Ciberseguridad
Fundamentos de Ciberseguridad

Marcos de ciberseguridad: qué son, tipos y cómo elegir uno (guía 2026)

norman@preyhq.com
Norman G.
Apr 1, 2025
0 minutos de lectura
Marcos de ciberseguridad: qué son, tipos y cómo elegir uno (guía 2026)
Tabla de Contenidos
Heading H2
La seguridad no debería ser ciencia espacial
Compartir
Sobre el autor
norman@preyhq.com
Norman G.

Norman Gutiérrez fue nuestro investigador de seguridad en Prey. Además, Norm se desempeñó como especialista en contenido y comunicación de Prey y como embajador de Infosec. Norm ha trabajado para varios medios de comunicación tecnológicos como FayerWayer y Publimetro, entre otros. En su tiempo libre, Norman disfruta de los videojuegos, los artilugios geniales, la música y los divertidos juegos de mesa.

TLDR

Un marco de ciberseguridad es una guía práctica (estándares + procesos + controles) para identificar riesgos, priorizar protecciones, responder incidentes y demostrar avances con evidencia.

  • Si necesitas orden y auditoría, revisa ISO 27001 (SGSI).
  • Si necesitas gestión de riesgos y madurez, revisa NIST CSF.
  • Si necesitas controles accionables para partir, revisa CIS Controls. En Chile, estos marcos ayudan a preparar políticas, controles y evidencia para iniciativas de cumplimiento (sin reemplazar asesoría legal).

¿Qué es un marco de ciberseguridad?

Un marco de ciberseguridad es un conjunto de buenas prácticas que te ayuda a organizar la seguridad de tu empresa de forma ordenada y medible. En vez de “hacer controles sueltos”, un marco te permite priorizar qué proteger primero, quién es responsable y qué evidencia necesitas.

En la práctica, un marco sirve para:

  1. Identificar activos críticos y riesgos reales
  2. Definir controles mínimos (técnicos y de gestión)
  3. Establecer políticas y procesos (roles, incidentes, continuidad)
  4. Medir avances y mejorar continuamente
  5. Fortalecer la postura de seguridad frente a ataques cibernéticos.

Por qué los marcos de ciberseguridad son esenciales hoy

La ciberseguridad dejó de ser un tema técnico para convertirse en un desafío estratégico. Las empresas operan en un entorno donde los ataques son más frecuentes, más sofisticados y más costosos. En este contexto, los marcos de ciberseguridad funcionan como una guía estructurada para gestionar riesgos, estandarizar procesos y proteger la operación.

Riesgo empresarial en aumento

Cada dispositivo, usuario, proveedor y aplicación agrega un nuevo punto de riesgo. Hoy, un solo error humano o un endpoint sin protección puede abrir la puerta a:

  • Filtración de datos sensibles
  • Ransomware y extorsión
  • Robo de propiedad intelectual
  • Interrupciones operativas

Los marcos permiten evaluar riesgos de forma consistente, priorizar controles y tomar decisiones basadas en impacto real, no en intuición.

El costo de un incidente sigue creciendo

El costo promedio de una brecha de datos supera millones de dólares, considerando investigación, recuperación, multas, pérdida de confianza y tiempo de inactividad.

Adoptar un marco no solo reduce la probabilidad de un incidente, sino que también:

  • Mejora la capacidad de respuesta
  • Reduce el tiempo de detección
  • Minimiza pérdidas por interrupciones
  • Evita sanciones por mala gestión de la información

En otras palabras: implementar un marco cuesta menos que recuperarse de un incidente.

Regulaciones y cumplimiento

La presión regulatoria es más fuerte que nunca. Normativas como GDPR, HIPAA, PCI DSS, CCPA y en LATAM tenemos a Chile liderando con la Ley Marco de Ciberseguridad y la ley de protección de datos que obligan a las organizaciones a demostrar controles claros y procesos documentados.

Los marcos de ciberseguridad ayudan a:

  • Estandarizar controles requeridos por reguladores
  • Generar evidencia para auditorías
  • Documentar políticas, roles y responsabilidades
  • Demostrar diligencia ante incidentes

Cumplimiento no es solo “evitar multas”: es proteger la reputación y confianza del negocio.

Componentes clave de cualquier marco de ciberseguridad

Aunque cada organización elija un marco distinto —como NIST, ISO 27001 o CIS Controls— todos comparten los mismos elementos fundamentales. Estos componentes permiten crear un programa de seguridad coherente, medible y alineado con los riesgos reales del negocio.

