⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →
ES EN BG CS DA DE EL ET FI FR GA HR HU IT LT LV MT NL PL PT RO SK SL SV
NIS2 DORA GDPR NIST COBIT 2019

Supervisión de proveedores MDR para NIS2, DORA y GDPR

Igor Petreski
14 min read
#MDR #Gestión de proveedores #Respuesta a incidentes #Registro y monitorización #Auditoría #Gestión de riesgos #Protección de datos #MFA
Supervisión de proveedores MDR mapeada a ISO 27001, NIS2, DORA y GDPR

A las 02:13 de un lunes por la mañana, el proveedor MDR abre una alerta de alta severidad: desplazamiento imposible, reglas sospechosas en el buzón y una cuenta privilegiada utilizada desde un endpoint no gestionado. El analista del SOC escala la alerta a través del portal de tickets. El responsable de TI está dormido. El director financiero recibe una advertencia de phishing de un contacto bancario antes de que se active el canal interno de incidentes. A las 07:30, el CISO se enfrenta a tres preguntas incómodas.

¿Quién tenía autoridad para declarar un incidente?

¿Podemos demostrar que el proveedor MDR disponía de los registros adecuados, que los conservó durante el tiempo necesario y que preservó las evidencias?

Si se accedió a datos personales, ¿puede el equipo jurídico cumplir los plazos de evaluación de una violación de seguridad de datos personales conforme al GDPR mientras Operaciones prepara la notificación conforme a NIS2 o DORA?

Un mes después, el auditor externo solicita las mismas evidencias con otro tono. El informe PDF del proveedor MDR es útil, pero no es suficiente. El auditor quiere los datos brutos de la alerta, los archivos de registro completos, la pista de escalado, el registro interno de decisiones, el acta de revisión del proveedor y la prueba de que la organización pudo verificar de forma independiente lo ocurrido.

Ese es el problema de la supervisión de proveedores MDR en 2026. Las organizaciones externalizan la detección y la respuesta porque la capacidad interna de SOC es costosa, la contratación es difícil y la actividad de amenazas es constante. Pero externalizar la detección no significa externalizar la responsabilidad proactiva. Bajo NIS2, los órganos de dirección siguen siendo responsables de aprobar y supervisar las medidas de gestión del riesgo de ciberseguridad. Bajo DORA, las entidades financieras siguen siendo plenamente responsables del riesgo de terceros TIC, incluidos los servicios TIC críticos, el soporte a incidentes, los derechos de auditoría, la subcontratación y la salida. Bajo GDPR, los responsables del tratamiento deben demostrar una seguridad adecuada del tratamiento, especialmente cuando los encargados tratan telemetría, datos de endpoint, identificadores de usuario, direcciones IP, contenido de correo electrónico, registros o imágenes forenses.

La brecha práctica rara vez se limita al contrato MDR. Está en la cadena de evidencias entre el contrato y el servicio en producción: enrutamiento de alertas, acceso privilegiado, conservación de registros, umbrales de escalado, evidencias de incidentes, transparencia sobre subcontratistas, cláusulas de encargado del tratamiento, revisiones del servicio, ejercicios de mesa e informes a la dirección.

Un programa defendible de supervisión de proveedores MDR necesita un modelo operativo único que responda a múltiples conversaciones de auditoría. ISO/IEC 27001:2022 proporciona esa columna vertebral.

La supervisión de MDR empieza por la responsabilidad proactiva, no por la consola del SOC

Un error habitual es tratar la incorporación de MDR como un proyecto técnico: desplegar agentes EDR, reenviar registros de identidad, configurar alertas, acordar un canal de Teams o Slack y poner el servicio en producción. Eso puede mejorar la detección, pero no demuestra gobernanza.

NIS2 hace explícito el problema. Las entidades esenciales e importantes deben implantar medidas técnicas, operativas y organizativas adecuadas y proporcionadas de gestión del riesgo de ciberseguridad. Article 21 incluye análisis de riesgos, gestión de incidentes, continuidad del negocio, seguridad de la cadena de suministro, ciberhigiene, control de acceso, gestión de activos, criptografía y autenticación multifactor. Article 20 eleva esta exigencia al nivel de responsabilidad proactiva del órgano de dirección, al requerir la aprobación y supervisión de esas medidas.

Los proveedores MDR suelen situarse simultáneamente en varias áreas de NIS2 Article 21:

  • Gestión de incidentes, porque el proveedor realiza el triaje, escala y puede recomendar la contención.
  • Seguridad de la cadena de suministro, porque el proveedor es un proveedor de servicios directo con impacto en la seguridad operativa.
  • Control de acceso, porque el proveedor puede acceder a consolas, registros, herramientas de endpoint o tenants en la nube.
  • Registro y monitorización, porque la detección depende de la cobertura, conservación y correlación de registros.
  • Ciberhigiene, porque los hallazgos de MDR suelen exponer debilidades de aplicación de parches, identidad o configuración.
  • Continuidad del negocio, porque una respuesta tardía puede interrumpir servicios críticos.

