¿Está obligado a seguir un marco de ciberseguridad?
La mayoría de las pequeñas y medianas empresas no lo saben — hasta que un cliente, un regulador o una aseguradora lo pregunta. Focus le ayuda a averiguarlo gratis y, luego, a llegar hasta ahí.
Es posible que ya tenga la obligación.
Muchas pequeñas empresas dan por hecho que las reglas de ciberseguridad son solo para bancos y hospitales. No lo son. Repase esta lista — si tan solo una línea suena como su caso, ya hay un marco que aplica a su empresa.
- Acepta pagos con tarjeta de crédito. El PCI DSS le aplica, aun cuando Stripe o Square gestionen los datos de la tarjeta.
- Maneja información de salud de pacientes. La Regla de Seguridad de HIPAA aplica — directamente si es una entidad cubierta, e indirectamente como asociado de negocio.
- Vende (o quiere vender) a clientes empresariales. Un informe SOC 2 es el boleto de entrada de facto. Sin informe, no hay compra.
- Posee información personal de residentes de California, Nueva York, Texas o de la mayoría de los demás estados de EE. UU. Las leyes estatales de notificación de brechas y de «seguridad razonable» aplican, incluso si no vende directamente al consumidor.
- Vende al Departamento de Defensa de EE. UU. o le subcontrata. NIST 800-171 es el mínimo; CMMC es la versión que se hace cumplir.
- Es una institución financiera según la amplia definición de la FTC. Eso incluye a contadores públicos (CPA), preparadores de impuestos, corredores hipotecarios y concesionarios de autos que otorgan crédito. La Regla de Salvaguardas de la GLBA aplica.
Si tan solo uno de estos casos suena como el suyo, esta página es para usted.
¿Qué es realmente un marco de ciberseguridad?
Un marco de ciberseguridad es una lista publicada de controles — cosas que usted debe hacer, configurar o documentar — que demuestran que su empresa gestiona el riesgo cibernético de forma responsable. Ejemplos de controles: «exigir autenticación multifactor en el correo electrónico», «conservar los registros del sistema durante al menos 90 días», «contar con un plan de respuesta a incidentes por escrito». Un marco no es más que un conjunto curado y validado de esos controles, organizado en torno a un caso de uso concreto.
Los marcos existen porque los clientes, los reguladores y las aseguradoras necesitaban un parámetro común. Elegir el correcto es la mitad de la batalla. El marco equivocado desperdicia meses de esfuerzo en controles que no aplican a su empresa. El correcto concentra su esfuerzo en lo que de verdad importa para su industria, sus datos y sus clientes.
Los marcos con los que más se topan las PYMES.
Un recorrido rápido. Cada tarjeta le indica cuándo aplica y por qué importa. Focus hace el emparejamiento por usted — esta lista solo busca que los nombres dejen de sonar a sopa de letras.
NIST CSF 2.0
Úselo si: quiere un marco voluntario y de uso general para gestionar el riesgo cibernético en toda la empresa.
Por qué importa: mantenido por el gobierno de EE. UU. y reconocido por aseguradoras y clientes de todo el mundo. Una opción segura por defecto cuando no hay nada más obligatorio.
SOC 2
Úselo si: vende software, datos o servicios a clientes empresariales.
Por qué importa: un informe SOC 2 es lo que sus prospectos empresariales piden durante la compra. Sin él, los acuerdos se estancan.
Regla de Seguridad de HIPAA
Úselo si: crea, recibe, almacena o transmite información de salud protegida (PHI).
Por qué importa: ley federal. Aplica a proveedores de salud, planes de salud y a cualquier asociado de negocio que maneje PHI.
PCI DSS
Úselo si: acepta, procesa, almacena o transmite datos de tarjetas de crédito — incluso a través de un tercero.
Por qué importa: exigido por las marcas de tarjetas (Visa, Mastercard, etc.). Las multas por incumplimiento y la terminación por parte del procesador son reales.
