Gobernanza del ciclo de vida de las políticas para ISO 27001, NIS2 y DORA
El correo llegó a la bandeja de entrada de Maria Petrova, CISO, con un golpe discreto que sonó como una alarma. Lo enviaba el auditor externo: una lista preliminar de solicitudes para una auditoría de seguimiento combinada de ISO/IEC 27001:2022 y una evaluación de preparación para DORA. El primer punto parecía sencillo:
“Por favor, facilite la Política de Seguridad de la Información vigente, su historial completo de versiones, las evidencias de aprobación por la dirección para cada versión y los registros de su comunicación al personal pertinente durante los últimos 24 meses.”
La empresa de Maria, una plataforma fintech de tamaño medio, tenía políticas. Decenas de ellas. Tenía una Política de Seguridad de la Información, un plan de respuesta a incidentes, un cuestionario de seguridad de proveedores, un Registro de Riesgos, un procedimiento de control de acceso, un Plan de Continuidad del Negocio y una carpeta llena de evidencias de auditoría. Pero los archivos estaban dispersos entre sitios de SharePoint, espacios heredados de Confluence, hilos de correo electrónico, adjuntos de tickets y unidades compartidas propiedad de personas que ya habían dejado la empresa.
El verdadero problema quedó claro cuando llegaron las preguntas de seguimiento del auditor.
¿Quién aprobó el procedimiento de incidentes vigente? ¿Por qué la política de seguridad de proveedores en SharePoint indica la versión 2.1 mientras que compras utiliza la versión 1.8? ¿Qué política se mapea con las medidas de gestión de riesgos de NIS2 Article 21? ¿Dónde está el registro que demuestra que el personal fue informado de la última actualización de la política? ¿Por qué se concedió una excepción de acceso privilegiado, quién aceptó el riesgo residual y cuándo caduca? ¿Se retiran los documentos obsoletos del uso operativo? ¿Durante cuánto tiempo se conservan los informes de auditoría? ¿Puede la empresa demostrar que la biblioteca de políticas se revisó después del último cambio importante del sistema?
Maria tenía controles, pero no tenía control sobre los controles.
Ese es el problema de la gobernanza del ciclo de vida de las políticas en 2026. Las organizaciones ya no fallan auditorías solo porque una regla de firewall sea incorrecta o falte una prueba de copia de seguridad. Fallan porque la información documentada está fragmentada, no es auditable, está duplicada, desactualizada, sin control o desconectada de las obligaciones legales. Bajo la cláusula 7.5 de ISO/IEC 27001:2022, la información documentada no es una tarea administrativa de archivo. Es la memoria operativa del SGSI. Bajo NIS2, respalda la aprobación y la supervisión por parte del órgano de dirección. Bajo DORA, forma parte del marco de gestión del riesgo de las TIC y de la pista de evidencias de resiliencia. Bajo GDPR, demuestra responsabilidad proactiva.
La visión de Clarysec es directa: una biblioteca de políticas no es un repositorio de documentos sin gobierno. Es un sistema gobernado de evidencias.
Por qué la gobernanza del ciclo de vida de las políticas ya es un asunto del consejo de administración
La gobernanza del ciclo de vida de las políticas es la disciplina de crear, aprobar, publicar, comunicar, revisar, modificar, retirar, conservar y evidenciar políticas y registros relacionados. Responde a las preguntas que auditores, reguladores, clientes y consejos de administración formulan ya de forma habitual:
- ¿Quién es responsable de cada política?
- ¿Quién la aprueba?
- ¿Qué requisitos legales, contractuales y de riesgo satisface?
- ¿Qué controles y procedimientos la implementan?
- ¿Qué versión está vigente?
- ¿Quién fue informado, formado o estuvo obligado a acusar recibo?
- ¿Qué excepciones están vinculadas a ella?
- ¿Qué registros demuestran que opera?
- ¿Qué ocurre cuando queda obsoleta?
ISO/IEC 27001:2022 respalda esta disciplina mediante la cláusula 7.5 sobre información documentada, la cláusula 5 sobre liderazgo, la cláusula 6 sobre planificación y tratamiento de riesgos, la cláusula 8 sobre control operacional y los controles del Anexo A que cubren políticas, registros, requisitos legales, proveedores, incidentes, continuidad, privacidad, registro de eventos, supervisión y gestión de cambios.
La presión regulatoria es igual de directa.
