La certificación ISO 27001 se considera cada vez más una prueba de madurez en materia de ciberseguridad. Es sinónimo de una evaluación estructurada de los riesgos, controles bien definidos y responsabilidad de los directivos. Los clientes la esperan. Las autoridades reguladoras la tienen en cuenta. Los procesos de contratación pública la exigen.

Sin embargo, la certificación no se traduce automáticamente en una gobernanza de la seguridad resiliente.

Muchas organizaciones cumplen los requisitos de la norma ISO 27001, mientras que el riesgo operativo sigue evolucionando a un ritmo más rápido que la supervisión. Los controles que resultaban eficaces en el momento de la certificación pierden progresivamente su relevancia a medida que cambian a su alrededor el panorama de amenazas, el entorno tecnológico y la estructura organizativa.

La diferencia radica entre la documentación y la ejecución.

Comprender esa brecha y lo que se necesita para subsanarla es lo que distingue a las organizaciones que mantienen una madurez auténtica en materia de seguridad de la información de aquellas que, aunque cuentan con un certificado, siguen estando expuestas desde el punto de vista operativo.

La norma ISO 27001 es un marco de gobernanza de riesgos

El Sistema de Gestión de la Seguridad de la Información (SGSI) de la norma ISO 27001 define cómo las organizaciones identifican, evalúan y gestionan los riesgos relacionados con la seguridad de la información. Exige la implicación de la dirección, objetivos de control documentados, una gestión estructurada de los riesgos y una mejora continua en todo el programa de seguridad de la información.

Estos requisitos no se concibieron como meros trámites burocráticos, sino como normas de gobernanza.

La implicación de la dirección significa que la responsabilidad de los directivos en materia de riesgos de seguridad de la información es activa y fundamentada, no se delega íntegramente a los equipos técnicos y se revisa anualmente. Los objetivos de control documentados significan que la organización ha tomado decisiones explícitas sobre qué riesgos tratar, cuáles aceptar y cuáles transferir, y que dichas decisiones se revisan a medida que cambian las condiciones operativas. La mejora continua significa que el SGSI se vuelve más eficaz con el tiempo gracias al aprendizaje estructurado a partir de los incidentes, los resultados de las auditorías y los resultados del seguimiento de los controles.

La norma se diseñó partiendo de la premisa de que el riesgo para la seguridad de la información es dinámico. Las amenazas evolucionan. Las estructuras organizativas cambian. Los entornos tecnológicos se modifican continuamente. Surgen nuevas obligaciones normativas en las distintas jurisdicciones.

La documentación estática no regula el riesgo dinámico.

La gobernanza de la seguridad depende de un modelo de gestión de riesgos que se adapte continuamente a la realidad operativa, y no de uno que refleje una evaluación puntual que se mantenga entre ciclos de auditoría.

Seminario web: Mantenga el control de los documentos, las competencias y la formación

Aprenda a crear un sistema eficaz y que cumpla las normas sin complicaciones

Seminario web: Mantenga el control de los documentos

Cuando falla la gobernanza de la seguridad

En muchas organizaciones certificadas, la discrepancia entre la documentación y la ejecución se manifiesta de formas predecibles.

Los registros de riesgos se revisan anualmente, en lugar de actualizarse de forma continua a medida que evolucionan el entorno de amenazas y el contexto operativo. El seguimiento de los controles se lleva a cabo manualmente por parte de personas cuya capacidad para mantener una supervisión coherente en un panorama tecnológico complejo y en constante crecimiento está limitada por razones estructurales. El seguimiento de incidentes se realiza en sistemas independientes de los procesos de gobernanza diseñados para actuar al respecto.

Cuando los incidentes de seguridad no se vinculan a medidas de mitigación estructuradas a través de la gestión de CAPA, la organización resuelve los incidentes de forma aislada sin abordar las causas que los han provocado. Las mismas clases de vulnerabilidades vuelven a aparecer en diferentes contextos técnicos. La organización invierte en la respuesta a incidentes, mientras que el modelo de gobernanza subyacente sigue generando las condiciones que la hacen necesaria.

Cuando los resultados de las auditorías identificados a través de la gestión de auditorías no actualizan la priorización de riesgos, el SGSI pasa a ser descriptivo en lugar de preventivo. Los programas de auditoría confirman que existen controles, pero no confirman que dichos controles respondan a la exposición actual. La dirección recibe pruebas de las actividades de cumplimiento, en lugar de información que permita determinar si la situación de seguridad está mejorando realmente.

A medida que las organizaciones se expanden a través de distintas sedes, entornos en la nube, integraciones con terceros y operaciones internacionales, esta fragmentación se agrava. Cada nuevo contexto operativo conlleva nuevos riesgos. Sin una integración estructural entre la evaluación de riesgos, la supervisión de los controles, la gestión de incidentes y la gobernanza correctiva, resulta cada vez más difícil mantener la visibilidad de la seguridad en toda la empresa únicamente mediante la coordinación.