  1. Gobernanza: roles, responsabilidades y políticas básicas
  2. Gestión de riesgos: identificar, evaluar y priorizar riesgos
  3. Controles: medidas técnicas y organizacionales (mínimos y avanzados)
  4. Gestión de incidentes: preparación, respuesta, recuperación y lecciones aprendidas
  5. Continuidad: planes para mantener la operación ante interrupciones
  6. Métricas y mejora continua: indicadores, auditorías y revisiones periódicas

Gobernanza y gestión de riesgos

La gobernanza define cómo se toman decisiones de seguridad, quién tiene responsabilidades clave y cuál es el nivel de riesgo aceptable para la organización. Su objetivo es establecer un sistema de control claro y repetible.

En esta fase se definen:

  • Roles y responsabilidades (TI, Seguridad, Compliance, Legal)
  • Procesos de toma de decisiones
  • Evaluaciones de riesgos periódicas
  • Políticas corporativas de seguridad
  • Matrices de criticidad y priorización

Sin una buena gobernanza y gestión de riesgos, cualquier estrategia de ciberseguridad carece de dirección y es imposible demostrar cumplimiento.

Políticas y estándares de seguridad informática

Los marcos requieren documentar políticas, lineamientos y estándares de seguridad que establecen las reglas del juego:

  • Política de contraseñas
  • Política de acceso y privilegios
  • Estándares técnicos (cifrado, backups, configuración segura)
  • Política de uso aceptable
  • Estándares de protección de datos

Estos documentos permiten transformar la estrategia en prácticas concretas, y son esenciales para certificaciones como ISO 27001 o para operar un SGSI (Sistema de Gestión de Seguridad de la Información).

Controles de ciberseguridad (técnicos y administrativos)

Los controles son las acciones concretas que una empresa implementa para mitigar riesgos. Pueden ser:

Controles técnicos

  • Autenticación multifactor (MFA)
  • Cifrado de datos en reposo y en tránsito
  • Segmentación de red
  • Firewalls y detección de intrusiones (IDS)
  • Gestión de parches y vulnerabilidades
  • Aplicación de políticas de seguridad en los dispositivos
  • Detección y prevención de amenazas

Controles administrativos

Frameworks como CIS Controls y NIST SP 800-53 se centran específicamente en este conjunto de salvaguardas.

Respuesta ante incidentes y recuperación

Uno de los elementos más críticos es la capacidad de detectar, responder y recuperarse de incidentes de seguridad. Este componente incluye:

  • Plan de respuesta a incidentes
  • Roles de comunicación y escalamiento
  • Procedimientos de contención (bloqueo, aislamiento, restricciones)
  • Acciones de recuperación y restauración
  • Documentación del incidente y análisis post-mortem

Una organización madura no solo previene ataques: aprende de ellos y mejora con cada evento.

Mejora continua y auditorías

La ciberseguridad no es un proyecto único: es un proceso constante. Por eso, todos los marcos integran un ciclo de mejora continua, en el que la empresa:

  • Revisa periódicamente sus políticas
  • Audita controles y procesos
  • Evalúa métricas e indicadores
  • Detecta desviaciones y áreas de mejora
  • Adapta controles a nuevas amenazas
  • Mantiene evidencia clara para auditorías externas

Este ciclo es clave para certificaciones, regulaciones de privacidad y alineación con GRC (Gobernanza, Riesgo y Cumplimiento).

Tipos de marcos de ciberseguridad

En la conferencia RSA del 2019, Frank Kim, ex CISO del Instituto SANS y uno de los principales expertos en ciberseguridad, entregó una gran explicación sobre los diversos tipos de marcos. Los dividió en tres categorías y esbozó sus propósitos:

Marcos de control:

  • Desarrollar una estrategia básica para el equipo de seguridad
  • Proporcionar un conjunto de controles básicos
  • Evaluar el estado técnico actual
  • Priorizar la implementación de controles

Marcos programáticos:

  • Evaluar el estado del programa de seguridad
  • Construir un programa integral de seguridad
  • Medir la seguridad del programa / análisis competitivo
  • Simplificar la comunicación entre el equipo de seguridad y los líderes de empresa

Marcos de riesgo:

  • Definir pasos clave del proceso para evaluar / gestionar el riesgo
  • Estructurar el programa para la gestión del riesgo
  • Identificar, medir y cuantificar el riesgo
  • Priorizar las actividades de seguridad

Los marcos de ciberseguridad más conocidos

Existen muchos marcos diferentes, sin embargo unos pocos dominan el mercado. Además de PCI DSS, los marcos más populares incluyen:

Marco NIST

El NIST Cybersecurity Framework (NIST CSF) es un marco que ayuda a una organización a entender su nivel de ciberseguridad, identificar brechas y construir una hoja de ruta realista para mejorar. Es especialmente útil cuando quieres priorizar por riesgo, en vez de “implementar todo a la vez”.

