La función Govern de NIST CSF 2.0 para pymes e ISO 27001
Sarah, la CISO recién nombrada de una pyme FinTech en rápido crecimiento, tenía una pizarra llena de marcos y una fecha límite inamovible. NIST CSF 2.0. ISO 27001:2022. NIS2. DORA. GDPR. Riesgo de proveedores. Responsabilidad proactiva del consejo de administración. Diligencia debida de clientes empresariales.
El detonante era conocido: una hoja de cálculo enviada por un cliente importante del sector de servicios financieros. Compras solicitaba evidencias de un modelo de gobernanza de ciberseguridad, apetito de riesgo, programa de seguridad de proveedores, mapeo de obligaciones legales y regulatorias, proceso de escalado de incidentes y alineación con ISO 27001:2022.
La Directora General no quería una lección sobre cumplimiento. Quería una respuesta sencilla a una pregunta difícil: “¿Cómo demostramos a nuestro consejo de administración, a nuestros clientes y a nuestros reguladores que tenemos el riesgo cibernético bajo control?”
Este es el problema de gobernanza al que se enfrentan muchas pymes. Un cuestionario de cliente rara vez es solo un cuestionario de cliente. A menudo son cinco conversaciones de cumplimiento comprimidas en una sola solicitud. NIST CSF 2.0, ISO/IEC 27001:2022, GDPR, NIS2, expectativas de proveedores impulsadas por DORA, resiliencia en la nube, supervisión del consejo de administración y compromisos contractuales están todos ocultos dentro de la misma solicitud de evidencias.
Muchas pymes responden creando artefactos separados: una hoja de cálculo NIST, una carpeta de certificación ISO, una herramienta de seguimiento de GDPR, un Registro de Riesgos de proveedores y un Plan de Respuesta a Incidentes que no se conectan entre sí. Seis meses después, nadie sabe qué documento es el registro de referencia.
El enfoque de Clarysec es diferente. Usa la función Govern de NIST CSF 2.0 como capa de gobernanza ejecutiva y mapéala después con políticas ISO 27001:2022, tratamiento del riesgo, la Declaración de Aplicabilidad, supervisión de proveedores, revisión por la dirección y evidencias de auditoría. El resultado no es más trabajo de cumplimiento. Es un único modelo operativo que puede responder a auditores, clientes, reguladores y dirección con el mismo conjunto de evidencias.
Por qué la función Govern de NIST CSF 2.0 importa para las pymes
NIST CSF 2.0 eleva la gobernanza a una función propia, junto con Identify, Protect, Detect, Respond y Recover. Ese cambio es importante porque la mayoría de los fallos de seguridad en pymes no se deben a la ausencia de otra herramienta. Se deben a responsabilidades poco claras, decisiones de riesgo débiles, excepciones no documentadas, supervisión de proveedores incoherente y políticas aprobadas una vez pero nunca puestas en operación.
La función Govern de NIST CSF 2.0 cambia la pregunta de “¿qué controles tenemos?” a “¿quién es responsable, qué obligaciones aplican, cómo se priorizan los riesgos y cómo se revisa el desempeño?”
Para las pymes, los resultados de Govern proporcionan un mandato práctico:
- Comprender y gestionar obligaciones legales, regulatorias, contractuales, de privacidad y de libertades civiles.
- Establecer apetito de riesgo, tolerancia al riesgo, valoración del riesgo, priorización y opciones de respuesta al riesgo.
- Definir roles, responsabilidades, autoridades, vías de escalado y recursos de ciberseguridad.
- Establecer, comunicar, aplicar, revisar y actualizar las políticas de ciberseguridad.
- Revisar la estrategia de ciberseguridad, el desempeño y la responsabilidad proactiva de la dirección.
- Gobernar el riesgo de ciberseguridad de proveedores y terceros desde la diligencia debida hasta la baja.
Por eso la función Govern de NIST CSF 2.0 es una puerta de entrada tan sólida para ISO 27001:2022. NIST aporta a la alta dirección el lenguaje de gobernanza. ISO 27001:2022 aporta el sistema de gestión auditable.
Las cláusulas 4 a 10 de ISO 27001:2022 exigen que las organizaciones comprendan el contexto, definan las partes interesadas, establezcan el alcance del SGSI, demuestren liderazgo, planifiquen la evaluación de riesgos y el tratamiento del riesgo, respalden la información documentada, operen controles, evalúen el desempeño, realicen auditorías internas y revisiones por la dirección, y mejoren continuamente. El Anexo A aporta después el conjunto de referencia de controles, incluidas políticas, responsabilidades de la dirección, obligaciones legales, privacidad, relaciones con proveedores, servicios en la nube, gestión de incidentes y preparación de las TIC para la continuidad del negocio.