La madurez en materia de seguridad requiere una integración entre los distintos niveles de gobernanza. A escala empresarial, esa integración no es una mera preferencia operativa, sino un requisito estructural.

La ilusión del cumplimiento

El cumplimiento de la norma ISO 27001 suele abordarse principalmente en términos de la exhaustividad de la documentación. Se mantienen los registros de riesgos. Se completan los anexos de controles. Se revisan y aprueban las políticas. Se supera la auditoría.

Esto da lugar a lo que mejor se puede describir como la ilusión de cumplimiento.

La idea errónea es que la certificación confirma la madurez en materia de seguridad. Lo que la certificación confirma realmente es que existía un marco y que estaba documentado correctamente en un momento concreto. No confirma que los controles incluidos en ese marco sigan siendo eficaces a medida que cambia el entorno operativo. No confirma que los riesgos identificados durante la implementación se estén gestionando de forma dinámica a medida que surgen nuevas amenazas. No confirma que la organización respondería de forma eficaz a un incidente de seguridad grave mañana.

La ilusión se vuelve peligrosa cuando resta importancia a la necesidad de invertir continuamente en gobernanza. Las organizaciones que consideran la certificación como el objetivo final, en lugar de como el punto de partida de la madurez en materia de seguridad, tienden a reducir la intensidad de la gobernanza tras la auditoría. Las actualizaciones del registro legal se ralentizan. Se aplazan las reevaluaciones de riesgos. La supervisión de los controles se vuelve menos rigurosa. El SGSI sigue generando documentación, mientras que la exposición a riesgos de seguridad operativa aumenta de forma silenciosa.

Un SGSI maduro funciona de manera diferente. Opera dentro de una estructura operativa integrada en la que el riesgo, la auditoría y las medidas correctivas se alimentan mutuamente de forma continua. La nueva información sobre amenazas actualiza la priorización de riesgos. Los resultados de las auditorías dan lugar a una reevaluación estructurada de los controles afectados. Las medidas correctivas validan su eficacia a lo largo del tiempo, en lugar de limitarse a confirmar su cierre administrativo. La postura de seguridad se refuerza progresivamente, en lugar de alejarse cada vez más de las condiciones bajo las que fue certificada.

La certificación acredita la existencia de un marco. La ejecución integrada determina si dicho marco regula realmente el riesgo de seguridad.

policy-compliance-standards-concept-with-hand-selecting-checklist-document-icon (1).jpg

De los controles fragmentados a la gobernanza integrada de la seguridad

Pasar de la conformidad con las certificaciones a una verdadera gobernanza de la seguridad requiere un cambio estructural en la forma en que la organización integra los componentes de su SGSI.

La evaluación de riesgos debe estar directamente vinculada al seguimiento de los controles, de modo que las exposiciones identificadas se traduzcan en medidas de protección que se mantengan de forma activa, en lugar de en decisiones de tratamiento documentadas. La gestión de incidentes debe estar vinculada a los flujos de trabajo de medidas correctivas, de modo que los incidentes de seguridad generen un aprendizaje operativo estructurado, en lugar de simples incidencias resueltas. Los programas de auditoría deben estar vinculados a la priorización de riesgos, de modo que los resultados influyan en el modelo de gobernanza, en lugar de limitarse a confirmar su existencia.

Cuando la gestión de auditorías, la gestión de CAPA, la gestión de riesgos y el control de documentos operan dentro de una arquitectura de gobernanza interconectada, el SGSI deja de funcionar como un conjunto de procesos de cumplimiento independientes. Se convierte en un modelo de gobernanza de seguridad coordinado en el que la información fluye de forma continua a través de las distintas capas de gobernanza.

Esto cambia lo que el SGSI puede ofrecer. Las organizaciones adquieren la capacidad de identificar patrones estructurales de vulnerabilidad en materia de seguridad en todo su entorno operativo, en lugar de gestionar los incidentes de forma reactiva. Las deficiencias en los controles se hacen visibles antes de que sean objeto de explotación, y no después. La eficacia de las medidas correctivas se valida a lo largo del tiempo, en lugar de darse por sentada al cierre del proceso.

El resultado es una gobernanza de la seguridad que se refuerza de forma continua, en lugar de limitarse a demostrar el cumplimiento de forma puntual.

De la documentación a la responsabilidad de los directivos

La responsabilidad de los consejos de administración en materia de riesgo cibernético está aumentando de forma significativa en todos los sectores. Los organismos reguladores de numerosas jurisdicciones están ampliando la responsabilidad personal de los ejecutivos en relación con las deficiencias en la gobernanza de la seguridad de la información. Los inversores institucionales están incorporando la situación de riesgo cibernético en las evaluaciones de riesgo empresarial. Los clientes de los sectores regulados exigen una capacidad demostrable en materia de gobernanza de la seguridad, y no solo la posesión de una certificación.

