Migración a criptografía poscuántica con ISO 27001
El zumbido del proyector es el único sonido en la sala del Consejo de Administración. Sarah, la directora de seguridad de la información (CISO), acaba de terminar su actualización trimestral de riesgos cuando el director general levanta una copia impresa de un artículo de prensa financiera. El titular es directo: «La cuenta atrás cuántica: ¿sus datos ya están obsoletos?»
«Sarah», dice, más preocupado que acusador, «hemos invertido millones en cifrado. Cumplimos. Estamos seguros. Este artículo dice que un ordenador cuántico suficientemente potente podría romperlo todo. ¿Estamos expuestos? ¿Qué ocurre con los datos que estamos cifrando y almacenando ahora mismo? ¿Es una bomba de relojería?»
Esta conversación está pasando de las conferencias de seguridad a los comités ejecutivos. La cuestión ya no es si la computación cuántica resulta interesante para los investigadores. La cuestión es si las decisiones criptográficas de hoy pueden proteger las obligaciones de negocio de mañana.
Para muchas organizaciones, la respuesta honesta resulta incómoda. El cifrado está en todas partes: pasarelas TLS, VPN, portales de clientes, tokens de identidad, copias de seguridad de bases de datos, aplicaciones móviles, plataformas de pago, S/MIME, SSH, integraciones de interfaces de programación de aplicaciones, servicios SaaS, módulos de seguridad de hardware (HSM), servicios de gestión de claves en la nube, firma de firmware, firma de código y contratos digitales.
Ese es el problema. La criptografía está en todas partes, pero la propiedad suele no estar en ninguna.
La migración a criptografía poscuántica no trata solo de un futuro ordenador cuántico criptográficamente relevante. También trata del riesgo actual de «capturar ahora, descifrar después», en el que los adversarios capturan datos cifrados hoy y esperan a que capacidades futuras hagan viable su descifrado. Si tu organización almacena datos personales, historiales clínicos, datos financieros regulados, secretos comerciales, comunicaciones legales, datos de infraestructuras nacionales, firmware de producto o propiedad intelectual de larga vida, el riesgo ya es un riesgo de ciclo de vida.
Un plan de migración criptográfica preparado para la era cuántica no es un proyecto de pánico. Es un programa estructurado de gobierno, inventario, proveedores, arquitectura, pruebas y auditoría. La pregunta práctica para los CISO es sencilla:
¿Cómo construimos un plan de migración poscuántica que sea creíble para la alta dirección, utilizable por los equipos de ingeniería y defendible ante los auditores?
La respuesta es anclar el trabajo en ISO/IEC 27001:2022, interpretar los controles mediante ISO/IEC 27002:2022, utilizar los estándares de criptografía poscuántica de NIST como brújula técnica y crear un único modelo de evidencias que respalde obligaciones de ISO 27001, NIST, COBIT 2019, GDPR, DORA y NIS2.
Por qué la criptografía poscuántica debe estar dentro del SGSI
Un error habitual es asignar la migración poscuántica únicamente a ingenieros criptográficos. Los ingenieros son esenciales, pero no pueden resolver por sí solos el problema de gobierno.
La migración poscuántica afecta a la gestión de activos, la clasificación de la información, la gestión de proveedores, la arquitectura segura, la gestión de claves, el desarrollo de aplicaciones, la seguridad en la nube, la respuesta a incidentes, la continuidad del negocio, el riesgo legal, la responsabilidad proactiva regulatoria y las evidencias de auditoría. Todos ellos son asuntos del SGSI.
ISO/IEC 27001:2022 proporciona el marco de gobierno. Exige que la organización comprenda el contexto, las partes interesadas, el riesgo, los objetivos, las responsabilidades, la competencia, la información documentada, la planificación operacional, la evaluación del desempeño, la auditoría interna, la revisión por la dirección y la mejora continua. ISO/IEC 27002:2022 aporta después la interpretación de controles, especialmente en torno a 8.24 Use of cryptography, 5.9 Inventory of information and other associated assets, 5.12 Classification of information, 5.21 Managing information security in the ICT supply chain, 5.23 Information security for use of cloud services, 8.25 Secure development life cycle, 8.8 Management of technical vulnerabilities, 8.16 Monitoring activities y 5.30 ICT readiness for business continuity.
En Clarysec, por eso la preparación poscuántica se trata como una transformación impulsada por el SGSI, no como una sustitución aislada de algoritmos.
