Guía Esencial de Marcos de Seguridad y 14 Ejemplos
Aunque la mayoría de los CEO y expertos en cumplimiento comprenden el valor de las medidas de ciberseguridad, los marcos de seguridad pueden hacer que proteger su organización parezca desalentador. Sabe que necesita implementar algo formal, pero puede que no sepa qué marcos y estándares de seguridad debe considerar (o a los que legalmente necesita adherirse).
Esta guía explora 14 marcos de seguridad comunes y proporciona información práctica para que pueda elegir con confianza el o los adecuados para su organización.
¿Qué es un marco de seguridad?
Un marco de seguridad define políticas y procedimientos para establecer y mantener controles de seguridad. Los marcos aclaran los procesos utilizados para proteger una organización de los riesgos de ciberseguridad. Ayudan a los profesionales de seguridad informática y a los equipos de seguridad a mantener sus organizaciones en cumplimiento y protegidas de amenazas cibernéticas.
Es importante tener en cuenta que una vez que haya implementado un marco de seguridad, no debería marcar "cumplimiento" en su lista de tareas pendientes.
Uno de los mayores errores relacionados con la seguridad que cometen las empresas es revisar el cumplimiento una vez y luego olvidarse de él.
Como explica nuestro CEO Shrav Mehta, "Los requisitos de cumplimiento, controles y políticas son cosas que necesitan ser revisadas y actualizadas de manera continua para mantenerse verdaderamente seguros."
14 marcos de ciberseguridad comunes
Ahora que hemos establecido por qué los marcos de seguridad son importantes, veamos algunos de los marcos más comunes para ayudarle a decidir cuáles son los adecuados para su organización.
14 Marcos de Seguridad que Debería Conocer
| Framework | Purpose | Best Suited For | Certification | Certification Method | Audit Duration | Audit Frequency |
|---|---|---|---|---|---|---|
| SOC 2 | Manage customer data | Companies and their third-party partners | N/A | Authorized CPA firms | 6-month period | Every year |
| ISO 27001 | Build and maintain an information security management system (ISMS) | Any company handling sensitive data | Yes | Accredited third-party | 1 week-1 month | Every year |
| NIST Cybersecurity Framework | Comprehensive and personalized security weakness identification | Anyone | N/A | Self | N/A | N/A |
| HIPAA | Protect patient health information | The healthcare sector | Yes | The Department of Health and Human Services (third-party) | 12 weeks | 6 per year |
| PCI DSS | Keep card owner information safe | Any company handling credit card information | Yes | PCI Qualified Security Assessor (third-party) | 18 weeks | Every year |
| GDPR | Protect the data of people in the EU | All businesses that collect the data of EU citizens | Yes | Third-party | About 30 days | Depends on preference |
| HITRUST CSF | Enhance security for healthcare organizations and technology vendors | The healthcare sector / Anyone | Yes | Third-party | 3-4 months | Every year |
| COBIT | Alignment of IT with business goals, security, risk management, and information governance | Publicly traded companies | Yes | ISACA (third-party) | N/A | N/A |
| NERC-CIP | Keep North America’s bulk electric systems operational | The utility and power sector | Yes | Third-party | Up to 3 years | Every 5 years |
| FISMA | Protect the federal government’s assets | The federal government and third parties operating on its behalf | Yes | The FISMA Center | 12 weeks | Every year |
| NIST Special Publication 800-53 | Compliance with the Federal Information Processing Standards' (FIPS) 200 requirements and general security advice | Government agencies | N/A | Self | N/A | N/A |
| NIST Special Publication 800-171 | Management of controlled unclassified information (CUI) to protect federal information systems | Contractors and subcontractors of federal agencies | N/A | Self | N/A | N/A |
| IAB CCPA | Protecting California consumers’ data | California businesses and advertising tech companies | N/A | Self | N/A | N/A |
| CIS Controls | General protection against cyber threats | Anyone | Yes | Third-party | N/A | N/A |
1. SOC 2
<hipervínculo id=0>Sistemas y Controles de Organización (SOC) 2</hipervínculo> es un conjunto de criterios de cumplimiento desarrollados por el Instituto Americano de Contadores Públicos Certificados (AICPA).
