciona marcos según los criterios.
3. Mapea controles al catálogo del marco.
4. Identifica brechas y priorízalas por riesgo.
5. Construye una hoja de ruta con propietarios, hitos y presupuesto.
6. Opera y mide: los controles no se "terminan" al implementarse.
7. Audita y mejora, primero internamente, luego externamente si certificas.

Crosswalks Reducen el Esfuerzo

Muchos marcos comparten controles comunes. Los crosswalks mapean:

• NIST CSF ↔ ISO 27001 ↔ NIST 800-53
• CIS Controls ↔ NIST CSF
• SOC 2 Trust Services Criteria ↔ NIST CSF/ISO 27001

Esto reduce drásticamente el trabajo duplicado.

Conceptos Relacionados

• Cumplimiento
• Gestión de Riesgos
• Zero Trust
• Modelado de Amenazas