Como se indica en Zenith Blueprint: hoja de ruta de 30 pasos para auditores de Clarysec, Fase 2, Paso 8, «Delimitación del alcance de activos, dependencias y evidencias»:
«No se puede confiar en un control hasta que la organización pueda demostrar dónde aplica, quién es su propietario, qué evidencias lo respaldan y qué riesgo reduce.»
Esa frase es especialmente importante para la criptografía poscuántica. Antes de reemplazar algoritmos, debes saber dónde se utilizan.
Zenith Controls: la guía de cumplimiento transversal de Clarysec plantea la criptografía como una cadena de evidencias conectada, no como un único ajuste técnico:
«El aseguramiento criptográfico se audita a través del ciclo de vida de la información: identificación, clasificación, uso aprobado, protección de claves, supervisión operativa, dependencia de proveedores, gestión de excepciones y conservación de evidencias.»
Esta visión de ciclo de vida evita el fallo más común: preguntar solo «¿utilizamos algoritmos seguros frente a la computación cuántica?». Las preguntas mejores son:
- ¿Qué sistemas necesitan primero una migración poscuántica?
- ¿Qué datos tienen un periodo de confidencialidad más largo que el horizonte de riesgo cuántico?
- ¿Qué proveedores controlan nuestro cifrado, firmas, certificados o gestión de claves?
- ¿Qué aplicaciones son criptoágiles y cuáles tienen componentes codificados de forma fija?
- ¿Qué controles compensatorios existen mientras la migración está incompleta?
- ¿Qué evidencias demostrarán que las decisiones se basaron en riesgos y fueron revisadas?
De amenaza cuántica a riesgo de negocio auditable
Un plan poscuántico útil empieza con escenarios de riesgo. Evita afirmaciones vagas como «la computación cuántica puede romper el cifrado». En su lugar, crea registros de riesgo auditables que vinculen impacto en el negocio, amenaza, vulnerabilidad, activos afectados, controles actuales, riesgo residual y acciones de tratamiento.
Por ejemplo:
«Los documentos de identidad de clientes cifrados y conservados durante siete años pueden ser vulnerables a un descifrado futuro si las copias de seguridad se exfiltran hoy y la criptografía de clave pública actual llega a ser vulnerable en el futuro.»
Ese escenario apunta a la conservación de datos, el cifrado de copias de seguridad, la gestión de claves, el control de acceso, el alojamiento por proveedores, la supervisión y la prioridad de migración.
Otro ejemplo:
«La firma de firmware para dispositivos conectados depende de esquemas de firma que podrían dejar de ser fiables durante el ciclo de vida previsto del dispositivo.»
Esto apunta a la seguridad de producto, los mecanismos de actualización segura, la capacidad de los HSM, la seguridad de los clientes, el aseguramiento del diseño por parte de proveedores y la resiliencia operativa a largo plazo.
Un tercer ejemplo:
«Las comunicaciones legales archivadas y cifradas hoy pueden requerir confidencialidad durante más de quince años, lo que genera exposición de capturar ahora, descifrar después.»
Esto apunta a la clasificación, la conservación, la protección criptográfica, la retención legal, las comunicaciones seguras y la aceptación del riesgo por la alta dirección.
El riesgo no es solo un futuro «Q-Day». Incluye tres preocupaciones relacionadas:
- Capturar ahora, descifrar después: los adversarios recopilan datos cifrados hoy para descifrarlos en el futuro.
- Compromiso de firmas digitales: ataques futuros debilitan la confianza en actualizaciones de software, tokens de identidad, documentos legales, firmware y transacciones financieras.
- Fallo por concentración criptográfica: una amplia clase de productos, protocolos, bibliotecas o proveedores queda obsoleta al mismo tiempo.
La política corporativa de Clarysec, Política de criptografía y gestión de claves, cláusula 5.1, formula así el requisito de gobierno:
«Los controles criptográficos deben seleccionarse, implementarse, revisarse y retirarse con base en la clasificación de la información, el periodo de protección requerido, los estándares criptográficos aprobados, la propiedad de las claves y las decisiones documentadas de tratamiento de riesgos.»
Esta cláusula es crítica porque el periodo de protección se convierte en un factor de priorización. Los datos de sesión de corta vida y los historiales médicos a largo plazo no presentan el mismo riesgo cuántico. Una clave de firma de código que sustenta la confianza en dispositivos durante quince años tiene un perfil de riesgo distinto al de un certificado interno de prueba de corta duración.