La Política de Seguridad de la Información empresarial de Clarysec Política de Seguridad de la Información establece:
La organización deberá mantener un modelo formal de gobernanza para supervisar el SGSI, alineado con las cláusulas 5.1 y 9.3 de ISO/IEC 27001.
Ese requisito, procedente de la cláusula 5.1 de la Política de Seguridad de la Información, es el puente práctico entre la responsabilidad GV de NIST y las expectativas de liderazgo de ISO 27001:2022. La gobernanza no es una presentación anual. Es un modelo formal que conecta decisiones, políticas, roles, riesgos, controles, evidencias y revisiones.
El mapeo principal: de NIST CSF 2.0 Govern a evidencias ISO 27001:2022
La forma más rápida de hacer útil NIST CSF 2.0 es convertir los resultados de Govern en titularidad de políticas y evidencias de auditoría. La tabla siguiente muestra la estructura que Clarysec utiliza con pymes que se preparan para la certificación ISO 27001:2022, la diligencia debida de clientes empresariales, la preparación para NIS2, el aseguramiento de clientes DORA y la responsabilidad proactiva de GDPR.
| Área Govern de NIST CSF 2.0 | Pregunta de gobernanza para la pyme | Alineación con ISO 27001:2022 | Ancla de política de Clarysec | Evidencias que esperan auditores y clientes |
|---|---|---|---|---|
| GV.OC, contexto organizativo | ¿Conocemos nuestras obligaciones legales, regulatorias, contractuales, de privacidad y de negocio? | Cláusulas 4.1 a 4.4, Anexo A 5.31 y 5.34 | Política de Cumplimiento Legal y Regulatorio | Registro de Cumplimiento, alcance del SGSI, registro de partes interesadas, mapa de obligaciones de clientes, registro de privacidad |
| GV.RM, estrategia de gestión de riesgos | ¿Cómo definimos, puntuamos, priorizamos, aceptamos y tratamos los riesgos cibernéticos? | Cláusulas 6.1.1 a 6.1.3, 8.2 y 8.3 | Política de Gestión de Riesgos | Metodología de riesgos, Registro de Riesgos, Plan de Tratamiento del Riesgo, aprobaciones del propietario del riesgo, mapeo de la SoA |
| GV.RR, roles y responsabilidades | ¿Quién es propietario de las decisiones, excepciones, recursos y reporting de ciberseguridad? | Cláusulas 5.1 a 5.3, Anexo A 5.2 y 5.4 | Política de Funciones y Responsabilidades de Gobernanza para pymes | RACI, descripciones de roles, actas de reunión, aprobaciones de excepciones, registros de formación |
| GV.PO, política | ¿Las políticas están aprobadas, comunicadas, aplicadas, revisadas y actualizadas? | Cláusulas 5.2, 7.5 y 9.3, Anexo A 5.1 | Política de Seguridad de la Información | Registro de Políticas, registros de aprobación, historial de versiones, acuses de recibo de empleados, actas de revisión de políticas |
| GV.OV, supervisión | ¿Se revisan y ajustan la estrategia y el desempeño de ciberseguridad? | Cláusulas 9.1, 9.2, 9.3, 10.1 y 10.2 | Política de Auditoría y Supervisión del Cumplimiento | cuadro de mando de KPI, plan de auditoría interna, resultados de revisión por la dirección, acciones correctivas |
| GV.SC, riesgo de la cadena de suministro | ¿Los proveedores se conocen, priorizan, evalúan, contratan, supervisan y dan de baja? | Anexo A 5.19 a 5.23 y 5.30 | Política de Seguridad de Terceros y Proveedores para pymes | inventario de proveedores, registros de diligencia debida, cláusulas contractuales, registros de revisión, planes de salida, contactos de incidentes |
Este mapeo está intencionadamente orientado a evidencias. No pide a la pyme crear 40 documentos. Formula cinco preguntas operativas:
- ¿Qué decisión se está tomando?
- ¿Quién es su propietario?
- ¿Qué política la gobierna?
- ¿Qué cláusula de ISO 27001:2022 o control del Anexo A la respalda?
- ¿Qué evidencia demuestra que ocurrió?
La Política de Funciones y Responsabilidades de Gobernanza para pymes Política de Funciones y Responsabilidades de Gobernanza para pymes - pyme hace explícita esa trazabilidad:
Todas las decisiones, excepciones y escalados de seguridad significativos deben registrarse y ser trazables.
Esta cita procede de la cláusula 5.5 de la Política de Funciones y Responsabilidades de Gobernanza para pymes. Convierte NIST GV.RR de un principio de gobernanza en una regla operativa auditable.