El NIST CSF se organiza en 5 funciones que cubren el ciclo completo de ciberseguridad:

  • Identify (Identificar): activos, riesgos y dependencias
  • Protect (Proteger): controles preventivos y capacitación
  • Detect (Detectar): monitoreo y alertas
  • Respond (Responder): procesos para contener incidentes
  • Recover (Recuperar): restauración y mejora posterior

Cuándo conviene usarlo: cuando necesitas ordenar prioridades y madurez, especialmente si tu equipo es pequeño o estás creciendo rápidamente.

Controles CIS

CIS fue creado a fines de la década de 2000 por una coalición de expertos y voluntarios con el objetivo de crear un marco para proteger a las empresas de las amenazas de ciberseguridad. Se compone de 20 controles que son actualizados regularmente por expertos de todos los campos (gobierno, academia e industria) para ser consistentemente modernos y estar por delante de las amenazas de ciberseguridad.

CIS funciona bien para organizaciones que desean dar pequeños pasos. Su proceso se divide en tres grupos. Se comienza con lo básico, luego se pasa a lo fundacional y finalmente, a lo organizacional. CIS también es una gran opción si necesitas un marco adicional que pueda coexistir con otros estándares de compliance específicos de industria (como HIPAA y NIST).

Esta organización trabaja con puntos de referencia o pautas basadas en estándares de uso común, como los ya mencionados NIST e HIPAA, que no solo trazan mapas de los estándares de seguridad para ayudar a las empresas a cumplirlos, sino que ofrecen configuraciones de seguridad básicas alternativas para aquellos que no requieren cumplimiento, sino que desean mejorar su seguridad.

Estos estándares de comparación se dividen en dos niveles. Los primeros son recomendaciones para configuraciones esenciales de seguridad que no afectan el rendimiento de los servicios; y un segundo nivel más avanzado de estándares que ofrecen recomendaciones de seguridad de nivel superior, con un posible costo en rendimiento.

ISO/IEC 27001

ISO 27001/27002, también conocida como ISO 27K, es el estándar internacionalmente reconocido para la ciberseguridad. El marco establece (es decir, asume) que una organización que adopte ISO 27001 tendrá un Sistema de Gestión de Seguridad de la Información o SGSI (en inglés: Information Security Management System, o ISMS). Con eso en mente, ISO/IEC 27001 requiere que la administración maneje sistemáticamente los riesgos de seguridad de la información de la organización, teniendo en cuenta las amenazas y vulnerabilidades.

El marco requiere que la organización diseñe e implemente controles de seguridad de la información (InfoSec) que sean coherentes y completos. El objetivo de estos controles es mitigar riesgos ya identificados. A partir de ahí, el marco sugiere que la organización adopte un proceso de gestión de riesgos que esté en curso. Para obtener la certificación de conformidad con ISO 27001, una organización debe demostrarle al auditor que está utilizando lo que ISO denomina el "Ciclo PDCA".

Tabla comparativa rápida: ISO 27001 vs NIST CSF vs CIS Controls

Si no sabes por dónde partir, esta comparación te ayuda a elegir el marco más útil según tu contexto.

Marco Para qué sirve mejor Ideal si… Resultado práctico
ISO 27001 (SGSI) Ordenar la seguridad mediante gobernanza, políticas y evidencia formal. Necesitas estructura formal, auditoría o demostrar controles de manera sistemática. SGSI operativo con roles definidos, procesos documentados y mejora continua.
NIST CSF Gestionar riesgos y madurez de seguridad con un enfoque basado en funciones. Quieres priorizar y medir avances sin partir “desde cero”. Hoja de ruta estructurada por funciones (Identificar, Proteger, Detectar, Responder, Recuperar).
CIS Controls Implementar controles concretos de forma rápida y pragmática. Tienes poco equipo o tiempo y necesitas un baseline mínimo viable. Lista priorizada de controles accionables listos para ejecutar.

Marcos de ciberseguridad para sectores regulados

No todos los sectores enfrentan el mismo nivel de riesgo ni las mismas obligaciones legales. Las industrias reguladas requieren controles, estándares y evidencias mucho más estrictas, por lo que la elección del marco de ciberseguridad adecuado es clave para cumplir con la ley, proteger datos sensibles y evitar sanciones.

A continuación se presentan los marcos más comunes en sectores donde la ciberseguridad no es opcional, sino un requisito legal y operativo.