NIS2 Article 20 exige que los órganos de dirección aprueben las medidas de gestión de riesgos de ciberseguridad, supervisen su implementación y reciban formación adecuada. Article 21 exige medidas técnicas, operativas y organizativas basadas en riesgos, incluidas políticas de seguridad, gestión de incidentes, continuidad del negocio, seguridad de la cadena de suministro, desarrollo seguro, evaluación de la eficacia, higiene cibernética, criptografía, seguridad de recursos humanos, control de acceso, gestión de activos y autenticación. Un corpus de políticas sin evidencias de responsabilidad, aprobación y revisión debilita la narrativa de rendición de cuentas de la dirección.
DORA es aplicable desde el 17 de enero de 2025 y establece un marco uniforme de la UE para la gestión del riesgo de las TIC, la notificación de incidentes, las pruebas de resiliencia operativa digital, el riesgo de terceros de TIC y los requisitos contractuales. Para las entidades financieras que también sean entidades esenciales o importantes bajo NIS2, DORA se considera el acto jurídico sectorial específico de la Unión para las obligaciones de ciberseguridad correspondientes. Article 5 exige responsabilidad del órgano de dirección sobre el marco de gestión del riesgo de las TIC, las políticas, las responsabilidades, los planes de continuidad, las auditorías, las políticas de terceros de TIC, los canales de notificación y la formación. Article 6 exige un marco de gestión del riesgo de las TIC bien documentado, revisado al menos anualmente para las entidades financieras que no sean microempresas y mejorado a partir de las lecciones aprendidas.
GDPR añade el requisito de responsabilidad proactiva. Article 5 exige que los datos personales se traten de forma lícita, leal, transparente, para fines específicos, con minimización, exactitud, limitación de la conservación y seguridad. Article 5(2) hace al responsable del tratamiento responsable de demostrar el cumplimiento. Esa demostración depende de registros controlados: decisiones sobre la base jurídica, calendarios de conservación, EIPD cuando sean aplicables, diligencia debida de encargados del tratamiento, registros de brechas, revisiones de acceso, registros de formación y aprobaciones de políticas.
El hilo conductor son las evidencias. Un auditor no solo preguntará si existe una política. Pedirá su certificado de nacimiento, su historial de versiones, su pista de aprobación, su registro de comunicación, sus procedimientos relacionados y los registros operativos que demuestran que funciona.
La columna vertebral de la información documentada en ISO/IEC 27001:2022
La base de una documentación defendible es la cláusula 7.5 de ISO/IEC 27001:2022, Información documentada. Exige a las organizaciones crear, actualizar y controlar la información documentada necesaria para el SGSI y requerida por la norma.
Una forma práctica de entenderlo es separar la información documentada en tres capas:
| Capa | Ejemplos | Finalidad de gobernanza |
|---|---|---|
| Documentos de gobierno | Alcance del SGSI, Política de Seguridad de la Información, metodología de riesgos, Declaración de Aplicabilidad, Plan de Tratamiento de Riesgos, objetivos | Establecer dirección, autoridad, requisitos y responsabilidad proactiva |
| Documentos operativos | Procedimientos, normas, playbooks, runbooks, listas de verificación, plantillas | Convertir la política en acción repetible |
| Registros | Evaluaciones de riesgos, registros de formación, informes de incidentes, informes de auditoría, aprobaciones, actas de revisión por la dirección, revisiones de acceso, registros de proveedores, decisiones sobre excepciones | Demostrar que se tomaron decisiones y que los controles operaron |
El Zenith Blueprint: hoja de ruta de 30 pasos para auditores de Clarysec aborda esto explícitamente en la fase de base y liderazgo del SGSI, paso 6: Información documentada y construcción de la biblioteca del SGSI. Explica que la cláusula 7.5 cubre la documentación en general, su creación y actualización, y el control de la información documentada.
El Zenith Blueprint lo convierte en orientación práctica de implementación:
“Los documentos deben tener una identificación adecuada (un título, quizá un número de documento o identificador único, un autor), un formato apropiado … y una revisión y aprobación de adecuación antes de su uso.”
También establece la regla operativa que muchas organizaciones pasan por alto:
“Asegure que solo la versión vigente pueda encontrarse fácilmente (archive las versiones obsoletas o márquelas claramente como sustituidas).”
