Gestionar los riesgos en ciberseguridad no es solo una cuestión de tecnología, es una disciplina que requiere método, prioridades claras y un lenguaje común entre áreas. Para lograrlo, muchas organizaciones se apoyan en marcos de referencia: estructuras probadas que permiten identificar, evaluar y tratar los riesgos de manera sistemática. Pero ante tantos modelos disponibles, la pregunta clave es: ¿cuál elegir y por qué?
Uno de los marcos más reconocidos es el NIST Cybersecurity Framework. Desarrollado por el Instituto Nacional de Estándares y Tecnología de EE.UU., propone cinco funciones clave: identificar, proteger, detectar, responder y recuperar. Su ventaja principal es que se adapta a organizaciones de cualquier tamaño y sector, permitiendo construir una estrategia gradual, desde lo más básico hasta lo más avanzado.
Otro marco ampliamente utilizado es ISO/IEC 27005, centrado específicamente en la gestión de riesgos dentro del contexto del sistema de gestión de seguridad de la información (SGSI). Es ideal para organizaciones que ya están alineadas con la familia de normas ISO 27000, especialmente si aspiran a certificaciones formales. Este marco ofrece un enfoque robusto y detallado, pero puede ser más exigente en términos de documentación.
También está Risk Management Framework (RMF) del Departamento de Defensa de EE.UU., con enfoque en entornos altamente regulados y con infraestructura crítica. Si bien es muy técnico y específico, algunas de sus buenas prácticas pueden inspirar procesos internos en sectores como banca, energía o salud.
Para entornos más ágiles o empresas medianas, hay marcos como OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation), que pone énfasis en el análisis de activos y vulnerabilidades desde una perspectiva organizacional, no solo técnica. Esto lo hace útil cuando se necesita involucrar a distintas áreas del negocio en el proceso de análisis de riesgo.
Elegir un marco no implica aplicarlo de forma rígida. En la práctica, muchas organizaciones combinan elementos de varios modelos para crear un enfoque híbrido, adaptado a su realidad. Lo más importante es que el marco permita tomar decisiones con base en información real, priorizar esfuerzos, asignar recursos de forma efectiva y justificar acciones ante la alta dirección o los reguladores.
También es importante considerar el nivel de madurez de la organización. Forzar un marco muy avanzado en una empresa que apenas inicia su camino en ciberseguridad puede generar frustración y resistencia. Es preferible comenzar con lineamientos básicos bien aplicados, que construir una torre de documentación que nadie usa. El marco debe ser una guía útil, no una carga administrativa.
En TBSEK recomendamos que cualquier iniciativa de gestión de riesgos comience con una reflexión estratégica: ¿qué queremos proteger?, ¿qué es lo peor que puede pasar?, ¿estamos preparados para responder? El marco que elijas debe ayudarte a responder estas preguntas con claridad, involucrar a las personas adecuadas y generar un impacto tangible en la resiliencia de tu negocio.
Acciones inmediatas
- Evalúa el nivel de madurez de tu organización antes de elegir un marco de referencia
- Explora marcos como NIST, ISO/IEC 27005, RMF y OCTAVE para comparar enfoques
- Adapta el marco a tu realidad operativa y evita implementaciones rígidas
- Involucra a áreas no técnicas en el proceso de identificación y análisis de riesgos
- Define una estrategia de riesgos clara, priorizada y alineada al negocio
- Revisa y ajusta tu marco regularmente según el contexto y evolución de amenazas
