De escaneos a evidencias: ISO 27001:2022, NIS2 y DORA
Son las 08:16 de un lunes. Acaba de aparecer en el panel una vulnerabilidad crítica de ejecución remota de código en un servidor de aplicaciones expuesto a internet. El equipo de infraestructura indica que el parche del proveedor está disponible. El propietario de la aplicación advierte de que el servidor da soporte a un flujo de trabajo de clientes crítico para los ingresos. El área jurídica pregunta si una explotación podría activar obligaciones de notificación conforme a NIS2, DORA o GDPR. La CISO, María, abre el calendario de auditoría y ve el verdadero problema: la auditoría de seguimiento de ISO 27001:2022 empieza la semana siguiente, una revisión de preparación para NIS2 ya está en curso y un cliente fintech importante ha solicitado evidencias de DORA.
El escáner muestra rojo. El tablero de tickets muestra actividad. La hoja de cálculo muestra esfuerzo. Pero nada de eso demuestra automáticamente que exista control.
Esta es la brecha que muchas organizaciones descubren demasiado tarde. El escaneo de vulnerabilidades no equivale a preparación para auditorías de gestión de vulnerabilidades. Un escaneo indica que algo puede estar mal. Las evidencias de auditoría demuestran que la organización sabía qué tenía, evaluó el riesgo, asignó la titularidad, actuó conforme a la política, controló el cambio, documentó las excepciones, verificó los resultados y revisó el resultado.
Para ISO/IEC 27001:2022, NIS2 y DORA, esa cadena de evidencias importa tanto como la corrección técnica. El escáner inicia la historia. El inventario de activos, el registro de vulnerabilidades, el ticket, la decisión de riesgo, el registro del cambio, el registro de parches, las evidencias de validación, la aprobación de la excepción y la revisión por la dirección la completan.
El enfoque de Clarysec es sencillo: la gestión de vulnerabilidades no debe tratarse como un ritual técnico mensual. Debe tratarse como un flujo de trabajo gobernado de evidencias.
Por qué los informes de escaneo fallan como evidencias de auditoría
Un escaneo de vulnerabilidades es una observación técnica en un momento determinado. Puede identificar una CVE, un parche faltante, una biblioteca sin soporte, un servicio expuesto o una configuración débil. Es útil, pero incompleto.
Un auditor formulará preguntas distintas:
- ¿El activo afectado estaba dentro del alcance?
- ¿Quién es propietario del activo y del servicio de negocio?
- ¿La vulnerabilidad se evaluó considerando exposición, explotabilidad, impacto en las operaciones de la organización y sensibilidad de los datos?
- ¿La remediación se completó dentro del plazo definido?
- Si la remediación se retrasó, ¿quién aceptó el riesgo residual?
- ¿El parche se desplegó mediante un proceso controlado de gestión de cambios?
- ¿La corrección se verificó mediante un nuevo escaneo o validación técnica?
- ¿Las evidencias se conservaron y fueron revisadas por la dirección?
Una carpeta de exportaciones del escáner rara vez responde a esas preguntas. En una auditoría de ISO 27001:2022, el auditor comprueba si el SGSI funciona según lo diseñado. Bajo NIS2, los órganos de administración deben aprobar y supervisar las medidas de gestión de riesgos de ciberseguridad. Bajo DORA, las entidades financieras necesitan un marco documentado de gestión del riesgo de las TIC, un ciclo de vida de incidentes, pruebas de resiliencia y controles de riesgo de terceros de TIC. Bajo GDPR, la cuestión pasa a ser si las medidas técnicas y organizativas adecuadas protegieron los datos personales y si puede demostrarse la responsabilidad proactiva.
Las cláusulas 4.1 a 4.4 de ISO/IEC 27001:2022 exigen que la organización comprenda su contexto, las partes interesadas, los requisitos y el alcance del SGSI. La gestión de vulnerabilidades y parches no puede diseñarse de forma aislada. Debe reflejar contratos de clientes, reguladores, dependencias de servicios en la nube, servicios de TIC externalizados, obligaciones de protección de datos y servicios críticos.
Las cláusulas 6.1.1 a 6.1.3 de ISO/IEC 27001:2022 exigen evaluación de riesgos, tratamiento de riesgos, selección de controles, una Declaración de Aplicabilidad y aprobación del propietario del riesgo para el riesgo residual. Esto significa que las evidencias de vulnerabilidades deben conectarse con el registro de riesgos, el plan de tratamiento y la SoA.