Ahí es donde muchas implantaciones de SGSI se rompen de forma silenciosa. Una política puede haber sido aprobada una vez, pero si las versiones antiguas siguen disponibles, el personal utiliza procedimientos desactualizados o los auditores no pueden trazar los cambios, el documento ya no está controlado de forma efectiva.
El Zenith Blueprint recomienda establecer una “biblioteca de documentación del SGSI” con carpetas para políticas y procedimientos, evaluación de riesgos y SoA, registros de formación, auditoría y revisión, registros de incidentes, activos e inventario, y una biblioteca de controles del Anexo A. También establece que el repositorio debe ser “accesible pero seguro”, con políticas legibles por los empleados mientras que las carpetas confidenciales, como la evaluación de riesgos y los registros de incidentes, están restringidas.
Esto no es solo un modelo de archivo. Es una arquitectura de gobernanza.
El modelo de ciclo de vida de políticas de Clarysec
Clarysec estructura la gobernanza del ciclo de vida de políticas ISO 27001 alrededor de un ciclo cerrado: requisito, responsable, documento, aprobación, publicación, comunicación, evidencia, revisión, cambio, conservación y retirada. Ese ciclo evita el fallo clásico de auditoría en el que una empresa tiene documentos, pero no puede demostrar autoridad, vigencia o control.
| Etapa del ciclo de vida | Pregunta de gobernanza | Evidencia esperada por los auditores | Anclaje de implementación de Clarysec |
|---|---|---|---|
| Captura de requisitos | ¿Qué obligación o riesgo exige esta política? | Registro legal, requisito de cliente, entrada en el Registro de Riesgos, mapeo de controles | Mapeo legal y regulatorio más Alcance del SGSI |
| Responsabilidad | ¿Quién mantiene la política? | Campo de responsable de la política, RACI, asignación de roles | Política de funciones y responsabilidades de gobernanza |
| Aprobación | ¿Quién la aprobó antes de su uso? | Registro de aprobación, actas de reunión, aprobación electrónica | Revisión por la dirección o autoridad delegada |
| Control de versiones | ¿Qué versión está vigente? | Historial de versiones, Registro de Cambios, metadatos del documento | Repositorio controlado del SGSI |
| Comunicación | ¿Quién fue informado? | Anuncio, acuse de recibo, registro de formación | Registros de concienciación y comunicación |
| Operación | ¿Qué procedimientos la implementan? | SOP, listas de verificación, tickets, registros de control | Procedimientos operativos documentados |
| Excepciones | ¿Qué desviaciones se permiten? | Registro de Excepciones, aceptación del riesgo, fecha de caducidad | Tratamiento de riesgos y escalado de gobernanza |
| Revisión | ¿Cuándo se revisó y por qué? | Registro de revisión anual, revisión basada en desencadenantes | Calendario de revisión y atestación del responsable de la política |
| Conservación | ¿Durante cuánto tiempo se conservan los registros? | Calendario de conservación, registros de archivo | Auditoría y supervisión del cumplimiento |
| Retirada | ¿Cómo se controlan los documentos obsoletos? | Archivo de documentos sustituidos, retirada de la biblioteca activa | Flujo de trabajo de control documental |
Este ciclo de vida es más sólido que una aprobación puntual porque vincula documentos con controles, responsables y evidencias. También respalda el cumplimiento cruzado. Una única política de respuesta a incidentes puede mapearse con los controles de incidentes del Anexo A de ISO/IEC 27001:2022, la preparación para la notificación de NIS2 Article 23, la clasificación de incidentes y los procesos de notificación de DORA, la gestión de brechas de datos personales de GDPR, los resultados Respond de NIST CSF 2.0 y las expectativas de gobernanza de COBIT 2019.
Qué exigen las políticas de Clarysec sobre revisión, versionado y evidencias
La biblioteca de políticas de Clarysec está diseñada para que los requisitos del ciclo de vida de las políticas no queden sujetos a interpretación.
Para pymes, la Política de Seguridad de la Información para pymes establece un desencadenante claro de revisión:
“Esta política debe ser revisada por el Director General (DG) al menos anualmente para asegurar el cumplimiento continuo de los requisitos de certificación de ISO/IEC 27001, los cambios regulatorios (como GDPR, NIS2 y DORA) y la evolución de las necesidades de la organización.”
También exige registros documentados de cambios:
“Todas las revisiones y cambios de la política deben documentarse formalmente, indicando claramente la fecha, la naturaleza de las revisiones y la aprobación del DG.”
