Del cumplimiento a la resiliencia: cómo los CISO pueden cerrar la brecha de gobernanza
La alerta de las 3 de la madrugada: un fallo de gobernanza encubierto
María, CISO de una fintech en rápido crecimiento, se despertó sobresaltada por una alerta P1. Una base de datos de producción, supuestamente aislada, se estaba comunicando con una dirección IP externa desconocida. Su equipo del SOC ya estaba trabajando en ello y rastreó la conexión hasta un bucket de almacenamiento en la nube mal configurado, creado por un equipo de analítica de marketing que probaba una nueva herramienta de segmentación de clientes. El daño inmediato se contuvo, pero la revisión posterior al incidente reveló un problema mucho más peligroso, que no tenía nada que ver con cortafuegos ni con malware.
El responsable de marketing que encargó la herramienta no contaba con supervisión formal de seguridad. El ingeniero de DevOps que desplegó el entorno omitió las comprobaciones de seguridad estándar para cumplir un plazo ajustado. Los datos del bucket, aunque anonimizados, eran lo bastante sensibles como para activar cláusulas contractuales de notificación con varios clientes clave.
La causa raíz no fue una vulnerabilidad técnica. Fue un fallo catastrófico de gobernanza. María tenía políticas, herramientas y un equipo con talento. Lo que le faltaba era un marco de gobernanza vivo, aplicado y comprendido más allá del departamento de seguridad. Su empresa cumplía sobre el papel; su certificado ISO/IEC 27001:2022 seguía reluciendo en la pared, pero la organización no era resiliente en la práctica.
Esta es la brecha crítica en la que muchas organizaciones, y sus CISO, tropiezan. Confunden los artefactos de la gobernanza —políticas y listas de verificación— con la gobernanza en sí. Este artículo desglosa dónde falla esa forma de pensar y ofrece una hoja de ruta concreta para transformar el cumplimiento documental en control sostenido sobre las operaciones de la organización mediante el conjunto de herramientas integrado de Clarysec.
Más allá del archivador: redefinir la gobernanza como una acción
Durante demasiado tiempo, la gobernanza se ha tratado como un sustantivo: una colección estática de documentos almacenados en un servidor. Sin embargo, la verdadera gobernanza de la seguridad de la información es una acción. Es el conjunto continuo de actuaciones que la dirección realiza para dirigir, supervisar y respaldar la seguridad como una función esencial de la organización. Consiste en crear un sistema en el que todas las personas, desde el consejo de administración hasta el equipo de desarrollo, comprendan su papel en la protección de los activos de información de la organización.
Los marcos, desde ISO/IEC 27001:2022 hasta NIS2, parten de esta premisa: la gobernanza es una función de dirección, no una función técnica. Según ISO/IEC 27014:2020, la alta dirección debe crear una estrategia de seguridad de la información alineada con los objetivos de la organización. Esta estrategia debe garantizar que los requisitos de seguridad satisfagan necesidades internas y externas, incluidos compromisos legales, regulatorios y contractuales. Para confirmarlo, la dirección debe encargar auditorías independientes, fomentar una cultura que apoye activamente la seguridad y asegurar que objetivos, roles y recursos estén bien coordinados.
El problema es que este tono desde la alta dirección a menudo no se traduce en acciones en el nivel operativo. Aquí entra en juego el control más crítico, y a menudo peor entendido: las responsabilidades de la dirección.
El efecto cascada: por qué la seguridad no puede detenerse en el CISO
El mayor punto único de fallo en cualquier Sistema de Gestión de la Seguridad de la Información (SGSI) es asumir que el CISO es el único responsable de la seguridad. En realidad, el CISO es el director de orquesta, pero los responsables de cada unidad de la organización son los músicos. Si no ejecutan su parte, el resultado es ruido, no armonía.