Empieza con un perfil CSF Govern, no con una hoja de cálculo de controles
Los perfiles organizativos de NIST CSF 2.0 ayudan a las organizaciones a describir los resultados actuales y objetivo de ciberseguridad. Para las pymes, el perfil es donde la gobernanza se vuelve gestionable.
Un taller práctico de perfil Govern debe responder a cinco preguntas:
- ¿Qué está dentro del alcance: toda la empresa, una plataforma SaaS, un producto regulado o un entorno de cliente?
- ¿Qué obligaciones impulsan el perfil: contratos de clientes, GDPR, exposición a NIS2, expectativas de clientes impulsadas por DORA, certificación ISO 27001:2022 o diligencia debida de inversores?
- ¿Qué prueba la evidencia actual, no qué cree la gente que existe?
- ¿Qué estado objetivo es realista para los próximos 90 días y los próximos 12 meses?
- ¿Qué riesgos, políticas, proveedores y entradas de la SoA deben cambiar?
El Zenith Blueprint: hoja de ruta de 30 pasos para auditores Zenith Blueprint respalda esto en la fase de Fundamentos y liderazgo del SGSI, paso 6, “Información documentada y construcción de la biblioteca del SGSI”. Recomienda preparar la SoA desde el inicio y usarla como biblioteca de controles:
✓ Controles adicionales: ¿Hay controles fuera del Anexo A que podrías incluir? ISO 27001 permite añadir otros controles en la SoA. Por ejemplo, quizá quieras incluir cumplimiento con NIST CSF o controles de privacidad específicos de ISO 27701. En general, el Anexo A es completo, pero puedes añadir cualquier control singular que planifiques
✓ Usa una hoja de cálculo (SoA Builder): un enfoque práctico es preparar ahora la hoja de cálculo de la SoA. Hemos preparado una plantilla SoA_Builder.xlsx que enumera todos los controles del Anexo A con columnas para aplicabilidad, estado de implementación y notas.
Para una pyme, esto importa. No necesitas forzar NIST CSF 2.0 dentro del Anexo A de ISO como si ambos fueran idénticos. Puedes incluir los resultados de CSF Govern como requisitos adicionales de gobernanza en tu biblioteca de SoA, mapearlos con cláusulas de ISO 27001:2022 y controles del Anexo A, y usarlos para mejorar la revisión por la dirección, la gobernanza de proveedores, los informes de riesgos y la supervisión del cumplimiento.
Construye un registro de evidencias de Govern
Un registro de evidencias de Govern es la herramienta práctica que convierte los marcos en pruebas. Debe conectar cada resultado NIST con una referencia ISO, propietario de política, elemento de evidencia, cadencia de revisión, brecha y acción.
| Campo | Entrada de ejemplo |
|---|---|
| Resultado CSF | GV.OC-03 |
| Pregunta de gobernanza | ¿Se comprenden y gestionan las obligaciones legales, regulatorias, contractuales, de privacidad y de libertades civiles? |
| Referencia ISO 27001:2022 | Cláusulas 4.2, 4.3 y 6.1.3, Anexo A 5.31 y 5.34 |
| Política de Clarysec | Política de Cumplimiento Legal y Regulatorio |
| Propietario de la evidencia | Responsable de Cumplimiento |
| Evidencia | Registro de Cumplimiento v1.4, mapa de obligaciones de clientes, registro de tratamiento GDPR |
| Cadencia de revisión | Trimestral y cuando se produzcan cambios de mercado, cliente o producto |
| Brecha | Cláusulas de traslado contractual DORA de clientes no mapeadas con contratos de proveedores |
| Acción | Actualizar la plantilla contractual de proveedores y las notas de la SoA |
| Fecha límite | 30 días |
La Política de Cumplimiento Legal y Regulatorio empresarial de Clarysec Política de Cumplimiento Legal y Regulatorio establece el requisito de gobernanza:
Todas las obligaciones legales y normativas deben mapearse con políticas, controles y propietarios específicos dentro del Sistema de Gestión de la Seguridad de la Información (SGSI).
Esta es la cláusula 6.2.1 de la Política de Cumplimiento Legal y Regulatorio. Para pymes, la Política de Cumplimiento Legal y Regulatorio para pymes Política de Cumplimiento Legal y Regulatorio para pymes - pyme añade un requisito práctico de mapeo cruzado:
Cuando una regulación aplique a múltiples áreas (p. ej., GDPR aplica a conservación, seguridad y privacidad), esto debe mapearse claramente en el Registro de Cumplimiento y en los materiales de formación.
