Los marcos de seguridad te lo ponen más fácil a la hora de identificar, evaluar y monitorizar los riesgos de TI. ¿Qué tipos beneficiarán a tu organización?
Katrina Dalao
Especialista sénior en marketing de contenido
6 de marzo de 2023
El camino hacia un programa cohesivo de seguridad de la información (InfoSec) se fundamenta en marcos. Junto con otros estándares y normativas del sector, los marcos ayudan a proteger los datos de tu empresa frente a amenazas y vulnerabilidades.
Titulares como la brecha de datos en Marriott, donde se filtró la información de hasta 500 millones de huéspedes, y la filtración de datos en Twitter, donde más de 200 millones de usuarios se vieron afectados, ponen de manifiesto la importancia de disponer de un programa de seguridad de la información fiable.
Y aunque cada empresa opera de manera diferente, los marcos de seguridad son el punto de partida recomendado a la hora de crear un programa de InfoSec potente. Los directores de seguridad de la información y otros profesionales del campo de la seguridad confían en marcos a la hora de identificar y priorizar las tareas necesarias para demostrar la seguridad de la información.
Los marcos de seguridad son conjuntos de políticas, directrices y prácticas recomendadas que se han diseñado para gestionar los riesgos de seguridad de la información de una organización. Tal y como su nombre indica, los marcos proporcionan la estructura de apoyo necesaria para proteger los datos internos contra amenazas y vulnerabilidades cibernéticas.
Al establecer un conjunto común de estándares, los marcos facilitan que los profesionales de InfoSec puedan comprender la postura de seguridad actual de la organización y se puedan preparar para las próximas auditorías.
Asimismo, los marcos de seguridad se pueden adaptar a regulaciones específicas del sector, objetivos de cumplimiento normativo o preocupaciones de seguridad de la información. Al adoptar varias normas relevantes, las organizaciones pueden definir las tareas exactas y desarrollar su propio enfoque para gestionar la exposición al riesgo de manera más inteligente.
Los marcos de TI y ciberseguridad se dividen en tres tipos diferentes, según el propósito y el nivel de madurez:
Los marcos de control son la base de todos los programas de seguridad; es decir, son los controles y procesos específicos que ayudan a proteger contra amenazas. Aunque las organizaciones pueden contar con actividades de seguridad concretas, los marcos de control ayudan a adelantarse a los riesgos de seguridad gracias a un enfoque sistemático del cumplimiento normativo. Los marcos de control ayudan a:
Ejemplos de marcos de control: publicación especial 800-53 del NIST, controles de seguridad críticos del CIS.
El objetivo principal de los marcos del programa es presentar una visión de más alto nivel sobre los esfuerzos de seguridad de la organización. A medida que los programas van madurando, estos marcos ayudan a los líderes a comprender mejor la postura de seguridad a nivel general. Las tareas de marcos de programas incluyen:
Ejemplos de marcos de programas: ISO 27001, marco de ciberseguridad del NIST.
Los programas de seguridad maduros normalmente incluyen marcos de riesgo relevantes. Estos se centran en los controles necesarios para revisar, analizar y priorizar de manera adecuada las actividades de la organización frente a los continuos riesgos de seguridad. Además, los marcos de riesgo ayudan a:
Ejemplos de marcos de control: NIST 800-39, NIST 800-37, NIST 800-30.
El marco de seguridad ideal para tu empresa es aquel que se ajuste a la madurez interna del programa y los objetivos estratégicos, así como con los estándares normativos y del sector externo. Abajo, te presentamos los 18 ejemplos más populares de marcos y normas de seguridad:
La serie ISO 27000, confeccionada por la Organización Internacional de Normalización, es la norma de ciberseguridad más reconocida. Aunque es lo suficientemente flexible como para aplicarse a cualquier operación, la norma internacional asume que la organización dispone de un sistema de gestión de seguridad de la información para administrar sus datos y protegerse contra riesgos.