La misma familia de políticas, referenciada en los materiales de Clarysec como Política de Controles Criptográficos, también puede formalizar expectativas de revisión con lenguaje como el siguiente:
Cláusula 5.4: estándares de algoritmos y longitudes de clave
«Todos los algoritmos criptográficos y longitudes de clave utilizados dentro de la organización deben seleccionarse de una lista aprobada mantenida por el equipo de seguridad de la información. Esta lista debe revisarse anualmente frente a las mejores prácticas del sector y las directrices de organismos nacionales de ciberseguridad (p. ej., NIST, ENISA), prestando atención específica al desarrollo de estándares criptográficos poscuánticos. Debe mantenerse una hoja de ruta para migrar los sistemas desde algoritmos vulnerables a ataques basados en computación cuántica como parte del inventario de activos criptográficos.»
Esto no exige una adopción temprana insegura. Exige concienciación, planificación, revisión y evidencias.
Utiliza los estándares PQC de NIST como brújula técnica
El trabajo de NIST sobre criptografía poscuántica proporciona a las organizaciones una dirección técnica creíble. NIST ha estandarizado ML-KEM para el establecimiento de claves, ML-DSA para firmas digitales y SLH-DSA para firmas basadas en hash sin estado. Estos estándares ofrecen a proveedores y arquitectos una base para hojas de ruta y diseños piloto.
Para los CISO, la cuestión no es memorizar los detalles de los algoritmos. La cuestión es crear una vía de migración que pueda incorporar decisiones criptográficas aprobadas sin interrumpir servicios de negocio, compromisos de cumplimiento ni trazabilidad de auditoría.
Un plan de migración alineado con NIST debe incluir cuatro líneas de trabajo:
- Descubrimiento: identificar dónde existe criptografía de clave pública vulnerable.
- Priorización: clasificar sistemas por sensibilidad de los datos, periodo de protección, exposición, impacto en la integridad y criticidad para la organización.
- Arquitectura de transición: definir dónde se probarán y adoptarán mecanismos híbridos, criptoágiles o poscuánticos.
- Aseguramiento: generar evidencias de que las decisiones, excepciones, dependencias de proveedores, pruebas y riesgos residuales están controlados.
La criptoagilidad merece atención específica. Un sistema criptoágil puede cambiar algoritmos, tamaños de clave, bibliotecas, certificados y protocolos sin un rediseño mayor. En la era poscuántica, la criptoagilidad no es un lujo. Es un requisito de resiliencia.
Si una API de pagos tiene bibliotecas criptográficas codificadas de forma fija y no cuenta con un propietario documentado, no es criptoágil. Si una aplicación móvil fija certificados sin una vía de actualización gestionada, la migración puede resultar costosa. Si un dispositivo IoT tiene una vida útil de quince años en campo y no puede soportar firmas más grandes o actualizaciones seguras de firmware, el riesgo es estratégico.
Construye el inventario criptográfico antes de elegir la ruta de migración
La mayoría de las organizaciones no tiene un inventario criptográfico completo. Puede que tengan un inventario de certificados, una hoja de cálculo de gestión de claves, registros de HSM, una lista de KMS en la nube o entradas en la CMDB. Rara vez disponen de una visión única de las dependencias criptográficas.
Un plan de migración a criptografía poscuántica necesita una lista de materiales criptográficos, o CBOM. No tiene que ser perfecta el primer día. Sí debe estar estructurada, tener propietario y mejorar de forma continua.
Como mínimo, captura los siguientes campos:
| Campo del inventario | Por qué importa para la migración poscuántica |
|---|---|
| Servicio de negocio | Prioriza la migración por impacto en el negocio |
| Propietario del activo | Asigna responsabilidad proactiva y autoridad de decisión |
| Clasificación de datos | Identifica requisitos de confidencialidad e integridad |
| Periodo de protección | Evidencia la exposición de capturar ahora, descifrar después |
| Función criptográfica | Separa cifrado, intercambio de claves, firmas, funciones hash y certificados |
| Algoritmo y protocolo | Identifica dónde se utilizan mecanismos vulnerables de clave pública |
| Biblioteca o implementación | Muestra dependencias de software y restricciones de actualización |
| Ubicación de la clave | Muestra si las claves están en HSM, KMS en la nube, software, endpoint o plataforma de proveedor |
| Dependencia de proveedor | Revela dónde la migración depende de terceros |
| Complejidad de migración | Apoya la secuenciación, las pruebas y la planificación presupuestaria |
| Fuente de evidencias | Hace que el inventario esté preparado para auditorías |
Un inventario inicial podría tener este aspecto:
| ID del activo | Nombre del activo | Propietario | Criticidad para la organización | Uso criptográfico | Ubicación | Vulnerabilidad PQC | Prioridad de migración |
|---|---|---|---|---|---|---|---|
| APP-042 | API de facturación de clientes | Tecnología financiera | Alta | Firmas RSA-2048, TLS, cifrado AES-256 | AWS eu-west-1 | Alta para confianza dependiente de RSA | 1 |
| NET-007 | VPN de acceso remoto | Infraestructura de TI | Alta | Autenticación ECDSA, IKEv2 | Perímetro en las instalaciones y en la nube | Alta para autenticación dependiente de ECC | 1 |
| DB-011 | Historias clínicas archivadas | Cumplimiento | Alta, con conservación de 30 años | Cifrado AES-256 de base de datos | Base de datos en las instalaciones | Menor para cifrado simétrico, alta si las claves se intercambian o encapsulan con métodos vulnerables de clave pública | 2 |
| CODE-001 | Firma de código de CI/CD | DevOps | Alto impacto en la integridad | Firma de código RSA-4096 | HSM y canalización de compilación | Alta para confianza de firma a largo plazo | 1 |
Esta tabla muestra de inmediato por qué el inventario importa. AES-256 no presenta el mismo tipo de riesgo cuántico que RSA o ECC, pero las historias clínicas archivadas pueden seguir dependiendo de encapsulado de claves vulnerable, certificados, sistemas de identidad o canales de transferencia de copias de seguridad. La firma de código puede no proteger la confidencialidad, pero protege la integridad y la confianza del software.