Esa cita procede de la cláusula 5.2.2 de la Política de Cumplimiento Legal y Regulatorio para pymes. En conjunto, estas cláusulas transforman GV.OC-03 en un proceso gestionado, revisable y preparado para auditoría.
Conecta la valoración del riesgo con el tratamiento del riesgo y la SoA
NIST GV.RM exige objetivos de riesgo, apetito de riesgo, tolerancia al riesgo, cálculo estandarizado del riesgo, opciones de respuesta y líneas de comunicación. ISO 27001:2022 lo operacionaliza mediante la evaluación de riesgos, el tratamiento del riesgo, la aprobación por el propietario del riesgo, la aceptación del riesgo residual y la Declaración de Aplicabilidad.
La Política de Gestión de Riesgos para pymes Política de Gestión de Riesgos para pymes - pyme es deliberadamente concreta:
Cada entrada de riesgo debe incluir: descripción, probabilidad, impacto, puntuación, propietario y plan de tratamiento.
Esto procede de la cláusula 5.1.2 de la Política de Gestión de Riesgos para pymes. La Política de Gestión de Riesgos empresarial Política de Gestión de Riesgos refuerza la conexión con la SoA:
La Declaración de Aplicabilidad (SoA) deberá reflejar todas las decisiones de tratamiento y deberá actualizarse siempre que se modifique la Cobertura del control.
Esa es la cláusula 5.4 de la Política de Gestión de Riesgos.
Considera un riesgo real de pyme: acceso no autorizado a datos de clientes en producción debido a una aplicación incoherente de la autenticación multifactor en cuentas de administración de la nube.
Un mapeo Govern sólido incluiría:
- NIST GV.RM para documentación y priorización estandarizadas del riesgo.
- NIST GV.RR para titularidad de roles y autoridad para aplicar el control de acceso.
- NIST GV.PO para aplicación y revisión de políticas.
- Cláusulas 6.1.2, 6.1.3, 8.2 y 8.3 de ISO 27001:2022.
- Controles del Anexo A para control de acceso, gestión de identidades, información de autenticación, registro de eventos, supervisión, configuración y servicios en la nube.
- Evidencias como una entrada en el Registro de Riesgos, exportación de configuración de MFA, aprobación de excepción, revisión de IAM en la nube, decisión de revisión por la dirección y nota de SoA actualizada.
El Zenith Blueprint, fase de Gestión de riesgos, paso 13, “Planificación del tratamiento del riesgo y Declaración de Aplicabilidad”, explica la vinculación:
✓ Asegura la alineación con tu Registro de Riesgos: cada control de mitigación que hayas escrito en el Plan de Tratamiento de Riesgos debe corresponder a un control del Anexo A marcado como “Aplicable”. A la inversa, si un control está marcado como aplicable, deberías tener un riesgo o un requisito que lo impulse.
Esta es la diferencia entre decir “usamos MFA” y demostrar “tenemos una razón gobernada, basada en riesgos y alineada con ISO 27001:2022 para MFA, con evidencia, propietario y cadencia de revisión”.
Gobierna el riesgo de proveedores sin sobredimensionar el programa
NIST GV.SC es una de las partes más útiles de la función Govern para pymes porque las pymes modernas dependen en gran medida de proveedores: proveedores de servicios en la nube, procesadores de pagos, plataformas de recursos humanos, sistemas de tickets de mesa de servicio, repositorios de código, herramientas de CI/CD, herramientas de monitorización y servicios de seguridad gestionados.
El Anexo A de ISO 27001:2022 lo respalda mediante controles de proveedores y de nube, incluidos 5.19 Seguridad de la información en las relaciones con proveedores, 5.20 Tratamiento de la seguridad de la información en los acuerdos con proveedores, 5.21 Gestión de la seguridad de la información en la cadena de suministro TIC, 5.22 Supervisión, revisión y gestión de cambios de los servicios de proveedores, 5.23 Seguridad de la información para el uso de servicios en la nube y 5.30 Preparación de las TIC para la continuidad del negocio.
La Política de Seguridad de Terceros y Proveedores para pymes Política de Seguridad de Terceros y Proveedores para pymes - pyme deja claro el requisito de evidencia:
Estas revisiones deben documentarse y conservarse con el registro del proveedor. Las acciones de seguimiento deben estar claramente trazadas.
Esta es la cláusula 6.3.2 de la Política de Seguridad de Terceros y Proveedores para pymes.