Los dos marcos más destacados son la ISO 27001 (ISO/IEC 27001), que describe los requisitos de un sistema de gestión de seguridad de la información, y la ISO 27002, que orienta a las organizaciones sobre cómo desarrollar los controles del sistema de gestión de seguridad de la información que resulten aplicables.
Consulta más información sobre las normas de la ISO 27001 y su última actualización aquí.
El marco del Instituto Nacional de Estándares y Tecnología para mejorar la ciberseguridad de las infraestructuras críticas se publicó en febrero de 2013 durante el gobierno de Obama con el objetivo de proteger la infraestructura de los EE. UU. de ciberataques.
Sectores críticos como el energético, los servicios sanitarios, las comunicaciones y el transporte son objetivos vulnerables para los hackers y, por tanto, deben mantener un alto nivel de seguridad. El marco de ciberseguridad del NIST se centra en el riesgo y ajusta sus controles de seguridad a las cinco fases de gestión de riesgos: identificación, protección, detección, respuesta y recuperación.
Aunque el marco de ciberseguridad del NIST solo es obligatorio para las agencias federales, se trata de un marco flexible que puede ayudar a cualquier organización a la hora de mejorar su postura de seguridad.
A diferencia del marco de ciberseguridad del NIST, la serie de publicaciones especiales del NIST ofrece más especificaciones técnicas, recomendaciones y materiales de referencia.
En su origen, la publicación especial del NIST se confeccionó para agencias federales y proveedores externos, pero puede ayudar a cualquier tipo de organización a la hora de crear un programa de ciberseguridad fiable. Dicho esto, esta serie se divide en tres categorías:
El Instituto Estadounidense de Contadores Públicos Certificados (AICPA, por sus siglas en inglés) creó el SOC 1 y SOC 2 para auditar la forma en que las empresas de servicios tratan los datos de los clientes y gestionan el riesgo de terceros. Sin embargo, eso es lo único que estos dos marcos tienen en común.
El SOC 1 se centra en los controles financieros que cumplen los objetivos identificados, mientras que el SOC 2 pone el foco de modo amplio sobre los controles relacionados con los principios de confianza del AICPA: seguridad, disponibilidad, integridad del tratamiento, confidencialidad y privacidad. También existe un informe SOC 3 algo menos conocido que es como SOC 2 pero atendiendo a las partes interesadas y a un público más general.
La HIPAA y el marco de seguridad común de HITRUST son dos marcos de ciberseguridad que se aplican a la información médica protegida de los pacientes.
La Ley de transferencia y responsabilidad de seguros de salud de 1996 (HIPAA, por sus siglas en inglés) es una ley federal que afecta al ámbito sanitario. El congreso estadounidense aprobó esta legislación que se aplica a las «entidades cubiertas», entre las que se incluyen los proveedores sanitarios, planes de salud, empresas de seguros y cualquier empresa que trate datos médicos de pacientes. Aunque no hay ninguna certificación oficial, el Departamento de Salud de los EE. UU. se encarga de velar por el cumplimiento de la HIPAA.
Por otra parte, HITRUST es una organización privada que creó su propio marco de cumplimiento normativo; es decir, su marco de seguridad común. Este marco combina múltiples medidas de seguridad y normativas de privacidad que se aplican a cualquier organización que trate datos confidenciales. Sin embargo, aunque HITRUST ayuda a lograr el cumplimiento de la HIPAA, su marco no reemplaza en absoluto esta ley ni tampoco pone de manifiesto si la organización de atención médica cumple o no con la HIPAA.
Para saber más sobre las diferencias entre la HIPAA y HITRUST haz clic aquí.
La norma de seguridad de datos de la PCI (industria de tarjetas de pago) es un marco global para cualquier organización que trate, almacene o transfiera información del titular de una tarjeta. Confeccionado en 2004 por las principales empresas de tarjetas de crédico (American Express, Discover, JCB, MasterCard y VISA), este marco tiene como objetivo mantener segura la información del titular de la tarjeta y reducir el fraude.
