Cuando se observa un entorno corporativo desde fuera muchas decisiones de ciberseguridad pueden parecer excesivas. Capas superpuestas controles repetidos y una fricción constante para usuarios y operadores. Es habitual pensar que todo está sobredimensionado o que responde a una lógica poco práctica. En realidad, casi nada de esto es arbitrario.
Las organizaciones no endurecen sus sistemas por intuición ni por un miedo abstracto a los ciberataques. Operan dentro de marcos técnicos y normativos muy concretos que definen cómo se diseña la protección cómo se justifica cada control y qué nivel de riesgo se considera aceptable. Lo que un atacante intenta superar no es una herramienta aislada sino una arquitectura completa construida a partir de estándares técnicos regulatorios y operativos.
La base de este enfoque suele ser el RMF (Risk Management Framework) o marco de gestión del riesgo. Este modelo establece cómo se identifican evalúan tratan y aceptan los riesgos de seguridad a lo largo del ciclo de vida de un sistema. No se centra en amenazas concretas ni en técnicas de ataque específicas. Explica por qué existen controles incluso cuando no hay una amenaza visible inmediata. Todo lo demás se apoya en esta lógica.
Junto a RMF aparecen los FIPS (Federal Information Processing Standards) o estándares federales de procesamiento de la información. En este ámbito se fijan requisitos técnicos mínimos especialmente en criptografía gestión de claves y protección de la información. FIPS no busca detener ataques avanzados sino garantizar un nivel básico de seguridad verificable y auditable. Muchas restricciones técnicas habituales tienen su origen aquí aunque no siempre sea evidente.
Por encima se sitúan SCRM (Supply Chain Risk Management) y C-SCRM (Cyber Supply Chain Risk Management) la gestión del riesgo de la cadena de suministro y de la cadena de suministro digital. Estas capas no tratan vulnerabilidades concretas sino dependencias. Proveedores software componentes externos firmware y terceros con acceso. Muchas decisiones que reducen la superficie de ataque o rompen relaciones de confianza implícitas nacen aquí y no en los sistemas de detección.
En un plano más estratégico aparece CREF (Cybersecurity Risk Executive Framework) el marco ejecutivo de riesgo en ciberseguridad. Esta capa traduce riesgos técnicos en impacto organizativo operativo económico o reputacional. Permite priorizar controles no por comodidad sino por consecuencias. Es la razón por la que ciertos mecanismos de seguridad se mantienen aunque generen fricción.
A nivel operativo cobra relevancia MITRE ATT&CK (Adversarial Tactics Techniques and Common Knowledge) un marco que modela el comportamiento del adversario. No es un sistema defensivo en sí mismo sino una forma de entender cómo operan los atacantes. Ha cambiado la manera de endurecer sistemas porque obliga a pensar en técnicas reales como movimiento lateral persistencia elevación de privilegios o evasión. Las defensas modernas se diseñan frente a estas técnicas y no frente a un malware concreto.
Por encima se sitúa el modelo Zero Trust o confianza cero. Este enfoque no sustituye a los anteriores sino que los engloba. Parte de la premisa de que no existe confianza implícita ni dentro ni fuera del perímetro. Cada acceso debe validarse de forma continua. De aquí surgen muchas de las fricciones actuales como autenticaciones frecuentes segmentación de redes y controles constantes. No buscan impedir el acceso inicial sino supervisar y limitar todo lo que ocurre después.
En la parte superior aparecen capas transversales. Privacy o protección de datos personales introduce obligaciones legales y técnicas que condicionan la arquitectura y el acceso a la información. SSDF (Secure Software Development Framework) define cómo desarrollar software incorporando la seguridad desde el diseño. CUI (Controlled Unclassified Information) establece cómo proteger información sensible que no es clasificada pero tampoco pública. AI/ML (Artificial Intelligence and Machine Learning) introduce nuevos riesgos asociados a datos modelos entrenamiento y uso indebido de sistemas automatizados.
Visto en conjunto el endurecimiento deja de parecer caprichoso. Cada capa responde a un problema distinto como cumplimiento normativo gestión del riesgo dependencias comportamiento adversario o impacto organizativo. El resultado no es simple ni elegante pero es coherente con el contexto actual.
Comprender estos marcos ayuda a entender por qué las defensas son como son. La ciberseguridad no consiste solo en reaccionar ante ataques sino en construir entornos capaces de resistir fallos inevitables. Los marcos no garantizan seguridad absoluta pero explican el terreno sobre el que operan tanto defensores como atacantes. Entenderlos es entender el campo de juego real.