Un modelo ligero de proveedores para pymes puede usar tres niveles:
| Nivel de proveedor | Criterios | Evidencia mínima | Cadencia de revisión |
|---|---|---|---|
| Crítico | Da soporte a producción, datos de clientes, autenticación, monitorización de seguridad, flujo de pagos o prestación de servicios regulados | Cuestionario de diligencia debida, cláusulas contractuales de seguridad, SLA, contacto de incidentes, plan de salida, revisión de riesgos | Anual y ante cambio material |
| Importante | Da soporte a operaciones de la organización o información interna sensible, pero no a la prestación directa de servicios críticos | Resumen de seguridad, términos de tratamiento de datos, revisión de acceso, aceptación del riesgo si existen brechas | Cada 18 meses |
| Estándar | Herramientas de bajo riesgo sin datos sensibles ni dependencia crítica | Aprobación del propietario de negocio, comprobación básica de datos y accesos | En la incorporación y en la renovación |
Este modelo sencillo respalda NIST GV.SC, los controles de proveedores de ISO 27001:2022, la diligencia debida de clientes y las expectativas contractuales impulsadas por DORA de clientes financieros.
La baja de proveedores merece especial atención. NIST GV.SC espera gobernanza durante todo el ciclo de vida del proveedor, incluido el final de la relación. Las evidencias deben incluir devolución o supresión de datos, retirada de accesos, planificación de transición del servicio, registros contractuales conservados y revisión del riesgo residual.
Usa Zenith Controls para el cumplimiento transversal, no como un conjunto de controles separado
Zenith Controls: la guía de cumplimiento transversal de Clarysec Zenith Controls es una guía de cumplimiento transversal para mapear temas de control de ISO/IEC 27002:2022 con múltiples marcos y enfoques de auditoría. No son “controles Zenith” separados. Son controles ISO/IEC 27002:2022 analizados dentro de Zenith Controls para su uso en cumplimiento transversal.
Para NIST CSF 2.0 Govern, tres áreas de control de ISO/IEC 27002:2022 son especialmente importantes:
| Área de control ISO/IEC 27002:2022 en Zenith Controls | Conexión con NIST CSF 2.0 Govern | Interpretación práctica para pymes |
|---|---|---|
| 5.1 Políticas de seguridad de la información | GV.PO | Las políticas deben aprobarse, comunicarse, aplicarse, revisarse y actualizarse cuando cambien las amenazas, la tecnología, la ley o los objetivos de negocio |
| 5.4 Responsabilidades de la dirección | GV.RR y GV.OV | Las responsabilidades de seguridad deben asignarse en los niveles directivos y operativos, con recursos, reporting y revisión |
| 5.31 Requisitos legales, estatutarios, normativos y contractuales | GV.OC-03 | Las obligaciones deben identificarse, mapearse con controles y propietarios, supervisarse ante cambios y evidenciarse |
El Zenith Blueprint, fase Controles en acción, paso 22, “Controles organizativos”, proporciona el modelo operativo:
Formalizar la gobernanza de la seguridad de la información
Asegúrate de que tus políticas de seguridad de la información (5.1) estén finalizadas, aprobadas y sujetas a control de versiones. Asigna propietarios nominales para cada dominio de política (p. ej., acceso, cifrado, copia de seguridad) y documenta roles y responsabilidades en todo el SGSI (5.2). Revisa la segregación de funciones (5.3) en áreas de alto riesgo como finanzas, administración de sistemas y control de cambios. Produce un mapa sencillo de gobernanza que muestre quién aprueba, quién implementa y quién supervisa la política de seguridad.
Ese mapa de gobernanza es uno de los artefactos de mayor valor que puede crear una pyme. Responde a NIST GV.RR, a los requisitos de liderazgo de ISO 27001:2022, a las expectativas de responsabilidad proactiva de la dirección de NIS2 y a las preguntas de clientes sobre quién es propietario del riesgo cibernético.
Un modelo de gobernanza para NIS2, DORA, GDPR, NIST e ISO
La función Govern alcanza su máximo valor cuando una pyme afronta requisitos solapados.
NIS2 exige que las entidades esenciales e importantes dentro de su alcance adopten medidas de gestión de riesgos de ciberseguridad adecuadas y proporcionadas. También atribuye a los órganos de dirección la responsabilidad de aprobar las medidas de gestión de riesgos de ciberseguridad, supervisar su implementación y seguir formación. NIST GV.RR respalda la responsabilidad proactiva de la dirección. GV.RM respalda las medidas basadas en riesgos. GV.SC respalda la seguridad de la cadena de suministro. GV.PO respalda las políticas. GV.OV respalda la revisión del desempeño.
La gobernanza de incidentes de NIS2 también introduce expectativas de notificación por fases, incluidas la alerta temprana en un plazo de 24 horas, la notificación de incidentes en un plazo de 72 horas y el informe final en el plazo de un mes para incidentes significativos. Esos plazos deben reflejarse en los procedimientos de respuesta a incidentes, las vías de escalado, los planes de comunicación y los informes a la dirección.