En Zenith Controls, la criptografía se referencia de forma cruzada con estándares de apoyo que aportan profundidad. ISO/IEC 27005 respalda la gestión de riesgos de seguridad de la información y ayuda a traducir la incertidumbre cuántica en escenarios de riesgo estructurados. ISO/IEC 27017 respalda controles de seguridad específicos de la nube, lo que resulta esencial cuando los servicios criptográficos se entregan mediante KMS en la nube, TLS gestionado, cifrado SaaS o certificados de plataforma. ISO/IEC 27018 es relevante cuando se tratan datos personales en servicios de nube pública. ISO 22301 es relevante cuando un fallo criptográfico podría afectar a la continuidad de servicios críticos. ISO/IEC 27036 respalda la seguridad de las relaciones con proveedores, algo crucial cuando los proveedores gestionan cifrado, firmas, certificados o comunicaciones seguras en tu nombre.
La lección es sencilla: no puedes migrar lo que no puedes encontrar.
Prioriza por sensibilidad, horizonte de protección, exposición y dificultad de migración
Una vez que existe la CBOM, la priorización se basa en evidencias. El mejor punto de partida es un número reducido de sistemas críticos, no un ejercicio de perfección a escala de toda la organización.
Imagina una empresa de servicios financieros con tres sistemas de alto valor:
- Un repositorio documental de clientes que almacena evidencias de identidad durante diez años
- Una pasarela API B2B que soporta transacciones con socios
- Una plataforma de firma de código para actualizaciones de software de escritorio
Utilizando Zenith Blueprint, Fase 2, Paso 8, el equipo extrae activos de la CMDB, certificados de la plataforma de gestión de certificados, claves del HSM y del KMS en la nube, clases de datos del registro de privacidad y dependencias de proveedores de los registros de compras.
A continuación, puntúan los sistemas:
| Sistema | Sensibilidad de los datos | Periodo de protección | Exposición externa | Dependencia de proveedor | Prioridad de migración |
|---|---|---|---|---|---|
| Repositorio documental de clientes | Muy alta | Largo | Media | KMS en la nube y proveedor de almacenamiento | Crítica |
| Pasarela API B2B | Alta | Corta a media | Muy alta | Proveedor de gestión de API | Alta |
| Plataforma de firma de código | Impacto muy alto en la integridad | Confianza en dispositivos a largo plazo | Media | HSM y herramientas de canalización de compilación | Crítica |
El repositorio documental de clientes pasa a ser prioritario por el horizonte de confidencialidad. La plataforma de firma de código pasa a ser prioritaria porque la confianza en las firmas afecta a la integridad del software y a la seguridad de los clientes. La pasarela API es de alta prioridad por su exposición externa, pero sus datos conservados pueden tener un horizonte de confidencialidad más corto.
