Expediente de seguridad del producto CRA 2026 con ISO 27001
Un fabricante de dispositivos conectados convoca a su CISO, María, a una reunión un viernes por la tarde. El equipo comercial acaba de cerrar un acuerdo de distribución en Europa. El área jurídica pregunta si la empresa puede sustentar la conformidad con el Reglamento de Ciberresiliencia. Ingeniería afirma que el desarrollo seguro está “prácticamente cubierto” porque existen revisión de código, SAST y aplicación de parches. Compras indica que los proveedores están “cubiertos por NDA”. Los equipos de producto mantienen las dependencias de firmware en una herramienta, los inventarios de interfaces de programación de aplicaciones en la nube en otra y los tickets de vulnerabilidades en Jira. Cumplimiento dispone de evidencias de certificación ISO/IEC 27001:2022, pero están organizadas en torno al SGSI corporativo, no en torno a cada producto introducido en el mercado de la UE.
Entonces llega la pregunta incómoda: “Si una autoridad de la UE, un cliente, un organismo notificado o un distribuidor importante solicita el expediente de seguridad del producto en 2026, ¿podemos generarlo en una semana?”
Para muchos proveedores de software, fabricantes de dispositivos inteligentes y proveedores de servicios conectados, la respuesta honesta es no. No porque carezcan de controles de seguridad, sino porque sus evidencias de seguridad del producto están dispersas. Los registros de desarrollo seguro están en ingeniería. Las SBOM se generan por compilación, pero no se gobiernan. La divulgación coordinada de vulnerabilidades existe como página web, pero no siempre está conectada con el triaje, las correcciones, los avisos de seguridad y la supervisión posterior a la comercialización. La seguridad de proveedores queda enterrada en los contratos de compras. La notificación de incidentes pertenece a las operaciones de seguridad, mientras que la documentación de conformidad pertenece a cumplimiento de producto.
El Reglamento de Ciberresiliencia de la UE cambia el modelo operativo. La ciberseguridad del producto ya no es solo una buena práctica o una promesa contractual. Pasa a ser una obligación evidenciable durante todo el ciclo de vida. Las organizaciones deben poder demostrar cómo los requisitos de ciberseguridad se integran en el diseño, el desarrollo, la liberación, la gestión de vulnerabilidades, las actualizaciones y la supervisión después de que el producto entra en el mercado.
Aquí es donde ISO/IEC 27001:2022 adquiere valor, si se utiliza correctamente. No es por sí misma un esquema de certificación de producto, pero sus controles de SGSI, riesgo, activos, proveedores, desarrollo seguro, vulnerabilidades e incidentes pueden aportar la columna vertebral de un expediente de seguridad del producto CRA. El objetivo no es crear otro silo de cumplimiento. El objetivo es convertir el SGSI existente en un sistema de evidencias a nivel de producto.
Como indica Zenith Blueprint: An Auditor’s 30-Step Roadmap de Clarysec en la Fase 2, Paso 8, Arquitectura de evidencias:
“Las evidencias no deben recopilarse al final del ciclo de auditoría. Deben diseñarse dentro del control, asignarse a un propietario, fecharse mediante el proceso y reutilizarse en cada obligación que plantee la misma pregunta con un lenguaje diferente.”
Esa frase captura el núcleo de la preparación frente al CRA. La pregunta no es solo: “¿Tenemos desarrollo seguro?”. La pregunta es: “¿Podemos demostrar el desarrollo seguro, el conocimiento de componentes, la gestión de vulnerabilidades y la supervisión posterior a la comercialización para este producto, esta versión, esta liberación y este mercado?”
El expediente de seguridad del producto CRA es un sistema vivo de evidencias
Un expediente de seguridad del producto CRA no debe tratarse como un PDF estático producido una vez antes de la liberación y luego olvidado. Debe ser un dosier estructurado que relate la historia de seguridad del producto desde el concepto hasta el fin del soporte.
Un expediente útil explica:
- Qué es el producto y cuál es su uso previsto.
- Qué software, firmware, servicios en la nube y dependencias de terceros incluye.
- Qué riesgos de ciberseguridad se evaluaron.
- Qué requisitos de seguridad se aplicaron.
- Cómo se ejecutó el desarrollo seguro.
- Cómo se reciben, trian, corrigen y divulgan las vulnerabilidades.
- Cómo se entregan las actualizaciones seguras.
- Cómo se controlan los proveedores y los componentes de código abierto.
- Cómo se escalan los incidentes y las vulnerabilidades explotadas activamente.
- Cómo se supervisa el producto después de su introducción en el mercado.
Para un CISO, esto es un reto de evidencias del SGSI. Para un responsable de cumplimiento de producto, es documentación técnica. Para ingeniería, es DevSecOps y gobernanza de liberaciones. Para la alta dirección, es acceso al mercado y control de responsabilidad.