Para las entidades financieras, DORA intensifica el modelo operativo. DORA es aplicable desde el 17 de enero de 2025 y exige gestión del riesgo de las TIC, notificación de incidentes, pruebas de resiliencia, intercambio de información y gestión del riesgo de terceros TIC. También aclara que, para las entidades financieras identificadas también bajo NIS2, DORA actúa como el acto jurídico sectorial específico de la Unión para las obligaciones de ciberseguridad solapadas. Un banco regulado, entidad de pago, empresa de inversión, aseguradora o proveedor de servicios de criptoactivos no puede limitarse a decir: «Nuestro proveedor MDR se encarga de eso». DORA espera que la entidad clasifique los incidentes TIC, gestione y supervise a los proveedores externos de TIC, mantenga registros de acuerdos de servicios TIC, defina derechos contractuales, pruebe la resiliencia, realice análisis de causa raíz y notifique por fases los incidentes graves relacionados con las TIC.

GDPR añade una perspectiva distinta. Si la telemetría de MDR incluye identificadores de usuario, direcciones IP, metadatos de correo electrónico, registros de autenticación, artefactos de endpoint o archivos que contienen datos personales, se aplican los principios de seguridad y responsabilidad proactiva de GDPR. Article 5 incluye integridad, confidencialidad y responsabilidad proactiva. La seguridad del tratamiento del Article 32 se convierte en una pregunta práctica de evidencias: ¿estaban protegidos los registros?, ¿se limitó el acceso?, ¿se usó cifrado cuando correspondía?, ¿se gobernó a los encargados del tratamiento? y ¿puede la organización demostrar lo ocurrido?

El mensaje es coherente en los tres regímenes: se puede delegar el trabajo, pero no la responsabilidad.

ISO/IEC 27001:2022 convierte MDR en un proceso auditable

Un SGSI bien implantado basado en ISO/IEC 27001:2022 convierte la supervisión de proveedores MDR de una promesa de gestión de proveedores en un modelo operativo basado en evidencias. La cláusula 8.1 es especialmente importante porque exige a las organizaciones controlar los procesos, productos y servicios suministrados externamente que sean relevantes para el SGSI. MDR es exactamente eso: un proceso suministrado externamente que puede afectar a la respuesta a incidentes, la privacidad, la resiliencia, la notificación regulatoria y la continuidad del negocio.

Las áreas más importantes del Anexo A de ISO/IEC 27001:2022 para la supervisión de MDR incluyen relaciones con proveedores, requisitos de seguridad en acuerdos con proveedores, gestión del riesgo de la cadena de suministro TIC, supervisión de servicios de proveedores, gestión de incidentes, tratamiento de evidencias, registro de eventos, monitorización, control de acceso, acceso privilegiado, criptografía y preparación de la continuidad del negocio.

Zenith Controls: La guía de cumplimiento cruzado de Clarysec Zenith Controls es la referencia de cumplimiento cruzado para este trabajo. Mapea los controles de ISO/IEC 27002:2022 con otros requisitos, controles relacionados, expectativas de auditoría y evidencias de implantación. Para la supervisión de MDR, tres controles de ISO/IEC 27002:2022 son centrales: 5.19 para relaciones con proveedores, 5.22 para supervisión de servicios de proveedores y gestión de cambios, y 8.15 para registro de eventos. Están respaldados por 5.20 acuerdos con proveedores, 5.21 seguridad de la cadena de suministro TIC, 5.24 a 5.28 gestión de incidentes y tratamiento de evidencias, 5.34 privacidad e información de identificación personal (PII), 5.36 cumplimiento, 8.16 actividades de monitorización, 8.17 sincronización horaria, 8.18 uso de programas de utilidad privilegiados y 8.8 gestión de vulnerabilidades técnicas.

Esto importa porque un fallo de auditoría de MDR rara vez dice «no hay MDR». Normalmente dice una de estas cosas:

  • El proveedor MDR no estaba clasificado como crítico.
  • Las cláusulas contractuales no incluían notificación de incidentes, acceso a evidencias o derechos de auditoría.
  • Los registros no se conservaron el tiempo suficiente para investigar un evento notificado.
  • El acceso del proveedor era compartido, persistente o no monitorizado.
  • El cliente no revisó el desempeño de MDR frente a los acuerdos de nivel de servicio.
  • Los subcontratistas o subencargados no fueron aprobados.
  • Las obligaciones de notificación de violaciones de seguridad de datos personales no estaban alineadas con los flujos de trabajo de incidentes.
  • Las evidencias no se preservaron de una forma útil para el análisis forense.
  • La dirección no disponía de métricas que mostraran si el servicio MDR reducía el riesgo.

Zenith Controls expresa claramente la relación entre las expectativas hacia proveedores y los acuerdos:

«5.19 establece las expectativas de seguridad sobre cómo deben tratar los proveedores la información de la organización. 5.20 formaliza esas expectativas asegurando que los contratos o acuerdos incluyan explícitamente cláusulas de seguridad, como requisitos de confidencialidad, cumplimiento de las políticas de seguridad y procedimientos de notificación de incidentes. Sin 5.20, los requisitos identificados en 5.19 pueden no ser exigibles jurídicamente».

