Más allá de la recuperación: guía para CISO sobre cómo construir verdadera resiliencia operativa con ISO 27001:2022
Maria, CISO de una fintech en crecimiento, presenta al consejo de administración las métricas de riesgo del tercer trimestre. Sus diapositivas son claras: muestran una reducción del número de vulnerabilidades y simulaciones de phishing satisfactorias. De pronto, su teléfono vibra con insistencia. Es una alerta prioritaria del responsable del SOC: “Ransomware detectado. Propagación lateral. Servicios bancarios esenciales afectados”.
El ambiente de la sala pasa de la confianza a la tensión. El director general formula la pregunta inevitable: “¿Con qué rapidez podemos restaurar a partir de la copia de seguridad?”
Maria sabe que tienen copias de seguridad. Las prueban trimestralmente. Pero, mientras su equipo se apresura a ejecutar la conmutación por error, le asaltan muchas otras preguntas. ¿Son seguros los entornos de recuperación o solo van a reinfectar los sistemas restaurados? ¿Sigue operativo nuestro registro de incidentes en el sitio de respaldo o estamos actuando a ciegas? ¿Quién tiene acceso de administración de emergencia y se están registrando sus acciones? En la urgencia por volver a poner los servicios en línea, ¿alguien está a punto de enviar por correo datos sensibles de clientes desde una cuenta personal?
Este es el momento crítico en el que un plan tradicional de recuperación ante desastres falla y se pone a prueba la verdadera resiliencia operativa. No se trata solo de recuperarse; se trata de recuperarse con integridad. Este es el cambio fundamental de enfoque que exige ISO/IEC 27001:2022: pasar de la mera recuperación a mantener una postura de seguridad integral e ininterrumpida, incluso en pleno caos.
La definición moderna de resiliencia: la seguridad no se detiene nunca
Durante años, la planificación de la continuidad del negocio se ha centrado en gran medida en los objetivos de tiempo de recuperación (RTO) y los objetivos de punto de recuperación (RPO). Aunque son esenciales, estas métricas solo cuentan una parte de la historia. Miden la velocidad y la pérdida de datos, pero no miden la postura de seguridad durante la propia crisis.
ISO/IEC 27001:2022, especialmente a través de sus controles del Anexo A, eleva el nivel de la conversación. Reconoce que una interrupción no es un botón de pausa para la seguridad de la información. De hecho, el caos de una crisis es precisamente el momento en que los controles de seguridad son más necesarios. Los atacantes prosperan en la confusión y explotan justamente las soluciones alternativas y los procedimientos de emergencia diseñados para restaurar el servicio.
La resiliencia en ISO/IEC 27001:2022 significa mantener la seguridad de la información durante interrupciones (control 5.29 del Anexo A), una sólida preparación de las TIC para la continuidad del negocio (5.30) y una copia de seguridad de la información fiable (8.13). El objetivo es garantizar que la respuesta no cree vulnerabilidades nuevas y más peligrosas. Como se describe en Zenith Blueprint: An Auditor’s 30-Step Roadmap de Clarysec Zenith Blueprint, “los auditores buscarán alineación no solo con la política, sino con la realidad”. Aquí es donde muchas organizaciones se quedan cortas: planifican la disponibilidad, pero no el mantenimiento del cumplimiento durante el caos.
La base: por qué la resiliencia empieza por el contexto, no por los controles
Antes de implantar eficazmente controles específicos de resiliencia, debe construir un Sistema de Gestión de la Seguridad de la Información (SGSI) sólido. Muchas organizaciones fallan en este punto porque saltan directamente al Anexo A sin establecer los fundamentos adecuados.
Zenith Blueprint subraya la importancia de comenzar con las cláusulas centrales del SGSI, ya que este trabajo fundacional constituye la base de la resiliencia. El proceso empieza por comprender el entorno propio de la organización:
- Cláusula 4: Contexto de la organización: Comprender el contexto de la organización, incluidas las cuestiones internas y externas y los requisitos de las partes interesadas, y definir el alcance del SGSI.