El error consiste en tratar esos elementos como líneas de trabajo separadas. El modelo más sólido es construir un expediente de evidencias a nivel de producto que se mapee con los controles ISO/IEC 27001:2022 e ISO/IEC 27002:2022, y después mapear las mismas evidencias con NIS2, DORA, RGPD de la UE, NIST y COBIT 2019 cuando corresponda.
Zenith Controls: The Cross-Compliance Guide de Clarysec describe esto como una cadena de control a evidencia y de evidencia a auditor:
“Un expediente de evidencias de cumplimiento cruzado debe mapear cada obligación con el control operativo, el objeto de evidencia recurrente, el propietario responsable y el enfoque de auditoría que se utilizará para cuestionarlo.”
Esa es la disciplina que requiere la preparación frente al CRA. El expediente de seguridad del producto no es simplemente una carpeta. Es la capa de traducción entre la ingeniería de producto, la gobernanza de la seguridad, la evaluación de la conformidad y el aseguramiento frente a clientes.
Construya primero la columna vertebral de evidencias del producto
El expediente necesita una estructura coherente antes de que los equipos empiecen a cargar registros. Sin una columna vertebral clara, las evidencias se convierten en una acumulación de capturas de pantalla, exportaciones y PDF de políticas que ningún auditor puede seguir.
Para talleres de preparación frente al CRA, Clarysec suele recomendar la siguiente estructura del expediente de seguridad del producto para organizaciones que ya operan un SGSI ISO/IEC 27001:2022.
| Sección del expediente de seguridad del producto | Evidencia principal | Temas de control de ISO/IEC 27001:2022 e ISO/IEC 27002:2022 | Propietario habitual |
|---|---|---|---|
| Definición del producto y uso previsto | Descripción del producto, arquitectura, flujo de datos, modelo de despliegue | A.5.9 Inventario de información y otros activos asociados, A.5.8 Seguridad de la información en la gestión de proyectos, evaluación de riesgos | Propietario del producto |
| Inventario de componentes y dependencias | SBOM, lista de materiales de firmware, mapa de dependencias de servicios en la nube | A.5.9 Inventario, A.8.9 Gestión de configuraciones, A.8.8 Gestión de vulnerabilidades técnicas | Responsable de ingeniería |
| Evidencias de desarrollo seguro | Modelos de amenazas, revisiones de diseño seguro, registros de revisión de código, resultados de pruebas de seguridad | A.8.25 Ciclo de vida de desarrollo seguro, A.8.27 Principios de arquitectura e ingeniería de sistemas seguros, A.8.28 Codificación segura, A.8.29 Pruebas de seguridad en desarrollo y aceptación | Ingeniería y AppSec |
| Gestión de vulnerabilidades y CVD | Política de divulgación, registros de recepción, registros de triaje, SLA de corrección, plantillas de avisos de seguridad | A.8.8 Gestión de vulnerabilidades técnicas, A.5.24 Planificación y preparación de la gestión de incidentes de seguridad de la información, A.5.26 Respuesta a incidentes de seguridad de la información | Operaciones de seguridad |
| Evidencias de proveedores y código abierto | Evaluaciones de proveedores, cláusulas contractuales, revisión de OSS, procedencia de componentes | A.5.19 Seguridad de la información en las relaciones con proveedores, A.5.20 Tratamiento de la seguridad de la información en acuerdos con proveedores, A.5.21 Gestión de la seguridad de la información en la cadena de suministro de TIC | Compras y área jurídica |
| Evidencias de actualización segura y liberación | Aprobaciones de liberación, registros de firma, planes de reversión, notas de parche | A.8.32 Gestión de cambios, A.8.24 Uso de criptografía, A.8.9 Gestión de configuraciones | Responsable de liberaciones |
| Supervisión posterior a la comercialización | Fuentes de vulnerabilidades, telemetría, informes de clientes, revisiones de incidentes, revisión periódica de riesgos | A.8.15 Registro de eventos, A.8.16 Actividades de supervisión, A.5.25 Evaluación y decisión sobre eventos de seguridad de la información, mejora continua | CISO y seguridad de producto |
| Paquete de conformidad y auditoría | Mapeo de controles, aprobación por la dirección, índice de evidencias conservadas | Gobernanza del SGSI, A.5.28 Recopilación de evidencias, auditoría interna, revisión por la dirección | Responsable de Cumplimiento |
Esta tabla no sustituye las obligaciones legales de documentación técnica. Proporciona a la organización un modelo operativo para demostrarlas.
En Zenith Blueprint, la Fase 1, Paso 3 se centra en la definición del alcance y los límites. Para el CRA, ese paso pasa a ser específico del producto. Defina la familia de productos, las versiones de software, los supuestos de despliegue, los roles de usuario, los servicios conectados, los canales de actualización y el período de soporte. Si el alcance del SGSI es “SaaS corporativo y plataforma de gestión de dispositivos”, el expediente CRA debe seguir respondiendo a una pregunta más concreta: “¿Qué producto con elementos digitales se introduce en el mercado de la UE y qué incluye ese producto?”