El Registro de Riesgos debe vincular después cada escenario con tratamiento y evidencias:
| Escenario de riesgo | Control actual | Decisión de tratamiento | Evidencias requeridas |
|---|---|---|---|
| Los registros de clientes de larga vida pueden quedar expuestos a descifrado futuro | Cifrado de datos en reposo, control de acceso, KMS en la nube | Evaluar la hoja de ruta de cifrado de almacenamiento, reforzar la segregación de claves, revisar la criptografía de transferencia de copias de seguridad | CBOM, hoja de ruta del proveedor, decisión de arquitectura, registro de tratamiento de riesgos |
| La confianza en las actualizaciones de software puede debilitarse por compromiso futuro de firmas | HSM de firma de código, aprobación de versiones | Evaluar la preparación de firmas poscuánticas, la estrategia de sellado de tiempo y el ciclo de vida de firma | Inventario de firma, informe de capacidad de HSM, procedimiento de desarrollo seguro |
| La criptografía de API con socios puede ser difícil de cambiar con rapidez | Certificados TLS, configuración de pasarela API | Implementar pruebas de criptoagilidad y revisión de hoja de ruta del proveedor | Escaneo TLS, configuración de referencia, atestación del proveedor |
La política corporativa de Clarysec, Política de desarrollo seguro, cláusula 6.4, aporta el ángulo de entrega de software:
«Las revisiones de diseño de seguridad deben evaluar las dependencias criptográficas, el ciclo de vida de bibliotecas, la agilidad algorítmica, la gestión de secretos, los mecanismos de actualización y los componentes controlados por proveedores antes de la aprobación para producción.»
Esa cláusula convierte la preparación poscuántica en un requisito de ingeniería. Evita que los equipos desplieguen nuevos sistemas que no puedan migrarse más adelante.
Sigue una hoja de ruta de 12 meses comprensible para auditores
La migración poscuántica llevará años para muchas organizaciones. El primer año debe llevar a la organización desde la incertidumbre hacia una migración gobernada.
| Mes | Línea de trabajo | Resultado | Evidencias |
|---|---|---|---|
| 1 | Mandato ejecutivo | Alcance a nivel del Consejo de Administración, apetito de riesgo y vía de financiación | Actas del comité directivo, acta de constitución aprobada |
| 1 a 2 | Descubrimiento criptográfico | CBOM inicial que cubra servicios críticos | Exportación de inventario, enlaces de CMDB, atestaciones de propietarios de sistemas |
| 2 a 3 | Revisión de datos y periodo de protección | Lista priorizada de datos sensibles de larga vida y activos de alto impacto en la integridad | Registro de clasificación, calendario de conservación, registros de riesgo |
| 3 a 4 | Revisión de dependencias de proveedores | Hoja de ruta de proveedores y análisis de brechas contractuales | Cuestionarios de proveedores, cláusulas contractuales, excepciones de riesgo |
| 4 a 6 | Evaluación de arquitectura y criptoagilidad | Patrones de arquitectura objetivo y restricciones de migración | Registros de revisión de arquitectura, decisiones de diseño |
| 6 a 8 | Implementación piloto | Prueba híbrida o poscuántica en un entorno seleccionado de bajo riesgo | Resultados de las pruebas, plan de reversión, hallazgos de desempeño |
| 8 a 10 | Actualización de políticas y procedimientos | Reglas actualizadas de criptografía, gestión de claves, proveedores, desarrollo seguro y activos | Políticas aprobadas, registros de formación |
| 10 a 12 | Preparación para auditorías | Auditoría interna, revisión por la dirección y actualización del plan de tratamiento | Informe de auditoría, acciones correctivas, plan de tratamiento de riesgos actualizado |
En Zenith Blueprint, Fase 3, Paso 14, «Diseño y propiedad del tratamiento de riesgos», la hoja de ruta advierte contra las intenciones de seguridad sin financiación:
«Un plan de tratamiento sin propietario, expectativa de evidencias, vía presupuestaria y fecha de revisión no es un plan. Es un riesgo no resuelto con mejor formato.»
Así es exactamente como fracasan los programas poscuánticos. Producen presentaciones de concienciación, pero no una lista priorizada de remediación con propietarios. Discuten algoritmos, pero no actualizan contratos con proveedores. Documentan el riesgo, pero no prueban patrones de migración.
Una hoja de ruta creíble crea registros de decisiones, propietarios, dependencias, expectativas de evidencias, presupuestos y fechas de revisión.
Incorpora pronto a los proveedores al programa
Muchas dependencias criptográficas están externalizadas. Los proveedores de nube terminan TLS. Las plataformas SaaS cifran registros. Los proveedores de identidad firman tokens. Los procesadores de pagos gestionan certificados. Los fabricantes de hardware controlan la firma de firmware. Los proveedores de servicios gestionados operan VPN y pasarelas de seguridad.
Aunque tu equipo interno esté preparado, tu migración puede quedar bloqueada por la capacidad del proveedor.