Esto es precisamente lo que ISO/IEC 27001:2022 aborda en el control 5.4, “Responsabilidades de la dirección”. Este control exige que las responsabilidades de seguridad de la información se asignen y se apliquen en toda la organización. Como destaca nuestro Zenith Blueprint: hoja de ruta de 30 pasos para auditores en el Paso 23, este control trata de garantizar que el liderazgo en seguridad descienda en cascada por todas las capas de la organización.
“En última instancia, el control 5.4 refuerza que el liderazgo en seguridad no termina en el CISO. Debe descender por todas las capas de la gestión operativa, porque el éxito o el fracaso de su SGSI a menudo no depende de políticas o herramientas, sino de si los responsables impulsan activamente la seguridad en sus propios ámbitos.” Zenith Blueprint
En el caso de María, el responsable de marketing percibía la seguridad como un obstáculo, no como una responsabilidad compartida. El ingeniero de DevOps veía un plazo, no un deber de diligencia. Un marco de gobernanza vivo habría integrado puntos de control de seguridad en el proceso de inicio del proyecto y métricas de desempeño para el equipo de DevOps. Esto transforma la gobernanza de una carga de cumplimiento en una herramienta para evitar desastres.
De la teoría a la práctica: construir gobernanza con políticas aplicables
Una política en una estantería es un artefacto; una política integrada en las operaciones diarias es un control. Para operacionalizar la gobernanza, las organizaciones necesitan una definición inequívoca de las obligaciones. Nuestra Governance Roles & Responsibilities Policy está diseñada precisamente para lograrlo. Uno de sus objetivos principales es:
“Mantener un modelo de gobernanza que aplique la segregación de funciones, elimine los conflictos de intereses y habilite el escalado de problemas de seguridad no resueltos.” Política de funciones y responsabilidades de gobernanza
Esta declaración transforma un principio de alto nivel en un requisito concreto y auditable. Crea un marco de responsabilidad por capas, en el que cada nivel de dirección queda registrado como responsable de su parte del programa de seguridad. Para organizaciones más pequeñas, la Governance Roles & Responsibilities Policy - SME simplifica este enfoque y establece directamente en la cláusula 4.3.3 que todo empleado “debe notificar de inmediato los incidentes y los problemas de cumplimiento al Director General”. Esta claridad elimina la ambigüedad y faculta a todas las personas para actuar.
Volvamos al incidente de María y veamos cómo podría utilizar el conjunto de herramientas de Clarysec para reconstruir su enfoque de gobernanza y convertir un fallo reactivo en un sistema proactivo y resiliente.
La política como base: En primer lugar, implementaría la Política de funciones y responsabilidades de gobernanza. En colaboración con Recursos Humanos, integraría obligaciones específicas de seguridad en las descripciones de puesto de todos los responsables, desde marketing hasta finanzas. Esto convierte la seguridad en una parte formal de su función, no en una consideración posterior.
Definir el “cómo”: A continuación, utilizaría la política para establecer un proceso claro. La cláusula 7.2.2 de la política indica: “Los riesgos relacionados con la gobernanza deben ser revisados por el Comité de Dirección del SGSI y validados durante las auditorías internas”. Esto crea un foro formal en el que el nuevo proyecto del responsable de marketing se habría revisado antes de crear cualquier entorno en la nube, evitando la configuración incorrecta inicial.
Aprovechar la inteligencia de cumplimiento transversal: Para comprender el alcance completo de su nuevo modelo de gobernanza, María consultaría Zenith Controls: guía de cumplimiento transversal. Este recurso muestra cómo “Responsabilidades de la dirección” (ISO 5.4) no es una tarea aislada, sino un nodo central que conecta con otros controles críticos. Por ejemplo, revela el vínculo directo entre 5.4 y 5.8 (“Seguridad de la información en la gestión de proyectos”), garantizando que la dirección proporcione la supervisión necesaria para integrar la seguridad en todas las nuevas iniciativas.