Y conserva la trazabilidad histórica:
“Debe mantenerse de forma segura un registro histórico de las versiones de la política para demostrar la evolución de la política y el cumplimiento durante las auditorías.”
Estas tres cláusulas resuelven un problema común en pymes. La organización puede no tener una gran oficina de gobernanza, pero aun así necesita evidencias de revisión, aprobación e historial de versiones.
La Política de funciones y responsabilidades de gobernanza para pymes añade el requisito de trazabilidad para las decisiones de gobernanza:
“Todas las decisiones de seguridad significativas, excepciones y escalados deben registrarse y ser trazables.”
Esa cláusula es crítica para las excepciones a políticas. Una desviación temporal de la autenticación multifactor, una revisión de proveedor retrasada o un cambio de emergencia en la conservación de registros de eventos no debe existir solo en hilos de correo electrónico. Debe estar vinculada a la política pertinente, al control, al Responsable del Riesgo, a la decisión sobre riesgo residual y a la fecha de caducidad.
Para centralizar evidencias, la Política de Auditoría y Supervisión del Cumplimiento para pymes establece:
“Todas las evidencias deben almacenarse en una carpeta centralizada de auditoría.”
En entornos empresariales, la Política de Seguridad de la Información de Clarysec exige que las políticas:
“Estén sujetas a control de versiones y documentadas”
y:
“Sean comunicadas a todas las partes afectadas mediante canales oficiales de comunicación”
La Política de funciones y responsabilidades de gobernanza empresarial incorpora el concepto de:
“Responsable y aprobador de la política”
La Política de Auditoría y Supervisión del Cumplimiento empresarial añade expectativas de conservación:
“Los informes deberán conservarse durante no menos de seis años (o durante más tiempo cuando lo exija la ley), almacenarse de forma segura y estar sujetos a control de versiones conforme a la Política de Gestión de Documentos y Registros (P6).”
Por último, la Política de Cumplimiento Legal y Normativo empresarial conecta las obligaciones legales con el SGSI:
“Todas las obligaciones legales y regulatorias deben mapearse con políticas, controles y propietarios específicos dentro del Sistema de Gestión de la Seguridad de la Información (SGSI).”
Ese requisito es el puente entre la gobernanza del ciclo de vida de las políticas y las evidencias de NIS2, DORA y GDPR. Sin mapeo de obligaciones, una empresa puede tener documentos, pero no puede demostrar que esos documentos satisfacen requisitos legales, contractuales o de riesgo específicos.
El triángulo de control: políticas, registros y procedimientos operativos
Zenith Controls: guía de cumplimiento cruzado de Clarysec proporciona la brújula de cumplimiento cruzado para este tema. Para el control 5.1 de ISO/IEC 27002:2022, Políticas de seguridad de la información, Zenith Controls lo identifica como un control preventivo que respalda la confidencialidad, integridad y disponibilidad, alineado con conceptos de gobernanza e identificación en ciberseguridad, y vinculado a capacidades operativas de gobernanza y gestión de políticas.
Esto importa porque la gobernanza de políticas no es solo un artefacto de cumplimiento. Es preventiva. Una Política de Control de Acceso claramente asignada y comunicada reduce el riesgo de acceso no autorizado antes de que se produzcan incidentes. Una política de proveedores correctamente aprobada evita riesgos de externalización no gestionados. Un procedimiento de incidentes controlado mejora la consistencia de la respuesta antes de que empiece a correr el primer plazo de notificación regulatoria.
Zenith Controls también destaca el control 5.33 de ISO/IEC 27002:2022, Protección de registros, como preventivo y alineado con lo legal y el cumplimiento, la gestión de activos y la protección de la información. Esto es central para las evidencias de auditoría. El Zenith Blueprint amplía el mismo concepto en la fase Controles en acción, paso 23:
“Los registros no son solo reliquias de decisiones pasadas. Son evidencias de cumplimiento, de acción y de responsabilidad proactiva.”
Continúa:
“Los registros están adecuadamente protegidos frente a pérdida, acceso no autorizado, manipulación y destrucción prematura”
El control 5.37 de ISO/IEC 27002:2022, Procedimientos operativos documentados, también es relevante. Zenith Controls lo clasifica como preventivo y correctivo, y respalda la protección y la recuperación. Para DORA y NIS2, los procedimientos operativos documentados son la forma en que la política se convierte en acción repetible: triaje de incidentes, restauración de copias de seguridad, incorporación de proveedores, gestión de vulnerabilidades, desarrollo seguro, gestión de cambios, recopilación de evidencias y comunicación de crisis.
