Skip to main content

Seminario web bajo demanda disponible próximamente

Blog

5 marcos de gestión de riesgos de TI que debes tener en cuenta para tu programa

La mejor práctica es aplicar uno o varios sistemas al enfoque de seguridad de tu empresa

Kaitlyn Archibald
Responsable de marketing de productos, GRCP

Gradiente naranja y amarillo

¿Cómo sabe tu empresa qué marco de ciberseguridad debe aplicar? ¿Cuál es el proceso interno que se utiliza para establecer un sistema que se ajuste a los protocolos más relevantes para tu empresa? Alrededor del 84 % de las organizaciones utilizan un marco de ciberseguridad y el 44 % utilizan más de uno.
 

5 marcos de gestión de riesgos de TI que debes tener en cuenta

En primer lugar, debes determinar qué marco se ajusta a las necesidades de tu empresa y los requisitos del sector. Aunque es posible que algún marco no se adapte a tu negocio, la comparación de los marcos de la competencia puede ayudarte a decidir dónde debes centrarte. A continuación, se presentan cinco marcos que debes tener en cuenta.
 

ISO 27001 e ISO 27002

El catálogo ISO se encuentra entre las principales referencias de gestión de riesgos a la hora de certificar las funciones y prácticas de tu organización. Por ejemplo, la ISO 27001 es una de las normas más conocidas y adoptadas a nivel mundial dentro de la comunidad de seguridad de la información. El marco se revisó en profundidad en 2022 y proporciona directrices específicas y controles de seguridad para el tratamiento de información financiera, propiedad intelectual, detalles de empleados o información que le confíen terceros.

Por su parte, la ISO 27002 es una guía complementaria para la 27001 para que los centros establezcan un sistema de gestión de seguridad de la información de acuerdo con la ISO/IEC 27001. Proporciona detalles importantes sobre los controles clave de 27001 y detalla los objetivos de control para ayudar a las organizaciones a la hora de implementar más adecuadamente el marco dentro de sus operaciones específicas.

Descubre cómo OneTrust GRC te puede ayudar a poner en funcionamiento tu programa de seguridad de la información.
 

Certificación del modelo de madurez de ciberseguridad

La certificación del modelo de madurez de ciberseguridad se publicó en enero de 2020 y se revisó en el año 2022. La certificación del modelo de madurez de ciberseguridad ofrece un modelo exhaustivo que se basa en las publicaciones extraordinarias 800-171 y 800-172 más recientes del NIST.
 

NIST 800-53 y marco de ciberseguridad del NIST

El Instituto Nacional de Estándares y Tecnología publica una serie de guías sobre procesos y marcos de gestión de riesgos de TI; especialmente, el NIST 800-53 y el marco de ciberseguridad. El NIST 800-53 documenta un sólido catálogo de controles y objetivos de seguridad y privacidad que están designados para los sistemas de información federales de los EE. UU. con objeto de respaldar las mejores normas de ciberseguridad de su clase.

El marco de ciberseguridad del NIST consta de normas, directrices y prácticas recomendadas. De hecho, se basa en marcos existentes (incluidos el NIST 800-53, la ISO 27000) pero ofrece un ámbito de controles junto con una explicación por escrito para ejecutivos o individuos sin conocimiento técnico.
 

SOC 2 del AICIPA

Los SOC 2, que fueron desarrollados y publicados por el AICPA, definen los criterios a la hora de administrar datos de clientes de acuerdo con cinco principios clave:  

  • Seguridad 
  • Disponibilidad 
  • Integridad del tratamiento  
  • Confidencialidad 
  • Privacidad 

En lugar de proporcionar un marco detallado de gestión de riesgos de TI de controles predefinidos, las organizaciones pueden definir su conjunto de controles de servicio y organización (SOC), incorporar controles en sus políticas corporativas, auditar la efectividad y diseñar para evaluar lo bien que el modelo de control cumple con los cinco principios según las operaciones comerciales.
 

EBIOS

El EBIOS (en español, declaración de necesidades e identificación de objetivos de seguridad) es un marco de seguridad de la información que ha publicado y mantenido actualizado la Agencia Nacional de Seguridad de Sistemas de Información y la Agencia de Ciberseguridad de Francia. 

El marco EBIOS se ha desarrollado para organizaciones que trabajan directamente con el Ministerio de Defensa con el fin de reducir el riesgo y garantizar el tratamiento de información confidencial o sensible. Hoy en día, el marco de riesgo y cumplimiento normativo se aplica a cualquier organización pública o privada, o junto con los programas de seguridad de la información existentes.

Más información sobre cómo afecta la gestión de riesgos de TI y seguridad a tu organización: Gestión de riesgos de TI y seguridad 101: Cómo comprender el impacto de la gestión de riesgos de TI y seguridad en tu organización

 

 

Cómo mitigar el riesgo tecnológico con Compliance Automation

Ningún marco de gestión de riesgos tecnológicos es mejor que otro, y cada uno tiene sus pros y sus contras. Lo importante es elegir el marco que mejor refleje tus políticas de cumplimiento normativo y necesidades empresariales con objeto de protegerse frente a los riesgos de seguridad que puedan afectar a tus operaciones.

En cuanto tengas el marco establecido, querrás mantener tus datos de riesgo actualizados y con su contexto para con la información actual. En este caso, el software de automatización del cumplimiento y riesgos tecnológicos resulta de gran ayuda.

La solución OneTrust Tech Risk & Compliance tiene las funciones, la funcionalidad y los recursos ampliados que tu equipo necesita para mantenerse al día con las últimas actualizaciones de cumplimiento normativo. Solicita que uno de los miembros de nuestro equipo te haga una demostración hoy mismo.


También podría interesarte:

Evento presencial

Privacy & Data Governance

OneTrust Day Barcelona

Acompáñanos en la primera edición de OneTrust Day Barcelona, un evento exclusivo donde hablaremos de los temas más actuales y relevantes en el mundo de la Privacidad, la Inteligencia Artificial, el Consentimiento y Preferencias, la Gestión de Terceros y los próximos desafíos relacionados con la directiva NIS2.  

mayo 22, 2025

Aprende más

Seminario web

GRC y garantía de seguridad

Cumplimiento de NIS2: cómo resolver los retos de la normativa con una demostración práctica

Acompáñanos en esta sesión dónde repasaremos los principales requisitos de la normativa NIS2 y su impacto. Además, podrás asistir a una demostración práctica y conocer cómo OneTrust te ayuda a resolver los retos de gobernanza, gestión de riesgos y terceros, gestión de incidentes y cumplimiento asociados a la normativa.

noviembre 26, 2024

Aprende más

Lista de verificación

Riesgos de terceros

Cumplimiento normativo de la privacidad con Third-Party Risk Management: Qué preguntarse al trabajar con terceros

Descarga esta lista de verificación para saber qué preguntas hacer a la hora de diseñar un programa de gestión de riesgos de terceros que permita el cumplimiento normativo de la privacidad.

mayo 31, 2024

Aprende más

Seminario web

GRC y garantía de seguridad

OneTrust Certification Automation: Facilita el cumplimiento de ISO 27001 y NIS2, y muchos otros marcos y normas

Construye, escala y automatiza tu programa de cumplimiento InfoSec.

junio 15, 2023

Aprende más

Libro electrónico

Riesgos de terceros

Cómo dominar el ciclo de vida de la gestión de riesgos de terceros

Descarga nuestro libro electrónico sobre gestión de riesgos de terceros y recibe una hoja de ruta completa sobre el ciclo de vida de gestión de riesgos de terceros.

julio 13, 2021

Aprende más