Para ello, esta norma de seguridad de datos describe cuatro niveles de cumplimiento normativo en función de las operaciones anuales de la organización y 12 medidas necesarias que cumplen con las prácticas recomendadas de seguridad.
El RGPD es un marco que aprobó la UE con el fin de proteger la privacidad y seguridad de los datos de sus ciudadanos. Entró en vigor en 2016 y afecta a todas las organizaciones que recopilan y tratan datos de los ciudadanos de la UE, sin importar dónde se encuentre la empresa.
Dicho esto, todos estos detalles los cubrimos en nuestra guía completa sobre cumplimiento del RGPD.
Las organizaciones que están implementando su programa de seguridad deben considerar los controles críticos de seguridad del CIS. Con su concisa lista de 18 controles, el CIS prioriza las medidas esenciales que cualquier organización puede tomar para aumentar la protección contra los riesgos de ciberseguridad.
Dicho esto, en contraposición con los marcos de seguridad que van más a fondo, los controles del CIS son prácticas generales que previenen la mayoría de los ataques más recientes y generan funciones de defensa cibernética de cara al futuro.
Los objetivos de control para la información y tecnologías relacionadas (COBIT) son un marco global que tiende puentes entre las lagunas de los procesos de seguridad y los objetivos empresariales. Por su parte, este marco, que desarrolló la Asociación de Controles y Auditoría de Sistemas de Información (ISACA), se centra en crear un sistema de gobernanza de TI para toda la empresa.
Por último, los COBIT 2019, es decir, la versión más reciente de estos objetivos, son adecuados para cualquier tipo de empresa e incluyen 6 principios y 40 procesos para respaldar los objetivos empresariales y de gobernanza.
La Ley federal de gestión de seguridad de la información (FISMA, por sus siglas en inglés) es un marco para las agencias gubernamentales de carácter federal y los proveedores externos que estén asociados. Al igual que el marco del NIST, la ley FISMA requiere que las organizaciones implementen un conjunto obligatorio de controles y procesos, efectúen evaluaciones rutinarias sobre riesgos y monitoricen su infraestructura de TI de manera continua.
La Protección de Infraestructuras Críticas de la North American Electric Reliability Corporation (NERC-CIP) se creó para garantizar la fiabilidad y seguridad del sistema eléctrico de Norteamérica en su totalidad. De hecho, se diseño en concreto para el sector energético y de las infraestructuras, y requiere el cumplimiento normativo por parte de cualquier entidad que desempeñe algún rol dentro de la red eléctrica de esta región.
Para evitar que incidencias menores se conviertan en crisis de energía generalizadas, la NERC-CIP establece normas y directivas dentro de su sector que resultan críticas para salvaguardar las operaciones. Además, este marco incluye requisitos de ciberseguridad, respuesta ante incidentes y planes de recuperación, formación para la plantilla y otras medidas con objeto de garantizar la entrega continua de electricidad.
El «Trusted Information Security Assessment Exchange» (TISAX) es una evaluación y mecanismo de intercambio para la seguridad de la información dentro del sector automotriz. Dicho esto, se trata de la norma de gestión de seguridad de la información para el sector automotriz más importante del mundo y, por ende, de un requisito obligatorio para cualquier organización que quiera hacer negocios con cualquiera de las empresas automotrices de Alemania.
El TISAX, que usa la ISO 27001 como referencia, se adapta a las empresas automotrices y premia a las empresas que cumplen con un nivel bien definido de gestión de la seguridad de la información. Por último, en la actualidad, existen tres niveles de evaluación y ocho objetivos de evaluación entre los que la organización puede elegir.
Los controles generales de TI de Sarbane-Oxley forman parte de la Ley Sarbane-Oxley, de carácter más amplio, y establecen los requisitos para los informes financieros de todas las empresas que se preparen para una oferta pública de venta (OPV) o para empresas que ya coticen en bolsa.
