English site
English site
Login
Ciberseguridad
Fundamentos de Ciberseguridad

Marcos de ciberseguridad: guía completa para empresas

norman@preyhq.com
Norman G.
Apr 1, 2025
0 minutos de lectura
Marcos de ciberseguridad: guía completa para empresas
Tabla de Contenidos
Heading H2
La seguridad no debería ser ciencia espacial
Compartir
Sobre el autor
norman@preyhq.com
Norman G.

Norman Gutiérrez fue nuestro investigador de seguridad en Prey. Además, Norm se desempeñó como especialista en contenido y comunicación de Prey y como embajador de Infosec. Norm ha trabajado para varios medios de comunicación tecnológicos como FayerWayer y Publimetro, entre otros. En su tiempo libre, Norman disfruta de los videojuegos, los artilugios geniales, la música y los divertidos juegos de mesa.

Ciberseguridad: vivir en un mundo digital

Hoy en día es prácticamente inevitable que la tecnología digital y los datos sean esenciales para algún aspecto de nuestra vida. Podría ser tu trabajo, tus relaciones personales, tu situación de vida, etc. Si administras un negocio, lo más seguro es que dependas por completo de los dispositivos y los datos. En el mundo digital actual, cada compañía debe implementar controles de ciberseguridad adaptados a sus características y recursos para proteger sus activos de posibles ataques y vulnerabilidades.

Desafortunadamente –y como se nos recuerda a diario– ciertas personas con malas intenciones están ansiosas por robar los datos que tú y tu empresa necesitan para funcionar. Sus motivaciones varían, pero en general los personajes maliciosos quieren sacar beneficios de tus dispositivos y datos, interrumpir su funcionamiento, o ambos.


Desafortunadamente –y como se nos recuerda a diario– ciertas personas con malas intenciones están ansiosas por robar los datos que tú y tu empresa necesitan para funcionar. Sus motivaciones varían, pero en general los personajes maliciosos quieren sacar beneficios de tus dispositivos y datos, interrumpir su funcionamiento, o ambos.

La importancia de la ciberseguridad

La creciente dependencia de la tecnología y la conectividad en línea ha incrementado significativamente los riesgos de ciberataques y violaciones de datos. La ciberseguridad no solo es crucial para proteger la información confidencial y los activos digitales de las empresas, sino también para mantener la confianza de los clientes y la reputación de la marca.

Las organizaciones deben ser conscientes de que un solo incidente de seguridad puede tener consecuencias devastadoras, desde pérdidas financieras hasta daños irreparables a la reputación. Por ello, es esencial adoptar medidas proactivas para proteger los datos y garantizar la continuidad del negocio. La implementación de un marco de ciberseguridad adecuado puede ayudar a las empresas a identificar, gestionar y mitigar los riesgos, asegurando así una protección integral de sus activos digitales.

¿Qué podemos hacer para lograr la mejor ciberseguridad posible en estas circunstancias?

Hay formas de lograr un nivel satisfactorio de ciberseguridad, que pueden incluir soluciones de seguridad de datos y también seguridad de bases de datos. Con frecuencia, la mejor manera de cumplir este objetivo es adoptar un modelo o marco de ciberseguridad. Este modelo proporciona la estructura y la metodología que necesitas para proteger tus activos digitales importantes.

¿Qué es un marco de ciberseguridad?

Un marco de ciberseguridad (o cybersecurity framework) es un conjunto estructurado de buenas prácticas, políticas, estándares y procesos que ayudan a las organizaciones a identificar, proteger, detectar, responder y recuperar frente a amenazas digitales. 

La seguridad de la red es fundamental en este contexto, ya que una red bien protegida es esencial para prevenir y mitigar posibles vulnerabilidades y ataques. Uno de los más conocidos es el Marco de Ciberseguridad del NIST, adoptado a nivel global por gobiernos y empresas para fortalecer su postura frente a ataques cibernéticos.

Tipos de marcos de ciberseguridad

En la conferencia RSA del 2019, Frank Kim, ex CISO del Instituto SANS y uno de los principales expertos en ciberseguridad, entregó una gran explicación sobre los diversos tipos de marcos. Los dividió en tres categorías y esbozó sus propósitos:

Marcos de Control:

  • Desarrollar una estrategia básica para el equipo de seguridad
  • Proporcionar un conjunto de controles básicos
  • Evaluar el estado técnico actual
  • Priorizar la implementación de controles

Marcos programáticos:

  • Evaluar el estado del programa de seguridad
  • Construir un programa integral de seguridad
  • Medir la seguridad del programa / análisis competitivo
  • Simplificar la comunicación entre el equipo de seguridad y los líderes de empresa

Marcos de riesgo:

  • Definir pasos clave del proceso para evaluar / gestionar el riesgo
  • Estructurar el programa para la gestión del riesgo
  • Identificar, medir y cuantificar el riesgo
  • Priorizar las actividades de seguridad

Controles de seguridad

Los controles de seguridad son medidas esenciales que las empresas implementan para prevenir, detectar y responder a los ciberataques y violaciones de datos. Estos controles pueden ser de naturaleza física, técnica o administrativa, y están diseñados para proteger la información y los activos digitales de las organizaciones.