Para MDR, esa frase es la lección de gobernanza. Si el contrato no exige al proveedor conservar registros, proporcionar evidencias, cooperar en incidentes, restringir la subcontratación, apoyar auditorías y cumplir plazos de escalado, el servicio SOC puede ser operativamente útil pero débil ante auditoría.

Qué debe demostrar el contrato MDR antes de la primera alerta

Un buen contrato MDR no es solo un formulario de pedido comercial. Es un documento de control. DORA Articles 28 to 30 exigen gestionar el riesgo de terceros TIC durante todo el ciclo de vida, incluidos registros de contratos TIC, clasificación de criticidad, diligencia debida precontractual, enfoques de auditoría e inspección, derechos de terminación, estrategias de salida, descripciones claras del servicio, niveles de servicio, ubicaciones del servicio y del tratamiento de datos, compromisos de protección de datos, asistencia en incidentes y cooperación con las autoridades. NIS2 Article 21 exige seguridad de la cadena de suministro para proveedores directos y proveedores de servicios. GDPR exige roles de responsable y encargado del tratamiento, garantías del encargado, cláusulas de protección de datos y evidencias de seguridad del tratamiento.

La biblioteca de políticas de Clarysec traduce esas obligaciones en requisitos contractuales y operativos prácticos. En la Política empresarial de respuesta a incidentes Política de respuesta a incidentes, MDR se trata explícitamente como una capacidad de incidentes de terceros sometida a gobernanza:

«La integración con servicios de terceros, incluidos detección y respuesta gestionadas (MDR), gestión de eventos e información de seguridad (SIEM) y proveedores de análisis forense, debe regirse por acuerdos de nivel de servicio (SLA) claramente definidos y cláusulas de confidencialidad».

Esa cláusula importa porque los proveedores MDR suelen recibir información altamente sensible antes de que la organización sepa si un incidente es notificable. La telemetría puede incluir nombres de usuario, rutas de archivo, asuntos de correo electrónico, nombres internos de host, direcciones IP, diagramas de red e indicadores de compromiso. Las cláusulas de confidencialidad protegen a la organización durante la investigación y respaldan la responsabilidad proactiva bajo GDPR.

La Política empresarial de seguridad de terceros y proveedores Política de seguridad de terceros y proveedores añade dos cláusulas que los auditores esperan ver al revisar la supervisión de MDR:

«Derechos de auditoría, inspección y solicitud de evidencias de seguridad»

y:

«Uso de subcontratistas sujeto a consentimiento previo por escrito»

Para las pymes, el mismo principio de gobernanza se escala, pero no desaparece. La Política de seguridad de terceros y proveedores - Pyme Política de seguridad de terceros y proveedores - Pyme exige mínimo privilegio:

«A los proveedores solo se les debe conceder acceso a los sistemas y datos mínimos necesarios para desempeñar su función».

También exige:

«Restricciones a la subcontratación adicional sin aprobación»

Estas cláusulas son especialmente relevantes para MDR. Muchos proveedores utilizan equipos SOC por niveles, proveedores de plataformas, socios de inteligencia de amenazas, servicios de analítica en la nube o personal de soporte regional. Si las partes aguas abajo pueden acceder a registros de clientes o datos personales, el cliente necesita mecanismos de visibilidad y aprobación. En términos de DORA, esto forma parte de la supervisión de subcontratación y riesgo de concentración. En términos de GDPR, es gobernanza de subencargados. En términos de NIS2, es gestión del riesgo de la cadena de suministro.

Lista de verificación esencial para la supervisión de MDR

Una relación defendible con un proveedor MDR debe poder probarse. La siguiente lista de verificación combina requisitos contractuales, operativos y de evidencias en una única vista de control.

Demanda o requisitoControl ISO/IEC 27001:2022Regulación claveReferencia de política de Clarysec
Derecho a auditar, inspeccionar y solicitar evidencias5.19, 5.22DORA Articles 28 to 30, GDPR Article 28Política de seguridad de terceros y proveedores 5.3.4
Consentimiento previo por escrito para subcontratistas5.19, 5.21DORA Articles 28 to 30, GDPR Article 28Política de seguridad de terceros y proveedores - Pyme 5.3.5
Acuerdos de nivel de servicio definidos para respuesta a incidentes y notificación5.20, 5.24, 5.26DORA Articles 17 and 30, NIS2 Article 23Política de respuesta a incidentes 5.6
Derecho a acceder bajo demanda a datos brutos de registros8.15, 5.28DORA Articles 17 and 19, NIS2 Article 23, GDPR Article 32Política de registro y monitorización 4.6.2
Períodos definidos de conservación de registros de al menos 12 meses cuando sea requerido8.15NIS2 Article 23, DORA Articles 17 and 19, GDPR Article 32Política de registro y monitorización - Pyme 5.5.1.3
Vías de escalado y criterios de decisión definidos5.24, 5.25, 5.26DORA Article 17, NIS2 Article 23, GDPR Articles 33 and 34Política de respuesta a incidentes 5.2.2
Acceso privilegiado gestionado con mínimo privilegio5.15, 8.2DORA Article 9, NIS2 Article 21, GDPR Article 32Política de seguridad de terceros y proveedores - Pyme 6.2.1
Acceso del proveedor segregado y monitorizado5.15, 8.5, 8.16DORA Article 9, NIS2 Article 21, GDPR Article 32Política de seguridad de terceros y proveedores 6.3.2