DORA se aplica desde el 17 de enero de 2025 a entidades financieras de la UE, pero muchas pymes sienten su impacto a través de contratos de clientes. Los clientes financieros pueden trasladar requisitos DORA a proveedores de TIC, proveedores de software, proveedores de servicios gestionados y proveedores dependientes de la nube. DORA se centra en la gestión del riesgo de las TIC, la responsabilidad del órgano de dirección, la notificación de incidentes, las pruebas de resiliencia, el riesgo de terceros TIC, los requisitos contractuales y la supervisión.
GDPR añade responsabilidad proactiva por el tratamiento de datos personales. Las pymes deben comprender si actúan como responsables del tratamiento, encargados del tratamiento o ambos, qué datos personales tratan, qué sistemas y proveedores participan, qué bases jurídicas aplican y qué escenarios de incidente podrían convertirse en brechas de seguridad de los datos personales.
El Zenith Blueprint, fase de Gestión de riesgos, paso 14, recomienda referenciar de forma cruzada los requisitos de DORA, NIS2 y GDPR dentro del conjunto de controles ISO 27001:2022:
Para cada regulación, si aplica, puedes crear una tabla de mapeo sencilla (podría ser un apéndice en un informe) que enumere los principales requisitos de seguridad de la regulación y los controles/políticas correspondientes en tu SGSI. Esto no es obligatorio en ISO 27001, pero es un ejercicio interno útil para asegurar que nada se quede sin cubrir.
Un mapa práctico de cumplimiento transversal puede verse así:
| Requisito de gobernanza | NIST CSF 2.0 Govern | Ancla ISO 27001:2022 | Relevancia NIS2, DORA, GDPR | Evidencia principal |
|---|---|---|---|---|
| Responsabilidad proactiva de la dirección | GV.RR y GV.OV | Cláusulas 5.1, 5.3 y 9.3, Anexo A 5.4 | Supervisión del órgano de dirección en NIS2, responsabilidad del órgano de dirección en DORA | Mapa de gobernanza, RACI, actas de revisión por la dirección |
| Obligaciones legales y contractuales | GV.OC-03 | Cláusulas 4.2, 4.3 y 6.1.3, Anexo A 5.31 y 5.34 | Responsabilidad proactiva GDPR, alcance legal NIS2, traslados contractuales DORA | Registro de Cumplimiento, mapa de obligaciones de clientes, registro de privacidad |
| Medidas de seguridad basadas en riesgos | GV.RM | Cláusulas 6.1.2, 6.1.3, 8.2 y 8.3 | Medidas de riesgo NIS2, marco de gestión del riesgo de las TIC DORA, seguridad del tratamiento GDPR | Registro de Riesgos, Plan de Tratamiento del Riesgo, SoA |
| Gobernanza de proveedores | GV.SC | Anexo A 5.19 a 5.23 y 5.30 | Seguridad de la cadena de suministro NIS2, riesgo de terceros TIC DORA, encargados del tratamiento GDPR | Inventario de proveedores, diligencia debida, contratos, registros de revisión |
| Gobernanza de políticas | GV.PO | Cláusula 5.2 y Anexo A 5.1 | Todos los marcos esperan reglas documentadas, aprobadas y comunicadas | Registro de Políticas, historial de versiones, acuses de recibo |
| Auditoría y mejora | GV.OV | Cláusulas 9.1, 9.2, 9.3, 10.1 y 10.2 | Pruebas y remediación DORA, eficacia NIS2, responsabilidad proactiva GDPR | Informes de auditoría interna, KPI, acciones correctivas |
El valor está en la eficiencia. Un SGSI ISO 27001:2022 bien operado, guiado por NIST CSF 2.0 Govern, puede generar evidencias reutilizables para varios marcos a la vez.
La perspectiva del auditor: demostrar que la gobernanza es real
Una política en una estantería no es gobernanza. Auditores y evaluadores buscan un hilo conductor: política de alto nivel, proceso definido, registro operativo, revisión por la dirección y acción de mejora.
