Actualmente en México no existe un marco normativo específico que las empresas deban aplicar en materia de ciberseguridad, sin embargo, hay varios marcos que son aplicados para mantener mejores controles y todos son voluntarios. Acompáñanos a revisar los más conocidos en este interesante artículo que ayudará a tu empresa a mantenerse protegida.

Tipos de Marcos

Marcos de Control

• Desarrollar una estrategia básica para el equipo de seguridad
• Proporcionar un conjunto de controles básicos
• Evaluar el estado técnico actual
• Priorizar la implementación de controles

Marcos programáticos

• Evaluar el estado del programa de seguridad
• Construir un programa integral de seguridad
• Medir la seguridad del programa / análisis competitivo
• Simplificar la comunicación entre el equipo de seguridad y los líderes de empresa

Marcos de riesgo

• Definir pasos clave del proceso para evaluar / gestionar el riesgo
• Estructurar el programa para la gestión del riesgo
• Identificar, medir y cuantificar el riesgo
• Priorizar las actividades de seguridad

NIST 

El acrónimo de Instituto Nacional de Estándares y Tecnología (National Institute of Standards and Technology, en inglés) dependiente del Departamento de Comercio de EE. UU. 

El Marco de Ciberseguridad del NIST ayuda a los negocios de todo tamaño a comprender mejor sus riesgos de ciberseguridad, administrar y reducir sus riesgos, y proteger sus redes y datos. Este Marco es voluntario. Brinda una reseña de las mejores prácticas para ayudarlo a decidir dónde tiene que concentrar su tiempo y su dinero en cuestiones de protección de ciberseguridad.

NIST recomienda la aplicación de su marco de cinco áreas específicas: identificación protección, detección, respuesta y recuperación.

CIS

El Centro de Controles Críticos de Seguridad de Internet (CIS) fue creado a fines de la década de 2000 por una coalición de expertos y voluntarios con el objetivo de crear un marco para proteger a las empresas de las amenazas de ciberseguridad. Se compone de 20 controles que son actualizados regularmente por expertos de todos los campos (gobierno, academia e industria) para ser consistentemente modernos y estar por delante de las amenazas de ciberseguridad. Su proceso se divide en tres grupos (Básico, fundacional y organizacional). CIS también es una gran opción si necesitas un marco adicional que pueda coexistir con otros estándares de compliance específicos de industria (como HIPAA y NIST).

Estos estándares de comparación se dividen en dos niveles. Los primeros son recomendaciones para configuraciones esenciales de seguridad que no afectan el rendimiento de los servicios; y un segundo nivel más avanzado de estándares que ofrecen recomendaciones de seguridad de nivel superior, con un posible costo en rendimiento.

ISO 27001

Es el estándar internacionalmente reconocido para la ciberseguridad. El marco estableceque una organización que adopte ISO 27001 tendrá un Sistema de Gestión de Seguridad de la Información o SGSI (en inglés: Information Security Management System, o ISMS). ISO/IEC 27001 requiere que la administración maneje sistemáticamente los riesgos de seguridad de la información de la organización, teniendo en cuenta las amenazas y vulnerabilidades.

El marco requiere que la organización diseñe e implemente controles de seguridad de la información que sean coherentes y completos. El objetivo de estos controles es mitigar riesgos ya identificados. A partir de ahí, La organización adopte un proceso de gestión de riesgos que esté en curso. Para obtener la certificación  ISO 27001, una organización debe demostrarle al auditor que está utilizando lo que ISO denomina el "Ciclo PDCA".

Si tu empresa requiere la implementación de un marco normativo contáctanos, nuestro equipo de expertos puede ayudarte.