ISO/IEC 27005:2022 refuerza este modelo al recomendar que las organizaciones consoliden los requisitos del Anexo A, las obligaciones sectoriales, la normativa, los contratos, las reglas internas y los controles existentes en la línea base de la evaluación de riesgos. También destaca criterios de probabilidad, consecuencia, obligaciones legales, relaciones con proveedores, impacto en la privacidad e impacto de terceros. En términos prácticos, una vulnerabilidad no es solo una puntuación CVSS. Es un evento de riesgo conectado con activos, obligaciones, partes interesadas y consecuencias para la organización.
La presión regulatoria detrás de las evidencias de parches
La regulación moderna de ciberseguridad tolera cada vez menos la aplicación informal de parches.
NIS2 se aplica a muchas entidades medianas y grandes de sectores de alta criticidad y críticos, y también puede alcanzar a determinadas entidades con independencia de su tamaño. Su alcance incluye proveedores de infraestructura digital, como servicios de computación en la nube, servicios de centros de datos, redes de distribución de contenidos, proveedores de comunicaciones electrónicas públicas, servicios de confianza, servicios DNS y TLD, además de proveedores de gestión de servicios de TIC, como proveedores de servicios gestionados y proveedores de servicios de seguridad gestionados. También cubre proveedores digitales importantes, como mercados en línea, motores de búsqueda en línea y plataformas de redes sociales.
NIS2 Article 20 convierte la ciberseguridad en una responsabilidad del órgano de administración. NIS2 Article 21 exige medidas técnicas, operativas y organizativas adecuadas y proporcionadas, incluidos análisis de riesgos, gestión de incidentes, continuidad del negocio, seguridad de la cadena de suministro, adquisición segura, desarrollo seguro, mantenimiento seguro, gestión y divulgación de vulnerabilidades, evaluación de la eficacia, higiene cibernética, control de acceso, gestión de activos y autenticación. NIS2 Article 23 crea un proceso escalonado de notificación de incidentes significativos, que incluye alerta temprana en 24 horas, notificación en 72 horas y un informe final en el plazo de un mes cuando proceda.
DORA crea un marco normativo de resiliencia operativa digital directamente aplicable a las entidades financieras desde el 17 de enero de 2025. Cubre la gestión del riesgo de las TIC, la notificación de incidentes graves relacionados con las TIC, las pruebas de resiliencia operativa, el intercambio de inteligencia sobre ciberamenazas, la gestión del riesgo de terceros de TIC y la supervisión de proveedores terceros críticos de servicios de TIC. DORA Articles 5 y 6 sitúan la gobernanza del riesgo de las TIC bajo el órgano de administración y exigen un marco de gestión del riesgo de las TIC documentado, integrado y revisado periódicamente. DORA Article 8 refuerza la necesidad de identificar funciones de negocio soportadas por TIC, activos de información, activos de TIC y dependencias. DORA Articles 17 a 20 exigen detección, registro, clasificación, escalado, notificación, comunicación, remediación y aprendizaje para incidentes relacionados con TIC. DORA Articles 28 a 30 exigen controlar el riesgo de terceros de TIC mediante registros, diligencia debida, salvaguardas contractuales, derechos de auditoría, planificación de salida y supervisión.
Para las entidades financieras cubiertas por DORA, DORA generalmente prevalece sobre las obligaciones equivalentes de gestión de riesgos y notificación de NIS2. Pero NIS2 sigue siendo relevante para la coordinación del ecosistema y para entidades fuera de la cobertura de DORA. Para proveedores SaaS, MSP y MSSP que prestan servicios a clientes financieros, la realidad práctica es directa: los clientes pueden exigir sus evidencias de vulnerabilidades para satisfacer sus obligaciones de DORA.
GDPR añade otra capa. GDPR Articles 2 y 3 pueden aplicarse a organizaciones establecidas en la UE y a organizaciones no establecidas en la UE que ofrezcan bienes o servicios a personas en la UE o supervisen su comportamiento. GDPR Article 5 exige la protección de los datos personales y la responsabilidad proactiva respecto del cumplimiento. GDPR Article 4 define una brecha de datos personales como un incidente de seguridad que provoca la pérdida, destrucción, alteración, divulgación no autorizada o acceso no autorizado a datos personales, de forma accidental o ilícita. Un parche retrasado en una base de datos, una plataforma de identidad o un portal de clientes puede convertirse en una cuestión de responsabilidad proactiva en materia de privacidad.
De la política a la prueba
El primer paso es definir las reglas. Una política sólida de gestión de vulnerabilidades y parches no es solo un documento de auditoría. Es la constitución operativa del control.