Mapee el desarrollo seguro con registros a nivel de producto
El núcleo del expediente de seguridad del producto son las evidencias de seguridad desde el diseño. ISO/IEC 27001:2022 proporciona el sistema de gobernanza. ISO/IEC 27002:2022 proporciona orientación de implementación mediante controles como A.8.25 Ciclo de vida de desarrollo seguro, A.8.27 Principios de arquitectura e ingeniería de sistemas seguros, A.8.28 Codificación segura y A.8.29 Pruebas de seguridad en desarrollo y aceptación.
El cambio importante consiste en pasar de afirmaciones genéricas sobre desarrollo seguro a registros específicos de cada liberación. “Realizamos revisión de código” no es suficiente. El expediente debe mostrar qué liberación se revisó, qué riesgos se consideraron, qué pruebas de seguridad se superaron, qué vulnerabilidades se aceptaron o remediaron y quién aprobó la liberación.
La Política de Desarrollo Seguro Enterprise de Clarysec está diseñada para exigir esa pista de auditoría. En la cláusula 6.1, Requisitos del ciclo de vida de desarrollo seguro, establece:
“Cada liberación de producto o servicio deberá mantener evidencias documentadas de los requisitos de seguridad, la revisión de diseño, las actividades de codificación segura, las pruebas de seguridad, las decisiones de remediación de vulnerabilidades y la aprobación de liberación antes del despliegue en producción.”
Esta cláusula es útil para el CRA porque convierte el desarrollo seguro en un patrón de evidencias repetible. Un auditor no necesita inferir que hubo desarrollo seguro. Puede inspeccionar el registro de liberación.
Para un termostato inteligente, un dispositivo médico IoT, un sensor industrial o un producto conectado a SaaS, las evidencias de desarrollo seguro deberían incluir:
- Requisitos de seguridad del producto mapeados con los riesgos identificados.
- Modelo de amenazas o análisis de casos de abuso para el producto y los servicios conectados.
- Revisión de arquitectura, incluidos los límites de confianza y las interfaces externas.
- Estándar de programación segura y evidencia de concienciación o formación de los desarrolladores.
- SAST, DAST, análisis de composición de software, escaneo de secretos y análisis de firmware cuando proceda.
- Tickets de remediación para hallazgos de alto riesgo.
- Registros de aceptación del riesgo con aprobación de negocio y seguridad.
- Lista de verificación de la puerta de liberación que demuestre que se cumplieron los criterios de seguridad.
- Evidencias de firma criptográfica e integridad de las actualizaciones.
- Supuestos sobre el período de soporte y el fin de vida.
Otras normas ayudan a reforzar el método. ISO/IEC 27005 respalda el enfoque de riesgo que sustenta estos registros. ISO/IEC 27017 es útil cuando los servicios en la nube forman parte del ecosistema del producto. ISO/IEC 27035 respalda la gestión de incidentes. ISO/IEC 29147 e ISO/IEC 30111 son especialmente relevantes para la divulgación de vulnerabilidades y la gestión de vulnerabilidades. ISO/IEC 27036 respalda la seguridad de proveedores, que resulta importante cuando el producto incluye software externalizado, módulos embebidos, servicios gestionados en la nube o bibliotecas de terceros.
En Zenith Controls, las evidencias de desarrollo seguro CRA suelen mapearse alrededor de temas de control de ISO/IEC 27002:2022 como seguridad de la información en la gestión de proyectos, ciclo de vida de desarrollo seguro, codificación segura, pruebas de seguridad, gestión de cambios y gestión de vulnerabilidades técnicas. La guía también los vincula con el inventario de activos y los controles de proveedores, porque ningún proceso de desarrollo seguro está completo si la organización no puede identificar los componentes que entrega.
Trate la SBOM como evidencia regulada de producto
La lista de materiales de software, o SBOM, suele tratarse como un artefacto técnico. Para la preparación frente al CRA, debe tratarse como evidencia de producto.
Una SBOM útil indica qué componentes están en el producto, qué versiones se utilizan, de dónde proceden, qué licencias aplican, qué vulnerabilidades les afectan y qué liberaciones los contienen. Para productos de firmware y productos embebidos, esto puede incluir paquetes del sistema operativo, bootloaders, bibliotecas, controladores, contenedores, módulos de terceros y dependencias del lado de la nube necesarias para la operación del producto.
El problema es que muchas organizaciones generan SBOM, pero no las gobiernan. Una canalización de compilación puede producir un archivo SPDX o CycloneDX, pero nadie valida su completitud. Las herramientas de seguridad pueden señalar vulnerabilidades, pero los resultados no se vinculan a versiones de producto. Compras puede aprobar un proveedor, pero la lista de componentes de ese proveedor no se reconcilia con el producto liberado.
