El panorama de amenazas nunca ha sido tan exigente. Las organizaciones sufrieron una media de 1968 ciberataques semanales en 2025, lo que supone un aumento del 70 % desde 2023, y el coste medio global de las violaciones de seguridad alcanzó los 4,44 millones de dólares ese mismo año. En este entorno, los marcos de seguridad proporcionan enfoques estructurados y repetibles que transforman la respuesta reactiva en una defensa proactiva. Sin embargo, el 95 % de las organizaciones se enfrentan a importantes retos a la hora de implementarlos (2024), a menudo porque carecen de una visión completa de los marcos existentes y de cómo funcionan conjuntamente.
Esta guía presenta una taxonomía de cinco categorías que abarca el cumplimiento normativo, la gestión de riesgos, los catálogos de control, la inteligencia y detección de amenazas, y los marcos de arquitectura. A diferencia de otras guías que solo tratan el cumplimiento normativo y la gobernanza, nosotros damos la misma importancia a marcos centrados en la detección, como MITRE ATT&CK, MITRE D3FEND, Pyramid of Pain y Cyber Kill Chain, ya que los marcos solo son relevantes si se traducen en resultados operativos de seguridad.
Los marcos de seguridad son conjuntos estructurados de directrices, mejores prácticas y normas que utilizan las organizaciones para identificar, gestionar y reducir los riesgos de ciberseguridad, al tiempo que mantienen el cumplimiento normativo y desarrollan la resiliencia frente a las amenazas de ciberseguridad. Proporcionan un lenguaje común para que los equipos de seguridad, los ejecutivos y los auditores evalúen la postura, prioricen las inversiones y midan el progreso.
Dado que el 93 % de los encuestados identifica la ciberseguridad como una prioridad máxima o importante en 2025, los marcos se han convertido en planos esenciales para traducir esa prioridad en acciones.
Todos los marcos de seguridad, independientemente de su categoría, comparten cinco componentes fundamentales.
Comprender estos componentes responde a una de las preguntas más comunes en este campo: ¿cuáles son algunos de los principales objetivos de los marcos de seguridad? Existen para proporcionar una gestión estructurada de los riesgos, establecer un lenguaje común entre los equipos, garantizar la preparación para las auditorías y fomentar la confianza de las partes interesadas.
Los profesionales de la seguridad suelen utilizar los términos «marco», «norma» y «regulación» de forma indistinta, y el propio sector contribuye a la confusión. A continuación se explica cómo distinguirlos.
En la práctica, los límites se difuminan. La norma ISO 27001 funciona tanto como estándar como marco de referencia. La HIPAA es una normativa que contiene una regla de seguridad estructurada como un marco de referencia. La distinción importante es la flexibilidad frente a la prescripción: los marcos de referencia orientan, los estándares especifican y las normativas obligan.
La mayoría de las guías clasifican los marcos de seguridad en tres o cuatro categorías. SentinelOne utiliza tres tipos (normativos, voluntarios y específicos del sector), mientras que Secureframe identifica cuatro (cumplimiento normativo, basados en el riesgo, basados en el control y programáticos). Ninguno de ellos incluye los marcos de inteligencia y detección de amenazas como una categoría diferenciada, lo que supone una laguna importante dado lo fundamentales que se han vuelto para las operaciones de seguridad modernas.
La taxonomía de cinco categorías que se muestra a continuación ofrece una visión más completa del panorama del marco de seguridad.
Tabla: Taxonomía del marco de seguridad de cinco categorías
Los marcos de cumplimiento ayudan a las organizaciones a demostrar su adhesión a los requisitos normativos o del sector. SOC 2 evalúa a las organizaciones de servicios en función de cinco criterios de servicio de confianza. La norma ISO 27001:2022 proporciona un sistema de gestión de la seguridad de la información certificable. PCI DSS protege los datos de los titulares de tarjetas. HIPAA protege la información sanitaria protegida. El cumplimiento del RGPD regula los datos personales en la UE. FedRAMP autoriza cloud para las agencias federales de EE. UU.