Para entornos empresariales, la Política de gestión de vulnerabilidades y parches conecta explícitamente la aplicación técnica de parches con el cumplimiento cruzado:
Esta política contribuye al cumplimiento del control 8.8 del Anexo A de ISO/IEC 27001 y de las directrices de ISO/IEC 27002, y aborda requisitos regulatorios conforme a DORA Article 8, NIS2 Article 21, GDPR Article 32 y los dominios DSS y APO de COBIT 2019.
De la sección “Propósito”.
La misma política establece la expectativa de gobernanza para el artefacto central de evidencias:
El equipo de operaciones de seguridad debe mantener un Registro de Gestión de Vulnerabilidades centralizado, que será revisado mensualmente por el CISO o por la autoridad delegada.
De la sección “Requisitos de gobernanza”, cláusula 5.1 de la política.
También define la cadencia de escaneo:
Todos los sistemas deben escanearse al menos mensualmente; los activos de alto riesgo o expuestos externamente deben escanearse semanalmente.
De la sección “Requisitos de implementación de la política”, cláusula 6.1.1 de la política.
Y evita que la aplicación urgente de parches se convierta en una actividad técnica no controlada:
Todas las actividades de remediación deben coordinarse mediante el proceso de gestión de cambios (según P5 - Política de gestión de cambios) para asegurar la estabilidad y preservar la pista de auditoría.
De la sección “Requisitos de gobernanza”, cláusula 5.5 de la política.
Para pymes, los mismos principios de evidencia pueden implantarse de forma más sencilla. La Política de gestión de vulnerabilidades y parches para pymes establece:
Mantener registros precisos de los parches aplicados, los problemas pendientes y las excepciones para asegurar la preparación para auditorías
De la sección “Objetivos”, cláusula 3.4 de la política.
A continuación, define el registro de parches como evidencia de auditoría:
Debe mantenerse un registro de parches y revisarse durante las auditorías y las actividades de respuesta a incidentes
De la sección “Requisitos de gobernanza”, cláusula 5.4.1 de la política.
Y especifica el contenido mínimo:
Los registros deben incluir el nombre del dispositivo, la actualización aplicada, la fecha de aplicación del parche y el motivo de cualquier retraso
De la sección “Requisitos de gobernanza”, cláusula 5.4.2 de la política.
Para exposiciones urgentes a internet, la política para pymes establece un requisito medible:
Los parches críticos deben aplicarse en un plazo de 3 días desde su publicación, especialmente en sistemas expuestos a internet
De la Política de gestión de vulnerabilidades y parches para pymes, sección “Requisitos de implementación de la política”, cláusula 6.1.1 de la política.
Estas cláusulas convierten el trabajo técnico en evidencias. La política define las expectativas. El registro documenta los hallazgos. El ticket asigna el trabajo. El registro del cambio controla el despliegue. El registro de parches demuestra la acción. El registro de riesgos captura las excepciones. Las actas de revisión demuestran la supervisión.
El modelo de Clarysec centrado en evidencias
El modelo de Clarysec centrado en evidencias parte de un principio: todo hallazgo de vulnerabilidad debe ser trazable desde el descubrimiento hasta la decisión.
En Zenith Blueprint: hoja de ruta de 30 pasos para auditores, la fase Controles en acción, paso 19: Controles tecnológicos I, trata la gestión de vulnerabilidades como un control repetible, no como un requisito teórico:
La gestión de vulnerabilidades es una de las áreas más críticas de la higiene cibernética moderna. Aunque los cortafuegos y las herramientas antivirus proporcionan protección, pueden verse debilitados si se dejan expuestos sistemas sin parches o servicios mal configurados.
El mismo paso explica que las organizaciones deben utilizar calendarios periódicos de aplicación de parches, escáneres de vulnerabilidades, triaje, asignación, seguimiento de remediación, controles compensatorios y aceptación del riesgo residual. Lo más importante es que encuadra correctamente la mentalidad de auditoría:
El control no trata de la perfección, sino de contar con un proceso organizado, transparente y con responsabilidades claras.
Para los auditores, esa distinción importa. Una organización madura puede tener vulnerabilidades abiertas y aun así demostrar control, siempre que cuente con priorización basada en riesgos, titularidad documentada, excepciones aprobadas, controles compensatorios y remediación verificada.
El Zenith Blueprint también advierte de que los auditores inspeccionarán esta área con especial atención:
Este es un control de alta prioridad para los auditores, y normalmente profundizarán en él. Espere que le pregunten con qué frecuencia se aplican parches a los sistemas, qué proceso sigue cuando se anuncia una vulnerabilidad de día cero y qué sistemas son más difíciles de parchear.
Por eso un CISO no debe presentarse a una auditoría únicamente con un panel del escáner. El paquete de evidencias debe mostrar gobernanza, proceso, ejecución, verificación y mejora.