Gracias a estos controles, se puede atestiguar la integridad de los datos y de los procesos de los controles internos para la generación de informes financieros, incluidas las aplicaciones, los sistemas operativos, las bases de datos y la infraestructura de soporte de TI. Por último, los controles de este marco abarcan el acceso a programas y datos, cambios de programa, operaciones informáticas y desarrollo de programas.
La Ley de privacidad del consumidor de California (CCPA, por sus siglas en inglés) se promulgó en 2018 con el objetivo de mejorar los derechos de privacidad de los consumidores que residen en California. En concreto, se centra en cómo las empresan recopilan y utilizan los datos personales y, además, bebe mucho del RGPD de la UE, por lo que tiene como finalidad otorgarle a los consumidores un mayor control sobre sus datos. Asimismo, este marco se aplica a cualquier entidad con ánimo de lucro que cumpla con alguno de los siguientes requisitos:
Estas empresas están obligadas a cumplir con cualquier solicitud del consumidor que quiera saber qué datos se están recopilando sobre sí mismo, el propósito de la recopilación de los datos, la lista de terceros con control de acceso a sus datos y la posibilidad de solicitar que se eliminen sus datos de los registros.
La Ley de derechos de privacidad de California de 2020 es una ley relativamente nueva que se fundamenta en la CCPA y los derechos de privacidad de los datos de los consumidores de California.
Aunque la CPRA se aplica a las mismas organizaciones que la CCPA, la principal diferencia entre estas dos leyes es que la CPRA también abarca a las empresas que obtienen el 50 % o más de sus ingresos anuales a partir de la venta o de compartir datos personales de los consumidores. Dicho esto, la CPRA también define los datos personales de carácter confidencial como una nueva categoría, que incluye números de la Seguridad Social, carné de conducir, números de pasaporte, cuentas financieras y cualquier otro dato de índole similar.
La certificación del modelo de madurez de ciberseguridad es el marco del Departamento de Defensa a la hora de evaluar y mejorar la postura de ciberseguridad de la Base Industrial de Defensa. A pesar de tratarse de un marco relativamente nuevo, puesto que se estableció en enero de 2020, la mayoría de sus requisitos de seguridad (es decir, 110 de 171) también se encuentran en la publicación especial 800-171 del NIST.
El modelo cubre tres niveles de cumplimiento normativo: esencial, avanzado y experto, y se incorpora al Suplemento del Reglamento Federal de Adquisiciones de Defensa (DFARS, por sus siglas en inglés). Para el año 2025, todos los proveedores necesitarán una certificación del modelo de madurez de ciberseguridad para optar por contratos públicos.
OneTrust Compliance Automation te ayuda a lidiar con los constantes cambios en el panorama de seguridad de la información y permanecer a la cabeza de los requisitos normativos.
A medida que va creciendo tu negocio, el alcance de tu cumplimiento normativo se puede ir ampliando con facilidad para aplicar marcos a lo largo de varios ámbitos de cumplimiento o para garantizar el cumplimiento con varios marcos. De hecho, Compliance Automation cubre más de 29 marcos para simplificarle a tu organización el cumplimiento normativo en materia de seguridad.
Nuestro equipo interno de exauditores y expertos en InfoSec te ayudará a simplificarlo todo al actuar sobre el cumplimiento normativo con directrices para implementar controles según las partes interesadas, profundidad y conectividad de tu tipo de negocio, mucho más allá de los controles tradicionales y la recopilación de evidencias.
Solicita una demostración de OneTrust Compliance Automation para ver cómo puede ayudarte a crear, escalar y automatizar tu programa de cumplimiento normativo en materia de seguridad.
Seminario web
Acompáñanos el próximo 24 de abril a esta sesión y descubre como OneTrust y Deloitte facilitan la adopción de DORA y sus estándares asociados en una sesión práctica donde veremos desde la Gestión de Riesgos y la Gestión de Incidentes, hasta el Registro de Información de la cadena de suministro.