- Cláusula 5: Liderazgo: Asegurar el compromiso de la alta dirección, establecer una Política de Seguridad de la Información y definir los roles y responsabilidades de la organización.
- Cláusula 6: Planificación: Realizar una evaluación de riesgos y una planificación del tratamiento rigurosas, y establecer objetivos claros de seguridad de la información.
Para la fintech de Maria, un análisis exhaustivo conforme a la cláusula 4 habría identificado las presiones regulatorias de DORA y la Directiva NIS2 como cuestiones externas clave. Una evaluación de riesgos conforme a la cláusula 6 habría modelado exactamente el escenario de ransomware al que ahora se enfrenta, destacando el riesgo de entornos de recuperación comprometidos y de registro de eventos insuficiente durante un incidente. Sin este contexto, cualquier plan de resiliencia es un disparo a ciegas.
Los dos pilares de la resiliencia operativa en ISO/IEC 27001:2022
Dentro del marco de ISO/IEC 27001:2022, dos controles del Anexo A destacan como pilares de la resiliencia operativa: copia de seguridad de la información (8.13) y seguridad de la información durante interrupciones (5.29).
Control 8.13: copia de seguridad de la información: la red de seguridad esencial
Este es el control que todo el mundo cree tener cubierto. Pero una estrategia de copias de seguridad verdaderamente eficaz es mucho más que copiar archivos. Es un control correctivo centrado en la integridad y la disponibilidad, y está profundamente interconectado con muchos otros controles.
Atributos: Correctivo; Integridad, Disponibilidad; Recuperación; Continuidad; Protección.
Capacidad operativa: Continuidad.
Dominio de seguridad: Protección.
Perspectiva de auditoría: Un auditor exigirá algo más que un “sí” a la pregunta “¿Tienen copias de seguridad?”. Pedirá registros que demuestren que existen copias de seguridad recientes, evidencias de que las pruebas de restauración fueron satisfactorias y pruebas de que los soportes de copia de seguridad estaban cifrados, almacenados de forma segura y cubrían todos los activos críticos definidos en el inventario.
Escenario: Un sistema queda inutilizado por ransomware o por un error crítico de configuración. Su capacidad para recuperar con integridad depende de una estrategia madura de copias de seguridad. Los auditores verificarán que esta estrategia no sea un elemento aislado, sino que esté vinculada a otros controles críticos:
- 5.9 Inventario de información y otros activos asociados: No puede hacer copia de seguridad de aquello que no sabe que tiene. Un inventario completo es innegociable.
- 8.7 Protección contra el software malicioso: Las copias de seguridad deben estar aisladas y protegidas frente al propio ransomware que pretenden neutralizar. Esto incluye el uso de almacenamiento inmutable o copias en sistemas aislados de la red.
- 5.31 Requisitos legales, estatutarios, regulatorios y contractuales: ¿Sus calendarios de conservación de copias de seguridad y sus ubicaciones de almacenamiento cumplen las leyes de residencia de datos y las obligaciones contractuales?
- 5.33 Protección de registros: ¿Sus copias de seguridad cumplen los requisitos de conservación y privacidad aplicables a la información de identificación personal (PII), los registros financieros u otros datos regulados?
Control 5.29: seguridad de la información durante interrupciones: el guardián de la integridad
Este es el control que separa un SGSI conforme de un SGSI resiliente. Aborda directamente las preguntas críticas que preocupan a Maria durante su crisis: ¿cómo mantenemos la seguridad cuando nuestras herramientas y procesos principales no están disponibles? El control 5.29 exige que las medidas de seguridad estén planificadas y sigan siendo eficaces durante cualquier evento disruptivo.
Atributos: Preventivo, Correctivo; Proteger, Responder; Confidencialidad, Integridad, Disponibilidad.