Estos marcos responden a la pregunta: ¿Podemos demostrar que cumplimos las normas?
Los marcos de riesgo ayudan a las organizaciones a comprender, priorizar y comunicar los riesgos de ciberseguridad. NIST CSF 2.0 proporciona una gobernanza basada en resultados en seis funciones. COBIT alinea la gobernanza de TI con los objetivos empresariales. FAIR (Análisis factorial del riesgo de la información) cuantifica el riesgo en términos financieros, lo que permite mantener conversaciones con los consejos de administración y los equipos financieros.
Estos marcos responden a la pregunta: ¿Dónde debemos invertir para reducir al máximo el riesgo?
Los catálogos de controles ofrecen listas priorizadas de medidas de seguridad específicas. CIS Controls v8.1 organiza 18 controles en tres grupos de implementación (IG1 a IG3) en función de la madurez de la organización. NIST SP 800-53 ofrece el catálogo de controles más completo disponible, con más de 1000 controles en 20 familias.
Estos marcos responden a la pregunta: ¿Qué medidas concretas debemos tomar?
Esta es la categoría que la mayoría de los competidores pasan por alto, y podría decirse que es la más relevante desde el punto de vista operativo para los equipos de seguridad. MITRE ATT&CK las tácticas, técnicas y procedimientos (TTP) de los adversarios en el mundo real. MITRE D3FEND las contramedidas defensivas. La Pirámide del Dolor prioriza la detección según la dificultad de evasión del atacante. La Cadena de Ataques Cibernéticos modela la progresión del ataque a través de siete fases. El Modelo Diamante analiza las intrusiones a través de cuatro vértices (adversario, capacidad, infraestructura, víctima).
Estos marcos responden a la pregunta: ¿Cómo operan los atacantes y cómo los detectamos?
Los marcos de arquitectura definen los principios para crear sistemas seguros desde cero. Zero Trust (NIST SP 800-207) exige una verificación estricta de todos los usuarios y dispositivos, independientemente de su ubicación en la red. SABSA (Sherwood Applied Business Security Architecture) adopta un enfoque de la arquitectura de seguridad basado en el negocio.
Estos marcos responden a la pregunta: ¿Cómo diseñamos sistemas que sean seguros por defecto?
Los siguientes perfiles abarcan 15 marcos en las cinco categorías taxonómicas, y proporcionan el alcance, la estructura y la versión actual de cada uno de ellos.
El NIST CSF es el marco de ciberseguridad más ampliamente adoptado a nivel mundial. Clasificado como el marco más valioso por segundo año consecutivo (2024-2025), ha sido adoptado por más de la mitad de las empresas de la lista Fortune 500 (2024).
CSF 2.0, publicado en febrero de 2024, introdujo seis funciones básicas —Gobernar, Identificar, Proteger, Detectar, Responder y Recuperar— frente a las cinco de CSF 1.1. La incorporación de «Gobernar» refleja el creciente reconocimiento de que la ciberseguridad es una cuestión de gobernanza a nivel directivo, y no solo una cuestión técnica. Las actualizaciones de alineación de diciembre de 2025 refinaron aún más sus directrices.
El NIST CSF es voluntario, independiente del sector y diseñado para ser personalizado. Funciona para organizaciones de cualquier tamaño, desde pequeñas empresas hasta operadores de infraestructuras críticas.
La ISO 27001 es la norma internacional para los sistemas de gestión de la seguridad de la información (SGSI). La revisión de 2022 reorganizó los controles de 114 a 93, agrupados en cuatro temas: organizativo, personas, físico y tecnológico. La versión ISO 27001:2013 fue retirada oficialmente en octubre de 2025, por lo que todas las certificaciones ahora hacen referencia a la edición de 2022.