- Para quién es: Empresas y sus socios terceros
- Enfoque: Gestión de datos de clientes y gestión de riesgos de terceros
SOC 2 evalúa la postura de seguridad de una empresa en relación con cinco <hipervínculo id=0> Criterios de Servicios de Confianza </hipervínculo>. Después de una auditoría, el auditor entrega a la empresa un informe SOC 2 con información sobre la calidad de su ciberseguridad en relación con los TSC: seguridad, disponibilidad, confidencialidad, integridad de procesamiento y privacidad.
A pesar del valor que proporciona a una organización, implementar SOC 2 puede ser un desafío y llevar mucho tiempo. Secureframe agiliza ese proceso, ayudando a las empresas a <hipervínculo id=0>cumplir con SOC 2</hipervínculo> en tiempo récord.
La Guía Definitiva de SOC 2
Aprenda todo lo que necesita saber sobre los requisitos, el proceso y los costos para obtener la certificación SOC 2.
2. ISO 27001
La Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC) establecieron la serie ISO 27000 para introducir directrices para implementar políticas de seguridad de la información. Como el estándar internacional para la validez del programa de seguridad, la certificación ISO/IEC indica a los socios que usted es confiable y digno de confianza.
Específicamente, ISO 27001 enumera los requisitos para construir y mantener un sistema de gestión de seguridad de la información (ISMS). Un ISMS es una herramienta utilizada para mantener el riesgo de seguridad de la información al mínimo mediante la gestión de personas, procesos y tecnología.
- Para quién es: Empresas que manejan datos sensibles
- Enfoque: Construir y mantener un sistema de gestión de seguridad de la información (ISMS)
Si obtener la conformidad con ISO 27001 mejorará la confiabilidad de su marca, considere agilizar su proceso de certificación con Secureframe.
La guía definitiva para ISO 27001
Si está buscando construir un ISMS conforme y obtener la certificación, esta guía tiene todos los detalles que necesita.
3. Marco de Ciberseguridad del NIST
El Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU. desarrolló el Marco de Ciberseguridad del NIST (también conocido como el Marco de Gestión de Riesgos del NIST) en respuesta a una iniciativa de 2013 del ex presidente Obama. La iniciativa pidió al gobierno y al sector privado que colaboraran en la lucha contra el riesgo cibernético.
- Para quién es: Cualquiera
- Enfoque: Identificación de debilidades de seguridad integral y personalizada
El marco está separado en tres componentes: el Núcleo, los Niveles de Implementación y los Perfiles.
- El Núcleo: Define los objetivos de ciberseguridad y los organiza en cinco fases: identificar, proteger, detectar, responder y recuperar. Por ejemplo, abordar la gestión de riesgos de la cadena de suministro es parte de la fase de “identificar”.
- Los Niveles de Implementación: Determinan qué tan efectivamente los esfuerzos de ciberseguridad de una organización se dirigen a los objetivos del marco. Van desde parcial (Nivel 1) hasta adaptativo (Nivel 4). Una organización que apunte al Nivel 4 querrá asegurarse de que sus esfuerzos de ciberseguridad sean de primera categoría según los estándares del marco.
- Perfiles: Ayudan a las organizaciones a comparar sus objetivos existentes con el núcleo del marco e identificar oportunidades de mejora. Guían cómo NIST puede servir mejor a las necesidades específicas de la organización.
El cumplimiento con el marco es voluntario. Dicho esto, NIST es muy respetado por localizar debilidades de seguridad. Puede ayudar a las organizaciones a adherirse a las regulaciones e incluso ofrecer sugerencias de seguridad personalizadas.
La Guía Definitiva de Marcos Federales
Obtenga una visión general de los marcos federales más comunes, a quiénes se aplican y cuáles son sus requisitos.