Capacidad operativa: Continuidad.
Dominio de seguridad: Protección, Resiliencia.
Perspectiva de auditoría: Los auditores revisan los planes de continuidad del negocio y recuperación ante desastres específicamente para encontrar evidencias de consideraciones de seguridad. Comprueban las configuraciones de seguridad de los sitios alternativos, verifican que se mantengan el registro de eventos y los controles de acceso, y analizan cualquier proceso alternativo en busca de debilidades de seguridad, no solo de su capacidad para restaurar el servicio.
Escenario: Su centro de datos principal está fuera de servicio y traslada las operaciones a un sitio de respaldo. Los auditores esperan ver evidencias —informes de visitas al sitio, archivos de configuración, registros de acceso— de que el sitio secundario cumple sus requisitos de seguridad primarios. ¿La transición de emergencia al trabajo remoto extendió la protección de endpoints y el acceso seguro a todos los dispositivos? ¿Documentó las decisiones de relajar temporalmente determinados controles y restablecerlos posteriormente?
Zenith Blueprint resume perfectamente su esencia: “Lo esencial es que la seguridad no se detenga mientras se restauran los sistemas. Los controles pueden cambiar de forma, pero el objetivo permanece: mantener la información protegida, incluso bajo presión”. Este control le obliga a planificar la realidad compleja de una crisis y está estrechamente vinculado con otros controles:
- 5.30 Preparación de las TIC para la continuidad del negocio: Garantiza que el plan técnico de recuperación no ignore el plan de seguridad.
- 8.16 Actividades de supervisión: Exige disponer de un mecanismo para mantener la visibilidad incluso cuando las herramientas principales de supervisión están fuera de línea.
- 5.24 Planificación y preparación de la gestión de incidentes de seguridad de la información: Los equipos de crisis y continuidad deben operar de forma concurrente, garantizando que se mantenga la conciencia situacional de respuesta a incidentes durante la interrupción.
- 5.28 Recopilación de evidencias: Garantiza que, en la urgencia por restaurar, no se destruyan evidencias forenses cruciales necesarias para la investigación y la notificación regulatoria.
Guía práctica para implantar resiliencia auditable
Traducir estos controles de la teoría a la práctica requiere políticas y procedimientos claros y accionables. Las plantillas de políticas de Clarysec están diseñadas para incorporar estos principios directamente en su SGSI. Por ejemplo, nuestra Política de Copias de Seguridad y Restauración Política de Copias de Seguridad y Restauración proporciona un marco que va más allá de los simples calendarios de copias de seguridad:
“La política aplica controles de ISO/IEC 27001:2022 relacionados con la recopilación de evidencias (5.28), la resiliencia durante interrupciones (5.29), la recuperación operativa (8.13) y la eliminación de información (8.10), y se corresponde con buenas prácticas de ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, GDPR, DORA y la Directiva NIS2.”
Este enfoque integral transforma la resiliencia de un concepto abstracto en un conjunto de tareas operativas y auditables.
Lista de verificación accionable: auditoría de su estrategia de copias de seguridad y resiliencia
Utilice esta lista de verificación, guiada por una política completa, para preparar las evidencias que exigirá un auditor.
