Cando se observa un entorno corporativo desde fóra moitas decisións de ciberseguridade poden parecer excesivas. Capas superpostas controis repetidos e unha fricción constante para usuarios e operadores. É habitual pensar que todo está sobredimensionado ou que responde a unha lóxica pouco práctica. En realidade case nada disto é arbitrario.
As organizacións non endurecen os seus sistemas por intuición nin por un medo abstracto aos ciberataques. Operan dentro de marcos técnicos e normativos moi concretos que definen como se deseña a protección como se xustifica cada control e que nivel de risco se considera aceptable. O que un atacante tenta superar non é unha ferramenta illada senón unha arquitectura completa construída a partir de estándares técnicos regulatorios e operativos.
A base deste enfoque adoita ser o RMF (Risk Management Framework) ou marco de xestión do risco. Este modelo establece como se identifican avalían tratan e aceptan os riscos de seguridade ao longo do ciclo de vida dun sistema. Non se centra en ameazas concretas nin en técnicas de ataque específicas. Explica por que existen controis mesmo cando non hai unha ameaza visible inmediata. Todo o demais apóiase nesta lóxica.
Xunto a RMF aparecen os FIPS (Federal Information Processing Standards) ou estándares federais de procesamento da información. Neste ámbito fíxanse requisitos técnicos mínimos especialmente en criptografía xestión de claves e protección da información. FIPS non busca deter ataques avanzados senón garantir un nivel básico de seguridade verificable e auditable. Moitas restricións técnicas habituais teñen a súa orixe aquí aínda que non sempre sexa evidente.
Por enriba sitúanse SCRM (Supply Chain Risk Management) e C-SCRM (Cyber Supply Chain Risk Management) a xestión do risco da cadea de subministración e da cadea de subministración dixital. Estas capas non tratan vulnerabilidades concretas senón dependencias. Provedores software compoñentes externos firmware e terceiros con acceso. Moitas decisións que reducen a superficie de ataque ou rompen relacións de confianza implícitas nacen aquí e non nos sistemas de detección.
Nun plano máis estratéxico aparece CREF (Cybersecurity Risk Executive Framework) o marco executivo de risco en ciberseguridade. Esta capa traduce riscos técnicos en impacto organizativo operativo económico ou reputacional. Permite priorizar controis non por comodidade senón por consecuencias. É a razón pola que certos mecanismos de seguridade se manteñen aínda que xeren fricción.
A nivel operativo cobra relevancia MITRE ATT&CK (Adversarial Tactics Techniques and Common Knowledge) un marco que modela o comportamento do adversario. Non é un sistema defensivo en si mesmo senón unha forma de entender como operan os atacantes. Cambiou a maneira de endurecer sistemas porque obriga a pensar en técnicas reais como movemento lateral persistencia elevación de privilexios ou evasión. As defensas modernas deseñanse fronte a estas técnicas e non fronte a un malware concreto.
Por enriba sitúase o modelo Zero Trust ou confianza cero. Este enfoque non substitúe aos anteriores senón que os engloba. Parte da premisa de que non existe confianza implícita nin dentro nin fóra do perímetro. Cada acceso debe validarse de forma continua. De aquí xorden moitas das friccións actuais como autenticacións frecuentes segmentación de redes e controis constantes. Non buscan impedir o acceso inicial senón supervisar e limitar todo o que ocorre despois.
Na parte superior aparecen capas transversais. Privacy ou protección de datos persoais introduce obrigas legais e técnicas que condicionan a arquitectura e o acceso á información. SSDF (Secure Software Development Framework) define como desenvolver software incorporando a seguridade desde o deseño. CUI (Controlled Unclassified Information) establece como protexer información sensible que non é clasificada pero tampouco pública. AI/ML (Artificial Intelligence and Machine Learning) introduce novos riscos asociados a datos modelos de adestramento e uso indebido de sistemas automatizados.
Visto no seu conxunto o endurecemento deixa de parecer caprichoso. Cada capa responde a un problema distinto como cumprimento normativo xestión do risco dependencias comportamento adversario ou impacto organizativo. O resultado non é simple nin elegante pero é coherente co contexto actual.
Comprender estes marcos axuda a entender por que as defensas son como son. A ciberseguridade non consiste só en reaccionar ante ataques senón en construír entornos capaces de resistir fallos inevitables. Os marcos non garanten seguridade absoluta pero explican o terreo sobre o que operan tanto defensores como atacantes. Entendelos é entender o campo de xogo real.
