Tres especialistas en ciberseguridad nos explicaron cómo implementan diferentes marcos de gestión de riesgos en sus organizaciones. Sus experiencias revelan diferencias prácticas que no siempre aparecen en la documentación oficial.
María trabaja con NIST Cybersecurity Framework en una universidad pública. Lo eligieron porque es gratuito y tiene buena documentación en español. El problema principal que encontró fue adaptar las categorías a sistemas heredados. Pasó seis meses mapeando activos antiguos contra las funciones del marco. La ventaja real es que ahora pueden comparar su postura de seguridad con otras instituciones educativas usando las mismas métricas.
Carlos implementa ISO 27005 en una empresa de servicios financieros. Su equipo necesitaba certificación formal, así que no había alternativa. El proceso de evaluación de riesgos les toma aproximadamente tres semanas por sistema crítico. Usa plantillas personalizadas porque las genéricas eran demasiado abstractas. Lo más útil ha sido la metodología estructurada para comunicar riesgos a directivos que no tienen formación técnica.
Ana está probando FAIR en una startup tecnológica. Le atrae el enfoque cuantitativo porque necesita justificar inversiones en seguridad con números concretos. Ha calculado la pérdida esperada anualizada para sus tres principales escenarios de riesgo. El desafío más grande es conseguir datos históricos confiables para alimentar los modelos. Sin embargo, los rangos probabilísticos le han servido para priorizar controles.
Los tres coinciden en algo: ningún marco funciona perfectamente desde el primer día. María tardó un año en ver resultados reales. Carlos sigue ajustando su implementación después de dos años. Ana reconoce que necesita más datos antes de confiar completamente en sus modelos cuantitativos.