La adopción se está acelerando: el 81 % de las organizaciones informan que cuentan con la certificación ISO 27001 o tienen previsto obtenerla, frente al 67 % en 2024. La norma ISO 27001 es especialmente relevante para las organizaciones con operaciones internacionales o clientes que requieren una certificación de terceros.
El Centro para la Seguridad en Internet (CIS) publica 18 controles priorizados organizados en tres grupos de implementación: IG1 (higiene cibernética esencial, 56 medidas de seguridad), IG2 (medidas de seguridad adicionales para organizaciones medianas) e IG3 (cobertura integral para grandes empresas). La versión 8.1, publicada en junio de 2024, añadió una función de seguridad de «gobernanza» para alinearse con el NIST CSF 2.0.
Los controles CIS son el punto de partida recomendado para las organizaciones que implementan su primer marco, ya que IG1 proporciona la máxima reducción de riesgos con unos requisitos mínimos de recursos.
SOC 2 es un marco de certificación desarrollado por la AICPA que evalúa a las organizaciones de servicios en función de cinco criterios de servicio de confianza: seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad. A diferencia de la norma ISO 27001, SOC 2 no da lugar a una «certificación», sino a un informe de auditoría (tipo I para el diseño y tipo II para la eficacia operativa a lo largo del tiempo). Se encuentra entre los tres marcos más importantes, junto con la norma ISO 27001 y SOC 1 (2025).
La Norma de Seguridad de Datos de la Industria de Tarjetas de Pago protege los datos de los titulares de tarjetas. La norma PCI DSS 4.0 estableció 47 nuevos requisitos obligatorios a partir del 31 de marzo de 2025, lo que supuso un cambio hacia el cumplimiento continuo en lugar de evaluaciones puntuales. El incumplimiento conlleva sanciones de entre 5000 y 100 000 dólares al mes (2025), lo que lo convierte en uno de los marcos con mayores consecuencias financieras para las organizaciones que manejan datos de pago.
¿Es la HIPAA un marco de seguridad? La HIPAA es principalmente una normativa federal: la Ley de Portabilidad y Responsabilidad del Seguro Médico. Sin embargo, su Norma de Seguridad contiene una estructura similar a un marco de medidas de protección administrativas, físicas y técnicas que las organizaciones utilizan para proteger la información sanitaria protegida electrónica (ePHI). Para los equipos de ciberseguridad del sector sanitario, la Norma de Seguridad de la HIPAA funciona efectivamente como su marco de seguridad fundamental.
MITRE ATT&CK es una base de conocimientos accesible a nivel mundial sobre las tácticas, técnicas y procedimientos (TTP) de los adversarios, basada en observaciones del mundo real. La versión 18 (octubre de 2025) abarca 14 tácticas, 216 técnicas y 475 subtécnicas. Cabe destacar que la v18 sustituyó «Detecciones» por «Estrategias de detección», lo que proporciona una orientación más práctica para los defensores.
La versión 19 está prevista para abril de 2026 y dejará de utilizar la táctica de evasión de la defensa en favor de una categorización más detallada de las técnicas.
ATT&CK es el estándar de facto para mapear la cobertura de detección, realizar evaluaciones de defensa basadas en amenazas y comunicar el comportamiento de los adversarios en toda la industria.
MITRE D3FEND es un gráfico de conocimiento de contramedidas defensivas organizado en siete categorías: Modelar, Fortalecer, Detectar, Aislar, Engañar, Expulsar y Restaurar. La versión 1.3.0 (diciembre de 2025) incluye 267 técnicas defensivas y añade una extensión OT (tecnología operativa).
D3FEND complementa ATT&CK al mapear el lado defensivo de la ecuación: para cada técnica de ataque, ¿qué contramedidas pueden implementar las organizaciones? Vectra AI 12 referencias en D3FEND, más que cualquier otro proveedor.