Esta lista de verificación debe integrarse en adquisición, incorporación, revisión periódica y pruebas de incidentes. Si falta algún elemento, la organización debe tratarlo como un riesgo de proveedor, no como un problema documental.

Siete dominios de evidencias que esperan los auditores

Para que la supervisión de MDR esté preparada para auditorías, Clarysec recomienda crear un expediente de evidencias MDR organizado en siete dominios. Este expediente debe residir dentro del SGSI, no en una carpeta de compras que nadie revisa.

Dominio de evidencias MDRQué recopilarPor qué importa
Criticidad y riesgo del proveedorClasificación del proveedor, evaluación de riesgos, diligencia debida, certificaciones de seguridad, propietario del servicioRespaldan el tratamiento del riesgo de proveedores de ISO/IEC 27001:2022, la seguridad de la cadena de suministro de NIS2 y la clasificación de terceros TIC de DORA
Contrato y contrato de encargo del tratamientoSLA, cláusulas de incidentes, derechos de auditoría, acceso a registros, confidencialidad, aprobación de subcontratistas, términos de tratamiento de datosConvierte expectativas de gobernanza en obligaciones exigibles
Acceso y privilegiosCuentas nominales, evidencias de MFA, asignación de roles, revisiones de acceso, registros de bastiones o de Zero TrustDemuestra mínimo privilegio y acceso de terceros monitorizado
Registro y conservaciónLista de fuentes de registros, configuraciones de conservación, integración con SIEM, sincronización horaria, controles de integridadRespaldan la detección, la investigación, la notificación NIS2, el análisis de causa raíz de DORA y la responsabilidad proactiva bajo GDPR
Flujo de trabajo de alerta y escaladoMatriz de severidad, turno de guardia, muestras de tickets, criterios de declaración de incidentes, vía de notificación a la direcciónDemuestra que las alertas MDR se convierten en decisiones gobernadas
Tratamiento de evidencias de incidentesCadena de custodia, instantáneas de registros, imágenes forenses, repositorio de evidencias, proceso de retención legalRespalda la notificación regulatoria y las investigaciones defendibles
Supervisión continuaRevisiones trimestrales, métricas de SLA, tasas de falsos positivos, escalados omitidos, acciones de remediación, cambios de subcontratistasDemuestra la revisión continua del servicio del proveedor y la reevaluación del riesgo

Esta tabla cambia la conversación con el proveedor. En lugar de preguntar: «¿Nos estáis monitorizando?», la organización pregunta: «¿Podemos demostrar, cada trimestre, que el servicio MDR sigue siendo eficaz, conforme y alineado con nuestro apetito de riesgo?»

El registro de eventos es el puente entre detección y evidencias de cumplimiento

MDR sin un registro de eventos fiable es conjetura externalizada. El proveedor puede detectar algunas amenazas, pero la organización no puede demostrar alcance, cronología, causa raíz o impacto.

El control 8.15 de ISO/IEC 27002:2022 cubre el registro de eventos. Zenith Controls clasifica el registro de eventos como un control detectivo que respalda la confidencialidad, la integridad y la disponibilidad, alineado con el concepto de ciberseguridad Detect y con la capacidad de gestión de eventos de seguridad de la información. Vincula directamente el registro de eventos con actividades de monitorización, evaluación de eventos, respuesta a incidentes, lecciones aprendidas, acceso privilegiado, sincronización horaria, control de acceso, privacidad, recopilación de evidencias, gestión de vulnerabilidades y monitorización de seguridad física.

Por eso el registro de eventos es central para las evidencias de NIS2, DORA y GDPR Article 32. La notificación de incidentes significativos de NIS2 Article 23 exige alerta temprana en las 24 horas siguientes a la toma de conocimiento, notificación en un plazo de 72 horas y un informe final no más tarde de un mes después de la notificación. La notificación de incidentes graves relacionados con las TIC de DORA exige clasificación, escalado, comunicación, análisis de causa raíz e informe final. La responsabilidad proactiva bajo GDPR exige que las organizaciones demuestren qué ocurrió con los datos personales y si las medidas de seguridad eran adecuadas.