La Política de Gestión de Activos Enterprise de Clarysec aborda esta brecha de gobernanza en la cláusula 5.2, Inventario de información y activos asociados:
“Los activos de información y los componentes tecnológicos asociados deberán identificarse, asignarse a un propietario, clasificarse cuando proceda y mantenerse en un inventario que respalde la evaluación de riesgos, la gestión de vulnerabilidades, el control de cambios y las evidencias de auditoría.”
Para el CRA, esa cláusula pasa a ser específica del producto. La SBOM forma parte del inventario de componentes tecnológicos asociados. Necesita un propietario, una regla de conservación, un proceso de validación y un vínculo con la gestión de vulnerabilidades.
Una regla práctica de evidencias SBOM es sencilla: cada versión de producto liberada debe tener un inventario de componentes aprobado que pueda asociarse al artefacto de liberación. Si la organización no puede conectar la SBOM con la imagen exacta de firmware, el paquete de aplicación, el digest de contenedor o la liberación SaaS, la SBOM es una evidencia débil.
| Comprobación | Evidencias que recopilar | Criterios de superación |
|---|---|---|
| Vinculación con la liberación | ID de liberación, hash de compilación, versión de firmware, digest de contenedor o ID de paquete | La SBOM se mapea claramente con el artefacto liberado |
| Completitud de componentes | Archivo SBOM, informe de escaneo de dependencias, excepciones manuales | Se capturan las dependencias directas y transitivas, o se justifican las excepciones |
| Estado de vulnerabilidades | Informe SCA, tickets de vulnerabilidades, aceptaciones del riesgo | Los hallazgos explotables conocidos o de alto riesgo tienen remediación o excepción aprobada |
| Vinculación con proveedores | Declaraciones de componentes de proveedores, atestaciones de terceros, términos de soporte | Los componentes suministrados críticos cuentan con evidencias de proveedor |
| Licencia y procedencia | Escaneo de licencias, registro del repositorio de origen, fuente de paquete aprobada | El origen y el uso de los componentes están documentados |
| Conservación y acceso | Ruta del repositorio de evidencias, propietario, regla de conservación | Cumplimiento puede recuperar la SBOM y los registros relacionados dentro del plazo definido |
Si fallan más de dos filas, el problema normalmente no es la herramienta de SBOM. Es la gobernanza. El expediente de seguridad del producto debe registrar una acción correctiva en el SGSI, porque la debilidad de evidencias CRA también es un problema de eficacia de controles de ISO/IEC 27001:2022.
Conecte la CVD con la gestión de vulnerabilidades y la gobernanza de liberaciones
La divulgación coordinada de vulnerabilidades es una de las áreas más visibles de preparación frente al CRA, porque investigadores externos, clientes y autoridades pueden probarla directamente. Publicar una página de divulgación de vulnerabilidades o un archivo security.txt es útil, pero solo es la puerta de entrada. El expediente de seguridad del producto debe demostrar que la operativa interna funciona.
Un conjunto defendible de evidencias de CVD y gestión de vulnerabilidades debería incluir:
- Canal público de divulgación e instrucciones de envío.
- Proceso de acuse de recibo a investigadores.
- Criterios de triaje, incluida la evaluación de severidad y explotabilidad.
- Análisis de impacto en el producto.
- Propiedad de la remediación y plazos objetivo.
- Plantillas de avisos a clientes y comunicaciones de actualización.
- Evidencias de desarrollo y pruebas de parches seguros.
- Registros de publicación coordinada cuando proceda.
- Lecciones aprendidas y análisis de tendencias de vulnerabilidades recurrentes.
La Política de gestión de vulnerabilidades Enterprise de Clarysec, cláusula 6.3, Recepción, triaje y remediación de vulnerabilidades, establece:
“Las vulnerabilidades notificadas deberán registrarse, evaluarse respecto de los activos y productos afectados, priorizarse según el riesgo y la explotabilidad, asignarse a un propietario responsable y seguirse durante la remediación, verificación, comunicación y cierre.”
Esa cláusula conecta la CVD con la SBOM, el inventario de activos, los tickets de ingeniería, la gestión de liberaciones y la supervisión posterior a la comercialización. También es la cláusula que los auditores probarán de forma natural: muestre el registro de recepción, muestre los productos afectados, muestre el triaje, muestre la corrección, muestre la comunicación al cliente, muestre el cierre.