En conjunto, 5.1, 5.33 y 5.37 crean el triángulo de control del ciclo de vida de las políticas:
| Control ISO/IEC 27002:2022 | Función en el ciclo de vida | Qué demuestra |
|---|---|---|
| 5.1 Políticas de seguridad de la información | Dirección, aprobación, responsabilidad y comunicación | La dirección ha establecido expectativas y asignado responsabilidad proactiva |
| 5.33 Protección de registros | Integridad de evidencias, conservación y acceso seguro | Los registros de cumplimiento son fiables |
| 5.37 Procedimientos operativos documentados | Ejecución repetible de los requisitos de la política | El personal sabe cómo realizar actividades controladas |
Un SGSI maduro necesita los tres. Las políticas sin registros son declaraciones. Los registros sin procedimientos son inconsistentes. Los procedimientos sin dirección de política se convierten en hábitos locales, no en controles gobernados.
Mapeo de cumplimiento cruzado para ISO 27001, NIS2, DORA, GDPR, NIST y COBIT
Gestionar políticas por separado para ISO 27001, NIS2, DORA y GDPR genera duplicidad, contradicciones y fatiga de evidencias. Un modelo mejor consiste en mantener una única biblioteca controlada del SGSI con metadatos de mapeo. Esto permite que un único corpus de evidencias satisfaga a múltiples audiencias de aseguramiento.
| Familia de requisitos | Qué esperan reguladores o auditores | Evidencias del ciclo de vida de políticas |
|---|---|---|
| Cláusula 7.5 de ISO/IEC 27001:2022 | Los documentos están identificados, revisados, aprobados, disponibles, protegidos y controlados | Registro documental, registros de aprobación, historial de versiones, permisos de acceso, archivo de obsoletos |
| ISO/IEC 27002:2022 5.1 | Las políticas de seguridad de la información están definidas, aprobadas, publicadas, comunicadas y revisadas | Conjunto de políticas, flujo de aprobación, registros de comunicación, registro de revisión |
| ISO/IEC 27002:2022 5.33 | Los registros están protegidos frente a pérdida, destrucción, falsificación, acceso no autorizado y divulgación | Calendario de conservación, repositorio seguro, controles de acceso, evidencias de integridad |
| ISO/IEC 27002:2022 5.37 | Los procedimientos operativos están documentados y disponibles para el personal que los necesita | SOP, runbooks, playbooks, evidencias de revisión de procedimientos |
| NIS2 Articles 20 and 21 | Aprobación y supervisión de la dirección sobre las medidas de gestión de riesgos de ciberseguridad | Aprobaciones del consejo de administración, mapeos de políticas, registros de formación, actas de revisión, evidencias de eficacia de controles |
| NIS2 Article 23 | Preparación para notificar incidentes significativos y evidencias de notificación | Política de incidentes, procedimiento de clasificación, registro de escalado, evidencias de flujos de trabajo de 24 y 72 horas, plantilla de informe final |
| DORA Articles 5 and 6 | Marco de riesgo de las TIC bien documentado, aprobado y supervisado por la dirección | Conjunto de políticas de TIC, estrategia, marco de riesgos, evidencias de revisión anual, resultados de auditoría, lecciones aprendidas |
| DORA Articles 17 to 19 | Proceso de incidentes para detectar, clasificar, escalar, comunicar y notificar | Registro de incidentes, criterios de severidad, registros de escalado, plantillas de notificación a clientes, registros de análisis de causa raíz |
| DORA Articles 28 to 30 | Política de riesgo de terceros de TIC, registro, contratos, diligencia debida y planificación de salida | Política de proveedores, registro contractual, evaluaciones de riesgos, derechos de auditoría, evidencias de estrategia de salida |
| GDPR Article 5(2) | Capacidad para demostrar el cumplimiento de los principios de privacidad | Política de protección de datos, registros de tratamiento, calendario de conservación, registros de brechas, registros de acceso, registros de EIPD cuando proceda |
| GDPR Article 32 | Medidas técnicas y organizativas de seguridad adecuadas | Políticas de seguridad, procedimientos de control de acceso, estándares de cifrado, registros de copias de seguridad, evidencias de pruebas |
| NIST CSF 2.0 GOVERN | Se establecen y actualizan políticas, roles, apetito de riesgo, obligaciones legales y supervisión | Perfil de gobernanza, registros de revisión de políticas, Registro de Riesgos, funciones y responsabilidades |
| Lente de aseguramiento COBIT 2019 | Objetivos de gobernanza, responsabilidad, supervisión del desempeño y evidencias de control | RACI, aprobaciones de la dirección, evidencias de operación de controles, seguimiento de remediación de problemas |
NIST CSF 2.0 es especialmente útil como capa de comunicación. Su función GOVERN espera que se comprendan las obligaciones legales, regulatorias y contractuales; que se definan los objetivos y responsabilidades de gestión de riesgos; que se establezcan y actualicen las políticas; y que se evalúen los resultados. Su método de Perfil Organizativo también aporta un proceso práctico: delimitar el perfil, recopilar entradas como políticas, prioridades de riesgo y requisitos, crear perfiles actuales y objetivo, analizar brechas e implementar un plan de acción priorizado.