Tipos de controles de seguridad

Existen varios tipos de controles de seguridad, cada uno con un propósito específico para garantizar la protección de la organización:

  • Controles físicos: Incluyen medidas como la videovigilancia, la protección del hardware y el control de accesos biométrico. Estos controles están diseñados para proteger los activos físicos de la empresa contra accesos no autorizados y daños físicos.
  • Controles técnicos: Comprenden tecnologías como la doble autenticación, las credenciales digitales y el cifrado de datos. Estos controles se centran en proteger la información digital y los sistemas de TI contra accesos no autorizados y ciberataques.
  • Controles administrativos: Incluyen políticas, procedimientos internos y normativas que se imponen a los empleados para proteger los activos de la organización. Estos controles aseguran que todos los miembros de la empresa sigan prácticas de seguridad coherentes y efectivas.

Implementación de controles de seguridad

La implementación de controles de seguridad es un proceso que requiere una planificación y ejecución cuidadosas. Las empresas deben comenzar por identificar los riesgos y vulnerabilidades específicos de su organización. Una vez identificados, es crucial implementar controles de seguridad adecuados para mitigar esos riesgos.

La participación y el compromiso de todos los empleados de la empresa son fundamentales para el éxito de la implementación. Es importante que todos comprendan la importancia de los controles de seguridad y cómo aplicarlos en su trabajo diario.

Además, la implementación de controles de seguridad no es un proceso estático. Requiere una revisión y actualización constante para adaptarse a las nuevas amenazas y tecnologías emergentes. Las empresas deben establecer un ciclo continuo de evaluación y mejora de sus controles de seguridad, asegurando así una protección robusta y actualizada.

Los marcos de ciberseguridad más conocidos

Existen muchos marcos diferentes, sin embargo unos pocos dominan el mercado. Además de PCI DSS, los marcos más populares incluyen:

Marco Origen Enfoque Sectores recomendados
NIST CSF EE.UU. Identificar, proteger, responder Público y privado
ISO/IEC 27001 Internacional Gestión de la seguridad de la información Empresas de todos los tamaños
CIS Controls Internacional Controles técnicos específicos PYMEs y grandes empresas
Ley Marco Chile Chile Protección infraestructura crítica Organismos esenciales

El Marco NIST de ciberseguridad

El Marco de NIST para Mejorar la Ciberseguridad de la Infraestructura Crítica, a veces llamado simplemente “Marco NIST de ciberseguridad”, y como su nombre lo indica, está destinado a ser utilizado para proteger infraestructura crítica como plantas de energía y represas de ataques ciberneticos. Sin embargo, sus principios pueden aplicarse a cualquier organización que busque una mejor seguridad. Es uno de varios estándares NIST que cubren la ciberseguridad.

Como la mayoría de los marcos, el marco NIST de ciberseguridad es complejo y de amplio alcance. El documento básico que lo describe tiene 41 páginas. La implementación real del marco puede involucrar miles de horas-persona y cientos de páginas de documentación, procedimientos, controles, etc. Sin embargo en la raíz, el marco es bastante sencillo de entender.

El núcleo del marco es una lista de funciones de ciberseguridad que siguen el patrón básico de defensa cibernética: identificar, proteger, detectar, responder y recuperarse. El marco proporciona un mecanismo organizado para identificar riesgos y activos que requieren protección. Enumera las formas en que la organización debe proteger estos activos mediante la detección de riesgos, respondiendo a las amenazas e incluso recuperando los activos en caso de un incidente de seguridad.

Por ejemplo, bajo el patrón de “proteger”, el marco contiene una categoría conocida como PR.DS, que significa "Protect Data Security” (“Proteger la seguridad de los datos"). Profundizando en el marco, PR.DS tiene siete subcategorías, cada una destinada a garantizar la protección de datos. Estos incluyen controles para proteger los datos en reposo (PR.DS-1), proteger los datos en tránsito (PR.DS-2), etc. Para cumplir con PR.DS-1, por ejemplo, la organización podría exigir el cifrado de datos en reposo.

CIS

CIS fue creado a fines de la década de 2000 por una coalición de expertos y voluntarios con el objetivo de crear un marco para proteger a las empresas de las amenazas de ciberseguridad. Se compone de 20 controles que son actualizados regularmente por expertos de todos los campos (gobierno, academia e industria) para ser consistentemente modernos y estar por delante de las amenazas de ciberseguridad.