La Política de registro y monitorización - Pyme de Clarysec Política de registro y monitorización - Pyme proporciona un control contractual sencillo para organizaciones más pequeñas que utilizan proveedores externos:

«Los contratos deben exigir a los proveedores conservar los registros durante al menos 12 meses y facilitar el acceso previa solicitud»

Para entornos empresariales, la Política de registro y monitorización Política de registro y monitorización añade el requisito de integración operativa:

«Debe proporcionar datos de registro previa solicitud o integrarse con la plataforma SIEM/agregador de registros de la organización».

Estas cláusulas resuelven un problema recurrente de respuesta a incidentes: durante una investigación, el proveedor MDR afirma que el evento es anterior a la ventana de conservación consultable, que los registros solo están disponibles mediante una exportación forense de pago, o que el SIEM del cliente no contiene el enriquecimiento del proveedor ni las acciones de los analistas. Si el acceso a los registros no se define por adelantado, la cronología del incidente queda fragmentada.

Un modelo sólido de registro de eventos para MDR debe definir fuentes de registros obligatorias, tipos de eventos, períodos de conservación, protección de integridad, aprobaciones de acceso, sincronización horaria, formatos de exportación y reglas de correlación entre las plataformas del cliente y del proveedor. También debe cubrir las acciones del proveedor, incluidos cambios en reglas de detección, comandos de aislamiento de endpoints, acceso administrativo, notas de analistas y exportaciones de evidencias.

Las normas ISO de apoyo refuerzan este enfoque. ISO/IEC 27035-1:2023 e ISO/IEC 27035-2:2023 conectan el registro de eventos con la detección de incidentes, el triaje y el análisis centralizado. ISO/IEC 27701:2021 añade registro específico de privacidad para actividades de tratamiento de información de identificación personal (PII). ISO/IEC 27017:2021 e ISO/IEC 27018:2020 añaden expectativas de registro en la nube y de PII en la nube, especialmente cuando los proveedores tratan datos de clientes en entornos de nube pública. ISO/IEC 27005:2024 enmarca la insuficiencia de registros como una cuestión de tratamiento de riesgos, no solo como una deficiencia de herramientas.

Respuesta a incidentes: MDR puede escalar, pero la dirección debe decidir

Los proveedores MDR detectan y asesoran. La organización responsable declara incidentes, evalúa el impacto regulatorio, se comunica con las autoridades y decide si se requiere la notificación de una violación de seguridad de datos personales.

Esta distinción importa porque la severidad asignada por MDR no equivale automáticamente a un incidente significativo de NIS2, un incidente grave relacionado con las TIC de DORA o una violación de seguridad de datos personales bajo GDPR. El proveedor puede etiquetar una alerta como «alta severidad», pero la organización debe decidir si se vieron afectados servicios críticos, si se comprometieron datos personales, si deben notificarse los clientes, si deben informarse los reguladores y si la dirección debe aprobar una acción de contención con impacto operativo.

La Política de respuesta a incidentes - Pyme de Clarysec Política de respuesta a incidentes - Pyme es directa:

«Los terceros deben actuar de conformidad con los acuerdos firmados, que deben incluir cláusulas de notificación de violaciones de seguridad de datos personales y obligaciones de cooperación en la respuesta».

Esta cláusula es el punto en el que las evidencias de GDPR Article 32 se encuentran con la respuesta operativa a incidentes. Si el proveedor MDR observa una sospecha de exfiltración de datos desde un endpoint que contiene datos personales, debe saber con qué rapidez notificar, a quién notificar, qué evidencias preservar y cómo apoyar la evaluación del responsable del tratamiento.

Zenith Blueprint: Hoja de ruta de 30 pasos para auditores de Clarysec Zenith Blueprint proporciona el método de prueba. En la fase Controles en acción, paso 19, Zenith Blueprint indica a los equipos que validen operativamente el registro de eventos y la monitorización:

«Seleccione un incidente o evento reciente y demuestre cómo lo rastreó usando sus registros. Si se utilizan funcionalidades de integridad de registros (por ejemplo, verificación de hash), documente también ese aspecto. Confirme que el mecanismo de alerta funciona (por ejemplo, los inicios de sesión fallidos o las elevaciones de privilegios generan alertas)».

El mismo paso aborda la identidad y el acceso privilegiado:

«Para cuentas privilegiadas, verifique que MFA esté aplicado, que los roles de administrador estén segregados (cuentas del tipo admin_john usadas solo para tareas administrativas) y que exista una lista actualizada de usuarios privilegiados».

En el contexto MDR, la lista de usuarios privilegiados debe incluir cuentas del proveedor, no solo empleados. Si el proveedor MDR tiene acceso a consola, derechos de aislamiento de endpoints, derechos de administración EDR o acceso de lectura a registros sensibles, esas cuentas deben incluirse en la revisión.

El paso 23 de Zenith Blueprint proporciona después la estructura de prueba para incidentes y proveedores:

«Seleccione un evento reciente o realice un ejercicio de mesa para validar su plan. Capture y registre todas las decisiones, roles y comunicaciones (5.26), y actualice el plan con las lecciones aprendidas (5.27). Confirme que existen procedimientos para preservar evidencias forenses (5.28), incluidas instantáneas de registros, copias de seguridad y aislamiento seguro de los sistemas afectados».