| Pregunta de auditoría | Referencia de control | Guía de la política de Clarysec | Evidencias que preparar |
|---|---|---|---|
| ¿El alcance de sus copias de seguridad está alineado con su análisis de impacto en el negocio (BIA) y su inventario de activos? | 8.13, 5.9 | La política exige vincular el calendario de copias de seguridad con la clasificación de criticidad de los activos de información. | Inventario de activos con calificaciones de criticidad; configuración de copias de seguridad que muestre los sistemas priorizados. |
| ¿Se realizan pruebas de restauración periódicamente y se documentan los resultados? | 8.13, 9.2 | La política define una frecuencia mínima de prueba y exige la elaboración de un informe de prueba, incluidas métricas de tiempo de restauración y comprobaciones de integridad de los datos. | Planes e informes de pruebas de restauración de los últimos 12 meses; registros de cualquier acción correctiva adoptada. |
| ¿Cómo se protegen las copias de seguridad frente al ransomware? | 8.13, 8.7 | La política especifica requisitos para almacenamiento inmutable, copias aisladas de la red o redes de copia de seguridad segregadas, alineados con los controles de protección contra el software malicioso. | Diagramas de red; detalles de configuración del almacenamiento de copias de seguridad; escaneos de vulnerabilidades del entorno de copia de seguridad. |
| ¿Se mantienen los controles de seguridad durante una operación de restauración? | 5.29, 8.16 | La política hace referencia a la necesidad de entornos de recuperación seguros y registro de eventos continuo, garantizando la alineación con el plan de respuesta a incidentes de la organización. | Plan de respuesta a incidentes; documentación del entorno aislado de pruebas seguro para restauraciones; registros de una prueba de restauración reciente. |
| ¿Los calendarios de conservación de copias de seguridad están alineados con la normativa de protección de datos? | 8.13, 5.34, 8.10 | La política exige que las reglas de conservación de copias de seguridad cumplan el calendario de conservación de datos para evitar el almacenamiento indefinido de información de identificación personal (PII), dando soporte al derecho de supresión de GDPR. | Calendario de conservación de datos; configuraciones de trabajos de copia de seguridad que muestren los períodos de conservación; procedimientos para suprimir datos de las copias de seguridad. |
El imperativo de cumplimiento cruzado: mapear la resiliencia con DORA, NIS2 y otros marcos
Para las organizaciones de sectores críticos, la resiliencia no es solo una buena práctica de ISO/IEC 27001:2022; es un mandato legal. Regulaciones como el Reglamento de Resiliencia Operativa Digital (DORA) y la Directiva NIS2 ponen un énfasis enorme en la capacidad de resistir y recuperarse de interrupciones de las TIC.
Afortunadamente, el trabajo que realiza para ISO/IEC 27001:2022 le proporciona una ventaja sólida. Zenith Controls: The Cross-Compliance Guide de Clarysec Zenith Controls está diseñado para crear tablas de correspondencia explícitas que demuestran esta alineación ante auditores y reguladores. La documentación proactiva muestra que está gestionando la seguridad en todo su contexto legal.
Nuestras políticas están construidas con este enfoque. La Política de Protección de Datos y Privacidad Política de Protección de Datos y Privacidad, por ejemplo, declara explícitamente su función de reforzar el cumplimiento de DORA y la Directiva NIS2 junto con ISO/IEC 27001:2022.
Esta tabla de correspondencia ilustra cómo los controles esenciales de resiliencia satisfacen requisitos de varios marcos principales.