La Cyber Kill Chain, desarrollada por Lockheed Martin, modela la progresión de los ataques a través de siete fases: reconocimiento, armamento, entrega, explotación, instalación, Command and Control, y acciones sobre los objetivos. Mientras que MITRE ATT&CK un mapeo granular a nivel técnico, la Cyber Kill Chain ofrece una visión estratégica de cómo fluyen los ataques, lo que la hace valiosa para comunicar las narrativas de los ataques a las partes interesadas sin conocimientos técnicos.
La mayoría de los competidores omiten por completo la cadena de ataque cibernético, a pesar de su uso generalizado en la planificación de la respuesta a incidentes y las operaciones del SOC.
La Pirámide del Dolor, creada por David Bianco, define seis niveles de dificultad de detección: valores hash (fáciles de cambiar para los atacantes), direcciones IP, nombres de dominio, artefactos de red/host, herramientas y TTP (los más difíciles de cambiar). El modelo enseña a los defensores a centrar sus inversiones en detección en la parte superior de la pirámide —los TTP— porque son los que causan más trastornos operativos a los adversarios.
En diciembre de 2024, el Centro MITRE para la Defensa Informada sobre Amenazas publicó una guía operativa para «alcanzar la cima de la pirámide», en la que se proporcionan métodos prácticos para implementar detecciones basadas en TTP.
Zero Trust es un modelo de arquitectura basado en siete principios fundamentales, siendo el más importante: nunca confíes, siempre verifica. La norma NIST SP 800-207 ofrece la definición oficial. La NSA publicó las Directrices Zero Trust en enero de 2026, en las que se ofrece un enfoque por fases para las agencias federales y las organizaciones de defensa.
Zero Trust no Zero Trust un producto, sino una filosofía de diseño que requiere una verificación continua de la identidad, el estado del dispositivo y el contexto antes de conceder acceso a cualquier recurso.
COBIT (Control Objectives for Information and Related Technologies) alinea la gobernanza de TI con los objetivos empresariales, lo que lo hace valioso para las organizaciones en las que la ciberseguridad debe integrarse con una gobernanza empresarial más amplia. FAIR (Factor Analysis of Information Risk) es un marco de análisis cuantitativo de riesgos que mide el riesgo de la información en términos financieros, esencial para presentar las inversiones en ciberseguridad a los consejos de administración y a los directores financieros.
Tabla: Comparación de marcos de seguridad por tipo, alcance, requisitos de certificación y adecuación al sector.
Las organizaciones rara vez implementan un único marco de forma aislada. El 52 % cumple con más de un marco (2025), y las empresas con ingresos superiores a 100 millones de dólares tienen una media de 3,2 marcos (2025).
La buena noticia es que los marcos se solapan significativamente. Las organizaciones que implementan la norma ISO 27001 ya cumplen aproximadamente el 83 % de los requisitos del NIST CSF, y el NIST CSF cubre alrededor del 61 % de los controles de la norma ISO 27001. Los controles CIS se corresponden directamente con las funciones del NIST CSF y los controles de la norma ISO 27001, lo que los convierte en una capa de implementación práctica para cualquiera de los dos marcos de gobernanza.
Los marcos de detección añaden una dimensión completamente diferente. MITRE ATT&CK D3FEND no sustituyen a los marcos de cumplimiento, sino que validan si los controles especificados por NIST, ISO y CIS funcionan realmente contra los comportamientos reales de los adversarios. Una organización puede cumplir plenamente con la norma ISO 27001 y, aun así, carecer de cobertura de detección para técnicas críticas de ATT&CK.
En lugar de adoptar todo de una vez, las organizaciones deben estratificar los marcos en función de su madurez.
Este enfoque por capas significa que cada inversión en el marco se basa en la anterior, en lugar de crear flujos de trabajo de cumplimiento paralelos.
El panorama normativo está evolucionando rápidamente. La gobernanza de la IA, la aplicación de la normativa de la UE y los requisitos cloud representan las áreas de más rápido crecimiento.