La política corporativa de Clarysec, Política de seguridad de terceros y proveedores, cláusula 5.6, establece:
«Los proveedores que presten servicios relevantes para la seguridad deben revelar dependencias materiales, responsabilidades criptográficas, evidencias de aseguramiento, procesos de gestión de vulnerabilidades y cambios de hoja de ruta que puedan afectar a la postura de riesgo de la organización.»
Para la preparación poscuántica, pregunta a los proveedores críticos:
- ¿Qué algoritmos, protocolos, certificados y servicios de gestión de claves protegen nuestros datos o transacciones?
- ¿Mantienen un inventario criptográfico o una CBOM?
- ¿Cuál es su hoja de ruta poscuántica alineada con NIST?
- ¿Soportarán intercambio de claves híbrido, firmas poscuánticas o establecimiento de claves resistente a la computación cuántica?
- ¿Cómo se comunicarán los cambios en certificados, tokens, firma y cifrado?
- ¿Qué acciones se requerirán por parte del cliente?
- ¿Qué entornos de prueba estarán disponibles?
- ¿Cómo se gestionarán el desempeño, la interoperabilidad y la reversión?
- ¿Están definidas las responsabilidades criptográficas en el contrato o en el modelo de responsabilidad compartida?
- ¿Qué opciones de salida o portabilidad existen si su hoja de ruta no cumple nuestros requisitos de riesgo?
Las respuestas de los proveedores deben alimentar el Registro de Riesgos. Las respuestas débiles no siempre implican una sustitución inmediata, pero sí requieren tratamiento. Puede que necesites controles compensatorios, modificaciones contractuales, cláusulas de notificación, planificación de salida, supervisión reforzada o una estrategia de aprovisionamiento revisada.
Esto es especialmente importante bajo expectativas de resiliencia operativa de estilo DORA y NIS2. DORA pone énfasis en la gestión del riesgo de las TIC y la gestión del riesgo de terceros TIC, incluida la supervisión de dependencias críticas. NIS2 Article 21 exige medidas técnicas, operativas y organizativas de gestión del riesgo de seguridad adecuadas y proporcionadas, incluidas la seguridad de la cadena de suministro, la gestión de incidentes, la continuidad del negocio y la criptografía cuando proceda. GDPR Article 32 exige una seguridad adecuada al riesgo, incluidas la confidencialidad, la integridad, la disponibilidad, la resiliencia y la capacidad de garantizar la protección continua de los datos personales.
El lenguaje regulatorio difiere, pero la lógica de control es consistente: conoce tus dependencias, gestiona el riesgo, conserva evidencias y actúa antes de que la resiliencia se vea comprometida.
Mapeo de cumplimiento transversal: un plan de migración, muchas obligaciones
Un plan sólido de migración a criptografía poscuántica debe evitar crear paquetes de evidencias separados para cada marco. Las mismas evidencias principales pueden respaldar múltiples obligaciones si están estructuradas correctamente.
Zenith Controls mapea el tema de criptografía en ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST, COBIT 2019, GDPR, DORA y NIS2 centrándose en la finalidad del control, no en la etiqueta utilizada por cada marco.
| Marco | Cómo contribuye el plan poscuántico al cumplimiento |
|---|---|
| ISO/IEC 27001:2022 | Demuestra selección de controles basada en riesgos, información documentada, auditoría interna, revisión por la dirección y mejora continua |
| ISO/IEC 27002:2022 | Apoya la interpretación de controles para 8.24 Use of cryptography, inventario de activos, clasificación, seguridad de proveedores, servicios en la nube, desarrollo seguro, supervisión y continuidad |
| Estándares PQC de NIST | Proporciona dirección técnica para la transición a algoritmos poscuánticos aprobados y la planificación criptográfica |
| NIST Cybersecurity Framework 2.0 | Vincula las actividades de migración con resultados de gobierno, identificación, protección, detección, respuesta y recuperación |
| COBIT 2019 | Alinea el riesgo criptográfico con objetivos de gobierno y gestión como APO12 Gestión de riesgos, APO13 Gestión de seguridad, APO10 Gestión de proveedores, DSS05 Gestionar los servicios de seguridad y MEA03 Gestionar el cumplimiento |
| GDPR | Respalda las expectativas de Article 32 sobre seguridad adecuada, confidencialidad, integridad, resiliencia y responsabilidad proactiva en el tratamiento de datos personales |
| DORA | Respalda la gestión del riesgo de las TIC, la gestión del riesgo de terceros TIC, las pruebas de resiliencia, la preparación ante incidentes y la supervisión del órgano de dirección |
| NIS2 | Respalda las medidas de gestión del riesgo de seguridad de Article 21, la seguridad de la cadena de suministro, la gestión de incidentes, la continuidad del negocio y la responsabilidad proactiva de gobierno |
La reutilización de evidencias es clave. Un inventario criptográfico respalda la gestión de activos de ISO, los resultados de identificación de NIST, la visibilidad de activos TIC de DORA, la gestión de riesgos de NIS2 y la responsabilidad proactiva de GDPR. Los cuestionarios de proveedores respaldan los controles de proveedores de ISO, el riesgo de terceros TIC de DORA, la seguridad de la cadena de suministro de NIS2 y la gobernanza de proveedores de COBIT. Los resultados de las pruebas de migración respaldan el cambio seguro, las pruebas de resiliencia, la preparación para auditorías y la revisión por la dirección.