Este enfoque proactivo desplaza la gobernanza desde un análisis reactivo posterior al incidente hacia una función habilitadora de las operaciones de la organización. Garantiza que, cuando un responsable quiera lanzar una nueva herramienta, su primera pregunta no sea “¿cómo consigo que seguridad apruebe esto?”, sino “¿con quién del equipo de seguridad debo colaborar?”.
Llega el auditor: demostrar que su gobernanza es real
Un auditor competente está entrenado para buscar evidencias de implementación, un concepto que Zenith Blueprint denomina alineación de la política con la “realidad”. Cuando un auditor evalúa su marco de gobernanza, no se limita a leer documentos; pone a prueba la memoria operativa de la organización. Busca evidencias de que la gobernanza está viva, activa y responde ante los cambios.
Distintos auditores examinarán su marco de gobernanza desde ángulos diferentes. Así pondrían a prueba el nuevo y sólido modelo de gobernanza de María:
El auditor de ISO/IEC 27001:2022: Este auditor irá directamente a las evidencias del compromiso de liderazgo requerido por la cláusula 5.1. Pedirá las actas de las reuniones de revisión por la dirección (cláusula 9.3). Buscará puntos del orden del día en los que se haya tratado el desempeño de la seguridad, se hayan asignado recursos y se hayan tomado decisiones basadas en evaluaciones de riesgos. Quiere comprobar que la dirección no se limita a recibir informes, sino que dirige activamente el SGSI.
El auditor de COBIT 2019: Un auditor de COBIT piensa en términos de objetivos de negocio. Se centrará en objetivos de gobernanza como EDM03 (“Optimización del riesgo asegurada”). Pedirá ver los informes de riesgos presentados al consejo de administración y querrá saber si la dirección supervisa indicadores clave de seguridad y adopta acciones correctivas cuando esos indicadores muestran una tendencia negativa. Para este auditor, la gobernanza consiste en asegurar que la seguridad habilita y protege el valor para la organización.
El auditor de ISACA: Guiado por marcos como ITAF, este auditor se centra especialmente en el tono desde la alta dirección. Realizará entrevistas con la alta dirección para valorar su comprensión y compromiso. Una respuesta lenta o displicente de la dirección ante un hallazgo de auditoría anterior es una señal de alerta importante, indicativa de una cultura de gobernanza débil.
El regulador de NIS2 o DORA: Con regulaciones como NIS2 y DORA, las consecuencias son mayores. Estos marcos imponen responsabilidad directa y personal a los órganos de dirección por fallos de ciberseguridad. Un auditor de una autoridad competente exigirá evidencias de que el consejo de administración ha aprobado el marco de gestión de riesgos de ciberseguridad, ha supervisado su implementación y ha recibido formación especializada. Busca pruebas de que la dirección no solo está informada, sino activamente implicada y sujeta a rendición de cuentas.
Para satisfacer estos distintos enfoques de auditoría, debe presentar algo más que políticas. Necesita un portafolio de evidencias.
| Área de enfoque de auditoría | Evidencia requerida |
|---|---|
| Implicación de la alta dirección | Actas de reuniones de revisión por la dirección, presupuestos aprobados, presentaciones al consejo de administración y comunicaciones estratégicas. |
| Revisiones de eficacia | Registros de acciones derivadas de decisiones de la dirección, acciones de mitigación procedentes de evaluaciones de riesgos con seguimiento. |
| Responsabilidad proactiva y respuesta | Matrices RACI, descripciones de puesto con obligaciones de seguridad, informes de incidentes que demuestren el escalado a la dirección. |
| Asignación formal | Mandatos firmados de comités de seguridad, descripciones formales de roles para Propietarios del Riesgo, confirmaciones anuales de responsables de departamento. |
Si sus evidencias se reducen a PDF de políticas y no dispone de registros operativos, no superará la auditoría. La guía Zenith Controls le ayuda a reunir el portafolio adecuado para demostrar evidencias, no solo intención.