La norma ISO 42001 (publicada en diciembre de 2023) es la primera norma internacional para sistemas de gestión de IA. Las organizaciones que ya cuentan con la certificación ISO 27001 pueden alcanzar el cumplimiento de la norma ISO 42001 entre un 30 % y un 40 % más rápido debido a los requisitos compartidos del sistema de gestión (2025).
El perfil de ciberseguridad de la IA del NIST (IR 8596) publicó un borrador preliminar en diciembre de 2025, y se espera que el borrador público inicial esté listo a finales de 2026. Mientras tanto, MITRE ATLAS cataloga las amenazas adversarias a los sistemas de IA/ML, complementando ATT&CK en el ámbito de la IA.
La urgencia es real: el 64 % de las organizaciones evalúan ahora la seguridad de las herramientas de IA antes de su implementación, frente al 37 % en 2025 (WEF 2026). Y el 87 % identificó las vulnerabilidades relacionadas con la IA como el riesgo cibernético de más rápido crecimiento en 2025 (WEF 2026). Los plazos de alto riesgo de la Ley de IA de la UE llegan en agosto de 2026, lo que hace que los marcos de gobernanza de la IA sean operativamente urgentes para cualquier organización que implemente la IA en la UE.
La Directiva NIS2 amplía los requisitos de ciberseguridad a 18 sectores críticos de la UE. En enero de 2026, 16 de los 27 Estados miembros de la UE habían transpuesto la NIS2 a su legislación nacional. Las sanciones pueden alcanzar hasta 10 millones de euros o el 2 % de la facturación global. Las enmiendas de enero de 2026 propusieron una mayor armonización y una ampliación del ámbito de aplicación.
La Ley de Resiliencia Operativa Digital (DORA) entró en vigor en enero de 2025 y abarca 20 tipos de entidades financieras. La DORA exige marcos de gestión de riesgos de las TIC, notificación de incidentes, pruebas de resiliencia operativa digital y gestión de riesgos de terceros. Las revisiones supervisoras comenzarán en 2026, con multas de hasta el 2 % de la facturación anual global.
La Certificación del Modelo de Madurez de Ciberseguridad 2.0 entró en la Fase 1 en noviembre de 2025. La Fase 2 comienza el 10 de noviembre de 2026 y requiere evaluaciones de terceros para la certificación de Nivel 2. Más de 220 000 contratistas se ven afectados, lo que convierte al CMMC en uno de los marcos más importantes para la base industrial de defensa.
A medida que las organizaciones aceleran cloud , los marcos cloud están ganando importancia. La Matriz Cloud (CCM) de la CSA proporciona controles de seguridad cloud. La norma NIST SP 800-144 aborda cloud pública. Los puntos de referencia CIS Cloud ofrecen orientación sobre el refuerzo de la seguridad para AWS, Azure y GCP. Estos marcos complementan, en lugar de sustituir, a los marcos de uso general, añadiendo especificidad cloud a modelos de gobernanza más amplios. Los marcos de seguridad del IoT están madurando de forma similar para los entornos de tecnología operativa.
Tabla: Calendario de aplicación del marco normativo 2025-2026
La elección del marco adecuado depende de tres factores: los requisitos normativos de su sector, el nivel de madurez de su organización y sus principales objetivos de seguridad. Hay mucho en juego: el 47 % de las organizaciones afirmaron que la falta de certificación de cumplimiento retrasó los ciclos de ventas y el 38 % perdió un acuerdo debido a una garantía de seguridad insuficiente (2025).
Tabla: Guía de selección de marcos por sector, tamaño y objetivo de seguridad
La implementación de un marco de ciberseguridad requiere un enfoque estructurado. Adaptado del proceso de siete pasos del NIST, aquí se presenta una secuencia práctica.
El 95 % de las organizaciones se enfrentan a retos importantes a la hora de implementar marcos de seguridad (2024). La investigación identifica tres obstáculos principales.