Mapeo de controles ISO 27002 a evidencias de auditoría
Zenith Controls: la guía de cumplimiento cruzado actúa como brújula de cumplimiento cruzado al mapear controles de ISO/IEC 27002:2022 y mostrar cómo se relacionan con las expectativas de auditoría. Para la gestión de vulnerabilidades y parches, tres controles de ISO/IEC 27002:2022 forman el triángulo operativo.
El control 8.8 de ISO/IEC 27002:2022, Gestión de vulnerabilidades técnicas, es el control central. Es preventivo, contribuye a la confidencialidad, integridad y disponibilidad, se alinea con los conceptos de ciberseguridad Identificar y Proteger, y se conecta con la gestión de amenazas y vulnerabilidades.
El control 8.32 de ISO/IEC 27002:2022, Gestión de cambios, también es preventivo. Conecta la aplicación de parches con el despliegue controlado, las pruebas, la aprobación, la reversión y la auditabilidad.
El control 5.36 de ISO/IEC 27002:2022, Cumplimiento de políticas, reglas y normas de seguridad de la información, asegura que el proceso no sea opcional ni dependa de esfuerzos individuales extraordinarios. Conecta la gestión de vulnerabilidades con el cumplimiento de políticas, el aseguramiento y la supervisión.
| Control ISO/IEC 27002:2022 mapeado en Zenith Controls | Relevancia para auditoría | Evidencia práctica |
|---|---|---|
| 8.8 Gestión de vulnerabilidades técnicas | Demuestra que las vulnerabilidades se identifican, evalúan y tratan | Informes de escaneo, registro de vulnerabilidades, notas de triaje, tickets de remediación, validación de cierre |
| 8.32 Gestión de cambios | Demuestra que la remediación está controlada y es auditable | Solicitudes de cambio, aprobaciones, planes de reversión, resultados de pruebas, registros de despliegue |
| 5.36 Cumplimiento de políticas, reglas y normas de seguridad de la información | Demuestra que las obligaciones de la política se supervisan | Atestaciones de políticas, revisiones de cumplimiento, registros de excepciones, resultados de auditoría interna |
Este mapeo evita un fallo frecuente de auditoría. Seguridad dice: “Lo parcheamos”. Operaciones dice: “Lo desplegamos”. Cumplimiento dice: “No podemos demostrar la secuencia”. Una cadena de evidencias mapeada ofrece a los tres equipos la misma historia.
La cadena de evidencias que quieren los auditores
Una cadena de evidencias defendible de gestión de vulnerabilidades tiene siete etapas.
| Etapa | Qué ocurre | Evidencia generada |
|---|---|---|
| Descubrimiento | El escáner, un aviso del proveedor, un informe de bug bounty, inteligencia de amenazas o una prueba interna identifica una vulnerabilidad | Exportación del escaneo, aviso, alerta, marca temporal de detección |
| Alcance y titularidad | Se confirman el activo, el propietario, el servicio, el tipo de datos y la exposición | Enlace al inventario de activos, asignación de propietario, mapeo del servicio de negocio |
| Triaje de riesgos | La severidad se evalúa usando explotabilidad, exposición, criticidad del activo, sensibilidad de los datos e impacto en las operaciones de la organización | Calificación del riesgo, notas de triaje, selección de SLA, enlace al registro de riesgos |
| Planificación de remediación | Se selecciona un parche, una corrección de configuración, un control compensatorio o una ruta de actualización | Ticket de remediación, plan técnico, notas de dependencias |
| Control de cambios | La remediación se aprueba, programa, prueba y despliega | Solicitud de cambio, aprobación, evidencias de pruebas, registro de despliegue |
| Verificación | Un nuevo escaneo o validación confirma que el problema se ha corregido o mitigado | Escaneo limpio, prueba de versión, captura de configuración, nota de validación |
| Revisión de gobernanza | Se revisan excepciones, retrasos, riesgos residuales y tendencias | Registro de parches, aprobación de excepciones, actas de revisión del CISO, informe de KPI |
La diferencia práctica entre “ejecutamos escaneos” y “estamos preparados para auditoría” es la continuidad. Si una vulnerabilidad no puede trazarse desde el descubrimiento hasta el cierre, el control es débil. Si existen excepciones pero nadie las aprobó, el proceso es débil. Si los parches eluden la gestión de cambios, la pista de auditoría es débil. Si las vulnerabilidades críticas permanecen abiertas sin controles compensatorios, la gobernanza es débil.