El bucle de retroalimentación: convertir incidentes en resiliencia
En última instancia, la prueba más sólida de un marco de gobernanza resiliente es cómo responde la organización ante el fallo. La verdadera resiliencia implica aprender, adaptarse y actuar. Como indica Zenith Blueprint al tratar el control 5.24 (“Planificación y preparación de la gestión de incidentes de seguridad de la información”):
“Lo que define a una organización segura no es la ausencia de incidentes, sino la preparación para gestionarlos cuando se producen… Este control trata de la mejora, no solo del cierre. Los auditores preguntarán: ‘¿Qué aprendieron de su último incidente?’ Esperarán ver análisis de causa raíz, lecciones capturadas y, sobre todo, evidencias de que algo cambió como consecuencia.”
En el caso de María, ese “algo que cambió” no fue solo una regla de cortafuegos. Fue la implementación de un proceso de gobernanza que exigía aprobación de la dirección para nuevos proyectos, una matriz RACI clara para despliegues en la nube y formación obligatoria en seguridad para el equipo de marketing. Su capacidad para demostrar este bucle de aprendizaje convertiría una posible no conformidad grave en evidencia de un SGSI maduro y en mejora continua.
Aquí es donde la gobernanza demuestra su valor. Un fallo deja de ser solo un problema técnico que debe corregirse y se convierte en una lección organizativa que debe aprenderse e integrarse. Como establece la Política de funciones y responsabilidades de gobernanza en la sección 9.1.1.4, los “hallazgos de auditoría significativos o incidentes que impliquen fallos de gobernanza” no se ocultan; se revisan, se escalan y se gestionan.
Hacer que la gobernanza perdure: el papel de la responsabilidad proactiva
Incluso con las mejores políticas y el respaldo de la dirección, la gobernanza puede fallar si no existen consecuencias por el incumplimiento. Un marco verdaderamente sólido debe estar respaldado por un proceso disciplinario justo, coherente y bien comunicado. Este es el foco del control 6.4 de ISO/IEC 27001:2022, “Proceso disciplinario”.
Este control garantiza que las reglas del SGSI no sean opcionales. Proporciona el mecanismo de aplicación que demuestra el compromiso de la dirección con la seguridad. Como se detalla en Zenith Controls, este proceso es un tratamiento de riesgos crítico frente a amenazas internas y negligencia. Funciona junto con otros controles: las actividades de supervisión (8.16) pueden identificar un incumplimiento de política, mientras que el proceso disciplinario (6.4) determina la respuesta formal.
“Las medidas disciplinarias son más defendibles cuando los empleados han recibido formación adecuada y han sido informados de sus responsabilidades. El control 6.4 se apoya en 6.3 (Concienciación, educación y formación en seguridad de la información) para garantizar que el personal no pueda alegar desconocimiento de las políticas que ha incumplido.”
Un auditor comprobará que este proceso se aplica de forma coherente en todos los niveles, asegurando que un alto directivo que infrinja la política de escritorio limpio quede sujeto al mismo proceso que un becario. Este es el último eslabón de la cadena: convierte la gobernanza de una orientación en un estándar exigible.
El mapa unificado de cumplimiento: una visión única de la gobernanza
La presión de la gobernanza moderna reside en que nunca pertenece a un único marco. Regulaciones como NIS2 y DORA han elevado la responsabilidad de la dirección desde una buena práctica hasta un mandato legal con responsabilidad personal. Un CISO resiliente debe poder demostrar la gobernanza de forma que satisfaga simultáneamente a múltiples auditores.