4. HIPAA
La Ley de Portabilidad y Responsabilidad del Seguro de Salud (HIPAA) es un estatuto federal de 1996 que creó estándares para proteger la información de salud del paciente. Todas las organizaciones de salud deben seguir prácticas de ciberseguridad y realizar evaluaciones de riesgos para cumplir con HIPAA.
- Para quién es: El sector de la salud
- Enfoque: Protección de la información de salud del paciente
El sector de la salud es el séptimo objetivo más frecuente de ciberataques, por lo que las organizaciones dentro del sector deben estar alertas.
La Guía Definitiva de HIPAA
Aprenda todo lo que necesita saber sobre los requisitos, el proceso y los costos para cumplir con HIPAA.
5. PCI DSS
El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) fue creado en 2006 para garantizar que todas las compañías que aceptan, procesan, almacenan o transmiten información de tarjetas de crédito operen de manera segura. El marco está destinado principalmente a mantener la información del titular de la tarjeta segura. Todas las empresas que manejan esta información deben cumplir con PCI DSS, independientemente de su tamaño.
- Para quién es: Cualquier empresa que maneje información de tarjetas de crédito
- Enfoque: Seguridad de la información del propietario de la tarjeta
A diferencia de los marcos impuestos por el gobierno, las marcas de pago (MasterCard, Visa, etc.) hacen cumplir el cumplimiento de PCI DSS.
La Guía Definitiva de PCI DSS
Esta guía le ayudará a comprender los requisitos, el proceso y los costos de obtener la certificación.
6. RGPD
La Unión Europea aprobó el Reglamento General de Protección de Datos (RGPD) para proteger los datos de los ciudadanos de la UE. Se aplica a todas las empresas que recopilan y procesan datos de ciudadanos de la UE, ya sea que estas empresas estén basadas en la UE o en el extranjero. El marco enumera regulaciones relacionadas con los derechos de acceso a los datos del consumidor, los derechos de protección de datos, el consentimiento y más. Es ejecutado por la Oficina del Comisionado de Información (ICO).
- Para quién es: Todas las empresas que recopilan datos de ciudadanos de la UE
- Enfoque: Privacidad y protección de datos para los ciudadanos de la UE
El reglamento es extenso — 88 páginas, para ser exactos — y la ICO es conocida por multar fuertemente a las empresas que no cumplen. Por ejemplo, en 2018 (el mismo año en que se estableció el RGPD), la ICO multó a Google con 50 millones de euros.
7. HITRUST CSF
A pesar de que HIPAA es un marco útil para mitigar las amenazas cibernéticas, las brechas de datos en el sector salud siguen siendo demasiado comunes. El 42% de las organizaciones de salud carecen de un plan de respuesta a incidentes, y el cumplimiento de HIPAA no siempre es suficiente.
- Para quién es: Cualquier persona (especialmente el sector salud)
- Enfoque: Mejorar la seguridad para organizaciones de salud y proveedores de tecnología
HITRUST CSF mejora la seguridad para las organizaciones de salud y los proveedores de tecnología combinando elementos de otros marcos de seguridad. Específicamente, el marco utiliza análisis de riesgo y gestión de riesgo para garantizar la seguridad organizativa.
Aunque HITRUST CSF fue desarrollado para complementar HIPAA, ha sido adoptado globalmente por organizaciones en casi todas las industrias.
8. COBIT
A mediados de los 90, la Asociación de Auditoría y Control de Sistemas de Información (ISACA) desarrolló Objetivos de Control para Información y Tecnología Relacionada (COBIT). El marco reduce el riesgo técnico organizativo al ayudar a las empresas a desarrollar e implementar estrategias de gestión de la información.
COBIT ha sido actualizado varias veces desde los años 90 para mantenerse al día con las amenazas de seguridad. Las versiones más actualizadas se centran en alinear IT con las metas del negocio, la seguridad, la gestión de riesgos y la gobernanza de la información. COBIT se utiliza a menudo para cumplir con las reglas de Sarbanes-Oxley (SOX), las cuales fueron promulgadas a principios de los 2000 para proteger a los inversores.