La Política de Auditoría y Supervisión del Cumplimiento apoya la automatización como parte de este modelo:
Deben desplegarse herramientas automatizadas para supervisar el cumplimiento de la configuración, la gestión de vulnerabilidades, el estado de los parches y el acceso privilegiado.
De la sección “Requisitos de implementación de la política”, cláusula 6.4.1 de la política.
Para pymes, la Política de Auditoría y Supervisión del Cumplimiento para pymes define la verificación técnica de controles en términos prácticos:
Verificación técnica de controles (por ejemplo, estado de las copias de seguridad, configuración de control de acceso, registros de parches)
De la sección “Requisitos de implementación de la política”, cláusula 6.1.1.2 de la política.
Las organizaciones pequeñas no necesitan herramientas de nivel empresarial para estar preparadas para auditoría. Necesitan evidencias consistentes. Un registro ligero, un tablero de tickets, un registro de parches y una revisión mensual pueden ser suficientes si están completos, actualizados y vinculados al riesgo.
Ejemplo: un hallazgo crítico, plenamente preparado para auditoría
El escaneo externo semanal de María identifica CVE-2026-12345 en una pasarela de interfaces de programación de aplicaciones de pago expuesta a internet. El escáner la califica como crítica. El servicio procesa identidad de clientes y metadatos de transacciones, por lo que puede haber implicaciones de GDPR y DORA. La pasarela pertenece a Ingeniería de Plataforma, pero el parche requiere una breve interrupción del servicio.
Este es el flujo de trabajo preparado para auditoría.
1. Crear la entrada del registro de vulnerabilidades
El equipo de seguridad registra el hallazgo en el registro central:
- ID del hallazgo: VULN-2026-0142
- Fuente: escaneo externo semanal
- Fecha y hora de descubrimiento
- Activo: api-gw-prod-01
- Propietario: Ingeniería de Plataforma
- Exposición: expuesto a internet
- Contexto de datos: identidad de clientes y metadatos de transacciones
- Severidad: crítica
- SLA: 72 horas o más estricto según la política
- Ticket: SEC-4821
- Registro del cambio: CHG-10988
- Estado: remediación planificada
2. Realizar el triaje usando el contexto de negocio y regulatorio
El equipo comprueba la disponibilidad de exploit, la superficie de ataque, los requisitos de autenticación, el impacto en las operaciones de la organización y la sensibilidad de los datos. Dado que el sistema está expuesto a internet y soporta flujos de trabajo de clientes, la vulnerabilidad sigue siendo crítica. El propietario del riesgo es el Responsable de Plataforma, y se notifica al CISO por las posibles implicaciones de NIS2, DORA y GDPR.
Las cláusulas 7.1 a 7.4 de ISO/IEC 27005:2022 respaldan la identificación de riesgos, la titularidad, las consecuencias, la probabilidad y la priorización. Las cláusulas 8.2 a 8.6 respaldan la selección del tratamiento, la determinación de controles, la vinculación con la SoA, la planificación del tratamiento y la aprobación del riesgo residual.
3. Abrir un cambio de emergencia controlado
El parche se programa para esa misma tarde. El registro del cambio incluye la referencia del proveedor, los servicios afectados, el plan de pruebas, el plan de reversión, la ventana de mantenimiento, la decisión sobre comunicación a clientes, las aprobaciones y el requisito de validación posterior al despliegue.
Esto respalda directamente el control 8.32 de ISO/IEC 27002:2022 y el requisito de la política empresarial de coordinar la remediación mediante la gestión de cambios.
4. Aplicar el parche y actualizar el registro de parches
El registro de parches documenta el nombre del dispositivo, la actualización aplicada, la fecha de aplicación del parche y el motivo del retraso, si lo hubiera. Si la aplicación del parche se hubiera retrasado, el equipo documentaría controles compensatorios, como reglas de cortafuegos de aplicaciones web, restricciones temporales de acceso, aumento del registro de eventos, aislamiento o supervisión reforzada.
5. Verificar y cerrar
Seguridad vuelve a escanear la pasarela de interfaces de programación de aplicaciones. La vulnerabilidad ya no aparece. El ticket se actualiza con evidencias de escaneo limpio, versión del parche, marca temporal de despliegue y enlace al registro del cambio. El estado del registro de vulnerabilidades pasa a “Cerrado, verificado”.
6. Revisar el impacto de notificación
Si no hubo explotación ni interrupción del servicio, puede que no se activen obligaciones de notificación de incidentes bajo NIS2 o DORA. Si se encuentran indicadores de compromiso, el proceso de incidentes debe clasificar el impacto y el escalado. Bajo NIS2, un incidente significativo puede requerir alerta temprana y notificación escalonada. Bajo DORA, un incidente grave relacionado con TIC requiere clasificación y notificación mediante el proceso aplicable de la autoridad competente.