Su Política de Gestión de Incidentes de Seguridad de la Información existente también debería ampliarse para cubrir vulnerabilidades de producto que se conviertan en incidentes o requieran notificación externa. ISO/IEC 27002:2022 A.5.24 cubre la planificación y preparación de la gestión de incidentes, A.5.25 cubre la evaluación y decisión sobre eventos de seguridad de la información, A.5.26 cubre la respuesta a incidentes de seguridad de la información, y A.5.27 cubre el aprendizaje derivado de incidentes.
En Zenith Controls, la gestión de vulnerabilidades se trata como preventiva y correctiva. El lado preventivo incluye inventario, desarrollo seguro, supervisión de proveedores y configuración segura. El lado correctivo incluye detección, triaje, aplicación de parches, comunicación y escalado de incidentes. Esta distinción importa porque la gestión de vulnerabilidades posterior a la comercialización forma parte de la obligación del ciclo de vida del producto, no es una actividad posterior accesoria.
Las evidencias de proveedores son la debilidad oculta
El expediente de seguridad del producto suele ser cuestionado con más intensidad cuando el fabricante depende de terceros. Esto incluye módulos embebidos, desarrollo de firmware externalizado, componentes de marca blanca, alojamiento en la nube, SDK móviles, servicios de pago, bibliotecas criptográficas y proveedores de soporte gestionado.
El patrón común de fallo es la abstracción contractual. El fabricante dice: “Nuestro proveedor es responsable de eso”. Bajo escrutinio de seguridad de producto, eso no basta. La organización debe demostrar que el riesgo de proveedores se identifica, que los requisitos de seguridad se comunican, que las evidencias se recopilan, que las vulnerabilidades se coordinan y que los cambios se controlan.
La Política de Seguridad de Terceros y Proveedores Enterprise de Clarysec, cláusula 7.1, Requisitos de seguridad de proveedores, establece:
“Los proveedores que desarrollen, operen, traten, soporten o afecten de forma material a sistemas de información, productos o servicios deberán evaluarse según el riesgo y estarán sujetos a requisitos de seguridad que cubran el acceso, la gestión de vulnerabilidades, la notificación de incidentes, la subcontratación, la continuidad y la provisión de evidencias.”
Para el CRA, la frase “afecten de forma material a productos” es crítica. Si un componente de proveedor puede introducir una vulnerabilidad, interrumpir actualizaciones, exponer datos de clientes o comprometer la integridad de un dispositivo, debe formar parte del expediente de seguridad del producto.
La misma política también puede respaldar la contratación relacionada con SBOM. La cláusula 7.3 establece:
“Para todos los componentes de software de terceros, bibliotecas o sistemas operativos que vayan a integrarse en los ‘Productos con Elementos Digitales’ de la empresa, el proveedor deberá proporcionar, previa solicitud, una Software Bill of Materials (SBOM) legible por máquina en un formato estándar como SPDX o CycloneDX. Este requisito deberá incorporarse en todos los contratos de adquisición y proveedores.”
Un paquete sólido de evidencias de proveedores debería incluir clasificación de proveedores por impacto en el producto, requisitos de seguridad en contratos, evidencias de desarrollo seguro del proveedor para componentes críticos, compromisos de divulgación de vulnerabilidades del proveedor, SBOM o declaraciones de componentes cuando sea viable, soporte de parches y plazos de fin de vida, registros de revisión periódica y vías de escalado para vulnerabilidades originadas en proveedores.
ISO/IEC 27002:2022 A.5.19, A.5.20 y A.5.21 proporcionan los temas clave de control de proveedores. ISO/IEC 27036 añade profundidad para la seguridad de las relaciones con proveedores. En términos de cumplimiento cruzado, NIS2 enfatiza la cadena de suministro y la gestión de vulnerabilidades. DORA enfatiza el riesgo de terceros de TIC para entidades financieras. El RGPD de la UE adquiere relevancia cuando el producto o sus servicios en la nube tratan datos personales. COBIT 2019 enmarca la gobernanza de proveedores como un asunto de gobierno de la tecnología empresarial, no solo como un asunto de operaciones de seguridad.
La supervisión posterior a la comercialización convierte las evidencias en operaciones
Las organizaciones de seguridad de producto más maduras piensan más allá de la liberación. Se preguntan: “¿Cómo sabremos si este producto se ha vuelto más riesgoso después de estar desplegado?”
La supervisión posterior a la comercialización debe capturar señales procedentes de fuentes de vulnerabilidades, inteligencia sobre exploits, soporte al cliente, telemetría, bug bounty o informes de investigadores, notificaciones de proveedores, registros de servicios en la nube, registros de incidentes y datos de rendimiento en campo. También debe incluir la revisión periódica del riesgo de producto cuando cambien las condiciones de amenaza.
La Política de registro y supervisión Enterprise de Clarysec, cláusula 5.4, Supervisión y revisión de seguridad, establece:
“Los eventos relevantes para la seguridad deberán recopilarse, revisarse, escalarse y conservarse de forma que respalden la detección oportuna, la investigación, la respuesta a incidentes, los informes de cumplimiento y la mejora continua.”