Tabla: Retos más comunes en la implementación de marcos y estrategias de mitigación
Más de la mitad de las organizaciones cuentan con uno o menos empleados dedicados a tiempo completo a la seguridad (2025), y los equipos dedican aproximadamente ocho horas a la semana solo a tareas de cumplimiento normativo. La supervisión automatizada del cumplimiento normativo reduce las sanciones reglamentarias en un 40 % (2025), lo que convierte la automatización del SOC en un factor clave para los equipos con recursos limitados.
Cuando los marcos no se implementan, o se implementan con lagunas, las consecuencias son cuantificables.
Prosper Marketplace (2025). Los controles de acceso inadecuados provocaron la exposición de 17,6 millones de registros personales. La violación se relacionó directamente con fallos en la función «Proteger» del NIST CSF y el Control 6 del CIS (Gestión del control de acceso). La implementación adecuada de los requisitos de control de acceso de cualquiera de los dos marcos habría reducido significativamente la superficie de ataque.
Ransomware minorista del Reino Unido campaña de ransomware (2025). El grupo Scattered Spider aprovechó las deficiencias en la gestión de riesgos de la cadena de suministro de los principales minoristas del Reino Unido, entre ellos M&S, Co-op y Harrods. El ataque puso de manifiesto las debilidades en la gestión de riesgos de terceros, un requisito fundamental de la función «Gobernar» del NIST CSF y uno de los principales objetivos de la DORA.
Illuminate Education (2025). Un fallo en la gestión del ciclo de vida de las identidades dejó al descubierto millones de registros de estudiantes. La filtración de datos se atribuyó a deficiencias en el control 5 del CIS (gestión de cuentas), donde quedaron cuentas huérfanas y permisos excesivos tras los cambios de personal. Este caso ilustra por qué la gestión de vulnerabilidades y el control de identidades deben ponerse en práctica, y no solo documentarse.
Los marcos solo aportan valor cuando se mide su impacto. Cuatro métricas clave proporcionan visibilidad sobre la eficacia de los marcos.
El panorama del marco de seguridad está convergiendo en torno a tres temas: automatización, cumplimiento impulsado por la inteligencia artificial y la fusión de los marcos de detección y cumplimiento.
Se prevé que el gasto mundial en ciberseguridad alcance los 244 000 millones de dólares en 2026, y Gartner prevé que las soluciones de seguridad preventiva representarán la mitad del gasto total en seguridad en 2030. Este cambio refleja una tendencia más amplia en el sector, que pasa de una seguridad reactiva y basada en el cumplimiento normativo a una defensa proactiva y basada en señales.
Los marcos de detección como MITRE ATT&CK D3FEND se utilizan cada vez más junto con los marcos de cumplimiento para validar la eficacia operativa. Una lista de verificación de cumplimiento confirma que existen controles. Una evaluación de la cobertura de ATT&CK confirma que esos controles detectan realmente los comportamientos adversos reales. Las organizaciones están salvando esta brecha al mapear sus capacidades de detección de amenazas con las técnicas de ATT&CK y sus tecnologías defensivas con las contramedidas de D3FEND.
Las operaciones SOC impulsadas por IA están acelerando esta convergencia. Las capacidades de clasificación automatizada, detección de amenazas basadas en el comportamiento y búsqueda de amenazas ahora pueden validar los controles del marco en tiempo real, convirtiendo los artefactos de cumplimiento estáticos en resultados dinámicos y medibles.
Vectra AI los marcos de seguridad desde la perspectiva de la detección y la respuesta, en lugar de centrarse únicamente en el cumplimiento normativo. Con 12 referencias en MITRE D3FEND más que cualquier otro proveedor, y un profundo mapeo MITRE ATT&CK , Vectra AI los marcos conectando la cobertura de detección con los controles del marco.