Esto se alinea estrechamente con el enfoque de Clarysec: construir un único modelo operativo respaldado por evidencias y mapearlo después hacia NIS2, DORA, GDPR, NIST y COBIT, en lugar de mantener silos de cumplimiento separados.
Un sprint de una semana para crear un paquete de control de evidencias de políticas
Una transformación completa de la gobernanza de políticas lleva tiempo, pero un sprint focalizado de una semana puede exponer las deficiencias y crear una base defendible.
Día 1: crear el Registro documental
Empieza con una hoja de cálculo, un sistema GRC o una lista estructurada de SharePoint. El Registro documental es el índice que permite a los auditores navegar por el corpus de evidencias.
| Campo | Ejemplo |
|---|---|
| ID del documento | P01 |
| Nombre del documento | Política de Seguridad de la Información |
| Tipo | Política |
| Responsable | CISO |
| Aprobador | Director General |
| Versión vigente | 3.0 |
| Fecha de entrada en vigor | 2026-02-01 |
| Próxima fecha de revisión | 2027-02-01 |
| Revisión basada en desencadenantes | Incidente grave, cambio regulatorio, fusión, nuevo proveedor crítico |
| Clasificación de confidencialidad | Uso interno |
| Controles principales | ISO/IEC 27002:2022 5.1, 5.33, 5.37 |
| Mapeo legal | NIS2 Article 21, DORA Article 6, GDPR Article 5 |
| Ubicación de evidencias | Documentación del SGSI/Políticas/P01 |
| Ubicación de obsoletos | Documentación del SGSI/Archivo/P01 |
| Excepciones vinculadas | EX-2026-004 |
| Registro de comunicación | Campaña de concienciación AC-2026-02 |
No lo compliques en exceso. Si el registro muestra de forma fiable responsable, aprobador, versión, fecha de revisión, mapeo y ubicación de evidencias, ya resuelve muchos problemas de recuperación en auditoría.
Día 2: establecer el repositorio
Sigue la estructura del paso 6 del Zenith Blueprint: Políticas y procedimientos, Evaluación de riesgos y SoA, Registros de formación y concienciación, Auditoría y revisión, Registros de incidentes, Activos e inventario, y Biblioteca de controles.
Aplica reglas de acceso. Las políticas pueden ser leídas por todos los empleados. Los registros de evaluación de riesgos deben restringirse al equipo del SGSI y a la dirección. Los registros de incidentes deben estar sujetos al principio de necesidad de conocer. Los contratos con proveedores deben limitarse a compras, legal, finanzas y seguridad. Los documentos obsoletos deben ser inaccesibles para el uso diario, pero conservarse para la trazabilidad de auditoría.
Día 3: estandarizar encabezados y registros de cambios
Toda política debe incluir nombre del documento, responsable, aprobador, versión, fecha de entrada en vigor, próxima fecha de revisión, clasificación, controles relacionados, obligaciones legales relacionadas e historial de cambios.
| Versión | Fecha | Resumen del cambio | Revisor | Aprobador |
|---|---|---|---|---|
| 2.0 | 2025-09-15 | Añadidas referencias al riesgo de terceros de DORA | Responsable de Seguridad | COO |
| 2.1 | 2025-11-20 | Actualizados los roles de escalado de incidentes | CISO | Director General |
| 3.0 | 2026-02-01 | Revisión anual y actualización del mapeo de NIS2 | CISO | Director General |
Esto respalda el control de información documentada de ISO/IEC 27001:2022, la supervisión de la dirección de NIS2, las expectativas de revisión de DORA y la responsabilidad proactiva de GDPR.