Esta tabla unificada, derivada de los mapeos de Zenith Controls, muestra cómo el principio de responsabilidad de la dirección es un requisito universal en los principales marcos.
| Marco/Norma | Cláusula/Control relevante | Cómo se mapea con la responsabilidad de la dirección (ISO 5.4) |
|---|---|---|
| ISO/IEC 27001:2022 | Cláusulas 5.1, 5.2, 9.3 | Exige liderazgo activo, integración del SGSI en los procesos de la organización y revisiones periódicas por la dirección. |
| Directiva NIS2 de la UE | Article 21(1) | Los órganos de dirección deben aprobar y supervisar las prácticas de gestión de riesgos de ciberseguridad, con responsabilidad personal por los fallos. |
| DORA de la UE | Article 5(2) | El órgano de dirección mantiene la responsabilidad última sobre el marco de gestión del riesgo relacionado con las TIC de la entidad y sobre la resiliencia operativa. |
| GDPR de la UE | Articles 5(2), 24(1) | El principio de responsabilidad proactiva exige que los responsables del tratamiento, bajo supervisión de la alta dirección, demuestren el cumplimiento e implementen medidas adecuadas. |
| NIST SP 800-53 | PM-1, PM-9 | La dirección debe establecer el plan del programa de seguridad y crear una función ejecutiva de riesgos para una supervisión unificada. |
| COBIT 2019 | EDM03 | El consejo de administración y la alta dirección deben evaluar, dirigir y supervisar las iniciativas de seguridad para garantizar su alineación con los objetivos de la organización. |
La conclusión es clara: todos los auditores, con independencia del marco que utilicen, convergen en la misma exigencia: “Muéstreme la gobernanza en acción”.
Conclusión: convertir la gobernanza de una casilla marcada en una brújula
La verdad incómoda es que las organizaciones que cumplen sufren incidentes de seguridad todos los días. Las organizaciones resilientes, en cambio, sobreviven y se adaptan. La resiliencia requiere una integración profunda de políticas, tecnología y verdadera titularidad ejecutiva. No es un desfile de formularios, sino una cultura en la que la seguridad y la estrategia de la organización avanzan sincronizadas.
Empiece planteando las preguntas difíciles:
- ¿Es visible nuestro liderazgo en seguridad? ¿Participan activamente en las decisiones de riesgo responsables ajenos al área de seguridad?
- ¿Están claras las responsabilidades? ¿Puede cada responsable explicar sus obligaciones específicas para proteger la información en su ámbito?
- ¿Está integrada la gobernanza? ¿Se incorporan las consideraciones de seguridad desde el inicio en nuestros procesos de gestión de proyectos, adquisición y Recursos Humanos?
- ¿Aprendemos de nuestros errores? Cuando se produce un incidente, ¿activa una revisión de nuestro marco de gobernanza y no solo de nuestros controles técnicos?
La diferencia entre sobrevivir a un incidente o fallar bajo escrutinio regulatorio depende de hasta qué punto la gobernanza esté integrada en el tejido de sus operaciones. Es la brújula que guía a la organización en la incertidumbre. En el momento de la crisis, solo la gobernanza real se interpone entre el cumplimiento y la catástrofe.
Próximos pasos: haga medible su resiliencia
- Utilice Zenith Blueprint para realizar una comprobación de realidad sobre la responsabilidad proactiva de la dirección y garantizar que la seguridad tenga visibilidad en toda la organización.
- Implemente políticas de Clarysec como la Política de funciones y responsabilidades de gobernanza como documentos vivos que impulsen la formación, el escalado y la corrección.
- Aproveche Zenith Controls para garantizar su preparación para auditorías en ISO/IEC 27001:2022, NIS2, DORA y otros marcos, con mapeos concretos y paquetes de evidencias.
¿Está listo para evolucionar su gobernanza de una casilla marcada a una brújula? Reserve con Clarysec una revisión de gobernanza del SGSI y ponga realmente a su equipo directivo al mando.
Referencias:
- Zenith Blueprint: hoja de ruta de 30 pasos para auditores
- Zenith Controls: guía de cumplimiento transversal
- Política de funciones y responsabilidades de gobernanza
- Política de funciones y responsabilidades de gobernanza para pymes
- ISO/IEC 27001:2022, ISO/IEC 27014:2020, ISO/IEC 27005:2022, DORA, NIS2, GDPR de la UE, NIST SP 800-53 Rev.5, COBIT 2019.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