Para productos conectados, esto debe interpretarse con cuidado. La supervisión debe respetar la privacidad, la minimización de datos y las restricciones legales, especialmente cuando la telemetría incluye datos personales o datos operativos de clientes. El mapeo con el RGPD de la UE es importante. Los equipos de seguridad de producto deberían trabajar con los equipos de privacidad para definir qué telemetría es necesaria para la seguridad, cómo se minimiza, durante cuánto tiempo se conserva y cómo se informa a los clientes.
Las evidencias de supervisión posterior a la comercialización deberían incluir un plan de supervisión de seguridad del producto, fuentes de inteligencia de vulnerabilidades, canales de recepción de informes de clientes, canales de notificación de proveedores, alcance de revisión de telemetría o registros, actas de revisión periódica del riesgo de producto, seguimiento de adopción de parches, análisis de tendencias de incidentes y entradas para la revisión por la dirección.
En Zenith Blueprint, la Fase 5, Paso 30 se centra en la mejora continua y la preparación para auditorías de seguimiento. Para el CRA, aquí es donde el expediente de seguridad del producto se convierte en un archivo vivo. Cada liberación de producto, vulnerabilidad, cambio de proveedor y señal de campo debería actualizar el registro de evidencias.
Un expediente de evidencias, muchas preguntas de cumplimiento
Un expediente de seguridad del producto CRA bien diseñado reduce duplicidades porque las mismas evidencias responden a múltiples preguntas de cumplimiento. El lenguaje cambia, pero la realidad de control suele ser similar.
| Objeto de evidencia | Relevancia para el CRA | Tema de ISO/IEC 27001:2022 e ISO/IEC 27002:2022 | Relevancia para NIS2, DORA, RGPD de la UE, NIST y COBIT 2019 |
|---|---|---|---|
| Evaluación de riesgos del producto | Demuestra que los riesgos de seguridad se consideraron durante el diseño y el ciclo de vida del producto | Evaluación de riesgos, A.5.8 Seguridad de la información en la gestión de proyectos, A.8.25 Ciclo de vida de desarrollo seguro | Gestión de riesgos NIS2, gestión del riesgo de las TIC DORA, NIST Govern e Identify, gobierno de riesgos COBIT |
| SBOM e inventario de componentes | Demuestra conocimiento de los componentes de software y de la exposición a vulnerabilidades | A.5.9 Inventario, A.8.9 Gestión de configuraciones, A.8.8 Gestión de vulnerabilidades técnicas | Cadena de suministro NIS2, conocimiento de activos TIC DORA, NIST Asset Management, activos gestionados COBIT |
| Registros de desarrollo seguro | Demuestra que la seguridad se incorporó al diseño y la liberación | A.8.25 Ciclo de vida de desarrollo seguro, A.8.27 Arquitectura segura, A.8.28 Codificación segura, A.8.29 Pruebas de seguridad | NIST Protect, gobierno de construcción y cambios COBIT, seguridad desde el diseño del RGPD de la UE cuando hay datos personales |
| CVD y tickets de vulnerabilidades | Demuestra capacidad para recibir, evaluar, remediar y comunicar vulnerabilidades | A.8.8 Gestión de vulnerabilidades técnicas, A.5.24 Planificación de incidentes, A.5.26 Respuesta a incidentes | Gestión de vulnerabilidades NIS2, procesos de incidentes y vulnerabilidades DORA, NIST Respond |
| Evidencias de proveedores | Demuestra que las dependencias del producto están gobernadas | A.5.19 Relaciones con proveedores, A.5.20 Acuerdos con proveedores, A.5.21 Cadena de suministro TIC | Seguridad de la cadena de suministro NIS2, riesgo de terceros TIC DORA, gobierno de proveedores COBIT |
| Supervisión posterior a la comercialización | Demuestra vigilancia continua de la seguridad del producto | A.8.15 Registro de eventos, A.8.16 Actividades de supervisión, A.5.25 Evaluación de eventos, mejora continua | Detección de incidentes NIS2, supervisión DORA, NIST Detect, apoyo a la detección de brechas del RGPD de la UE |
| Registros de notificación de incidentes | Demuestra preparación para escalado y notificación | A.5.24 Planificación de incidentes, A.5.25 Evaluación de eventos, A.5.26 Respuesta a incidentes, A.5.27 Aprendizaje de incidentes | Notificación NIS2 y DORA, evaluación de brechas del RGPD de la UE, NIST Respond y Recover |
Zenith Controls está diseñado para esta reutilización. Mapea los temas de control de ISO/IEC 27002:2022 con atributos como propósito de control preventivo, detectivo y correctivo, conceptos de ciberseguridad, capacidades operativas y propiedades de seguridad. Para el CRA, esto ayuda a un CISO a explicar por qué un único objeto de evidencia, como una revisión de seguridad de liberación, respalda el desarrollo seguro, el tratamiento de riesgos, el control de cambios, la gestión de vulnerabilidades y la preparación para auditorías.