CIS funciona bien para organizaciones que desean dar pequeños pasos. Su proceso se divide en tres grupos. Se comienza con lo básico, luego se pasa a lo fundacional y finalmente, a lo organizacional. CIS también es una gran opción si necesitas un marco adicional que pueda coexistir con otros estándares de compliance específicos de industria (como HIPAA y NIST).

Esta organización trabaja con puntos de referencia o pautas basadas en estándares de uso común, como los ya mencionados NIST e HIPAA, que no solo trazan mapas de los estándares de seguridad para ayudar a las empresas a cumplirlos, sino que ofrecen configuraciones de seguridad básicas alternativas para aquellos que no requieren cumplimiento, sino que desean mejorar su seguridad.

Estos estándares de comparación se dividen en dos niveles. Los primeros son recomendaciones para configuraciones esenciales de seguridad que no afectan el rendimiento de los servicios; y un segundo nivel más avanzado de estándares que ofrecen recomendaciones de seguridad de nivel superior, con un posible costo en rendimiento.

ISO/IEC 27001

ISO 27001/27002, también conocida como ISO 27K, es el estándar internacionalmente reconocido para la ciberseguridad. El marco establece (es decir, asume) que una organización que adopte ISO 27001 tendrá un Sistema de Gestión de Seguridad de la Información o SGSI (en inglés: Information Security Management System, o ISMS). Con eso en mente, ISO/IEC 27001 requiere que la administración maneje sistemáticamente los riesgos de seguridad de la información de la organización, teniendo en cuenta las amenazas y vulnerabilidades.

El marco requiere que la organización diseñe e implemente controles de seguridad de la información (InfoSec) que sean coherentes y completos. El objetivo de estos controles es mitigar riesgos ya identificados. A partir de ahí, el marco sugiere que la organización adopte un proceso de gestión de riesgos que esté en curso. Para obtener la certificación de conformidad con ISO 27001, una organización debe demostrarle al auditor que está utilizando lo que ISO denomina el "Ciclo PDCA".

Ciclo PDCA

El ciclo PDCA es un método de gestión empresarial que se centra en 4 pasos principales que deben implementarse continuamente a medida que se considera el cambio en la empresa. Los cuatro pasos son:

  • Planear: significa establecer un SGSI junto con políticas, objetivos, procesos y procedimientos para la gestión de riesgos.
  • Hacer: se refiere a la implementación del SGSI y su funcionamiento, incluyendo la implementación de políticas de InfoSec, procedimientos, etc.
  • Verificar: implica el monitoreo y la revisión del SGSI, midiendo el desempeño del proceso en comparación con las políticas y los objetivos.
  • Actuar: es el proceso de actualización y mejora del SGSI. Puede significar emprender acciones correctivas y preventivas, basándose en auditoría interna y revisión de la administración.

Las empresas y agencias gubernamentales adoptan la norma ISO 27001 con el fin de obtener compliance. De otra manera, es mucho trabajo que no conduce a mucho más. ISO certifica el cumplimiento a través del trabajo de auditores aprobados. Una empresa pasa por un proceso de solicitud de certificación con ISO, que generalmente implica trabajar con un consultor experimentado que también puede actuar como auditor y autoridad de certificación.

Los marcos de seguridad como GDPR ayudan a proteger los datos personales de los usuarios.

Otros marcos notables

Existen algunos marcos para una industria específica o escenarios de seguridad.

  • COBIT, por ejemplo, es un marco de control para los sistemas de TI utilizados en la contabilidad financiera. Es una parte fundamental del cumplimiento de la Ley Sarbanes-Oxley.
  • HIPAA, una ley diseñada para proteger la privacidad de los pacientes, comprende tanto un conjunto de regulaciones como un marco, de manera muy similar a PCI DSS. Es un conjunto específico de requisitos de control que se combinan con un proceso de certificación para dar fe del compliance.
  • La norma GDPR de la UE que protege la información personal es algo más suave en su naturaleza. Las reglas son bastante claras, pero el compliance no está certificado por ninguna entidad específica, sino que debe ser auditado en muchos casos por los propios usuarios.

Cómo implementar un marco de ciberseguridad en tu empresa

Adoptar un marco de ciberseguridad no es una tarea exclusiva de grandes corporaciones. Todas las compañías —sin importar su tamaño o sector— deben adoptar diversas acciones y medidas para proteger sus activos digitales, datos sensibles y operaciones críticas frente a los ciberataques.

Aquí te mostramos una guía paso a paso para implementar un marco de ciberseguridad de forma efectiva:

Paso 1: Evalúa tu nivel actual de ciberseguridad

Antes de elegir un marco, necesitas conocer tu punto de partida. Realiza un diagnóstico interno para identificar:

  • Qué información y sistemas deben protegerse
  • Qué amenazas enfrenta tu negocio (ransomware, phishing, accesos no autorizados, etc.)
  • Qué controles ya existen y cuáles faltan

Puedes usar herramientas como cuestionarios de autoevaluación o auditorías básicas para tener una visión general.