7. Incorporar las lecciones a la revisión por la dirección
Al cierre del mes, la revisión del CISO deja constancia de que la vulnerabilidad fue detectada mediante escaneo externo semanal, remediada dentro del SLA, verificada por nuevo escaneo y cerrada sin incidente. Si se repiten problemas similares, el plan de tratamiento puede incluir configuraciones de referencia seguras, despliegue automatizado de parches, escalado al proveedor o modernización de la aplicación.
Cuando un auditor pregunte por CVE-2026-12345, María puede presentar un paquete depurado en lugar de correos electrónicos y capturas de pantalla.
| Tipo de evidencia | Documento o registro | Propósito |
|---|---|---|
| Gobernanza | Política de gestión de vulnerabilidades y parches | Demuestra alcance, roles, cadencia de escaneo, SLA de parches y reglas de excepción |
| Proceso | Registro de Gestión de Vulnerabilidades | Demuestra identificación, titularidad, priorización y seguimiento |
| Ejecución | Ticket de gestión de cambios | Demuestra pruebas, aprobación, despliegue y planificación de reversión |
| Verificación | Evidencias de escaneo antes y después | Demuestra que la vulnerabilidad existía y fue remediada |
| Supervisión | Actas de revisión del CISO | Demuestra conocimiento por parte de la dirección, revisión de tendencias y acciones de seguimiento |
Eso es estar preparado para auditoría. No porque la organización no tuviera vulnerabilidades, sino porque tenía control.
Un conjunto de evidencias, múltiples obligaciones
Un programa bien diseñado de gestión de vulnerabilidades y parches puede satisfacer múltiples marcos sin duplicar trabajo.
Para ISO 27001:2022, las evidencias respaldan el SGSI basado en riesgos, la implementación de controles del Anexo A, la Declaración de Aplicabilidad, los planes de tratamiento de riesgos, la auditoría interna y la mejora continua. Si el control 8.8 de ISO/IEC 27002:2022 es aplicable en la SoA, la organización debe poder mostrar la justificación legal, regulatoria, de riesgo o de negocio. Esa justificación suele incluir NIS2 Article 21, obligaciones de riesgo de TIC de DORA, responsabilidad proactiva conforme a GDPR, contratos de clientes y necesidades de resiliencia operativa.
Para NIS2, las mismas evidencias ayudan a demostrar las medidas de Article 21, incluidos análisis de riesgos, gestión de vulnerabilidades, gestión de incidentes, continuidad del negocio, seguridad de la cadena de suministro, higiene cibernética, control de acceso y evaluación de la eficacia. Article 20 se demuestra mediante revisión del CISO, informes al consejo de administración, aprobación de la dirección y formación en ciberseguridad. Article 23 adquiere relevancia si la explotación causa o podría causar una interrupción operativa grave, pérdidas financieras o daños a terceros.
Para DORA, las evidencias de vulnerabilidades y parches respaldan el marco de gestión del riesgo de las TIC, la supervisión del órgano de administración, la estrategia de resiliencia, la detección y clasificación de incidentes, las pruebas de resiliencia y la supervisión de terceros de TIC. Cuando un proveedor de TIC aloja o gestiona el sistema afectado, Articles 28 a 30 exigen diligencia debida, protecciones contractuales, derechos de auditoría, asistencia en incidentes y consideraciones de salida.
Para GDPR, las mismas evidencias respaldan la responsabilidad proactiva de Article 5 y la postura de seguridad esperada en Article 32. Si una vulnerabilidad provoca acceso no autorizado, alteración, pérdida o divulgación de datos personales, la cronología de la vulnerabilidad, los registros de parches, los registros de supervisión y las notas de evaluación de la brecha se vuelven esenciales.
Para COBIT 2019 y el aseguramiento de estilo ISACA, la gestión de vulnerabilidades se evalúa mediante seguridad operativa, supervisión de controles, habilitación de cambios y responsabilidad proactiva de la gobernanza. Las referencias de cumplimiento cruzado del Zenith Blueprint mencionan COBIT 2019 DSS05.04 y BAI09.02, además de las expectativas de aseguramiento de ITAF sobre gestión de vulnerabilidades, aplicación de parches y gestión de cambios segura.