- Para quién es: Empresas que cotizan en bolsa
- Enfoque: Alinear IT con las metas del negocio, seguridad, gestión de riesgos y gobernanza de la información
9. NERC-CIP
La Corporación de Confiabilidad Eléctrica de América del Norte - Protección de Infraestructura Crítica (NERC-CIP) fue creada en 2008 en respuesta a ataques a la infraestructura de EE. UU. Se aplica a las empresas que operan en el sector de servicios públicos y energía. El objetivo del marco es minimizar el riesgo en este sector y mantener operativos los sistemas eléctricos de Norteamérica.
- Para quién es: El sector de servicios públicos y energía
- Enfoque: Proteger los sistemas eléctricos de Norteamérica
El marco establece requisitos específicos para los proveedores de servicios en este sector. Estos incluyen hacer un inventario de todos los activos protegidos, delinear las medidas de seguridad existentes, capacitar adecuadamente a los empleados, desarrollar un plan de respuesta a incidentes y más.
10. FISMA
La Ley Federal de Gestión de Seguridad de la Información (FISMA) aísla los activos del gobierno de EE. UU. de las amenazas cibernéticas. Se aplica al gobierno federal y a terceros que operan en su nombre. El Departamento de Seguridad Nacional es responsable de supervisar su implementación.
- Para quién es: El gobierno federal y terceros que operan en su nombre
- Enfoque: Protección de activos gubernamentales
Al igual que NIST, FISMA exige la documentación de activos digitales e integraciones de redes. Las organizaciones también deben monitorear su infraestructura IT y evaluar regularmente riesgos y vulnerabilidades.
11. Publicación Especial 800-53 del NIST
El NIST publicó la Publicación Especial 800-53 del NIST en 1990, pero el marco se ha desarrollado con el tiempo. Ahora asesora a las agencias y otras organizaciones en casi todas las áreas de seguridad de la información. Enumera controles de seguridad y privacidad para todos los sistemas de información federales de EE. UU. (excluyendo la seguridad nacional).
Las agencias gubernamentales siguen la NIST SP 800-53 para cumplir con los requisitos de los Estándares Federales de Procesamiento de Información (FIPS) 200. Sin embargo, las empresas de casi todas las industrias pueden implementarla. De hecho, muchos marcos de seguridad existentes se construyeron usando la NIST SP 800-53 como punto de partida.
- Para quién es: Cualquiera (especialmente agencias gubernamentales)
- Enfoque: Cumplimiento con los requisitos de FIPS 200 y consejo general de seguridad
12. Publicación Especial 800-171 del NIST
La NIST SP 800-171 es un documento complementario a la NIST SP 800-53 destinado a proteger los sistemas de información federales. Explica cómo los contratistas y subcontratistas de las agencias federales (a menudo dentro del sector manufacturero) deben gestionar la información no clasificada controlada (CUI). Los contratistas deben cumplir con la NIST 800-171 para buscar nuevas oportunidades de negocio.
- Para quién es: Contratistas y subcontratistas de agencias federales
- Enfoque: Defensa de los sistemas de información federales
Mientras que muchos marcos requieren certificación de terceros, los contratistas pueden auto-certificarse con la NIST SP 800-171 siguiendo la documentación del NIST.
13. IAB CCPA
Si vives en el estado de California y alguna vez has visto un enlace que dice “No Vender Mi Información Personal” en un sitio web, te has encontrado con el Marco de Cumplimiento IAB CCPA (Interactive Advertising Bureau California Consumer Privacy Act). Este marco proporciona a los consumidores de California más control sobre sus datos personales. Requiere cumplimiento de las empresas que recopilan información de usuarios y de las empresas de tecnología publicitaria que la compran.
