En agosto de 2025, Agesic publicó la versión 5.0 del Marco de Ciberseguridad de Uruguay. Si trabajas en una organización del sector público o en una infraestructura crítica, este documento ya define una parte de cómo tienes que tratar la información todos los días, aunque tu rol no tenga nada que ver con tecnología.
La novedad de fondo no es técnica. El Marco 5.0 se estructura sobre el NIST Cybersecurity Framework 2.0 y, con ese cambio, las personas dejan de ser un destinatario pasivo de las políticas de seguridad y pasan a ser un control de seguridad en sí mismas. La concienciación, el manejo de credenciales y la respuesta ante un incidente quedan dentro de lo que la organización tiene que gestionar y poder demostrar.
Esta pieza no es un resumen del Marco completo. Se enfoca en la capa que más se suele subestimar: qué te pide a ti como persona, qué le pide a tu organización sobre formación, y cómo se traduce todo eso en algo que una auditoría pueda verificar.
¿Qué es el Marco de Ciberseguridad de Uruguay 5.0?
El Marco de Ciberseguridad de Uruguay es el conjunto de buenas prácticas que publica Agesic, la Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y el Conocimiento, dependiente de Presidencia. Su versión 5.0, de agosto de 2025, está alineada con la normativa nacional uruguaya y se fundamenta en el NIST Cybersecurity Framework 2.0.
En la práctica, el Marco le da a una organización una forma sistemática de gestionar el riesgo de ciberseguridad. Aplica de manera especial a organismos del sector público y a infraestructuras críticas, que son las que tienen que demostrar que la seguridad de su información está bajo control.
El NIST CSF 2.0 organiza todo alrededor de funciones. Tres de ellas son las que más rápido aterrizan en el trabajo diario de cualquier persona: Gobernar, Proteger y Responder.
¿Por qué el Marco 5.0 pone a las personas en el centro?
Porque el NIST CSF 2.0 incorpora de forma explícita el factor humano dentro de los controles que la organización tiene que gestionar. Dos exigencias lo dejan claro.
La categoría de concienciación y capacitación (PR.AT) pide que se sensibilice y capacite al personal para que tenga los conocimientos necesarios para trabajar teniendo en cuenta los riesgos de ciberseguridad. Y lo separa en dos niveles: una capacitación general para todo el personal y una capacitación reforzada para quienes desempeñan funciones especializadas.
El requisito de funciones y responsabilidades (GV.RR-04) suma otra exigencia que muchas organizaciones pasan por alto, porque pide que la ciberseguridad se incluya en las prácticas de recursos humanos. Eso significa responsabilidades de seguridad escritas en los contratos, capacitación a lo largo de la relación laboral y reglas claras sobre el deber de reserva, que sigue vigente incluso después de que la persona deja la organización.
Leído junto, el bloque dice algo simple: tu comportamiento es parte del cumplimiento. No alcanza con tener buenas herramientas si las personas no saben usarlas ni reconocen una amenaza cuando la tienen enfrente.
¿A quiénes aplica y con qué profundidad?
El Marco no trata a todos por igual, y ese es uno de los errores más comunes al implementarlo. Conviene distinguir tres audiencias, que es justo como se construyen los programas de concienciación que cumplen.
Todo el personal. La base. Cualquier persona de la organización tiene que entender por qué la ciberseguridad la involucra, cómo proteger los datos que maneja y por qué reportar un incidente a tiempo cambia el resultado. Acá entran los hábitos cotidianos: contraseñas, accesos según la finalidad de la tarea, deber de reserva.
El directorio y los mandos altos. El Marco, siguiendo el NIST CSF 2.0, refuerza la función Gobernar. El órgano de dirección no necesita aprender a reconocer un correo de phishing, necesita entender sus responsabilidades, supervisar el programa y tomar decisiones informadas sobre el riesgo. Es una capacitación distinta, con foco en gobernanza y rendición de cuentas.
Personal con funciones especializadas. Equipos técnicos, operadores de tecnología industrial (OT) en infraestructuras críticas, perfiles con acceso a sistemas sensibles. Para ellos el Marco pide formación específica por rol, porque una decisión equivocada en su turno puede escalar mucho más rápido.
¿Cómo se demuestra el cumplimiento del componente humano?
Esta es la pregunta que separa un programa que pasa una revisión de uno que no. El Marco no se conforma con que la organización diga que capacita a su gente, pide poder demostrarlo.
En términos prácticos, eso significa tener evidencia de tres cosas. Primero, que la capacitación existe y llega a la audiencia correcta, con su segmentación por rol. Segundo, que las personas efectivamente entienden lo que se les enseñó, lo que normalmente se mide con evaluaciones. Tercero, que el comportamiento mejora con el tiempo, lo que se observa con simulaciones de phishing o ransomware y métricas de evolución.
Un programa de concienciación serio deja ese rastro de forma automática: quién completó qué formación, qué resultado obtuvo, cómo respondió ante una simulación de phishing o de ransomware y cómo evolucionó su comportamiento a lo largo de los meses. Esa trazabilidad es la que convierte “capacitamos a la gente” en una afirmación verificable.
Si vienes siguiendo cómo otras normativas de la región abordan lo mismo, el patrón se repite. Lo desarrollamos para el caso chileno en la Ley Marco de Ciberseguridad de Chile y el nuevo rol de la concienciación, y para el europeo en qué es la NIS2 y cómo cumplir con la normativa. El componente humano siempre termina siendo el que más cuesta evidenciar.
Cómo acompaña SMARTFENSE al Marco de Uruguay 5.0
En SMARTFENSE construimos contenido de concienciación específico para el Marco de Ciberseguridad de Uruguay 5.0, mapeado a sus cláusulas y separado por audiencia: programas para todo el personal, para el directorio y para perfiles especializados de infraestructura crítica. Cada pieza está pensada para cubrir una función concreta del Marco y dejar evidencia de que se cubrió.
Esa lógica de programa por audiencia, con trazabilidad de extremo a extremo, es la misma que ya usan más de 700 organizaciones para sostener programas de awareness durante años. Puedes ver cómo funciona dentro de la plataforma en la sección de gestión de normativas, políticas y procedimientos, o conocer el enfoque general de SMARTFENSE si estás evaluando por dónde empezar.
El Marco 5.0 ya está vigente. La pregunta no es si tu organización tiene que capacitar a su gente en ciberseguridad, sino si va a poder demostrarlo cuando se lo pidan.
Deja una respuesta