Regla de Salvaguardas de la GLBA
Úselo si: es una institución financiera según la amplia definición de la FTC (incluye a contadores públicos, preparación de impuestos, corredores hipotecarios y concesionarios de autos que otorgan crédito).
Por qué importa: la FTC la hace cumplir. Actualizada en 2023 con requisitos técnicos concretos.
CMMC / NIST 800-171
Úselo si: vende al Departamento de Defensa de EE. UU. o le subcontrata.
Por qué importa: la certificación CMMC se está convirtiendo en un requisito contractual. NIST 800-171 es el conjunto de controles subyacente.
Focus le dice cuál aplica — y luego lo guía paso a paso.
La parte difícil no es hacer el trabajo. La parte difícil es averiguar cuál marco aplica realmente a su empresa — y luego traducir sus controles densos, redactados por abogados, en cosas que de verdad pueda hacer. La mayoría de las PYMES adivina y después se ahoga en hojas de cálculo, cuestionarios de proveedores y consejos contradictorios de tres consultores distintos.
Focus le hace un puñado de preguntas en lenguaje sencillo sobre su empresa — su industria, sus clientes, sus datos, dónde opera — y le recomienda el marco o los marcos correctos, con citas a la regulación o el estándar específico. A partir de ahí, Focus lo guía a través de una evaluación control por control en lenguaje sencillo, le muestra sus brechas y da seguimiento a su remediación a lo largo del tiempo.
Es el asistente de programas de seguridad con IA que desearíamos que toda PYME tuviera.
Tres pasos para pasar de «ni idea» a «lo tenemos bajo control».
Responda algunas preguntas.
Focus le pregunta sobre su industria, sus clientes, sus datos y su geografía. Luego le recomienda el marco — o los marcos — correctos, con citas a la regla específica que aplica. Gratis, sin tarjeta.
Recorra la evaluación.
Preguntas control por control en lenguaje sencillo — sin jerga, sin lenguaje de auditor. Obtiene una calificación de su postura y una lista priorizada de brechas por cerrar, organizada según lo que más marca la diferencia.
Dé seguimiento a la remediación con el tiempo.
Marque las correcciones a medida que las realiza. Vuelva a evaluar cada vez que algo cambie. Focus mantiene un historial continuo de su postura, de modo que cuando un cliente o una aseguradora pregunte, usted tenga la prueba que entregarle.
Preguntas comunes.
¿De verdad necesito un marco?
Si tiene clientes, empleados o datos, casi con seguridad tiene al menos un regulador, un contrato o una aseguradora haciendo preguntas. «No seguimos ningún marco» es lo que dicen las empresas justo antes de reprobar un cuestionario de seguridad o de renovar su seguro cibernético al doble de la prima. Focus le dice de qué marco ya es responsable.
¿Focus reemplaza a mi auditor?
No. Focus lo prepara para una auditoría y da seguimiento a su trabajo, pero un auditor externo sigue realizando la certificación (el informe SOC 2, el análisis de riesgos de HIPAA, etc.). Lo que Focus hace es acortar el camino hacia el estado «listo para la auditoría» — para que, cuando llegue el auditor, usted no esté corriendo a último momento.
¿Y si no estoy en una industria regulada?
Probablemente sí lo esté, solo que de forma indirecta. Los suscriptores de seguros cibernéticos, los cuestionarios de debida diligencia de clientes empresariales y el proceso de gestión de proveedores de su banco hacen referencia a marcos. El costo de no tener uno suele aparecer en la renovación del seguro o cuando un cliente grande quiere un informe SOC 2.
¿Qué incluye el nivel gratuito?
Recomendaciones ilimitadas de marcos, una evaluación completa de controles y una calificación de postura con un radar de categorías y sus principales riesgos — lo suficiente para saber dónde se encuentra y qué corregir primero. Sin tarjeta de crédito, sin llamada de ventas. Cree una cuenta y empiece en minutos.
Descubra dónde se encuentra. Solo toma unas pocas preguntas.
Gratis para empezar. Sin tarjeta. Sin necesidad de una llamada de ventas.