Qué preguntarán los auditores
La criptografía poscuántica sigue siendo un tema emergente de auditoría, pero los auditores ya cuentan con suficientes expectativas de control para formular preguntas difíciles.
Un auditor de ISO/IEC 27001:2022 normalmente empezará por el riesgo. Preguntará si el riesgo criptográfico relacionado con la computación cuántica se identifica, evalúa, trata, supervisa y revisa dentro del SGSI. Esperará evidencias de que los controles criptográficos se seleccionan en función del riesgo de negocio y de que las responsabilidades están definidas.
Un evaluador orientado a NIST puede centrarse en la visibilidad de activos, los mecanismos de protección, el riesgo de la cadena de suministro, la gestión de vulnerabilidades y los resultados de gobierno. Puede preguntar si la organización ha identificado sistemas que utilizan criptografía de clave pública vulnerable y si la planificación de la migración se alinea con la dirección de NIST.
Un auditor COBIT o ISACA preguntará a menudo por el gobierno. ¿Quién rinde cuentas? ¿Cómo recibe informes el Consejo de Administración? ¿Se priorizan las inversiones? ¿Se gestionan las dependencias de proveedores? ¿Se equilibran beneficios, riesgos y recursos?
Un auditor de privacidad puede centrarse en si el cifrado y la gestión de claves siguen siendo adecuados para la sensibilidad y el periodo de conservación de los datos personales.
Un revisor centrado en DORA o NIS2 observará la resiliencia, la concentración de terceros TIC, la continuidad operativa y la preparación ante incidentes.
| Perspectiva de auditoría | Preguntas probables | Evidencias que preparar |
|---|---|---|
| ISO/IEC 27001:2022 | ¿Está incluido el riesgo poscuántico en el proceso de riesgos del SGSI? ¿Se seleccionan y revisan los controles criptográficos? | Registro de Riesgos, plan de tratamiento, Declaración de Aplicabilidad, aprobaciones de políticas, resultados de auditoría interna |
| NIST | ¿Ha inventariado la organización el uso criptográfico y planificado la migración hacia enfoques aprobados? | CBOM, decisiones de arquitectura, resultados piloto, lista priorizada de migración |
| COBIT 2019 | ¿La transición criptográfica está gobernada, financiada y supervisada? | Informes al Consejo de Administración, actas de gobernanza, KPI, paneles de riesgo de proveedores |
| GDPR | ¿La protección criptográfica sigue siendo adecuada para la sensibilidad y conservación de los datos personales? | Clasificación de datos, referencias de EIPD, calendario de conservación, diseño de cifrado |
| DORA | ¿Se comprenden y son resilientes las dependencias TIC y de proveedores? | Registro de activos TIC, atestaciones de proveedores, evidencias de pruebas, planes de salida |
| NIS2 | ¿Son eficaces las medidas de gestión del riesgo de seguridad y de la cadena de suministro? | Revisiones de proveedores, procedimientos de gestión de incidentes, planes de continuidad, registros de tratamiento de riesgos |
Zenith Controls recomienda tratar la preparación para auditorías como una ruta de evidencias. No esperes a que los auditores soliciten capturas de pantalla y hojas de cálculo. Construye un espacio de trabajo GRC que conecte cada riesgo criptográfico con su propietario, activos afectados, proveedores, decisiones, pruebas, excepciones y fechas de revisión.
Actualiza las políticas para que el programa sea operativo
La mayoría de las políticas de criptografía se redactaron para requisitos tradicionales de confidencialidad e integridad. La migración poscuántica requiere incorporaciones específicas.