Día 4: vincular las excepciones a las políticas
Crea un Registro de Excepciones con ID de excepción, política afectada, control afectado, justificación de negocio, controles compensatorios, Responsable del Riesgo, aprobación, fecha de caducidad y estado de revisión.
Por ejemplo, un sistema heredado no puede soportar autenticación multifactor durante 60 días. La excepción se vincula a la Política de Control de Acceso, el Inventario de Activos, el Registro de Riesgos y el plan de remediación. El Responsable del Riesgo aprueba el riesgo residual, y la excepción caduca automáticamente salvo que se renueve. Esto implementa el requisito de gobernanza para pymes de Clarysec de que las decisiones significativas, las excepciones y los escalados se registren y sean trazables.
Día 5: construir el paquete de evidencias de auditoría
Para cada política de alto nivel, crea una subcarpeta de evidencias que contenga la versión vigente aprobada, la versión anterior y el Registro de Cambios, evidencias de aprobación, evidencias de comunicación, registro de formación o acuse de recibo, procedimiento relacionado, registro operativo relacionado, excepciones, último registro de revisión, próxima fecha de revisión y mapeo con obligaciones legales y controles.
Para respuesta a incidentes, incluye registros de ejercicios de mesa, criterios de clasificación de incidentes, listas de contacto, plantillas de revisión posterior al incidente y registros de decisiones de notificación. Esto respalda la preparación para la notificación escalonada de NIS2 Article 23, la clasificación de incidentes de DORA y la responsabilidad proactiva ante brechas de GDPR.
Día 6: probar la recuperación
Pide a un auditor interno o a un Responsable de Cumplimiento que recupere evidencias para tres preguntas:
- Demostrar que la Política de Seguridad de la Información fue aprobada, comunicada y revisada.
- Demostrar que las obligaciones de seguridad de proveedores se mapean con los requisitos de DORA y NIS2.
- Demostrar que las evidencias de responsabilidad proactiva de GDPR se conservan y protegen.
Si la recuperación tarda más de 30 minutos por pregunta, el repositorio necesita mejoras.
Día 7: presentar a la dirección
Resume el estado del ciclo de vida de las políticas en la revisión por la dirección:
- Políticas vigentes, vencidas o con vencimiento en los próximos 90 días
- Excepciones abiertas y caducadas
- Deficiencias de evidencias
- Actualizaciones de mapeo regulatorio
- Hallazgos de auditoría
- Acciones correctivas
- Necesidades de recursos
Esto cierra el ciclo con las expectativas de liderazgo de ISO/IEC 27001:2022, la responsabilidad del consejo de administración bajo NIS2 y la supervisión del órgano de dirección bajo DORA.
Cómo examinarán los auditores tu ciclo de vida de políticas
Distintos auditores observan las mismas evidencias a través de lentes diferentes.
Un auditor de ISO/IEC 27001:2022 empieza por el control de la información documentada. Verificará si existen los documentos requeridos, si se aprueban antes de su uso, si las versiones están controladas, si los documentos están disponibles donde se necesitan, si los registros confidenciales están protegidos y si se evita el uso no previsto de documentos obsoletos. Conectará el ciclo de vida de las políticas con liderazgo, tratamiento de riesgos, control operacional, auditoría interna y revisión por la dirección.
Un revisor centrado en DORA tendrá una orientación de resiliencia. Examinará si el marco de gestión del riesgo de las TIC está bien documentado, aprobado por la dirección, revisado al menos anualmente cuando proceda, auditado regularmente, mejorado a partir de lecciones aprendidas y conectado con la notificación de incidentes, las pruebas, el riesgo de terceros, la continuidad y la recuperación.
Un regulador de NIS2 querrá ver una cadena ininterrumpida de evidencias desde la identificación de riesgos hasta las medidas de gestión de riesgos de ciberseguridad, la aprobación del órgano de dirección, la implementación y la supervisión. Cualquier ruptura en esa cadena puede parecer un fallo de diligencia debida.
