Skip to main content

Seminario web bajo demanda disponible próximamente

Blog

La ISO 27001 y el marco de ciberseguridad del NIST

La ISO 27001 y el marco de ciberseguridad del NIST son dos directrices de ciberseguridad que se solapan en bastantes aspectos. Descubre cómo trabajan de manera conjunta para aumentar la seguridad de la información.

Gradiente verde

Junto con el aumento de los riesgos de seguridad se encuentran las leyes y normativas correspondientes que son necesarias para mantener la seguridad de los datos de tu organización. En la actualidad, las dos garantías más comunes son la ISO 27001 y el marco de ciberseguridad 2.0 del NIST.

La ISO 27001 es una norma internacional para mejorar los sistemas de gestión de la seguridad de la información de una organización, mientras que el marco de ciberseguridad 2.0 del NIST ayuda a administrar y reducir los riesgos de ciberseguridad que puedan afectar a las redes o los datos.

Tanto la ISO 27001 como el marco de ciberseguridad 2.0 del NIST contribuyen de manera eficaz a una postura de seguridad más sólida. Sin embargo, la forma en que llevan a cabo la protección de datos es distinta según el marco.

A continuación, vamos a comparar las similitudes y diferencias entre la ISO 27001 y el marco de ciberseguridad 2.0 del NIST, y cómo funcionan de manera conjunta estos dos estándares a la hora de garantizar la seguridad de la información.
 

¿Qué es la ISO 27001?

La ISO 27001 o ISO/IEC 27001 fueron creadas por la Organización Internacional de Normalización en colaboración con la Comisión Electrotécnica Internacional.

La norma es reconocida a nivel internacional como uno de los métodos más efectivos a la hora de mantener la seguridad de la información. Detalla los requisitos para establecer, implementar, mantener y mejorar de modo continuo el sistema de gestión de seguridad de la información de una organización.

Según la norma ISO 27001, la seguridad de la información incluye tres elementos clave:

  • Confidencialidad: la información solo está disponible para usuarios autorizados
  • Integridad: la información es exacta y está completa.
  • Disponibilidad: los usuarios autorizados tienen acceso a la información cuando es necesario.

Las dos fases de la certificación ISO 27001

El proceso de certificación ISO 27001 consta de dos fases principales:

Fase 1: Revisión de documentación o auditoría de documentación

Un auditor externo revisará tus procesos y políticas para establecer si se ajustan a los requisitos de la ISO 27001 y si se ha implementado un sistema de gestión de seguridad de la información.
 

Fase 2: Certificación y auditoría

Un auditor realizará una evaluación exhaustiva in situ para establecer si el sistema de gestión de seguridad de la información de la organización cumple con la norma ISO 27001.

Si las organizaciones aprueban la auditoría de cumplimiento normativo formal, recibirán su certificación ISO 27001. Asimismo, las certificaciones ISO 27001 son válidas durante tres años, durante los cuales se realizan auditorías de vigilancia anuales durante los dos primeros años y, luego, se requiere una auditoría de recertificación al tercer año.
 

¿Qué es el marco de ciberseguridad 2.0 del NIST?

El marco de ciberseguridad 2.0 del NIST es un conjunto de directrices para que todas las organizaciones puedan administrar y reducir los riesgos de ciberseguridad.

Se trata de un estándar voluntario que abarca metodologías de ciberseguridad y ayuda a fomentar la comunicación de cumplimiento normativo entre las partes interesadas internas y externas.
 

Las 5 funciones del marco de ciberseguridad 2.0 del NIST

El NIST CSF está organizado en cinco funciones principales, que sirven como columna vertebral del marco principal:

1. Identificación: desarrolla un resumen general sobre cómo la organización administrará los riesgos de ciberseguridad para los sistemas, los individuos, los activos, los datos y las funciones. Además, consultar el contexto empresarial, los recursos que respaldan las funciones críticas y los riesgos de ciberseguridad que estén relacionados ayuda a centrarse y priorizar los esfuerzos a la hora de ser consistentes con las estrategias de gestión de riesgos y las necesidades empresariales.

2. Protección: establecer garantías para asegurar la prestación de servicios de infraestructura crítica y limitar o contener el impacto negativo de las incidencias de ciberseguridad.

3. Detección: implementar actividades clave que ayuden a descubrir e identificar cualquier incidencia de ciberseguridad en el momento oportuno.

4. Respuesta: planifica las actividades que deben tener lugar cuando se detecte un incidente de ciberseguridad, incluido cómo contener el impacto negativo en toda la organización, notificar a las partes interesadas internas y externas, y proseguir con las operaciones comerciales.