Esto aumenta considerablemente lo que está en juego en materia de gobernanza.

Los responsables necesitan tener una visión clara de las tendencias en materia de exposición, las deficiencias en los controles y la eficacia de las medidas de mejora. Deben comprender en qué aspectos se está reforzando la postura de seguridad de la organización y en cuáles sigue siendo vulnerable. Deben tomar decisiones fundamentadas sobre la asignación de recursos basándose en la realidad actual de los riesgos, en lugar de en el historial de cumplimiento normativo.

Cuando la gobernanza de la seguridad funciona de forma aislada, la supervisión ejecutiva queda fragmentada de forma estructural. La información llega a la dirección en forma de resúmenes elaborados manualmente a partir de sistemas inconexos. Los patrones de incidentes no se relacionan con los datos sobre la eficacia de los controles. Las conclusiones de las auditorías no se vinculan con las tendencias en la priorización de riesgos. El panorama que se presenta en la revisión de la dirección refleja las actividades ya realizadas, en lugar de la exposición operativa actual.

La gobernanza integrada cambia esta dinámica de forma fundamental. Cuando la evaluación de riesgos, la supervisión de los controles, la gestión de incidentes y las medidas correctivas se desarrollan dentro de una arquitectura de gobernanza interconectada, los responsables obtienen una visibilidad continua del estado de seguridad en toda la empresa. Los informes dirigidos al consejo de administración se basan en datos estructurales, en lugar de en instantáneas puntuales. La responsabilidad de los ejecutivos adquiere relevancia operativa, ya que la información en la que se basa es fiable, actual y está interconectada.

La seguridad de la información deja entonces de ser una disciplina técnica gestionada por debajo del nivel de gobernanza. Pasa a formar parte de la gestión de riesgos de la empresa, es visible a nivel ejecutivo y se integra en la toma de decisiones estratégicas del mismo modo que se gestionan los riesgos financieros, operativos y normativos.

Preguntas frecuentes sobre la certificación ISO 27001

No. La certificación confirma que un sistema de gestión de la seguridad de la información cumplía los requisitos de la norma en un momento determinado. No confirma que los controles sigan siendo eficaces a medida que evolucionan el panorama de amenazas y el entorno operativo, ni elimina el riesgo de seguridad permanente. La madurez sostenida de la seguridad depende de la gestión dinámica del riesgo, la gobernanza integrada y la mejora continua, más que de la certificación periódica.

Un Sistema de Gestión de la Seguridad de la Información estructurado según los requisitos de la norma ISO 27001. Define cómo una organización identifica, evalúa y trata los riesgos para la seguridad de la información mediante una combinación de responsabilidad de liderazgo, controles documentados, ejecución operativa y mejora continua. Su eficacia depende de lo bien que estén integrados estructuralmente sus componentes más que de lo exhaustivamente que estén documentados.

Integrando la gestión de riesgos, los procesos de auditoría, los flujos de trabajo de acciones correctivas y la supervisión de controles en una columna vertebral operativa conectada, de modo que las señales de riesgo se muevan continuamente a través de las capas de gobernanza en lugar de permanecer aisladas dentro de procesos individuales. De este modo, el SGSI pasa de ser un marco de cumplimiento periódico a un modelo de gobernanza de la seguridad en funcionamiento continuo.

Porque la evaluación de riesgos y la gobernanza correctiva siguen fragmentadas. Cuando los incidentes se resuelven de forma aislada sin conectar con una reevaluación estructurada de los riesgos, cuando los resultados de las auditorías no actualizan la priorización de los controles y cuando las medidas correctivas confirman el cierre administrativo en lugar de validar la eficacia a largo plazo, persisten las condiciones que producen los incidentes de seguridad. La integración estructural entre los niveles de gobernanza es necesaria para romper ese ciclo y construir una postura de seguridad progresivamente más sólida a lo largo del tiempo.

Vea nuestros recursos relacionados

Plataforma ISO 9001
Su registro de cumplimiento legal no le da el control
Plataforma ISO 9001
Su registro de cumplimiento legal no le da el control
Plataforma ISO 9001
Su registro de cumplimiento legal no le da el control
Plataforma ISO 9001
Su registro de cumplimiento legal no le da el control
Plataforma ISO 9001
La normativa cambia. ¿Puede evaluar el impacto en todos sus centros?

¿Está preparado para transformar sus procesos de calidad y medio ambiente, salud y seguridad?

Únase a cientos de organizaciones que llevan su cumplimiento y seguridad al siguiente nivel con Bizzmine.

Solicitar una demostración
Mockup Bizzmine 2-klein.png