| Marco | Cláusulas/artículos clave | Cómo se corresponden los controles de resiliencia (5.29, 8.13) | Expectativas de auditoría |
|---|---|---|---|
| GDPR | Art. 32, 34, 5(1)(f), 17(1) | La protección de datos continúa bajo presión; los sistemas de copia de seguridad deben respaldar la restauración y los derechos de supresión; se requiere notificación de brechas cuando surgen vulnerabilidades durante las crisis. | Revisión de registros de copias de seguridad, pruebas de restauración, evidencias de supresión de datos en copias de seguridad y registros de incidentes durante la interrupción. |
| Directiva NIS2 | Art. 21(2)(d), 21(2)(f), 21(2)(h), 23 | La resiliencia operativa no es negociable; los controles deben garantizar la continuidad del negocio y la validez de las copias de seguridad; la gestión de crisis debe mantener la información protegida. | Examen de planes de continuidad del negocio, calendarios de copias de seguridad, evidencias de que los controles de copia de seguridad funcionan según lo requerido e informes de gestión de incidentes. |
| DORA | Art. 10(1), 11(1), 15(3), 17, 18 | Se requieren pruebas obligatorias de resiliencia, con referencias cruzadas a la gestión de incidentes, la restauración desde copias de seguridad y los controles de proveedores para servicios de TIC. | Auditoría de simulacros de resiliencia, registros de restauración de copias de seguridad, cláusulas de recuperación de datos con proveedores e informes de incidentes. |
| COBIT 2019 | DSS04.02, DSS04, DSS01, APO12 | La continuidad del negocio y la gestión de riesgos deben estar interrelacionadas; las capacidades de copia de seguridad y restauración se demuestran mediante métricas, registros y ciclos de mejora continua. | Auditoría de revisiones de continuidad, métricas de desempeño de copias de seguridad, registros y registros de remediación y mejora. |
| NIST SP 800-53 | CP-9, CP-10, MP-5, SI-12 | Las soluciones de copia de seguridad y la respuesta a incidentes son controles fundamentales para la recuperación; el registro de eventos y las pruebas de restauración son obligatorios para demostrar la capacidad. | Verificación de capacidades de restauración, seguridad de copias de seguridad, gestión de la conservación y procedimientos de gestión de incidentes. |
Al construir su SGSI en torno al marco sólido de ISO/IEC 27001:2022, está construyendo al mismo tiempo una posición defendible frente a estas otras regulaciones exigentes.
Desde la perspectiva del auditor: cómo se pondrá a prueba su resiliencia
Los auditores están formados para mirar más allá de las políticas y buscar pruebas de implantación. En materia de resiliencia, quieren ver evidencias de disciplina bajo presión. Una auditoría de sus capacidades de resiliencia será multifacética, con distintos auditores centrados en diferentes tipos de evidencias.
| Perspectiva del auditor (marco) | Área clave de enfoque | Tipos de evidencias solicitadas |
|---|---|---|
| ISO/IEC 27001:2022 / 19011 | Integración de la seguridad en los planes de continuidad y recuperación ante desastres | Revisión de la documentación de continuidad y recuperación ante desastres para confirmar que las consideraciones de seguridad están integradas y no añadidas a posteriori. Verificación de que los sitios alternativos disponen de controles de seguridad equivalentes. |
| COBIT 2019 (DSS04) | Mejora continua y revisión posterior al incidente | Examen de informes posteriores a la acción derivados de interrupciones reales o simulacros. El foco se sitúa en si las deficiencias de seguridad identificadas durante el evento se documentaron y remediaron. |
| NIST SP 800-53A (CP-10) | Validación de la recuperación y la reconstitución | Pruebas basadas en escenarios, ya sea mediante ejercicios de mesa o simulacros en vivo. Los auditores evalúan la capacidad de la organización para mantener los controles de seguridad durante el proceso de recuperación. |
| ISACA ITAF | Aceptación del riesgo documentada | Documentación y revisión de las aceptaciones de riesgo realizadas durante una interrupción. Las evidencias deben constar en el Registro de Riesgos o en el plan de continuidad, con autorización clara. |
Errores habituales: dónde suelen fallar los planes de resiliencia en la práctica
Los hallazgos de auditoría de Clarysec muestran debilidades recurrentes que socavan incluso los planes mejor redactados. Evite estos errores comunes:
- Los procesos alternativos manuales carecen de seguridad. Cuando los sistemas caen, los empleados vuelven a hojas de cálculo y correo electrónico. Estos procesos manuales suelen carecer de la seguridad física o lógica de los sistemas principales.
- Corrección: Integre protección física (armarios cerrados con llave, registros de acceso) y controles lógicos (archivos cifrados, canales de comunicación seguros) en sus protocolos de crisis para soluciones alternativas manuales.
- Los sitios alternativos no están completamente configurados. El centro de datos de respaldo tiene servidores y datos, pero puede carecer de reglas de cortafuegos equivalentes, agentes de registro o integraciones de control de acceso.