Un ejercicio de mesa realista debe incluir al proveedor MDR. Use un escenario como una cuenta privilegiada comprometida, aislamiento de endpoint, sospecha de acceso a buzón, posible exposición de datos de nómina y escalado de alerta fuera del horario laboral. La prueba debe verificar si el reloj del proveedor MDR empieza en la detección, en la notificación al cliente o en el acuse de recibo del cliente. Esa distinción importa cuando los plazos regulatorios dependen del conocimiento y de los puntos de decisión.

Construya un paquete de supervisión MDR de una alerta en 90 minutos

Una forma rápida de exponer brechas es elegir una alerta MDR reciente de alta severidad y construir una trazabilidad de evidencias de una página. Este ejercicio práctico funciona bien antes de auditorías, revisiones del consejo y renovaciones contractuales.

  1. Empiece por el ticket de alerta. Capture marca temporal, regla de detección, activo afectado, usuario, severidad, notas del analista MDR y vía de escalado.
  2. Obtenga la cláusula contractual o el SLA que muestre el tiempo de respuesta esperado para esa severidad.
  3. Recupere la lista de fuentes de registros que demuestre qué sistemas alimentaron la alerta, como EDR, proveedor de identidad, cortafuegos, pasarela de seguridad del correo electrónico y registros de auditoría en la nube.
  4. Confirme que los registros se conservan conforme a la política y que el evento histórico aún puede recuperarse.
  5. Verifique si el analista MDR accedió a algún entorno del cliente. Si es así, capture la cuenta nominal, las evidencias de MFA, los registros de sesión y la aprobación.
  6. Documente la decisión del lado del cliente: evento cerrado, incidente declarado, evaluación legal activada, contención realizada o riesgo aceptado.
  7. Si pueden estar implicados datos personales, registre el análisis de roles bajo GDPR, el propietario de la evaluación de la violación de seguridad y si se activaron obligaciones de notificación del encargado del tratamiento.
  8. Cierre con las lecciones aprendidas: ajuste de reglas, nueva detección, cambio de acceso, actualización del playbook o problema de SLA del proveedor.

Esta trazabilidad de una alerta es potente porque conecta contrato, registro de eventos, acceso, respuesta a incidentes, privacidad y supervisión de la dirección en una única cadena de evidencias. Si no puede construirla para una alerta reciente, probablemente no podrá construirla bajo presión regulatoria.

La supervisión de proveedores es donde se debilitan la mayoría de los programas MDR

Muchas organizaciones realizan diligencia debida antes de firmar un contrato MDR y luego se detienen. Eso no basta para ISO/IEC 27001:2022, NIS2, DORA o GDPR. Los servicios MDR cambian de forma continua: nuevas reglas de detección, nuevos equipos de analistas, nuevos subencargados, nuevas regiones de datos, nuevas capacidades EDR, nuevas integraciones, nuevos feeds de inteligencia de amenazas y nuevos modelos de soporte.

El control 5.22 de ISO/IEC 27002:2022 aborda la supervisión, revisión y gestión de cambios de servicios de proveedores. Zenith Controls explica que 5.22 se basa en los controles de relación y acuerdo con proveedores, asegurando la supervisión y gestión continuas tras el inicio del servicio. Se conecta con seguridad durante interrupciones, gestión de vulnerabilidades, cumplimiento, control de acceso e ingeniería segura.

DORA Articles 28 to 30 hacen que esto sea especialmente importante para las entidades financieras. Exigen supervisión continua, registros de acuerdos con terceros TIC, distinciones de criticidad, diligencia debida, derechos de auditoría e inspección, derechos de terminación, estrategias de salida, niveles de servicio, asistencia en incidentes, cooperación con autoridades y, para funciones críticas o importantes, objetivos de servicio, pruebas de contingencia y cooperación en pruebas de penetración guiadas por amenazas cuando corresponda.

Zenith Blueprint, en la fase Controles en acción, paso 23, proporciona la estructura del ciclo de vida de proveedores:

«Compile una lista completa de proveedores y proveedores de servicios actuales (5.19), y clasifíquelos en función del acceso a sistemas, datos o control operativo».

Continúa:

«Para cada proveedor crítico, identifique si utiliza subcontratistas (subencargados) que puedan acceder a sus datos o sistemas».

Una revisión práctica del servicio MDR debe celebrarse trimestralmente para entornos críticos y al menos anualmente para entornos de menor riesgo. La agenda debe incluir cumplimiento de SLA por severidad, alertas escaladas, verdaderos positivos, falsos positivos, escalados omitidos, estado de salud de fuentes de registros, cambios de acceso privilegiado, nuevas integraciones, nuevas regiones, subcontratistas, subencargados, cambios en reglas de detección, desempeño del soporte a incidentes, solicitudes de evidencias, riesgos abiertos, acciones correctivas y preparación de salida.

Esto no es microgestión. Es el ciclo de aseguramiento que demuestra que la organización gobierna activamente a un proveedor de seguridad crítico.