5. Recuperación: identifica los planes para recuperar y restaurar cualquier función que se vea afectada por un incidente de ciberseguridad y sobre mejoras recomendadas con respecto a las actividades de gestión de seguridad existentes.

* Además, el borrador propuesto del marco de ciberseguridad 2.0 del NIST agrega una función de «gobernanza» para enfatizar la importancia del gobierno de la ciberseguridad.
 

El marco de ciberseguridad y la publicación extraordinaria 800-53 del NIST

El marco de ciberseguridad del NIST proporciona un ámbito de alto nivel y un marco flexible que cualquier organización puede utilizar para crear un programa de seguridad de la información. Por el contrario, el marco 800-53 se trata de una publicación especial que tiene por objeto ayudar a implementar el marco de ciberseguridad del NIST en empresas privadas que trabajan con el gobierno federal de los EE. UU.

Asimismo, incluye tanto los requisitos del marco de ciberseguridad del NIST como los de la ISO 27002, así como muchos otros, lo que convierte al marco 800-53 en uno de los marcos de ciberseguridad más exhaustivos que hay disponibles.

Por esta razón, tanto las agencias gubernamentales como la Ley federal de gestión de seguridad de la información y el Marco de gestión de riesgos de garantías de la información del Departamento de Defensa dependen en gran medida del marco 800-53 del NIST.
 

Similitudes entre la ISO 27001 y el marco de ciberseguridad del NIST

La ISO 27001 y el marco de ciberseguridad del NIST son marcos complementarios que se basan en procesos de gestión de riesgos similares:

  • Identificar los riesgos para la información de la organización
  • Implementar controles adecuados para el riesgo
  • Monitorizar su rendimiento

Hay muchos otros aspectos que se solapan entre los dos marcos de seguridad. De hecho, una organización que cuenta con una certificación ISO 27001 ya ha cumplido con aproximadamente el 83% de sus requisitos en lo que respecta al marco de ciberseguridad del NIST. Por el contrario, una organización que cumpla con el marco de ciberseguridad del NIST ya cumple con el 61 % de los requisitos de la ISO 27001.
 

Diferencias entre la ISO 27001 y el marco de ciberseguridad 2.0 del NIST

A pesar de las muchas similitudes entre la ISO 27001 y el marco de ciberseguridad del NIST, hay ciertas variaciones que cabe destacar entre los dos estándares. Como, p. ej.:

Jurisdicción cubierta: la ISO 27001 es un enfoque reconocido internacionalmente que se utiliza para establecer y mantener un sistema de gestión de seguridad de la información, mientras que el NIST se fundó para ayudar a las agencias y organizaciones federales de los EE. UU. a la hora de administrar mejor sus riesgos.

Número de requisitos: el Anexo A de la ISO 27001 incluye 93 controles que se ubican en cuatro secciones, mientras que los marcos del NIST disponen de varios catálogos de control y cinco funciones para personalizar los controles de ciberseguridad.

Nivel técnico y fase operativa: la ISO 27001 es comparativamente menos técnica y pone un mayor énfasis en la gestión basada en el riesgo y las organizaciones que han alcanzado la madurez operativa. Por otra parte, el marco de ciberseguridad del NIST es más técnico y está más adecuado para las fases iniciales del programa de riesgo de ciberseguridad o cuando se intente mitigar una brecha.

Costes previstos: la norma ISO 27001 implica una serie de auditorías y certificaciones que involucran un mayor gasto. Por su parte, el marco de ciberseguridad del NIST es voluntario, lo que permite que las organizaciones puedan implementar el estándar a su ritmo y con sus recursos.
 

La ISO 27001 y el marco de ciberseguridad 2.0 del NIST pueden trabajar de manera conjunta

Por su parte, estos dos marcos abordan la seguridad de la información y la gestión de riesgos desde diferentes ángulos y ámbitos.

Como consejo, las organizaciones que acaban de empezar a crear su programa de ciberseguridad pueden comenzar con el marco de ciberseguridad 2.0 del NIST. Esto ayuda a esbozar con claridad el estado del programa de ciberseguridad, después del cual se puede desarrollar un proceso más seguro a medida que se escala y se trabaja de cara a la certificación de la ISO 27001.
 

Para saber más sobre cómo lograr el cumplimiento normativo, descarga nuestro libro electrónico sobre la ISO 27001. También puedes solicitar una demostración de la herramienta Compliance Automation.


También podría interesarte: