Evidencias de ciberhigiene de NIS2 mapeadas a ISO 27001
Son las 08:40 de un lunes. Sarah, CISO de un proveedor B2B SaaS en rápido crecimiento, se incorpora a la reunión del equipo directivo esperando una revisión rutinaria de acciones de riesgo abiertas. En su lugar, el asesor jurídico abre con una pregunta más directa:
“Si la autoridad nacional competente nos pide mañana demostrar la ciberhigiene y la formación en ciberseguridad de NIS2 Article 21, ¿qué enviamos exactamente?”
La directora de Recursos Humanos afirma que todos los empleados completaron la formación anual de concienciación. El responsable del SOC indica que las simulaciones de phishing están mejorando. El responsable de Operaciones de TI señala que la autenticación multifactor (MFA) está implantada, las copias de seguridad se prueban y la aplicación de parches se supervisa. La responsable de cumplimiento explica que el expediente de auditoría de ISO/IEC 27001:2022 contiene registros de formación, pero el equipo del proyecto DORA mantiene sus propias evidencias de formación en resiliencia, mientras que la carpeta de GDPR conserva registros separados de concienciación en privacidad.
Todos han trabajado. Nadie tiene claro que las evidencias cuenten una historia coherente.
Ese es el verdadero problema de NIS2 Article 21 para entidades esenciales e importantes. El requisito no es simplemente “formar a los usuarios”. Article 21 exige medidas técnicas, operativas y organizativas adecuadas y proporcionadas para gestionar el riesgo cibernético. Su conjunto mínimo de controles incluye ciberhigiene y formación en ciberseguridad, pero también gestión de incidentes, continuidad del negocio, seguridad de la cadena de suministro, gestión de vulnerabilidades, criptografía, seguridad de recursos humanos, control de acceso, gestión de activos, MFA o autenticación continua, comunicaciones seguras y procedimientos para evaluar la eficacia.
La ciberhigiene no es una campaña de concienciación. Es la disciplina operativa diaria que conecta personas, controles, evidencias y responsabilidad de la dirección.
Para CISO, responsables de cumplimiento, MSP, proveedores SaaS, operadores de nube y proveedores de servicios digitales, la respuesta práctica no es crear un “proyecto de formación NIS2” separado. El enfoque más sólido consiste en construir una única cadena de evidencias lista para auditoría dentro de un SGSI ISO/IEC 27001:2022, respaldada por prácticas de control ISO/IEC 27002:2022, gestionada por riesgos conforme a ISO/IEC 27005:2022 y referenciada frente a NIS2, DORA, GDPR, aseguramiento basado en NIST y expectativas de gobernanza de COBIT 2019.
Por qué NIS2 Article 21 convierte la formación en evidencia para el órgano de dirección
NIS2 se aplica a muchas entidades medianas y grandes de los sectores del Anexo I y el Anexo II que prestan servicios o realizan actividades en la Unión. Para las empresas tecnológicas, el alcance puede ser más amplio de lo que muchos equipos directivos esperan. El Anexo I cubre infraestructura digital, incluidos proveedores de servicios de computación en la nube, proveedores de servicios de centros de datos, proveedores de redes de distribución de contenidos, prestadores de servicios de confianza, proveedores de servicios DNS y registros TLD. El Anexo I también cubre la gestión de servicios TIC B2B, incluidos proveedores de servicios gestionados y proveedores de servicios de seguridad gestionados. El Anexo II incluye proveedores digitales, como mercados en línea, motores de búsqueda en línea y plataformas de servicios de redes sociales.
Algunas entidades pueden estar dentro del alcance con independencia de su tamaño, incluidos determinados proveedores de servicios DNS y registros TLD. Las decisiones nacionales de criticidad también pueden incorporar a proveedores más pequeños al alcance cuando una interrupción pudiera afectar a la seguridad pública, al riesgo sistémico o a servicios esenciales.
Article 21(1) exige que las entidades esenciales e importantes implanten medidas técnicas, operativas y organizativas adecuadas y proporcionadas para gestionar los riesgos que afectan a los sistemas de redes y de información utilizados en sus operaciones o en la prestación de servicios, y para prevenir o minimizar el impacto de los incidentes. Article 21(2) enumera las medidas mínimas, incluidas políticas de análisis de riesgos y seguridad de los sistemas de información, gestión de incidentes, continuidad del negocio, seguridad de la cadena de suministro, adquisición y mantenimiento seguros, evaluación de la eficacia, prácticas básicas de ciberhigiene y formación en ciberseguridad, criptografía, seguridad de recursos humanos, control de acceso, gestión de activos y MFA o autenticación continua cuando proceda.
Article 20 eleva el nivel de exigencia. Los órganos de dirección deben aprobar las medidas de gestión del riesgo de ciberseguridad, supervisar su implantación y pueden ser considerados responsables por incumplimientos. Los miembros de los órganos de dirección deben recibir formación, y se anima a las entidades a proporcionar formación periódica similar a los empleados para que puedan identificar riesgos y evaluar las prácticas de gestión del riesgo de ciberseguridad y su impacto en los servicios.
Article 34 añade presión financiera. Los incumplimientos de Article 21 o Article 23 pueden dar lugar a multas administrativas de al menos 10.000.000 EUR o el 2% del volumen de negocios anual mundial para entidades esenciales, y de al menos 7.000.000 EUR o el 1,4% para entidades importantes, aplicándose la cifra que resulte superior.
Por eso “hicimos la formación anual de concienciación” no es suficiente. Un regulador, un auditor ISO, un evaluador de seguridad de clientes o una aseguradora cibernética esperará evidencias de que la formación se basa en roles, se basa en riesgos, está actualizada, se mide, está conectada con incidentes y es comprendida por la dirección.
La Política de Concienciación y Formación en Seguridad de la Información empresarial de Clarysec, cláusula 5.1.1.3, exige que la formación:
Cubra temas como phishing, higiene de contraseñas, notificación y gestión de incidentes, seguridad física, y protección y minimización de datos
La misma política, cláusula 8.3.1.1, identifica la línea de evidencias que los auditores suelen solicitar primero:
Registros de asignación, acuse de recibo y finalización de la formación
Para pymes, la Política de Concienciación y Formación en Seguridad de la Información - pyme de Clarysec, cláusula 8.4.1, es aún más directa sobre la auditabilidad:
Los registros de formación están sujetos a auditoría interna y revisión externa. Los registros deben ser exactos, completos y demostrables cuando se soliciten (por ejemplo, para certificación ISO, auditoría GDPR o validación del seguro).
Esa frase resume la diferencia entre la concienciación como actividad de Recursos Humanos y la concienciación como control de cumplimiento. Si los registros están incompletos, no son verificables o no están vinculados al riesgo del rol, el control puede existir operativamente pero fallar en auditoría.
Utilizar ISO/IEC 27001:2022 como eje de evidencias
ISO/IEC 27001:2022 es la columna vertebral natural para NIS2 Article 21 porque obliga a la organización a definir alcance, partes interesadas, riesgos, controles, objetivos, evidencias, auditoría interna, revisión por la dirección y mejora continua.
Las cláusulas 4.1 a 4.4 exigen que la organización comprenda cuestiones internas y externas, determine las partes interesadas y sus requisitos, defina el alcance del SGSI, considere interfaces y dependencias con actividades realizadas por otras organizaciones, y mantenga el SGSI como un conjunto de procesos que interactúan. Para un proveedor SaaS o MSP, el alcance del SGSI debe incluir explícitamente obligaciones NIS2, obligaciones contractuales con clientes, dependencias de proveedores de nube, cobertura de SOC externalizado, roles de tratamiento de datos y compromisos de disponibilidad del servicio.
Las cláusulas 5.1 a 5.3 incorporan responsabilidad de gobernanza. La Alta Dirección debe alinear la política y los objetivos de seguridad de la información con la dirección estratégica, integrar los requisitos del SGSI en los procesos de la organización, proporcionar recursos, asignar responsabilidades y asegurar la información sobre el desempeño. Esto se alinea directamente con NIS2 Article 20, donde los órganos de dirección aprueban y supervisan las medidas de gestión del riesgo de ciberseguridad.
Las cláusulas 6.1.1 a 6.1.3 y 6.2 convierten las expectativas legales en tratamiento de riesgos. La organización debe planificar acciones para riesgos y oportunidades, operar un proceso repetible de evaluación de riesgos de seguridad de la información, determinar propietarios del riesgo, seleccionar opciones de tratamiento, comparar controles con el Anexo A, crear una Declaración de Aplicabilidad, formular un plan de tratamiento, obtener la aprobación del propietario del riesgo y establecer objetivos de seguridad medibles.
Aquí es donde NIS2 Article 21 se vuelve gestionable. No necesita un programa de concienciación NIS2 desconectado. Necesita una historia mapeada de riesgos y controles.
| Área de requisito de NIS2 | Mecanismo de evidencias de ISO/IEC 27001:2022 | Evidencias prácticas |
|---|---|---|
| Aprobación y supervisión de la dirección | Cláusulas 5.1, 5.3, 9.3 | Actas del órgano de dirección, paquete de revisión por la dirección, asignaciones de roles, aprobaciones presupuestarias |
| Ciberhigiene y formación | Cláusula 7.2, Cláusula 7.3, controles de personas y tecnología del Anexo A | Plan de formación, exportaciones del LMS, matriz de roles, resultados de phishing, acuses de recibo de políticas |
| Análisis de riesgos y política de seguridad | Cláusulas 6.1.2, 6.1.3, 6.2 | Evaluación de riesgos, plan de tratamiento de riesgos, Declaración de Aplicabilidad, objetivos de seguridad |
| Evaluación de la eficacia | Cláusulas 9.1, 9.2, 10.2 | KPI, resultados de auditoría interna, acciones correctivas, resultados de pruebas de controles |
| Preparación para gestión y notificación de incidentes | Controles de gestión de incidentes del Anexo A | Runbooks de incidentes, registros de escalado, informes de ejercicios de mesa, registros de preservación de evidencias |
| Cadena de suministro y dependencia de la nube | Controles de proveedores y servicios en la nube del Anexo A | Registro de proveedores, diligencia debida, contratos, planes de salida, revisiones del servicio |
| Acceso, gestión de activos y MFA | Controles de acceso, activos e identidad del Anexo A | Inventario de activos, revisiones de acceso, informes de MFA, evidencias de acceso privilegiado |
Las cláusulas 8.1 a 8.3, 9.1 a 9.3 y 10.1 a 10.2 completan el ciclo operativo. Exigen control operacional planificado, reevaluación de riesgos, implantación de planes de tratamiento, supervisión y medición, auditoría interna, revisión por la dirección, mejora continua y acción correctiva. ISO/IEC 27001:2022 se convierte en el motor de evidencias de NIS2 Article 21, no solo en una insignia de certificación.
Traducir la ciberhigiene en anclajes de control ISO
La “ciberhigiene” es amplia por diseño. Para los auditores, debe traducirse en controles específicos y comprobables. Clarysec suele iniciar las evidencias de ciberhigiene de NIS2 Article 21 con tres anclajes de control prácticos de ISO/IEC 27002:2022, interpretados mediante Zenith Controls: la guía de cumplimiento cruzado.
El primer anclaje es el control 6.3 de ISO/IEC 27002:2022, concienciación, educación y formación en seguridad de la información. En Zenith Controls, 6.3 se trata como un control preventivo que respalda la confidencialidad, la integridad y la disponibilidad. Su capacidad operativa es la seguridad de los recursos humanos, y su concepto de ciberseguridad es proteger. Esto encuadra la concienciación como un control de protección, no como un ejercicio de comunicación.
Zenith Controls también muestra cómo 6.3 depende de otros controles y los refuerza. Se vincula con 5.2 roles y responsabilidades de seguridad de la información porque la formación debe reflejar responsabilidades asignadas. Se vincula con 6.8 notificación de eventos de seguridad de la información porque el personal no puede notificar aquello que no reconoce. Se vincula con 8.16 actividades de supervisión porque los analistas SOC y el personal de operaciones necesitan formación para reconocer anomalías y seguir protocolos de respuesta. Se vincula con 5.36 cumplimiento de políticas, normas y estándares de seguridad de la información porque las políticas solo funcionan cuando las personas las entienden.
Como indica Zenith Controls para el control 6.3 de ISO/IEC 27002:2022:
El cumplimiento depende de la concienciación. 6.3 garantiza que los empleados conozcan las políticas de seguridad y comprendan su responsabilidad personal al cumplirlas. La educación y la formación periódicas reducen el riesgo de incumplimientos involuntarios de políticas por desconocimiento.
El segundo anclaje es el control 5.10 de ISO/IEC 27002:2022, uso aceptable de la información y otros activos asociados. La ciberhigiene depende de que las personas comprendan qué pueden hacer con endpoints, unidades en la nube, herramientas SaaS, plataformas de colaboración, soportes extraíbles, datos de producción, datos de prueba y herramientas habilitadas con IA. Zenith Controls mapea 5.10 como un control preventivo en gestión de activos y protección de la información. En la práctica, la evidencia de uso aceptable no es solo una política firmada. Incluye prueba de que la política cubre el parque real de activos, que la incorporación incluye acuse de recibo, que la supervisión respalda la aplicación y que las excepciones se gestionan.
El tercer anclaje es el control 5.36 de ISO/IEC 27002:2022, cumplimiento de políticas, normas y estándares de seguridad de la información. Este es el puente de auditoría. Zenith Controls mapea 5.36 como un control preventivo de gobernanza y aseguramiento. Se vincula con 5.1 políticas de seguridad de la información, 6.4 proceso disciplinario, 5.35 revisión independiente de la seguridad de la información, 5.2 roles y responsabilidades, 5.25 evaluación y decisión sobre eventos de seguridad de la información, 8.15 registro de eventos, 8.16 actividades de supervisión y 5.33 protección de registros.
Para NIS2 Article 21, esto es crítico. Reguladores y auditores no solo preguntan si existe una política. Preguntan si se supervisa la adhesión, si se detectan incumplimientos, si las evidencias se protegen, si se producen acciones correctivas y si la dirección ve los resultados.
Construir un paquete de evidencias de ciberhigiene y formación NIS2
Considere un proveedor SaaS mediano que se prepara tanto para la adecuación a NIS2 como para una auditoría de seguimiento de ISO/IEC 27001:2022. La organización cuenta con 310 empleados, incluidos desarrolladores, SRE, agentes de soporte, personal comercial, contratistas y alta dirección. Presta servicios de flujo de trabajo en la nube a clientes de la UE y depende de un proveedor de nube a hiperescala, dos plataformas de identidad, un proveedor MDR externalizado y varias herramientas de soporte subcontratadas.
La responsable de cumplimiento dispone de exportaciones de formación del LMS, pero no están mapeadas a NIS2 Article 21, controles ISO, roles de la organización ni escenarios de riesgo. Un sprint de remediación práctico produce un paquete de evidencias de ciberhigiene y formación con seis componentes.
| Componente de evidencia | Qué demuestra | Propietario | Prueba de auditoría |
|---|---|---|---|
| Matriz de formación por rol | La formación se corresponde con responsabilidades y exposición al riesgo | Responsable del SGSI y Recursos Humanos | Muestrear roles y verificar que se asignaron los módulos requeridos |
| Plan anual de formación | La competencia y la concienciación se planifican, no son ad hoc | Responsable del SGSI | Comprobar fechas, temas, audiencia, aprobación y objetivos de finalización |
| Exportación de finalización del LMS | El personal completó la formación asignada | Recursos Humanos o People Ops | Conciliar la lista de empleados con el informe de finalización, altas, cambios y bajas |
| Informe de simulación de phishing | Se mide la eficacia de la concienciación | Operaciones de seguridad | Revisar resultados de campaña, reincidentes en clics y formación correctiva |
| Registro de acuse de recibo de políticas | El personal aceptó normas y responsabilidades | Recursos Humanos y Cumplimiento | Confirmar el acuse de recibo de políticas de seguridad, uso aceptable y notificación de incidentes |
| Resumen de revisión por la dirección | La dirección supervisa tendencias y acciones correctivas | CISO y patrocinador ejecutivo | Verificar que las actas incluyen métricas, excepciones, riesgos y decisiones |
La clave es la trazabilidad.
Comience con NIS2 Article 21(2)(g), prácticas básicas de ciberhigiene y formación en ciberseguridad. Vincúlelo con las cláusulas 7.2 y 7.3 de ISO/IEC 27001:2022 sobre competencia y concienciación, las cláusulas 9.1 y 9.2 sobre supervisión y auditoría, y controles del Anexo A, incluidos concienciación, uso aceptable, gestión de vulnerabilidades, gestión de configuraciones, copias de seguridad, registro de eventos, supervisión, criptografía, control de acceso y gestión de incidentes. Después vincule las evidencias con el Registro de Riesgos.
| Grupo de roles | Riesgo de ciberhigiene NIS2 | Formación requerida | Evidencia |
|---|---|---|---|
| Todos los empleados | Phishing, contraseñas débiles, notificación deficiente de incidentes, manejo inadecuado de datos | Formación básica en seguridad, higiene de contraseñas, MFA, protección de datos, notificación de incidentes | Finalización en LMS, puntuación de cuestionario, acuse de recibo de política |
| Alta dirección | Aceptación del riesgo, responsabilidad legal, decisiones de crisis, supervisión de la notificación | Obligaciones de gobernanza, responsabilidades de la dirección en NIS2, escalado de incidentes, apetito de riesgo | Asistencia a taller ejecutivo, paquete para el órgano de dirección, registro de decisiones |
| Desarrolladores | Vulnerabilidades, código inseguro, exposición de secretos, datos de prueba inseguros | Codificación segura, gestión de dependencias, divulgación de vulnerabilidades, minimización de datos | Registro de formación, lista de verificación de SDLC seguro, muestras de revisión de código |
| SRE y Operaciones de TI | Configuración incorrecta, retraso en parches, fallo de copia de seguridad, deficiencias de registro | Gestión de parches, configuración segura, restauración de copias de seguridad, supervisión, respuesta a incidentes | Informe de parches, prueba de copia de seguridad, evidencia de alertas SIEM, informe de ejercicio de mesa |
| Soporte al cliente | Ingeniería social, divulgación no autorizada, brecha de privacidad | Verificación de identidad, manejo de datos, escalado, notificación de brechas | Revisión de acceso a CRM, registro de formación, muestra de QA de soporte |
| Contratistas con acceso | Obligaciones poco claras, acceso no gestionado, fuga de datos | Incorporación de seguridad condensada, uso aceptable, ruta de notificación | Acuse de recibo del contratista, aprobación de acceso, evidencias de baja |
La Política de Concienciación y Formación en Seguridad de la Información empresarial respalda esta estructura. La cláusula 5.1.2.4 incluye explícitamente temas de formación ejecutiva:
Alta dirección (por ejemplo, gobernanza, aceptación del riesgo, obligaciones legales)
Esa línea importa bajo NIS2 Article 20 porque la formación de la dirección no es opcional. Si el órgano de dirección aprueba medidas de gestión del riesgo pero no puede explicar la aceptación del riesgo, los umbrales de incidentes o las rutinas de supervisión, la cadena de evidencias se rompe.
La Política de Seguridad de la Información - pyme de Clarysec, cláusula 6.4.1, muestra cómo la ciberhigiene se convierte en comportamiento de control diario:
Los controles de seguridad obligatorios deben aplicarse de forma consistente, incluidas copias de seguridad periódicas, actualizaciones de antivirus, contraseñas robustas y eliminación segura de documentos sensibles.
Esta es una expresión concisa para pymes de la ciberhigiene práctica. El auditor seguirá queriendo evidencias, como informes de trabajos de copia de seguridad, cobertura de EDR, configuración de contraseñas o MFA y registros de eliminación segura, pero la política establece el comportamiento esperado.
Mapear NIS2 Article 21 a evidencias de auditoría
Los auditores prueban la operación del control, no los eslóganes. Seguirán el hilo conductor desde el requisito legal hasta el alcance del SGSI, la evaluación de riesgos, la Declaración de Aplicabilidad, la política, el procedimiento, las evidencias y la revisión por la dirección.
| Área de NIS2 Article 21 | Mapeo ISO/IEC 27001:2022 o ISO/IEC 27002:2022 | Referencia de Clarysec | Evidencia principal de auditoría |
|---|---|---|---|
| Formación en ciberseguridad | Cláusula 7.2, Cláusula 7.3, A.6.3 concienciación, educación y formación en seguridad de la información | Política de Concienciación y Formación en Seguridad de la Información | Política de formación, plan anual, registros del LMS, resultados de phishing, lista de verificación de incorporación, actas de formación del órgano de dirección |
| Comportamiento aceptable de ciberhigiene | A.5.10 uso aceptable de la información y otros activos asociados | Política de Seguridad de la Información - pyme | Acuse de recibo de uso aceptable, registros de incorporación, registros de excepciones, evidencias de supervisión |
| Higiene de vulnerabilidades y parches | A.8.8 gestión de vulnerabilidades técnicas | Zenith Blueprint Paso 19 | Escaneos de vulnerabilidades, informes de parches, tickets de remediación, registros de aceptación del riesgo |
| Configuración segura | A.8.9 gestión de configuraciones | Zenith Blueprint Paso 19 | Configuraciones de referencia seguras, revisiones de configuración, aprobaciones de cambios, informes de desviación |
| Resiliencia y recuperación | A.8.13 copia de seguridad de la información | Política de Seguridad de la Información - pyme | Registros de copias de seguridad, pruebas de restauración, revisiones de fallos de copia de seguridad, evidencias de recuperación |
| Detección y respuesta | A.8.15 registro de eventos, A.8.16 actividades de supervisión, A.6.8 notificación de eventos de seguridad de la información | Zenith Controls | Alertas SIEM, procedimientos de supervisión, formación en notificación de incidentes, resultados de ejercicios de mesa |
| Protección criptográfica | A.8.24 uso de criptografía | Anexo A de ISO/IEC 27001:2022 | Estándares de cifrado, evidencias de gestión de claves, configuración TLS, informes de cifrado de almacenamiento |
| Integridad de las evidencias | A.5.33 protección de registros | Zenith Controls | Carpetas de auditoría controladas, marcas temporales de exportación, reglas de conservación, registros de acceso |
Un regulador puede no utilizar terminología ISO, pero la ruta de evidencias sigue siendo la misma. Demuestre que el requisito se ha identificado, evaluado por riesgos, tratado, implantado, supervisado, comunicado a la dirección y mejorado.
Utilizar Zenith Blueprint para pasar del plan a las evidencias
Zenith Blueprint: hoja de ruta de 30 pasos para auditores ofrece a los equipos una vía práctica desde la intención hasta las evidencias. En la fase ISMS Foundation & Leadership, Paso 5, Comunicación, concienciación y competencia, el Blueprint indica a las organizaciones que identifiquen las competencias requeridas, evalúen las competencias actuales, proporcionen formación para cerrar brechas, mantengan registros de competencia y traten la competencia como una actividad continua.
El elemento de acción del Blueprint es deliberadamente operativo:
Realice un análisis rápido de necesidades de formación. Enumere sus roles clave del SGSI (del Paso 4) y, para cada uno, anote cualquier formación o certificación conocida que tengan, así como qué formación adicional podría ser beneficiosa. Enumere también los temas generales de concienciación en seguridad necesarios para todos los empleados. Con esto, elabore un Plan de Formación sencillo para el próximo año; por ejemplo, “T1: concienciación en seguridad para todo el personal; T2: formación avanzada en respuesta a incidentes para TI; T3: formación de auditor interno ISO 27001 para dos miembros del equipo; …”.
En la fase Controls in Action, Paso 15, Controles sobre las personas I, Zenith Blueprint recomienda formación anual obligatoria para todos los empleados, módulos específicos por rol, incorporación de seguridad para nuevas contrataciones durante la primera semana, campañas de phishing simulado, boletines, sesiones informativas de equipo, evidencias de participación, boletines de seguridad específicos tras amenazas emergentes y formación para contratistas o terceros con acceso.
El Paso 16, Controles sobre las personas II, advierte que los auditores probarán la implantación, no solo la documentación. Para el trabajo remoto, los auditores pueden solicitar la Política de Trabajo Remoto, evidencias de VPN o cifrado de endpoints, implantación de MDM, restricciones BYOD y registros de formación que muestren precauciones de trabajo remoto. Si el trabajo híbrido forma parte del modelo operativo, las evidencias de formación NIS2 deben incluir uso seguro de Wi-Fi, bloqueo de dispositivos, almacenamiento aprobado, MFA y notificación de actividad sospechosa desde entornos domésticos.
El Paso 19, Controles tecnológicos I, vincula la ciberhigiene con la capa de control técnico. Zenith Blueprint recomienda revisar informes de parches, escaneos de vulnerabilidades, configuraciones de referencia seguras, cobertura de EDR, registros de malware, alertas DLP, restauraciones de copias de seguridad, evidencias de redundancia, mejoras de registro de eventos y sincronización horaria. Article 21(2)(g) no puede evaluarse de forma aislada. Una plantilla formada sigue necesitando endpoints parcheados, registros supervisados, copias de seguridad probadas y configuraciones seguras.
Hacer que el plan de formación esté basado en riesgos con ISO/IEC 27005:2022
Una debilidad habitual en auditoría es un plan de formación genérico que parece idéntico para desarrolladores, finanzas, soporte, alta dirección y contratistas. ISO/IEC 27005:2022 ayuda a evitar esa debilidad al convertir la formación en parte del tratamiento de riesgos.
La cláusula 6.2 recomienda identificar los requisitos básicos de las partes interesadas pertinentes y el estado de cumplimiento, incluidos ISO/IEC 27001:2022 Anexo A, otros estándares de SGSI, requisitos sectoriales, regulaciones nacionales e internacionales, normas internas de seguridad, controles de seguridad contractuales y controles ya implantados mediante tratamientos de riesgo previos. Esto permite un único registro de requisitos en lugar de hojas de cálculo separadas para NIS2, ISO, DORA, GDPR, clientes y seguros.
Las cláusulas 6.4.1 a 6.4.3 explican que la aceptación del riesgo y los criterios de evaluación deben considerar aspectos legales y regulatorios, actividades operativas, relaciones con proveedores, restricciones tecnológicas y financieras, privacidad, daño reputacional, incumplimientos contractuales, incumplimientos de niveles de servicio e impactos en terceros. Un incidente de phishing que afecte a un sistema interno de boletines es distinto del compromiso de credenciales que afecta a un servicio de seguridad gestionado, plataforma de soporte al cliente, integración de pagos u operación DNS.
Las cláusulas 7.1 a 7.2.2 exigen una evaluación de riesgos coherente y reproducible, incluidos riesgos de confidencialidad, integridad y disponibilidad, y propietarios del riesgo nominales. Las cláusulas 8.2 a 8.6 guían después la selección de tratamientos, la determinación de controles, la comparación con el Anexo A, la documentación de la Declaración de Aplicabilidad y el detalle del plan de tratamiento.
La formación es un tratamiento, pero no el único. Si las simulaciones repetidas de phishing muestran que los usuarios de finanzas son vulnerables al fraude de facturas, el plan de tratamiento puede incluir formación de reciclaje, un flujo de aprobación de pagos más robusto, acceso condicional, supervisión de reglas de buzón y simulacros ejecutivos de escenarios de fraude.
Las cláusulas 9.1, 9.2, 10.4.2, 10.5.1 y 10.5.2 enfatizan la reevaluación planificada, los métodos documentados, la supervisión de la eficacia y las actualizaciones cuando cambien nuevas vulnerabilidades, activos, uso de tecnología, leyes, incidentes o apetito de riesgo. Esto demuestra que la organización no congela su plan de formación una vez al año.
Reutilizar las mismas evidencias para NIS2, DORA, GDPR, NIST y COBIT
El paquete de evidencias NIS2 más sólido debe respaldar múltiples conversaciones de aseguramiento.
NIS2 Article 4 reconoce que los actos jurídicos sectoriales específicos de la Unión pueden sustituir obligaciones correspondientes de gestión del riesgo y notificación de NIS2 cuando tengan un efecto al menos equivalente. El considerando 28 identifica DORA como el régimen sectorial específico para entidades financieras dentro del alcance. Para entidades financieras cubiertas, las reglas de DORA sobre gestión del riesgo TIC, gestión de incidentes, pruebas de resiliencia, intercambio de información y riesgo de terceros TIC se aplican en lugar de las disposiciones correspondientes de NIS2. NIS2 sigue siendo muy relevante para entidades fuera de DORA y para proveedores TIC terceros como proveedores de nube, MSP y MSSP.
DORA refuerza la misma lógica de sistema de gestión. Articles 4 a 6 exigen gestión proporcionada del riesgo TIC, responsabilidad del órgano de dirección, roles TIC claros, estrategia de resiliencia operativa digital, planes de auditoría TIC, presupuestos y recursos de concienciación o formación. Articles 8 a 13 exigen identificación de activos y dependencias, protección y prevención, controles de acceso, autenticación robusta, copias de seguridad, continuidad, respuesta y recuperación, aprendizaje posterior al incidente, informes TIC a la alta dirección y formación obligatoria en concienciación de seguridad TIC y resiliencia operativa digital. Articles 17 a 23 exigen gestión estructurada de incidentes, clasificación, escalado y comunicaciones con clientes. Articles 24 a 30 conectan las pruebas con la gobernanza de proveedores, la diligencia debida, los contratos, los derechos de auditoría y las estrategias de salida.
GDPR añade la capa de responsabilidad proactiva en privacidad. Article 5 exige integridad y confidencialidad mediante medidas técnicas y organizativas adecuadas, y Article 5(2) exige que los responsables del tratamiento demuestren el cumplimiento. Article 6 exige una base jurídica para el tratamiento, mientras que Articles 9 y 10 imponen salvaguardas más estrictas para categorías especiales de datos y datos relativos a infracciones penales. Para un proveedor SaaS, las evidencias de formación deben incluir privacidad, minimización de datos, divulgación segura, escalado de brechas y manejo de datos de clientes específico por rol.
Los enfoques de auditoría basados en NIST y COBIT 2019 aparecen a menudo en aseguramiento de clientes, auditoría interna e informes al órgano de dirección. Un evaluador que use NIST normalmente preguntará si la concienciación y la formación están basadas en riesgos, basadas en roles, medidas y conectadas con respuesta a incidentes, identidad, gestión de activos y supervisión continua. Un auditor que use COBIT 2019 o ISACA se centrará en gobernanza, responsabilidad proactiva, métricas de desempeño, supervisión de la dirección, propiedad del proceso y alineación con los objetivos de la organización.
| Enfoque de marco | Qué le importa al auditor | Evidencias que preparar |
|---|---|---|
| NIS2 Article 21 | Medidas proporcionadas de riesgo cibernético, ciberhigiene, formación, supervisión de la dirección | Mapeo de Article 21, aprobación del órgano de dirección, plan de formación, KPI de ciberhigiene, evidencias de preparación ante incidentes |
| ISO/IEC 27001:2022 | Alcance del SGSI, tratamiento de riesgos, competencia, concienciación, supervisión, auditoría interna, mejora | Alcance, Registro de Riesgos, SoA, matriz de competencias, registros de formación, informe de auditoría, acciones correctivas |
| DORA | Ciclo de vida del riesgo TIC, formación en resiliencia, pruebas, clasificación de incidentes, riesgo TIC de terceros | Marco de riesgo TIC, formación en resiliencia, resultados de pruebas, procedimiento de incidentes, registro de proveedores |
| GDPR | Responsabilidad proactiva, protección de datos, concienciación sobre brechas de privacidad, confidencialidad, minimización | Formación en privacidad, mapa de roles de tratamiento, evidencias de escalado de brechas, procedimientos de manejo de datos |
| Revisión basada en NIST | Concienciación por rol, operación medible del control, supervisión, respuesta | Matriz de roles, métricas de simulación, evidencias de acceso, evidencias de registro de eventos, resultados de ejercicios de mesa |
| Revisión COBIT 2019 o ISACA | Gobernanza, propiedad del proceso, desempeño, aseguramiento de controles, informes de gestión | RACI, cuadro de mando KPI, actas de revisión por la dirección, programa de auditoría interna, seguimiento de remediación |
El beneficio práctico es sencillo: un paquete de evidencias, múltiples narrativas de auditoría.
Cómo probarán los auditores el mismo control
Un auditor ISO/IEC 27001:2022 comenzará por el SGSI. Preguntará si se han determinado los requisitos de competencia y concienciación, si el personal comprende sus responsabilidades, si los registros se conservan, si las auditorías internas prueban el proceso y si la revisión por la dirección considera el desempeño y la mejora. Puede muestrear empleados y preguntarles cómo notificar un incidente, cómo se utiliza MFA, cuáles son las reglas de uso aceptable o qué hacer tras recibir un correo sospechoso.
Una revisión supervisora NIS2 se centrará más en resultados y riesgos para el servicio. El revisor puede preguntar cómo la ciberhigiene reduce el riesgo para la prestación del servicio, cómo aprobó la dirección las medidas, cómo se adapta la formación a los servicios esenciales, cómo se cubre al personal de terceros, cómo se evalúa la eficacia y cómo comunicaría la organización amenazas cibernéticas o incidentes significativos conforme a Article 23. Dado que Article 23 incluye una alerta temprana en 24 horas y una notificación de incidente en 72 horas para incidentes significativos, la formación debe incluir reconocimiento y velocidad de escalado.
Un auditor DORA para una entidad financiera conectará la concienciación con la resiliencia operativa digital. Puede preguntar si la concienciación en seguridad TIC y la formación en resiliencia son obligatorias, si los informes TIC de alto nivel llegan al órgano de dirección, si se comprenden los criterios de clasificación de incidentes, si se han ejercitado las comunicaciones de crisis y si los proveedores terceros participan en la formación cuando sea contractualmente pertinente.
Un auditor GDPR o evaluador de privacidad se centrará en si el personal comprende los datos personales, los roles de tratamiento, la confidencialidad, la identificación de brechas, el escalado de brechas, la minimización de datos y la divulgación segura. Esperará que la formación varíe para soporte, Recursos Humanos, desarrolladores y administradores porque esos roles generan riesgos de privacidad distintos.
Un auditor interno COBIT 2019 o ISACA preguntará quién es propietario del proceso, qué objetivos respalda, cómo se mide el desempeño, qué excepciones existen, si se realiza seguimiento de las acciones correctivas y si la dirección recibe informes significativos en lugar de métricas de vanidad.
Hallazgos habituales de preparación de formación NIS2
El hallazgo más común es una cobertura incompleta de la población. El informe del LMS muestra un 94% de finalización, pero el 6% restante incluye administradores privilegiados, contratistas o nuevas incorporaciones. Los auditores no aceptarán un porcentaje sin entender quién falta y por qué.
El segundo hallazgo es la falta de sensibilidad por rol. Todos reciben el mismo módulo anual, pero los desarrolladores no reciben formación en codificación segura, los agentes de soporte no reciben formación en verificación de identidad y la alta dirección no recibe formación sobre obligaciones de gobernanza o decisiones de crisis. NIS2 Article 20 y Article 21 dificultan defender esa situación.
El tercer hallazgo es evidencia débil de eficacia. Finalizar la formación no equivale a comprensión ni a cambio de comportamiento. Los auditores esperan cada vez más puntuaciones de cuestionarios, tendencias de phishing, tendencias de notificación de incidentes, lecciones de ejercicios de mesa, reducción de fallos repetidos y acciones correctivas.
El cuarto hallazgo es higiene técnica desconectada. La formación dice “notifique actividad sospechosa”, pero no hay un canal de notificación probado. La formación dice “use MFA”, pero las cuentas de servicio eluden MFA. La formación dice “proteja los datos”, pero aparecen datos de producción en entornos de prueba. Article 21 espera un sistema de control, no eslóganes.
El quinto hallazgo es integridad deficiente de los registros. Las evidencias se almacenan en una hoja de cálculo editable sin propietario, marca temporal de exportación, control de acceso ni conciliación con registros de Recursos Humanos. Las relaciones de control de ISO/IEC 27002:2022 en Zenith Controls remiten a la protección de registros por una razón. Las evidencias deben ser fiables.
Un sprint de remediación de 10 días para evidencias listas para auditoría
Si su organización está bajo presión, empiece con un sprint enfocado.
| Día | Acción | Resultado |
|---|---|---|
| Día 1 | Confirmar la aplicabilidad de NIS2 y el alcance del servicio | Decisión de entidad esencial o importante, servicios dentro del alcance, funciones de soporte |
| Día 2 | Crear el registro de requisitos | NIS2 Articles 20, 21, 23, cláusulas ISO, controles del Anexo A, GDPR, DORA, contratos, requisitos de seguro |
| Día 3 | Crear la matriz de formación por rol | Formación mapeada a familias de puestos, acceso privilegiado, desarrolladores, soporte, contratistas, alta dirección |
| Día 4 | Mapear la formación a escenarios de riesgo | Phishing, compromiso de credenciales, fuga de datos, ransomware, configuración incorrecta, compromiso de proveedor, brecha de privacidad |
| Día 5 | Recopilar evidencias | Exportaciones del LMS, acuses de recibo, informes de phishing, registros de incorporación, registros de contratistas, asistencia de la alta dirección |
| Día 6 | Conciliar evidencias | Población de formación comprobada frente a registros de Recursos Humanos, grupos de identidad, cuentas privilegiadas, listas de contratistas |
| Día 7 | Probar la comprensión de los empleados | Notas de entrevista que muestran que el personal conoce la notificación de incidentes, expectativas de MFA, gestión de correos sospechosos y reglas de datos |
| Día 8 | Revisar controles técnicos de higiene | MFA, copias de seguridad, EDR, aplicación de parches, escaneos de vulnerabilidades, registro de eventos, supervisión, evidencias de configuración segura |
| Día 9 | Preparar el paquete de revisión por la dirección | Finalización, excepciones, tendencias de phishing, acciones abiertas, roles de alto riesgo, incidentes, necesidades presupuestarias |
| Día 10 | Actualizar el plan de tratamiento de riesgos y la SoA | Riesgo residual, propietarios, plazos, medidas de eficacia, actualizaciones de la Declaración de Aplicabilidad |
Ese sprint proporciona una línea base de evidencias defendible. No sustituye la operación continua del SGSI, pero crea la estructura que reguladores y auditores esperan.
Cómo se ve un buen resultado
Un programa maduro de ciberhigiene y formación de NIS2 Article 21 tiene cinco características.
Primero, es visible para el órgano de dirección. La dirección aprueba el enfoque, ve métricas significativas, comprende el riesgo residual y financia la mejora.
Segundo, está basado en riesgos. La formación difiere según rol, criticidad del servicio, nivel de acceso, exposición a datos y responsabilidad ante incidentes.
Tercero, está dirigido por evidencias. Los registros de finalización, acuses de recibo, simulaciones, ejercicios de mesa, informes técnicos de higiene y acciones correctivas están completos, conciliados y protegidos.
Cuarto, tiene en cuenta el cumplimiento cruzado. Las mismas evidencias respaldan NIS2, ISO/IEC 27001:2022, DORA, GDPR, aseguramiento basado en NIST e informes de gobernanza COBIT 2019.
Quinto, mejora. Incidentes, hallazgos de auditoría, cambios legales, cambios de proveedores, nuevas tecnologías y amenazas emergentes actualizan el plan de formación.
Ese último punto marca la diferencia entre teatro de cumplimiento y resiliencia operativa.
Próximos pasos con Clarysec
Si su equipo directivo pregunta “¿podemos demostrar mañana la ciberhigiene y la formación en ciberseguridad de NIS2 Article 21?”, Clarysec puede ayudarle a pasar de evidencias dispersas a un paquete de evidencias del SGSI listo para auditoría.
Comience con Zenith Blueprint para estructurar competencia, concienciación, controles sobre las personas, prácticas de trabajo remoto, gestión de vulnerabilidades, copias de seguridad, registro de eventos, supervisión y acciones técnicas de higiene a lo largo de la hoja de ruta de 30 pasos.
Use Zenith Controls para referenciar de forma cruzada las expectativas de ISO/IEC 27002:2022 sobre concienciación, uso aceptable, cumplimiento, supervisión, registros y aseguramiento en conversaciones de auditoría sobre NIS2, ISO/IEC 27001:2022, DORA, GDPR, NIST y COBIT 2019.
Después, operacionalice los requisitos mediante la Política de Concienciación y Formación en Seguridad de la Información, la Política de Concienciación y Formación en Seguridad de la Información - pyme y la Política de Seguridad de la Información - pyme de Clarysec.
Su acción inmediata es sencilla: construya esta semana un mapa de una página de evidencias de formación de NIS2 Article 21. Enumere roles dentro del alcance, formación asignada, evidencias de finalización, acuses de recibo de políticas, métricas de phishing, evidencias técnicas de ciberhigiene, fecha de revisión por la dirección y acciones correctivas. Si alguna celda está en blanco, ha encontrado su próxima tarea de remediación de auditoría.
Para avanzar más rápido, descargue las plantillas de políticas de Clarysec, utilice la hoja de ruta de Zenith Blueprint y programe una evaluación de preparación de evidencias NIS2 para convertir sus registros actuales de formación, controles de ciberhigiene y SGSI ISO/IEC 27001:2022 en un único expediente de auditoría defendible.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