Prepárese para diferentes enfoques de auditoría
Un expediente de seguridad del producto CRA puede ser cuestionado por un auditor ISO, un equipo de auditoría interna, un equipo de aseguramiento de clientes, un revisor de conformidad de producto, un regulador, un evaluador basado en NIST o un auditor COBIT formado por ISACA. Cada uno formulará preguntas similares desde un enfoque distinto.
| Enfoque del auditor | Qué preguntará | Evidencia sólida |
|---|---|---|
| Auditor ISO/IEC 27001:2022 | ¿Está la seguridad del producto gobernada dentro del SGSI, el proceso de riesgos, el modelo de competencias, los controles operativos y el ciclo de mejora continua? | Alcance del SGSI, evaluación de riesgos, Declaración de Aplicabilidad, registros de desarrollo seguro, hallazgos de auditoría interna, revisión por la dirección |
| Perspectiva de certificación ISO/IEC 27006-1:2024 | ¿Son fiables las evidencias de auditoría, se han muestreado adecuadamente y están vinculadas al sistema de gestión certificado? | Índice de evidencias, lógica de muestreo, entrevistas con propietarios, registros conservados, seguimiento de acciones correctivas |
| Evaluador orientado a NIST | ¿Puede demostrar gobernanza, identificación de activos, medidas de protección, detección, respuesta y recuperación para el ciclo de vida del producto? | Registro de riesgos del producto, SBOM, plan de supervisión, flujo de trabajo de vulnerabilidades, playbooks de incidentes |
| Auditor COBIT 2019 o ISACA | ¿Están los objetivos de seguridad del producto gobernados, medidos, asignados a propietarios y alineados con el riesgo empresarial y la entrega de valor? | RACI, métricas, aprobaciones de políticas, gobernanza de proveedores, informes a la dirección, aceptación del riesgo |
| Revisor de conformidad de producto | ¿Muestra el expediente técnico los requisitos de ciberseguridad, los controles de diseño, la gestión de vulnerabilidades y la supervisión posterior a la comercialización del producto? | Índice del expediente de seguridad del producto, arquitectura, SBOM, evidencias de pruebas, registros CVD, evidencias de actualización |
| Evaluador de seguridad de clientes | ¿Puede demostrar que el producto se desarrolla y soporta de forma segura durante su ciclo de vida? | Resumen del SDLC seguro, resumen de pruebas de penetración, proceso de divulgación de vulnerabilidades, política de soporte de parches, aseguramiento de proveedores |
El mismo punto débil se expondrá de forma diferente. Si las SBOM se generan pero no se conservan, el auditor ISO ve un problema de control de registros y control operativo. El evaluador NIST ve una debilidad de gestión de activos y vulnerabilidades. El auditor COBIT ve una gobernanza débil sobre activos de información. El revisor de producto ve documentación técnica insuficiente.
Una hoja de ruta de 30 pasos adaptada a la preparación frente al CRA
Zenith Blueprint evita que los equipos de cumplimiento salten directamente a la recopilación documental. Para el CRA, la hoja de ruta de 30 pasos se convierte en un programa de evidencias de seguridad del producto.
La Fase 1 comienza con el mapeo de obligaciones y alcance. Identifique qué productos, versiones, componentes, servicios en la nube y procesos de soporte están dentro del alcance. Confirme el uso previsto, las categorías de usuarios, los mercados y el período de soporte de seguridad.
La Fase 2 construye la arquitectura de evidencias. Defina el índice del expediente de seguridad del producto, los propietarios de evidencias, los requisitos de conservación, la estructura del repositorio y el flujo de aprobación. Alinéelo con los sistemas de ingeniería en lugar de forzar cargas manuales.
La Fase 3 implementa controles operativos. El desarrollo seguro, la generación de SBOM, la gestión de vulnerabilidades, las evidencias de proveedores, las puertas de liberación, las actualizaciones seguras y el escalado de incidentes deben operar como procesos reales.
La Fase 4 prueba la preparación para auditorías. Seleccione una liberación de producto y realice una auditoría simulada. ¿Puede el equipo recuperar la SBOM? ¿Puede demostrar las pruebas de seguridad? ¿Puede mostrar cómo se trió una vulnerabilidad? ¿Puede conectar las evidencias de proveedores con los componentes del producto?