- Para quién es: Empresas y empresas de tecnología publicitaria que gestionan los datos personales de los residentes de California
- Enfoque: Proteger los datos de los consumidores de California
Cuando los usuarios deciden que no quieren que se vendan sus datos, las empresas deben comunicar esto a las empresas de tecnología publicitaria y no se puede vender la información del usuario.
14. Controles CIS
La mayoría de los marcos de ciberseguridad se centran en la identificación y gestión del riesgo. En contraste, los Controles CIS son simplemente una lista de acciones que cualquier organización puede tomar para protegerse de las amenazas cibernéticas. Algunos ejemplos de controles incluyen medidas de protección de datos, gestión de registros de auditoría, defensas contra malware, pruebas de penetración y más.
- Para quién es: Cualquiera
- Enfoque: Protección general contra las amenazas cibernéticas
En esencia, otros marcos son excelentes para localizar dónde está la
¿Qué marco de seguridad IT es el adecuado para mí?
Ahora que hemos explorado algunos de los marcos de seguridad más comunes, probablemente te estés preguntando cuál se aplica a tu negocio.
Tu decisión depende de una variedad de factores, como los estándares de tu industria, cualquier requisito de cumplimiento impuesto por el gobierno o tu sector, y tu susceptibilidad a las amenazas cibernéticas.
Para ayudarte a comenzar, hazte las siguientes preguntas:
- ¿Estás tú o tus clientes en la industria minorista o de salud? Probablemente necesitarás cumplir con PCI DSS o HIPAA.
- ¿Recopila, procesa o almacena datos de usuarios de ciudadanos de la UE o residentes de California? GDPR o CCPA pueden ser legalmente requeridos.
- ¿Procesa o almacena datos de clientes en la nube? El cumplimiento de SOC 2 e ISO 27001 puede fortalecer su postura de seguridad y generar confianza con los clientes.
- ¿Es una empresa que cotiza en bolsa? COBIT le ayudará a cumplir con SOX.
- ¿Es una agencia federal de EE. UU. o un contratista empleado por una? Probablemente se le requiera cumplir con NIST SP 800-53 o NIST SP 800-171.
Afortunadamente, muchos marcos comparten una base similar. Si más tarde descubre que su organización debe cumplir con otro marco, puede haber un camino fácil desde su marco actual.
Cómo Secureframe puede ponerte en marcha
Mientras que los marcos de seguridad pueden ayudar a aclarar qué controles de seguridad críticos deben implementar las organizaciones para proteger sus datos, el cumplimiento aún puede ser complejo.
Secureframe simplifica el proceso proporcionando rigurosas verificaciones de cumplimiento contra los marcos más demandados, incluyendo SOC 2, ISO 27001, HIPAA, PCI DSS, y más.
Lo que solía tomar meses de trabajo manual ahora toma solo semanas.
Para obtener más información sobre cómo Secureframe puede ahorrarle tiempo en la implementación de marcos de seguridad, solicite una demostración de nuestra plataforma hoy mismo.
Preguntas Frecuentes
¿Qué es un marco de seguridad?
Un marco de seguridad define políticas y procedimientos para establecer y mantener controles que ayuden a proteger a una organización de los riesgos cibernéticos y mantener el cumplimiento con leyes, regulaciones y estándares relevantes.
¿Cuáles son algunos marcos de seguridad comunes?
Los marcos de seguridad comunes incluyen SOC 2, ISO 27001, NIST CSF, HIPAA, PCI DSS, HITRUST, COBIT, NIST 800-53 y NIST 800-171.
¿Es NIST un marco de seguridad?
NIST es el Instituto Nacional de Estándares y Tecnología del Departamento de Comercio de los EE. UU. Esta agencia fue establecida por el Congreso para avanzar en la ciencia de la medición, los estándares y la tecnología de maneras que mejoren la seguridad económica y mejoren nuestra calidad de vida. Con este objetivo ha creado varios marcos de seguridad, incluyendo NIST 800-53, NIST 800-171 y NIST CSF.