Mapeo de cumplimiento cruzado: un conjunto de controles MDR, cinco conversaciones de auditoría

El valor de ISO/IEC 27001:2022 es que proporciona a las organizaciones un ciclo de SGSI coherente para múltiples conversaciones de cumplimiento. El mismo paquete de evidencias de supervisión MDR puede mapearse a NIS2, DORA, GDPR, NIST CSF 2.0 y COBIT 2019.

Perspectiva de requisitoExpectativa de supervisión MDREvidencias de la pila de controles ISO/IEC 27001:2022
NIS2Gestión del riesgo de ciberseguridad, gestión de incidentes, seguridad de la cadena de suministro, ciberhigiene, control de acceso y supervisión de la direcciónEvaluación de riesgos de proveedores, cláusulas contractuales MDR, playbooks de incidentes, registros de escalado, registros de formación, actas de revisión por la dirección
DORARiesgo de terceros TIC, clasificación y notificación de incidentes, pruebas de resiliencia, derechos de auditoría, gobernanza de salida y subcontrataciónRegistro de servicios TIC, evaluación de criticidad, métricas de SLA, diligencia debida del proveedor, derechos de auditoría, evidencias de incidentes, plan de salida
GDPR Article 32Seguridad adecuada del tratamiento y responsabilidad proactiva sobre datos personales en registros, alertas e investigacionesContrato de encargo del tratamiento, revisión del encargado, controles de acceso, cifrado, configuraciones de conservación, registros de evaluación de violaciones de seguridad, evidencias de acceso a registros
NIST CSF 2.0Gobernanza, gestión del riesgo de la cadena de suministro, inventario de activos, detección, respuesta, recuperación y mejora continuaPerfiles actual y objetivo, supervisión de proveedores, flujo de trabajo de alertas, cobertura de registros, registros de respuesta, lecciones aprendidas de recuperación
COBIT 2019Acuerdos con proveedores, riesgo de proveedores, supervisión del servicio, monitorización de seguridad y evaluación de cumplimientoAprobaciones de adquisición, revisiones de proveedores APO10, registros de supervisión DSS, informes de cumplimiento MEA, seguimiento de acciones correctivas

NIST CSF 2.0 es útil para la comunicación. Su función GOVERN exige que se comprendan y gestionen las obligaciones legales, regulatorias, contractuales y de privacidad, que se definan roles y autoridades, que el riesgo de ciberseguridad se integre en la gestión de riesgos empresariales y que los riesgos de proveedores se comuniquen y supervisen.

COBIT 2019 es útil para la gestión y el aseguramiento. Los auditores orientados a COBIT suelen centrarse menos en un único control y más en si los objetivos de gobernanza, la gestión del servicio, la propiedad del riesgo y la supervisión del desempeño funcionan como un sistema.

Cómo probarán los auditores la supervisión de proveedores MDR

Los distintos auditores utilizan perspectivas diferentes, pero todos quieren evidencias de que la organización controla la relación.

Un auditor de ISO/IEC 27001:2022 empezará por el alcance, las partes interesadas, la evaluación de riesgos, la Declaración de Aplicabilidad, el plan de tratamiento de riesgos y las evidencias operativas. Si MDR está dentro del alcance, el auditor esperará que los procesos suministrados externamente estén controlados dentro del SGSI. Puede muestrear relaciones con proveedores, acuerdos con proveedores, supervisión de servicios de proveedores, registro de eventos, monitorización, respuesta a incidentes, tratamiento de evidencias y control de acceso.

Un supervisor de DORA se centrará en la resiliencia operativa y el riesgo sistémico. Puede examinar la evaluación de criticidad, el registro de servicios TIC, el análisis de riesgo de concentración, la estrategia de salida, la clasificación de incidentes, los derechos de auditoría y las evidencias de que el proveedor MDR puede apoyar la notificación regulatoria.

Un auditor de GDPR o revisor de privacidad se centrará en la gobernanza responsable-encargado del tratamiento. Pedirá el contrato de encargo del tratamiento, la diligencia debida del encargado, controles sobre subencargados, salvaguardas para registros que contienen datos personales, controles de conservación, registros de evaluación de violaciones de seguridad y evidencias que respalden el Article 32.

Un auditor COBIT o ISACA inspeccionará evidencias de gobernanza: propiedad del riesgo de proveedores, flujo de adquisición, actas de revisión del servicio, seguimiento de problemas de SLA, acción correctiva, calidad de las evidencias y si la dirección recibe métricas significativas.

La solicitud de auditoría más reveladora es sencilla: «Muéstreme una alerta MDR desde la detección hasta el cierre». Si puede mostrar expectativa contractual, fuente de registros, alerta, escalado, decisión, preservación de evidencias, evaluación de privacidad, remediación e informe a la dirección, su supervisión de MDR es madura. Si solo puede mostrar un ticket del proveedor, tiene monitorización pero una gobernanza débil.