Sector salud (HIPAA)

El sector salud maneja información altamente sensible, conocida como PHI (Protected Health Information). Esto exige un enfoque riguroso en privacidad, integridad y disponibilidad de los datos.

El estándar principal es: HIPAA (Health Insurance Portability and Accountability Act). No es un marco de ciberseguridad tradicional, pero establece controles obligatorios que deben respaldarse con un marco compatible.

Los marcos más utilizados junto a HIPAA son:

  • NIST Cybersecurity Framework (NIST CSF)
    Ayuda a alinear controles técnicos y de gobernanza con los requisitos de HIPAA.
  • NIST SP 800-66
    Guía oficial para implementar controles de HIPAA.
  • ISO 27001
    Apoya el cumplimiento mediante un SGSI con procesos documentados, auditorías y mejora continua.

Requisitos clave en salud:

  • Gestión de acceso estricta
  • Cifrado de datos sensibles
  • Evidencias de auditoría
  • Controles para proveedores (BAAs)
  • Respuesta ante incidentes en tiempo real

Sector financiero (PCI DSS)

El sector financiero opera bajo requisitos extremadamente estrictos debido al riesgo directo de fraude, robo de información y ataques dirigidos. El estándar principal para pagos es: PCI DSS (Payment Card Industry Data Security Standard). Obligatorio para cualquier empresa que procese, almacene o transmita información de tarjetas.

Las organizaciones financieras suelen complementar PCI DSS con:

  • NIST CSF
    Para gestionar riesgos de forma integral.
  • ISO 27001
    Para establecer un SGSI auditable.
  • COBIT
    Para gobernanza, auditorías y control de procesos.

Requisitos clave en finanzas:

  • Segmentación de redes de pago
  • Control de accesos privilegiados
  • Pruebas de penetración
  • Registros y monitoreo continuo
  • Escaneo de vulnerabilidades trimestral

Sector educativo (FERPA / CIPA / COPPA)

El sector educativo protege información de estudiantes y docentes, además de enfrentar desafíos propios del entorno académico: redes abiertas, dispositivos BYOD y alto volumen de usuarios. Aqui tenemos las Leyes FERPA, CIPA y COPPA, donde buscan proteger la información personal educativa, uso de un internet más seguro y protección online para los niños.

No es un marco técnico, pero exige controles concretos de seguridad.

Las instituciones educativas suelen suelen aplicar los siguientes marcos:

NIST Cybersecurity Framework (NIST CSF)
Muy utilizado por instituciones educativas en EE. UU. por su flexibilidad y foco en gestión de riesgos.

CIS Controls
Recomendado para instituciones con recursos limitados por su estructura clara y acciones prioritarias.

K12 SIX Essential Cybersecurity Protections

Un marco de seguridad cibernética creado por K12 SIX (K-12 Security Information eXchange) para proporcionar a los distritos escolares una lista manejable de controles de seguridad esenciales, prácticos y ajustado a la realidad del sector educativo

Requisitos clave en educación:

  • Control de acceso a registros estudiantiles
  • Seguridad en dispositivos BYOD
  • Protección de redes con múltiples perfiles de usuario
  • Gestión de incidentes relacionada con datos académicos
  • Seguimiento de dispositivos institucionales (laptops, tablets, etc.)
  • Gestión de respaldos
  • Gestión de vulnerabilidades
  • Capacitación estudiantil, profesorado y staff
Marcos recomendados por sector regulado
Los sectores regulados utilizan marcos específicos para cumplir con normativas:

Salud (HIPAA): NIST CSF e ISO 27001
Finanzas (PCI DSS): combinan NIST, COBIT e ISO
Educación (FERPA): NIST CSF o CIS Controls

Estos marcos ayudan a proteger datos sensibles y gestionar riesgos conforme a la regulación vigente.

Cómo elegir un marco en 5 preguntas (sin complicarte)

Si tu empresa está empezando, no necesitas “el marco perfecto”. Necesitas el marco que te permita avanzar. Hazte estas 5 preguntas:

  1. ¿Necesitas evidencia formal (auditoría, compliance, contratos)? → mira ISO 27001 (SGSI)
  2. ¿Tu problema es priorizar riesgos y ordenar un plan? → mira NIST CSF
  3. ¿Necesitas ejecutar controles rápido con poco equipo? → mira CIS Controls
  4. ¿Tienes muchos proveedores y herramientas sin control? → parte con inventario + CIS básicos
  5. ¿Tu empresa depende de operar sin interrupciones? → prioriza incidentes + continuidad desde el inicio

Cómo se conectan los marcos de ciberseguridad con el compliance en Chile

En la práctica, muchas empresas en Chile llegan a compliance con una realidad común: saben que deben “cumplir”, pero no saben cómo se ve eso en el día a día. Aquí es donde un marco ayuda: traduce el cumplimiento en controles, procesos y evidencia.