Las normas ISO de apoyo fortalecen el modelo operativo. ISO/IEC 27005:2022 respalda la evaluación y el tratamiento de riesgos. ISO/IEC 27035:2023 respalda la respuesta a incidentes cuando se explotan vulnerabilidades. ISO/IEC 30111 respalda los procesos de gestión de vulnerabilidades. ISO/IEC 29147 respalda la divulgación de vulnerabilidades y los avisos. ISO/IEC 27017 respalda la gestión de vulnerabilidades en la nube. ISO 22301 respalda la planificación de continuidad cuando las vulnerabilidades técnicas podrían interrumpir servicios de negocio.
Cómo distintos auditores prueban el mismo proceso
Distintos evaluadores usan lentes distintos. Las evidencias pueden ser las mismas, pero las preguntas cambian.
| Perfil del auditor | Foco probable de auditoría | Evidencia que satisface la pregunta |
|---|---|---|
| Auditor de ISO 27001:2022 | ¿La gestión de vulnerabilidades forma parte del SGSI, del tratamiento de riesgos y de la SoA? | Mapeo de SoA, registro de riesgos, registro de vulnerabilidades, plan de tratamiento, resultados de auditoría interna, revisión por la dirección |
| Evaluador orientado a NIS2 | ¿Se han implantado medidas adecuadas y proporcionadas, y las supervisa la dirección? | Mapeo de Article 21, revisión del consejo de administración o del CISO, proceso de gestión de vulnerabilidades, flujo de trabajo de incidentes, evidencias de proveedores |
| Evaluador de DORA | ¿La gestión de vulnerabilidades está integrada en la gestión del riesgo de las TIC y la resiliencia operativa? | Marco de riesgo de TIC, mapeo de servicios críticos, SLA de parches, evidencias de pruebas de resiliencia, registro de terceros de TIC |
| Revisor de GDPR | ¿La organización protegió los datos personales y demostró responsabilidad proactiva? | Mapeo de activos de datos, cronología de vulnerabilidad, registros de acceso, registros de parches, notas de evaluación de brecha |
| Auditor de COBIT 2019 o ISACA | ¿Las operaciones, la gobernanza y los controles de cambios son eficaces y se supervisan? | Informes de supervisión de controles, registros de cambios, KPI de remediación, aprobaciones de excepciones, pruebas de aseguramiento |
| Revisor de aseguramiento orientado a NIST | ¿Las actividades de Identificar y Proteger operan de forma consistente? | Inventario de activos, escaneos de vulnerabilidades, lógica de priorización, flujo de trabajo de remediación, evidencias de supervisión |
La política dice qué debe ocurrir. Las evidencias operativas muestran qué ocurrió. Los registros de revisión muestran que la dirección tuvo conocimiento, cuestionó y actuó.
Motivos habituales por los que la gestión de parches falla en una auditoría
La mayoría de los hallazgos no se deben a la ausencia de un escáner. Se deben a una trazabilidad rota.
El inventario de activos está incompleto.
Si un escáner encuentra activos que faltan en la CMDB o en el registro de activos, la titularidad y el impacto en las operaciones de la organización no pueden evaluarse de forma fiable. Esto debilita el alcance, la evaluación de riesgos y el tratamiento de ISO 27001:2022.
Las vulnerabilidades solo se siguen en el escáner.
Los paneles del escáner no son registros de gobernanza. A menudo carecen de aprobación del propietario del riesgo, justificación de la excepción, referencias de cambio y contexto de negocio.
Los hallazgos críticos no tienen evidencias de SLA.
Una política puede decir que las vulnerabilidades críticas se corrigen en tres días. La pregunta de auditoría es si los registros demuestran que eso ocurrió.
Las excepciones son informales.
Existen sistemas heredados, restricciones por ventanas de indisponibilidad y retrasos de proveedores. Pero “no pudimos parchearlo” debe convertirse en una excepción documentada con controles compensatorios, fecha de caducidad y aprobación del riesgo residual.
La aplicación de parches de emergencia elude la gestión de cambios.
Los cambios de emergencia siguen siendo cambios. Si no hay evidencias de aprobación, pruebas o reversión, los auditores pueden concluir que la remediación creó riesgo operativo.
Los sistemas de terceros son invisibles.
Bajo NIS2 y DORA, el riesgo de proveedores y terceros de TIC es central. Si un proveedor parchea la plataforma, usted sigue necesitando evidencias, derechos contractuales, informes de servicio y vías de escalado.
Nadie revisa las tendencias.
Las vulnerabilidades recurrentes pueden indicar gestión de configuraciones débil, prácticas deficientes de desarrollo seguro, activos sin soporte o fallos de proveedores. La revisión mensual convierte datos técnicos en acción de gobernanza.