Informes a la dirección: el consejo no necesita capturas de paquetes

NIS2 y DORA sitúan la responsabilidad en el nivel del órgano de dirección. Los consejos y la alta dirección no necesitan telemetría bruta. Necesitan métricas de supervisión MDR relevantes para el riesgo.

Un panel trimestral MDR útil incluye:

  • Fuentes de registros críticas incorporadas frente a las esperadas.
  • Porcentaje de activos críticos cubiertos por MDR.
  • Alertas de alta severidad por categoría y servicio de la organización.
  • Tiempo medio desde la detección hasta la notificación al cliente.
  • Tiempo medio desde el acuse de recibo del cliente hasta la decisión.
  • Incumplimientos de SLA y acciones del proveedor sin resolver.
  • Estado de revisión de cuentas privilegiadas del proveedor.
  • Cambios de subcontratistas o subencargados.
  • Incidentes que requieren evaluación de notificación legal, regulatoria o a clientes.
  • Lecciones aprendidas implantadas.

Este panel debe alimentar la revisión por la dirección del SGSI, las actualizaciones del tratamiento de riesgos y la revisión de proveedores. Bajo ISO/IEC 27001:2022, el liderazgo debe asegurar que el SGSI se alinea con la dirección estratégica, que los recursos están disponibles, que las responsabilidades están asignadas, que la comunicación funciona y que se produce mejora continua. Las métricas MDR son una forma práctica de demostrar que las operaciones de seguridad externalizadas están gobernadas por la dirección y no abandonadas a administradores de herramientas.

Deficiencias habituales de supervisión MDR que conviene corregir antes de las auditorías de 2026

Las brechas más comunes son fallos ordinarios de gobernanza.

Primero, las organizaciones olvidan que los proveedores MDR pueden tratar datos personales. Los registros de seguridad a veces se tratan como «datos técnicos», pero pueden contener datos personales y, ocasionalmente, contenido sensible. El análisis de roles de GDPR y las cláusulas del encargado deben completarse antes de la incorporación, no durante una violación de seguridad.

Segundo, la conservación de registros se presume en lugar de contratarse. Si las obligaciones regulatorias, forenses o de cliente exigen evidencias durante meses, el modelo de conservación de MDR y SIEM debe soportarlo. El requisito de la política para pymes de 12 meses de conservación de registros por el proveedor es una configuración de referencia práctica para muchos entornos.

Tercero, el acceso de terceros es demasiado permisivo. Las cuentas de proveedores deben ser nominales, protegidas con MFA, monitorizadas, revisadas y limitadas en el tiempo cuando sea viable. Las cuentas compartidas y las sesiones administrativas no gestionadas crean riesgos de auditoría y de respuesta a incidentes.

Cuarto, los umbrales de incidentes son ambiguos. La severidad de MDR no equivale automáticamente a incidente legal, incidente grave relacionado con las TIC de DORA, incidente significativo de NIS2 o violación de seguridad de datos personales bajo GDPR. El playbook debe definir quién toma cada decisión.

Quinto, los subcontratistas son invisibles. Si el proveedor MDR cambia plataformas de análisis, regiones de soporte o encargados aguas abajo, cambia el perfil de riesgo del cliente. El consentimiento previo por escrito y la revisión periódica son esenciales.

Sexto, las revisiones del servicio se centran solo en el volumen de tickets. Las revisiones maduras examinan alertas omitidas, cambios de ajuste, estado de salud de fuentes de registros, recuperación de evidencias, acceso del proveedor, cooperación en incidentes y obligaciones contractuales.

Siguientes pasos: haga que su proveedor MDR esté preparado para auditorías con Clarysec

Si su proveedor MDR ya está en producción, no espere a que un regulador, auditor de cliente o incidente descubra que sus evidencias están incompletas. Empiece con una alerta reciente y construya la trazabilidad. Después clasifique al proveedor, revise el contrato, valide el registro de eventos, pruebe el escalado, confirme las cláusulas del encargado, revise el acceso y programe la supervisión del proveedor.

Clarysec puede ayudarle a poner esto en operación rápidamente usando:

MDR es una de las inversiones en seguridad más valiosas que puede hacer una organización. En 2026, ese valor debe demostrarse mediante gobernanza, evidencias y supervisión responsable. Si desea un paquete práctico de supervisión MDR mapeado a ISO/IEC 27001:2022, NIS2, DORA y GDPR Article 32, Clarysec puede ayudarle a construirlo antes de que la próxima alerta se convierta en el próximo hallazgo de auditoría.

Frequently Asked Questions

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles

Mapeo de la respuesta a incidentes de NIST para auditorías de 2026

Mapeo de la respuesta a incidentes de NIST para auditorías de 2026

Guía práctica para CISO sobre el mapeo de la respuesta a incidentes de NIST SP 800-61 y NIST CSF 2.0 con evidencias de ISO/IEC 27001:2022, NIS2, DORA y el RGPD de la UE. Incluye cláusulas de políticas, mapeos de auditoría, plazos de notificación, paquetes de evidencias y orientación sobre el kit de herramientas de Clarysec.