Attack Signal Intelligence de la empresa Attack Signal Intelligence principios de detección de comportamientos basados en marcos como la pirámide del dolor y la cadena de ataque cibernético. En lugar de perseguir indicadores fácilmente modificables, como valores hash y direcciones IP, Attack Signal Intelligence en las TTP situadas en la parte superior de la pirámide: los comportamientos de los atacantes que son más difíciles de evadir.
Este enfoque centrado en la detección garantiza que los marcos se traduzcan en resultados de seguridad cuantificables: reducción del tiempo medio de detección, menos puntos ciegos en entornos híbridos y claridad de señales que elimina el ruido de las alertas. Es la diferencia entre demostrar que se dispone de controles y demostrar que esos controles realmente detienen los ataques. Obtenga más información sobre cómo la detección y respuesta de red pone en práctica los controles del marco.
Los marcos de seguridad no son meros trámites burocráticos, sino que constituyen la base estructural para defender a las organizaciones frente a un panorama de amenazas que se vuelve cada vez más sofisticado. La taxonomía de cinco categorías que se presenta aquí —que abarca el cumplimiento normativo, la gestión de riesgos, los catálogos de control, la inteligencia y detección de amenazas, y la arquitectura— ofrece un mapa completo del panorama de los marcos que va más allá de lo que ofrecen la mayoría de las guías.
Los programas de seguridad más eficaces estructuran los marcos según su madurez, comenzando con los controles CIS para la reducción inmediata del riesgo, avanzando hacia la gobernanza NIST CSF y validando la eficacia operativa mediante el mapeo MITRE ATT&CK D3FEND. Tratan los marcos centrados en la detección como elementos de primera importancia, junto con los requisitos de cumplimiento, ya que demostrar que se dispone de controles no tiene sentido si dichos controles no pueden detectar a los atacantes reales.
A medida que la gobernanza de la IA, la aplicación de la normativa de la UE y los marcos cloud siguen evolucionando, las organizaciones que prosperarán serán aquellas que pongan en práctica sus marcos, convirtiendo las políticas estáticas en resultados de seguridad dinámicos y medibles.
Las 5 C de la ciberseguridad (cambio, cumplimiento, coste, continuidad y cobertura) representan una perspectiva orientada a la gestión para evaluar los programas de seguridad. El cambio aborda cómo las organizaciones se adaptan a las amenazas en constante evolución. El cumplimiento garantiza que se cumplan los requisitos normativos y del marco. El coste equilibra la inversión en seguridad con la reducción del riesgo. La continuidad se centra en mantener las operaciones durante y después de los incidentes. La cobertura evalúa si los controles de seguridad protegen todos los activos, identidades y superficies de ataque. Aunque no se trata de un marco formal, las 5 C proporcionan un modelo mental útil para las conversaciones sobre seguridad a nivel directivo. Diferentes fuentes del sector definen modelos de 5 C ligeramente diferentes, por lo que el contexto es importante.
El NIST CSF 2.0 en sí mismo no define niveles de madurez. Sin embargo, el NIST proporciona cuatro niveles de implementación que describen el enfoque de una organización para gestionar los riesgos de ciberseguridad. El nivel 1 (parcial) indica una gestión de riesgos ad hoc y reactiva. El nivel 2 (basado en el riesgo) significa que las prácticas de gestión de riesgos están aprobadas por la dirección, pero pueden no estarlo en toda la organización. El nivel 3 (repetible) refleja políticas establecidas formalmente que se actualizan periódicamente. El nivel 4 (adaptable) describe a las organizaciones que mejoran continuamente basándose en las lecciones aprendidas y los indicadores predictivos. Estos niveles no son niveles de madurez prescriptivos: el NIST afirma explícitamente que no pretenden ser un mecanismo de puntuación. En cambio, ayudan a las organizaciones a comprender su situación actual y a establecer objetivos de mejora.