El paquete de auditoría de vulnerabilidades de Clarysec
Para una próxima revisión de preparación de ISO 27001:2022, NIS2 o DORA, Clarysec ayuda a las organizaciones a preparar un paquete de auditoría de gestión de vulnerabilidades y parches con lo siguiente:
- Política de gestión de vulnerabilidades y parches, incluido alcance, roles, cadencia de escaneo, SLA de parches y reglas de excepción
- Extracto del inventario de activos que muestre sistemas dentro del alcance, propietarios, criticidad y exposición
- Informes más recientes de escaneo de vulnerabilidades interno y externo
- Registro central de Gestión de Vulnerabilidades con elementos abiertos, cerrados y en excepción
- Registros de parches que muestren dispositivo, actualización, fecha de aplicación del parche y motivos de retraso
- Registros de cambios para una muestra de vulnerabilidades críticas y altas
- Evidencias de nuevos escaneos o validación posterior a la remediación
- Aprobaciones de excepciones y de riesgo residual para sistemas retrasados o no parcheables
- Proceso de supervisión de avisos de seguridad para proveedores, bibliotecas y servicios en la nube
- Actas mensuales de revisión del CISO o de la dirección
- Mapeo cruzado con obligaciones de ISO 27001:2022, NIS2, DORA, GDPR y COBIT 2019
- Resultados de auditoría interna o de verificación técnica de controles
En el Zenith Blueprint, fase Auditoría, revisión y mejora, paso 24, Clarysec subraya la trazabilidad entre la Declaración de Aplicabilidad, el registro de riesgos y el plan de tratamiento:
Su SoA debe ser coherente con su Registro de Riesgos y su Plan de Tratamiento de Riesgos. Compruebe de nuevo que cada control que eligió como tratamiento del riesgo está marcado como “Aplicable” en la SoA.
Esto es especialmente importante para la gestión de vulnerabilidades. Si el control 8.8 es aplicable, el paquete de auditoría debe demostrar no solo que se realizan escaneos, sino que los hallazgos se gobiernan mediante tratamiento de riesgos y mejora continua.
Un sprint de preparación de 30 días
Si la auditoría está cerca, no empiece reescribiéndolo todo. Empiece construyendo evidencias rápidamente.
| Semana | Foco | Resultado |
|---|---|---|
| Semana 1 | Confirmar el alcance del SGSI, servicios críticos, activos externos, servicios en la nube, proveedores y sistemas con datos personales | Inventario de referencia, exportaciones actuales de escaneos, comparación entre escáner y activos |
| Semana 2 | Depurar el Registro de Gestión de Vulnerabilidades, asignar propietarios, clasificar hallazgos críticos y altos | Registro priorizado, asignaciones de propietarios, tickets de remediación abiertos |
| Semana 3 | Parchear lo que pueda parchearse, encauzar la remediación mediante gestión de cambios, documentar excepciones | Registros de parches actualizados, registros de cambios, controles compensatorios, aprobaciones de riesgo residual |
| Semana 4 | Reescanear, cerrar elementos verificados, preparar informes de dirección y mapeo de cumplimiento | Evidencias de cierre, paquete de revisión del CISO, mapeo cruzado de ISO 27001:2022, NIS2, DORA, GDPR y COBIT 2019 |
Este sprint no eliminará toda la deuda técnica. Cambiará la conversación de auditoría. En lugar de defender una exportación desordenada del escáner, podrá mostrar un proceso gobernado con propietarios, plazos, acciones, decisiones y supervisión.
Pasar de escaneos a evidencias defendibles
La preparación para auditorías de gestión de vulnerabilidades y parches no consiste en demostrar que no existen vulnerabilidades. Consiste en demostrar que puede encontrarlas, entenderlas, priorizarlas, corregirlas, controlar las excepciones y demostrar supervisión.
Zenith Blueprint, Zenith Controls, la Política de gestión de vulnerabilidades y parches, la Política de gestión de vulnerabilidades y parches para pymes, la Política de Auditoría y Supervisión del Cumplimiento y la Política de Auditoría y Supervisión del Cumplimiento para pymes de Clarysec proporcionan la estructura para construir ese flujo de trabajo de evidencias.
Si su organización se prepara para la certificación ISO 27001:2022, la preparación para NIS2, la resiliencia operativa digital de DORA, la diligencia debida de clientes o una auditoría interna, empiece con una pregunta:
¿Puede trazarse cada vulnerabilidad crítica desde el escaneo hasta el cierre?
Si la respuesta es no, Clarysec puede ayudarle a construir el registro, el conjunto de políticas, el mapeo de cumplimiento cruzado, el paquete de revisión por la dirección y el flujo de trabajo de evidencias preparado para auditoría que convierte el escaneo técnico en gobernanza defendible.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