Un auditor de GDPR o revisor de privacidad preguntará si los registros de gobernanza de datos personales demuestran responsabilidad proactiva: fines del tratamiento, base jurídica, conservación, medidas técnicas y organizativas, controles sobre encargados del tratamiento, registros de brechas y evidencias de aplicación de la política.
Un auditor de estilo COBIT 2019 o ISACA se centrará en los componentes del sistema de gobernanza: procesos, estructuras organizativas, flujos de información, políticas, roles, cultura, competencias y servicios. Preguntará si la responsabilidad está definida, si la dirección supervisa el desempeño, si las excepciones se escalan y si las evidencias respaldan la operación de controles y la supervisión de la dirección.
El mismo repositorio controlado de evidencias puede satisfacer a todos ellos, pero solo si los documentos están mapeados, vigentes, protegidos y son trazables.
Fallos habituales del ciclo de vida de políticas que conviene corregir antes de que llegue el auditor
La mayoría de los fallos del ciclo de vida de políticas son debilidades básicas de gobernanza repetidas en distintos entornos:
- Existen políticas, pero no tienen responsable nominal.
- Los aprobadores no están claros, están desactualizados o tienen un nivel demasiado bajo para el riesgo.
- Las políticas se aprueban, pero no se comunican.
- Las fechas de revisión se incumplen sin escalado.
- Las versiones obsoletas siguen disponibles en carpetas compartidas.
- Los procedimientos contradicen las políticas.
- Las excepciones se aprueban informalmente por correo electrónico.
- Las obligaciones legales se mapean con marcos, pero no con controles o responsables reales.
- Las evidencias de auditoría están dispersas en unidades personales, herramientas de tickets y mensajes de chat.
- Los períodos de conservación no están definidos o se aplican de forma inconsistente.
- Los registros se conservan, pero no están protegidos frente a alteraciones no autorizadas.
- Las políticas de proveedores no se vinculan con registros contractuales, diligencia debida o planes de salida.
- Los procedimientos de incidentes no se alinean con los puntos de decisión de notificación de NIS2, DORA o GDPR.
Estos problemas generan fricción en auditoría porque erosionan la confianza. Si un auditor no puede confiar en el corpus de políticas, profundizará en la operación de los controles.
El plan de remediación de Maria no fue escribir otra política. Fue crear una única fuente de verdad. Designó una Biblioteca de Documentación del SGSI oficial, migró a ella las políticas vigentes, archivó ubicaciones no controladas, estandarizó los campos de responsable y aprobador, construyó flujos de trabajo de aprobación, mapeó políticas con obligaciones de NIS2 y DORA, y concedió a los auditores acceso de solo lectura a evidencias estructuradas. Lo que había sido una fuente de ansiedad se convirtió en una demostración de control.
El camino de Clarysec
La gobernanza del ciclo de vida de las políticas no es carga burocrática. Es la disciplina operativa que hace defendibles la información documentada de ISO 27001, la responsabilidad de la dirección bajo NIS2, la gobernanza del riesgo de las TIC bajo DORA y la responsabilidad proactiva de GDPR.
Utiliza el Zenith Blueprint: hoja de ruta de 30 pasos para auditores para construir la biblioteca del SGSI en la fase y secuencia correctas, especialmente el paso 6 para información documentada y el paso 22 para gobernanza de políticas. Utiliza las políticas de Clarysec para pymes y empresas para definir requisitos de revisión, aprobación, control de versiones, comunicación, trazabilidad, centralización de evidencias y conservación. Utiliza Zenith Controls: guía de cumplimiento cruzado para mapear controles de ISO/IEC 27002:2022 como 5.1, 5.33 y 5.37 con expectativas de cumplimiento cruzado, atributos de control y perspectivas de auditoría.
Antes de comprar otra herramienta o escribir otra política, responde a una pregunta:
¿Puedes demostrar que cada política importante tiene responsable, está aprobada, vigente, comunicada, mapeada, evidenciada, revisada, protegida y retirada correctamente?
Si la respuesta todavía es no, Clarysec puede ayudarte a construir la biblioteca del SGSI preparada para evidencias, el flujo de trabajo del ciclo de vida de políticas y el mapeo de cumplimiento cruzado que auditores, consejos de administración y clientes esperan en 2026. Descarga el Zenith Blueprint, explora los paquetes de políticas para pymes y empresas de Clarysec, o reserva una evaluación de preparación para convertir tu biblioteca de políticas en un activo de cumplimiento defendible.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