La HIPAA es una normativa federal, no un marco en el sentido tradicional. Sin embargo, la Norma de Seguridad de la HIPAA (45 CFR Parte 160 y Parte 164, Subpartes A y C) contiene una estructura similar a un marco de medidas de seguridad administrativas, físicas y técnicas que las organizaciones utilizan para proteger la información sanitaria protegida electrónica (ePHI). Las medidas de seguridad administrativas abarcan la evaluación de riesgos, la formación del personal y la planificación de contingencias. Las medidas de seguridad físicas se refieren al acceso a las instalaciones y a la seguridad de las estaciones de trabajo. Las medidas de seguridad técnicas incluyen controles de acceso, controles de auditoría y seguridad de la transmisión. En la práctica, muchas organizaciones sanitarias consideran la Norma de Seguridad de la HIPAA como su principal marco de seguridad, complementándolo con el NIST CSF para una gobernanza más amplia.
SOC 2 es un marco de certificación desarrollado por el Instituto Americano de Contadores Públicos Certificados (AICPA) que evalúa los controles de una organización de servicios en función de cinco criterios de servicio de confianza: seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad. Un informe SOC 2 Tipo I evalúa el diseño de los controles en un momento determinado, mientras que un informe Tipo II evalúa la eficacia operativa durante un período (normalmente de seis a doce meses). SOC 2 no da lugar a una «certificación» formal, sino más bien a la opinión de un auditor independiente. Se ha convertido en un requisito casi universal para las empresas de SaaS, cloud y cualquier organización que procese datos de clientes en nombre de otras empresas.
Esta es una pregunta habitual, pero contiene una suposición obsoleta. El NIST CSF 1.1 tenía cinco funciones: identificar, proteger, detectar, responder y recuperar. El NIST CSF 2.0, publicado en febrero de 2024, ahora tiene seis funciones con la incorporación de «gobernar». La función «gobernar» establece la estrategia, las expectativas y la política de gestión de riesgos de ciberseguridad a nivel organizativo. Reconoce que la gobernanza de la ciberseguridad es una responsabilidad de liderazgo, no solo técnica. Las seis funciones trabajan juntas en un ciclo continuo: Gobernar establece la estrategia, Identificar inventaría los activos y los riesgos, Proteger implementa las medidas de seguridad, Detectar descubre las amenazas, Responder contiene los incidentes y Recuperar restaura las operaciones.
El NIST CSF es un marco voluntario basado en resultados y centrado en la gestión de riesgos de ciberseguridad. Proporciona una orientación flexible que las organizaciones pueden adaptar a su contexto sin necesidad de certificación externa. La norma ISO 27001 es una norma internacional certificable con requisitos de control prescriptivos y procesos obligatorios del sistema de gestión. La coincidencia clave es significativa: las organizaciones que implementan la norma ISO 27001 cumplen aproximadamente el 83 % de los requisitos del NIST CSF. La distinción práctica radica en sus principales casos de uso. El NIST CSF se elige a menudo para la gobernanza interna, la alineación normativa (especialmente en los Estados Unidos) y la comunicación de riesgos. La norma ISO 27001 se prefiere cuando los clientes, socios o reguladores exigen una certificación independiente por parte de terceros, algo especialmente común en los mercados internacionales.
Como mínimo, las organizaciones deben realizar una revisión formal del marco una vez al año. Sin embargo, hay varios factores que deberían motivar una revisión inmediata: incidentes de seguridad importantes, cambios significativos en la infraestructura (cloud , fusiones y adquisiciones), nuevos requisitos normativos o actualizaciones de la versión del marco. El cambio de PCI DSS 4.0 hacia el cumplimiento continuo refleja la tendencia general del sector: las evaluaciones puntuales están dando paso a la supervisión y validación continuas. La mejor práctica consiste en integrar la revisión del marco en ciclos de gobernanza periódicos, con una supervisión automatizada del cumplimiento que proporcione visibilidad continua entre los periodos de revisión formales. El mapeo del marco de detección (como las evaluaciones de cobertura ATT&CK) debe revisarse trimestralmente o después de cualquier cambio significativo en el panorama de amenazas o en la pila de detección.