Tres escenarios comunes (y qué ayuda a ordenar un marco):

  1. Empresa mediana con TI pequeño (sin equipo de seguridad): priorizar controles básicos, inventario, accesos e incidentes.
  2. Operación crítica (no puedes “parar”): continuidad, respuesta a incidentes, respaldos y recuperación se vuelven prioridad.
  3. Manejas datos personales (clientes/empleados): políticas, control de accesos, trazabilidad y gestión de riesgos dejan de ser opcionales.

Qué evidencia se vuelve más fácil de construir con un marco:

  • Políticas claras (accesos, contraseñas, dispositivos, terceros)
  • Inventario de activos y clasificación básica
  • Gestión de riesgos (qué es crítico y por qué)
  • Plan de respuesta a incidentes (roles y pasos)
  • Continuidad y recuperación (mínimo viable)

Nota: esto no reemplaza asesoría legal, pero sí acelera la parte operativa y de evidencia que normalmente cuesta más.

Conclusiones

Los marcos de seguridad cibernética proporcionan una base para lograr una postura de seguridad sólida y evitar violaciones de datos. En algunos casos, permiten que una organización se certifique conforme a una regulación específica. La adopción de un marco requiere dedicar tiempo y recursos al proyecto. Sin embargo, si se hace bien, ¡Vale la pena! El marco ofrece una forma organizada de darle seguridad a una empresa y luego medir continuamente la efectividad de los controles de seguridad establecidos por el marco.

Preguntas Frecuentes:

Qué es un marco de ciberseguridad?

Es una guía práctica (procesos + controles) para gestionar riesgos, proteger activos y mejorar la seguridad de forma medible.

¿Cuáles son los componentes de un marco de ciberseguridad?

Gobernanza (roles y políticas), gestión de riesgos, controles técnicos/organizativos, respuesta a incidentes, continuidad y mejora continua.

¿Qué tipos de marcos de ciberseguridad existen?

Marcos de gestión (ISO 27001), de funciones/madurez (NIST CSF), de controles accionables (CIS Controls) y de gobierno TI (COBIT).

¿Cuál es la misión de un marco de gestión de seguridad de la información (SGSI)?

Proteger la información asegurando confidencialidad, integridad y disponibilidad, con evidencia, control y mejora continua.

¿Qué es el marco de ciberseguridad del NIST (NIST CSF)?

Un framework para evaluar y mejorar la gestión de riesgos de ciberseguridad usando funciones y niveles de madurez.

¿Qué marco conviene si mi empresa no tiene equipo de seguridad?

Empieza con un baseline: inventario de activos + riesgos principales + controles CIS básicos. Luego formaliza con ISO 27001 si necesitas evidencia/auditoría.

¿Un marco reemplaza el cumplimiento legal en Chile?

No. Un marco ayuda a implementar controles y evidencia, pero no reemplaza obligaciones legales ni interpretación normativa.

¿Cuánto se demora implementar un marco “mínimo viable”?

Un baseline suele lograrse en 4–15 semanas (inventario, riesgos básicos, políticas clave, respuesta a incidentes y continuidad inicial), dependiendo del tamaño de la organización.

Frequently asked questions

No items found.

Sobre el mismo tema

Estadísticas de ciberseguridad 2025: datos en Chile, México y Colombia
Estadísticas de ciberseguridad 2025: datos en Chile, México y Colombia

La ciberseguridad es más crucial que nunca. Descubre las estadísticas más impactantes sobre ataques cibernéticos, ransomware, phishing e IoT.

Sep 27, 2025
Continuar leyendo
Capacitación en ciberseguridad: Como implementar un plan efectivo para tu empresa
Capacitación en ciberseguridad: Como implementar un plan efectivo para tu empresa

Aprende a como entrenar a tu equipo en ciberseguridad: phishing, contraseñas, BYOD, simulaciones. KPIs y cumplimiento (Ley 21.663, ISO 27001).

Sep 9, 2025
Continuar leyendo
Como prepararte para una auditoría de ciberseguridad: tipos, pasos y checklist
Como prepararte para una auditoría de ciberseguridad: tipos, pasos y checklist

Guía para preparar auditorías internas y externas de ciberseguridad. Tipos, marcos (ISO 27001, NIST, Ley 21.663), checklist práctico y planes de remediación.

Sep 5, 2025
Continuar leyendo

Descubre las poderosas

Funcionalidades de Prey

Protege tu flota con las completas soluciones de seguridad que ofrece Prey.

Conoce másComenzar