Paso 2: Elige un marco adecuado

No todos los marcos son iguales. Elige el que mejor se adapte al tamaño, sector y madurez digital de tu empresa:

  • NIST Cybersecurity Framework (CSF): Ideal para empresas que necesitan una estructura flexible y modular
  • ISO/IEC 27001: Estándar internacional que permite certificar la gestión de la seguridad de la información
  • CIS Controls: Recomendado para PYMEs que buscan una guía práctica y concreta basada en controles técnicos

También puedes combinar marcos o adaptarlos según tus necesidades específicas.

Paso 3: Asigna responsables internos

Ningún marco funciona sin personas. Nombra a un encargado de ciberseguridad, aunque no sea un CISO formal. Esta persona será la responsable de coordinar:

  • La implementación del marco
  • La gestión de riesgos
  • La relación con proveedores o asesores externos

En empresas más grandes, considera formar un pequeño comité de seguridad.

Paso 4: Define controles y políticas

Con el marco elegido, establece políticas claras para proteger la información. Estas pueden incluir:

  • Control de accesos y contraseñas
  • Uso aceptable de dispositivos y redes
  • Manejo de datos sensibles
  • Planes de respaldo y recuperación ante incidentes

Documenta todo y asegúrate de que los lineamientos estén alineados con el marco adoptado.

Paso 5: Capacita al personal

Uno de los puntos más débiles en ciberseguridad es el factor humano. Asegúrate de que todos —desde gerentes hasta asistentes— conozcan:

  • Qué datos manejan
  • Qué comportamientos representan un riesgo (ej. abrir correos sospechosos)
  • Cómo actuar ante un incidente

Incorpora la ciberseguridad como parte de la cultura organizacional.

Paso 6: Mide, mejora y adapta

Los marcos no son estáticos. La ciberseguridad es un proceso continuo. Establece indicadores de desempeño, evalúa el cumplimiento de políticas, y revisa tu estrategia al menos cada 6 meses.

Realiza simulacros, pruebas de penetración o revisiones internas para detectar debilidades antes de que los atacantes lo hagan.

Implementar un marco de ciberseguridad no se trata solo de cumplir con una norma, sino de proteger la continuidad de tu negocio y la confianza de tus clientes. Con estos pasos, estarás un gran paso más cerca de una organización resiliente y preparada

Cómo cumplir con múltiples regulaciones de ciberseguridad

Muchos negocios, especialmente aquellos que trabajan internacionalmente, deben cumplir con una serie de diferentes regulaciones de ciberseguridad. Los marcos pueden ser una excelente manera de enfrentar este complicado desafío. Te brindan una forma de definir, aplicar y monitorear los controles en múltiples regímenes de compliance.

La buena noticia es que los proveedores y consultores de seguridad están publicando una amplia guía sobre el cumplimiento de las regulaciones. Por ejemplo, con HIPAA es posible encontrar buenos recursos para cumplir con los pesados requisitos de las leyes. Estos incluyen salvoconductos administrativos, protecciones físicas y otros controles.

Conclusiones

Los marcos de seguridad cibernética proporcionan una base para lograr una postura de seguridad sólida y evitar violaciones de datos. En algunos casos, permiten que una organización se certifique conforme a una regulación específica. La adopción de un marco requiere dedicar tiempo y recursos al proyecto. Sin embargo, si se hace bien, ¡Vale la pena! El marco ofrece una forma organizada de darle seguridad a una empresa y luego medir continuamente la efectividad de los controles de seguridad establecidos por el marco.

Sobre el mismo tema

Herramientas de ciberseguridad: el kit esencial para proteger tu empresa
Herramientas de ciberseguridad: el kit esencial para proteger tu empresa

Descubre qué son las herramientas de ciberseguridad y cómo te ayudarán a proteger tu empresa y salvaguardar tus datos.

Apr 3, 2025
Continuar leyendo
Marcos de ciberseguridad: guía completa para empresas
Marcos de ciberseguridad: guía completa para empresas

Descubre los principales marcos de ciberseguridad, incluyendo el del NIST, y aprende cómo implementarlos para fortalecer la seguridad de tu empresa.

Apr 1, 2025
Continuar leyendo
Ciberseguridad industrial en Chile: retos y estrategias para empresas
Ciberseguridad industrial en Chile: retos y estrategias para empresas

Las empresas industriales en Chile enfrentan crecientes amenazas digitales. Descubre estrategias para proteger las infraestructuras críticas.

Feb 26, 2025
Continuar leyendo

Descubre las poderosas

Funcionalidades de Prey

Protege tu flota con las completas soluciones de seguridad que ofrece Prey.

Conoce másComenzar