Distintos revisores probarán ese hilo de forma diferente.
| Enfoque del auditor | En qué se centrará | Evidencia que funciona bien |
|---|---|---|
| Auditor ISO 27001:2022 | Si la gobernanza está integrada en el SGSI, el tratamiento del riesgo es trazable, las decisiones de la SoA están justificadas y la información documentada está controlada | alcance del SGSI, Registro de Políticas, Registro de Riesgos, SoA, actas de revisión por la dirección, informes de auditoría interna, acciones correctivas |
| Evaluador NIST CSF 2.0 | Si existen perfiles actuales y objetivo, las brechas están priorizadas y los resultados de Govern están vinculados al riesgo de negocio y a la supervisión | perfil CSF, análisis de brechas, POA&M, declaración de apetito de riesgo, cuadro de mando de dirección, perfil objetivo de proveedores |
| Auditor COBIT 2019 o de estilo ISACA | Si están definidos los objetivos de gobernanza, derechos de decisión, indicadores de desempeño, titularidad de controles y actividades de aseguramiento | mapa de gobernanza, RACI, cuadro de mando de KPI y KRI, atestaciones de propietarios de controles, plan de auditoría, seguimiento de incidencias |
| Revisor GDPR | Si las obligaciones de privacidad están identificadas, el tratamiento está mapeado, las salvaguardas de seguridad son adecuadas y existen evidencias de responsabilidad proactiva | Registro de tratamiento, mapeo de base jurídica, EIPD cuando sea necesario, proceso de respuesta a brechas de seguridad, términos de tratamiento de datos de proveedores |
| Evaluador de seguridad de cliente | Si la pyme puede demostrar seguridad operativa, control de proveedores, preparación para incidentes y responsabilidad proactiva ejecutiva sin retrasos excesivos | paquete de evidencias, políticas, revisiones de proveedores, resultados de ejercicios de mesa de incidentes, revisiones de acceso, pruebas de copia de seguridad, hoja de ruta de seguridad |
La Política de Funciones y Responsabilidades de Gobernanza empresarial de Clarysec Política de Funciones y Responsabilidades de Gobernanza establece:
La gobernanza deberá respaldar la integración con otras disciplinas (p. ej., riesgos, legal, TI, Recursos Humanos), y las decisiones del SGSI deberán ser trazables hasta su fuente (p. ej., Registros de auditoría, registros de revisión, actas de reunión).
Esta es la cláusula 5.5 de la Política de Funciones y Responsabilidades de Gobernanza. Captura la esencia del cumplimiento transversal: las decisiones de gobernanza deben ser trazables.
La Política de Auditoría y Supervisión del Cumplimiento para pymes Política de Auditoría y Supervisión del Cumplimiento para pymes - pyme añade una disciplina de evidencias crítica:
Los metadatos (p. ej., quién los recopiló, cuándo y desde qué sistema) deben documentarse.
Esta cita procede de la cláusula 6.2.3 de la Política de Auditoría y Supervisión del Cumplimiento para pymes. Los metadatos de evidencias suelen ser lo que separa una carpeta de capturas de pantalla de evidencias con calidad de auditoría.
La Política de Auditoría y Supervisión del Cumplimiento empresarial Política de Auditoría y Supervisión del Cumplimiento añade el requisito a nivel de programa:
La organización deberá mantener un Programa estructurado de Auditoría y Supervisión del Cumplimiento integrado en el SGSI, que cubra:
Esta es la cláusula 5.1 de la Política de Auditoría y Supervisión del Cumplimiento. La implicación de gobernanza es directa: la auditoría no es una carrera anual de última hora. Forma parte de las operaciones del SGSI.
Errores comunes de las pymes al mapear NIST Govern con ISO 27001:2022
El primer error es la sobredocumentación sin titularidad. Una pyme redacta políticas pero no asigna propietarios para el tratamiento del riesgo, las revisiones de proveedores, las aprobaciones de excepciones o los informes a la dirección.
El segundo error es tratar las obligaciones legales como algo separado del SGSI. NIST GV.OC-03 exige que las obligaciones se comprendan y gestionen. ISO 27001:2022 exige que los requisitos pertinentes de las partes interesadas y las obligaciones legales, regulatorias y contractuales se consideren dentro del SGSI.
El tercer error es una justificación débil de la SoA. La SoA no es solo una lista de controles aplicables. Es el archivo lógico de por qué los controles se incluyen, se excluyen o se implementan.
El cuarto error es la falta de evidencias del ciclo de vida de proveedores. La gobernanza de proveedores incluye incorporación, contratos, supervisión, incidentes, cambios y baja.
El quinto error es no actualizar el perfil objetivo. Un perfil CSF debe cambiar cuando la organización entra en una nueva geografía, firma con un cliente importante, adopta un proveedor crítico, lanza un producto regulado, cambia la arquitectura en la nube o sufre un incidente.