- Corrección: Documente la equivalencia de los controles de seguridad entre sitios primarios y secundarios. Realice auditorías técnicas periódicas del sitio de respaldo e incluya representantes de seguridad en todos los simulacros de conmutación por error.
- Las pruebas de restauración son incompletas o ad hoc. Las organizaciones prueban si un servidor puede restaurarse, pero no verifican si la aplicación restaurada es segura, genera registros y funciona correctamente bajo carga.
- Corrección: Haga que las pruebas completas de restauración de copias de seguridad, incluida la validación de seguridad, sean una parte obligatoria de los simulacros de incidentes y de las revisiones anuales de auditoría.
- La privacidad de los datos en las copias de seguridad se pasa por alto. Las copias de seguridad pueden convertirse en un riesgo de cumplimiento al conservar datos que deberían haberse suprimido en virtud del derecho de supresión de GDPR.
- Corrección: Alinee los procedimientos de conservación y supresión de copias de seguridad con sus políticas de privacidad de datos. Asegúrese de contar con un proceso documentado para borrar datos específicos de los conjuntos de copias de seguridad cuando sea legalmente necesario.
De conforme a resiliente: fomentar una cultura de mejora continua
Lograr la resiliencia no es un proyecto puntual que termina con la certificación. Es un compromiso continuo con la mejora, consagrado en la cláusula 10 de ISO/IEC 27001:2022. Una organización verdaderamente resiliente aprende de cada incidente, cada cuasi incidente y cada hallazgo de auditoría.
Esto exige ir más allá de las correcciones reactivas. Zenith Blueprint propone integrar la mejora continua en la cultura de la organización mediante el establecimiento de canales para que los empleados sugieran mejoras de seguridad, la realización de evaluaciones de riesgos proactivas cuando se produzcan cambios significativos y la ejecución de revisiones posteriores al incidente rigurosas para capturar las lecciones aprendidas.
Además, el control 5.35 (revisión independiente de la seguridad de la información) desempeña un papel crucial. Invitar a una parte independiente a revisar su SGSI aporta una perspectiva imparcial que puede descubrir puntos ciegos que el equipo interno podría pasar por alto. Como afirma con contundencia Zenith Blueprint: “…lo que separa un SGSI conforme de uno verdaderamente resiliente es esto: la disposición a hacer preguntas difíciles y a escuchar cuando las respuestas resultan incómodas”.
Su siguiente paso: construir un SGSI irrompible
La crisis de Maria pone de relieve una verdad universal: las interrupciones son inevitables. Ya sea por ransomware, un desastre natural o el fallo de un proveedor crítico, su organización será puesta a prueba. La cuestión no es si ocurrirá, sino cómo responderá. ¿Se limitará a recuperarse o responderá con resiliencia?
Construir un SGSI que mantenga la integridad bajo presión requiere un enfoque estratégico e integral. Empieza con una base sólida, incorpora controles profundamente interconectados y se nutre de una cultura de mejora continua. No espere a que una interrupción real revele las deficiencias de su estrategia.
¿Está preparado para construir un SGSI que no solo sea conforme, sino verdaderamente irrompible?
- Descargue Zenith Blueprint: An Auditor’s 30-Step Roadmap de Clarysec para guiar su implantación de principio a fin.
- Aproveche nuestras plantillas de políticas completas, como la Política de Copias de Seguridad y Restauración, para traducir las normas en acciones concretas y auditables.
- Utilice Zenith Controls: The Cross-Compliance Guide para garantizar que sus esfuerzos satisfacen las exigencias rigurosas de ISO/IEC 27001:2022, DORA y la Directiva NIS2.
Póngase en contacto hoy mismo para una evaluación gratuita de resiliencia y deje que los expertos de Clarysec le ayuden a construir un SGSI que funcione bajo presión.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