La Fase 5 incorpora vigilancia y mejora. La supervisión posterior a la comercialización, el análisis de tendencias de vulnerabilidades, las revisiones de proveedores y las entradas para la revisión por la dirección mantienen actualizado el expediente.
| Sprint de cuatro semanas de preparación frente al CRA | Resultado |
|---|---|
| Elegir un producto insignia de la UE | El alcance del producto, las versiones, los servicios y el período de soporte están definidos |
| Crear el índice del expediente de seguridad del producto | Las secciones de evidencias, los propietarios y las reglas de conservación están documentados |
| Mapear los controles ISO/IEC 27001:2022 con las secciones del expediente | El mapeo control-evidencia está disponible para auditoría |
| Adjuntar una liberación reciente como muestra de evidencias | Los registros de desarrollo seguro, pruebas y aprobación de liberación están vinculados |
| Generar o validar la SBOM | El inventario de componentes está ligado al artefacto de liberación |
| Trazar una vulnerabilidad desde la detección hasta el cierre | Se prueban las evidencias de CVD, triaje, remediación, comunicación y cierre |
| Trazar un componente de proveedor hasta el contrato y las evidencias de seguridad | Las evidencias de seguridad de proveedores están conectadas con el producto |
| Revisar las señales de supervisión posterior a la comercialización del último trimestre | La inteligencia de campo y la revisión de riesgos están documentadas |
| Registrar las brechas como acciones correctivas del SGSI | Las debilidades CRA se convierten en mejoras de controles gestionadas |
| Informar a la dirección sobre el estado de preparación | La alta dirección recibe madurez de evidencias, no actividad de controles vaga |
Este sprint suele revelar la realidad con rapidez. Las organizaciones rara vez fallan porque carezcan de todos los controles. Fallan porque los controles no están conectados a nivel de producto.
Brechas habituales de preparación frente al CRA antes de 2026
Entre proveedores de software, fabricantes de dispositivos y proveedores de servicios conectados, las brechas recurrentes son constantes.
Primero, el alcance del SGSI es demasiado corporativo. Cubre la organización, pero no suficiente detalle del ciclo de vida del producto. La corrección consiste en crear anexos y expedientes de evidencias a nivel de producto.
Segundo, las SBOM existen, pero no son fiables. Las generan herramientas, pero no se revisan, aprueban, conservan ni conectan con decisiones sobre vulnerabilidades. La corrección es gobernanza de SBOM, no solo producción de SBOM.
Tercero, la CVD está orientada al público, pero no es operativamente madura. Llegan informes, pero los criterios de triaje, los objetivos de respuesta, las aprobaciones de avisos de seguridad y las evidencias de cierre son inconsistentes. La corrección consiste en integrar la CVD con la gestión de vulnerabilidades, la gestión de incidentes y la gestión de liberaciones.
Cuarto, las evidencias de proveedores son demasiado superficiales. Los proveedores críticos se aprueban comercialmente, pero no se evalúan por su impacto en la seguridad del producto. La corrección es clasificar proveedores según el riesgo de producto y exigir evidencias obligatorias para componentes críticos.
Quinto, la supervisión posterior a la comercialización es reactiva. Los equipos responden a vulnerabilidades urgentes, pero no ejecutan revisiones periódicas del riesgo de producto. La corrección es una revisión programada de seguridad posterior a la comercialización vinculada con los informes a la dirección.
Sexto, las evidencias de auditoría son excesivamente manuales. Los equipos de cumplimiento persiguen capturas de pantalla. La corrección es evidencia desde el diseño, utilizando sistemas de ingeniería, flujos de trabajo de tickets y repositorios como fuentes de referencia.
Construya el expediente de evidencias antes de que el plazo lo construya por usted
El Reglamento de Ciberresiliencia recompensa a las organizaciones que pueden demostrar la seguridad del producto como disciplina operativa. Genera riesgo para las organizaciones que tratan las evidencias como un ejercicio de cumplimiento de última hora.
Empiece con un producto. Construya un expediente de seguridad del producto. Mapéelo con ISO/IEC 27001:2022 e ISO/IEC 27002:2022. Adjunte evidencias de desarrollo seguro, SBOM, registros CVD, aseguramiento de proveedores y supervisión posterior a la comercialización. Ejecute una simulación de auditoría antes de que alguien externo lo haga por usted.
Clarysec puede ayudarle a acelerar ese recorrido con Zenith Blueprint, Zenith Controls, la Política de Desarrollo Seguro Enterprise, la Política de gestión de vulnerabilidades, la Política de Gestión de Activos, la Política de Seguridad de Terceros y Proveedores, la Política de registro y supervisión y la Política de Gestión de Incidentes de Seguridad de la Información.
Su pregunta más importante sobre el CRA 2026 no es: “¿Tenemos controles de seguridad?”
Es: “¿Podemos demostrar la seguridad del producto, liberación por liberación, componente por componente, vulnerabilidad por vulnerabilidad, después de que el producto ya esté en el mercado?”
Construya ahora el expediente de evidencias, conéctelo con su SGSI y haga que cada futura liberación de producto esté preparada para auditoría desde el diseño.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