Hoja de ruta de 30 días para NIST CSF 2.0 Govern en pymes
Si una pyme necesita avanzar con rapidez, debe empezar con un plan de implementación enfocado de 30 días.
| Días | Actividad | Resultado |
|---|---|---|
| 1 a 3 | Definir el alcance de CSF Govern y recopilar políticas, contratos, registros de riesgo, listas de proveedores y evidencias de auditoría existentes | Nota de alcance e inventario de evidencias |
| 4 a 7 | Construir el registro de evidencias de Govern para GV.OC, GV.RM, GV.RR, GV.PO, GV.OV y GV.SC | Perfil actual y brechas iniciales |
| 8 a 12 | Mapear obligaciones con políticas ISO 27001:2022, áreas de control del Anexo A y propietarios | Registro de Cumplimiento y mapa de titularidad de políticas |
| 13 a 17 | Actualizar el Registro de Riesgos y el Plan de Tratamiento del Riesgo, y después alinear las entradas de la SoA | Registro de Riesgos, plan de tratamiento, actualizaciones de la SoA |
| 18 a 22 | Priorizar la gobernanza de proveedores, incluida la clasificación de proveedores críticos, brechas contractuales y evidencias de revisión | Registro de riesgos de proveedores y herramienta de seguimiento de acciones |
| 23 a 26 | Preparar el paquete de evidencias de auditoría con metadatos, aprobaciones, registros de revisión y decisiones de la dirección | Paquete de evidencias e índice de auditoría |
| 27 a 30 | Realizar la revisión por la dirección y aprobar la hoja de ruta del perfil objetivo | Actas de revisión por la dirección, decisiones, hoja de ruta |
Este plan crea evidencias de gobernanza suficientes para responder a preguntas serias de clientes y auditoría, al tiempo que construye la base para la certificación ISO 27001:2022, la preparación para NIS2, el aseguramiento de clientes DORA y la responsabilidad proactiva de GDPR.
El resultado práctico: una historia de gobernanza, muchos usos de cumplimiento
Cuando Sarah vuelve al consejo de administración, ya no tiene cinco líneas de trabajo de cumplimiento desconectadas. Tiene una única historia de gobernanza.
Los resultados de NIST CSF 2.0 Govern están mapeados con políticas, propietarios, riesgos, controles y evidencias de ISO 27001:2022. El alcance del SGSI incluye dependencias de clientes, proveedores, nube, legales, regulatorias, de privacidad y contractuales. El Registro de Riesgos impulsa las decisiones de tratamiento y la aplicabilidad de la SoA. Las políticas están aprobadas, sujetas a control de versiones, con propietario, comunicadas y revisadas. Los riesgos de proveedores se clasifican por niveles, se contratan, se supervisan y se siguen. Las obligaciones de tratamiento GDPR, las expectativas de responsabilidad proactiva de NIS2 y los traslados contractuales DORA de clientes se referencian de forma cruzada cuando aplica. Las evidencias de auditoría incluyen metadatos, registros de decisiones y resultados de revisión por la dirección.
Así es la gobernanza cuando es operativa.
Siguiente paso: crea tu paquete de evidencias Govern para pymes con Clarysec
Si te estás preparando para ISO 27001:2022, respondiendo a diligencia debida de clientes empresariales, mapeando resultados de NIST CSF 2.0 Govern o intentando alinear NIS2, DORA y GDPR sin crear programas separados, empieza por la capa de gobernanza.
Clarysec puede ayudarte a construir:
- Un perfil actual y objetivo de NIST CSF 2.0 Govern.
- Un mapeo de políticas ISO 27001:2022 y SoA.
- Un Registro de obligaciones de cumplimiento transversal usando Zenith Controls Zenith Controls.
- Una hoja de ruta de implementación del SGSI en 30 pasos usando Zenith Blueprint Zenith Blueprint.
- Evidencias de políticas preparadas para pymes usando el kit de políticas de Clarysec, incluidas la Política de Funciones y Responsabilidades de Gobernanza para pymes Política de Funciones y Responsabilidades de Gobernanza para pymes - pyme, la Política de Gestión de Riesgos para pymes Política de Gestión de Riesgos para pymes - pyme, la Política de Cumplimiento Legal y Regulatorio para pymes Política de Cumplimiento Legal y Regulatorio para pymes - pyme, la Política de Seguridad de Terceros y Proveedores para pymes Política de Seguridad de Terceros y Proveedores para pymes - pyme y la Política de Auditoría y Supervisión del Cumplimiento para pymes Política de Auditoría y Supervisión del Cumplimiento para pymes - pyme.
El camino más rápido no es otra hoja de cálculo. Es un SGSI gobernado, basado en riesgos y preparado para evidencias que permite a tu pyme responder con confianza a una pregunta:
¿Puedes demostrar que la ciberseguridad se gestiona, tiene propietarios, se revisa y mejora continuamente?
Con Clarysec, la respuesta pasa a ser sí.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