Tu política de criptografía y gestión de claves debe abordar estándares aprobados, frecuencia de revisión, clasificación de datos, periodo de protección, agilidad algorítmica, generación de claves, almacenamiento de claves, rotación, destrucción, propiedad, ciclo de vida de certificados, responsabilidad sobre HSM, responsabilidad sobre KMS en la nube, aprobación de excepciones, criptografía controlada por proveedores y supervisión de la transición poscuántica.
Tu política de desarrollo seguro debe abordar la aprobación de bibliotecas criptográficas, la prohibición de algoritmos codificados de forma fija sin revisión, el seguimiento de dependencias, los mecanismos de actualización segura, las pruebas de desempeño para claves o firmas de mayor tamaño, la compatibilidad hacia atrás, la reversión y el modelado de amenazas para productos de larga vida.
Tu política de seguridad de proveedores debe abordar la transparencia criptográfica, las solicitudes de hoja de ruta poscuántica, las obligaciones contractuales de notificación, la responsabilidad compartida sobre cifrado y gestión de claves, la planificación de salida y la portabilidad.
Tu procedimiento de gestión de activos debe abordar campos de inventario criptográfico, propiedad, fuentes de evidencias, frecuencia de revisión e integración con CMDB, inventario en la nube, gestión de certificados, registros de HSM y repositorios de código.
Aquí es donde la biblioteca de políticas de Clarysec ayuda a las organizaciones a avanzar más rápido. En lugar de redactar desde cero, los equipos pueden adaptar cláusulas de políticas a procedimientos, registros, cuestionarios y evidencias de auditoría.
Evita los errores más comunes en la migración poscuántica
Los errores más peligrosos suelen ser fallos de gobierno, no fallos técnicos.
Empezar por los algoritmos en lugar de los activos. Si no sabes dónde se utiliza la criptografía, la selección de algoritmos no ayudará.
Ignorar la vida útil de los datos. Los datos transaccionales de corta vida y los archivos sensibles de larga vida no presentan el mismo riesgo.
Tratar a los proveedores como una fase posterior. Muchos controles criptográficos son gestionados por proveedores. Si los proveedores no se incluyen pronto, el plan puede ser irrealista.
Olvidar las firmas. La planificación poscuántica no trata solo del cifrado. Las firmas digitales, la firma de código, los certificados, los tokens de identidad, las actualizaciones de firmware y la firma de documentos requieren atención.
Suponer que los proveedores de nube lo resuelven todo. Las plataformas en la nube desempeñarán un papel importante, pero la responsabilidad sigue siendo compartida. Aún necesitas saber qué servicios, configuraciones, claves, regiones e integraciones están afectados.
No generar evidencias de auditoría. Un plan de migración que no pueda evidenciarse no satisfará a la dirección, reguladores, clientes ni auditores.
Omitir pruebas de desempeño e interoperabilidad. Los algoritmos poscuánticos pueden afectar al tamaño de las cargas útiles, el comportamiento de la negociación, la latencia, el almacenamiento, las restricciones de sistemas embebidos y la compatibilidad.
Métricas que el CISO debe informar al Consejo de Administración
Los informes al Consejo de Administración deben ser lo bastante sencillos para entenderse y lo bastante específicos para impulsar la acción. Evita debates profundos sobre algoritmos. Céntrate en exposición, avance, decisiones y riesgo residual.
| Métrica | Significado para el Consejo de Administración |
|---|---|
| Porcentaje de servicios críticos con inventario criptográfico completado | Muestra visibilidad |
| Porcentaje de datos sensibles de larga vida mapeados con controles criptográficos | Muestra preparación frente a capturar ahora, descifrar después |
| Número de proveedores críticos con hoja de ruta poscuántica recibida | Muestra preparación de terceros |
| Número de excepciones criptográficas de alto riesgo | Muestra exposición no gestionada |
| Porcentaje de aplicaciones críticas evaluadas para criptoagilidad | Muestra viabilidad de migración |
| Estado de finalización del piloto | Muestra avance práctico |
| Acciones de tratamiento abiertas vencidas | Muestra riesgo de ejecución |
| Tendencia del riesgo residual | Muestra si el programa reduce la exposición |
Un mensaje útil para el Consejo de Administración podría sonar así:
«Hemos completado el descubrimiento criptográfico para el 72 por ciento de los servicios críticos. Dos sistemas tienen exposición crítica de confidencialidad a largo plazo y tres proveedores aún no han proporcionado hojas de ruta poscuánticas. Hemos iniciado un proyecto de preparación de firma de código y una revisión de dependencias de KMS en la nube. No se recomienda hoy una sustitución de emergencia, pero la incertidumbre de proveedores sigue siendo el mayor riesgo residual.»
Ese es el lenguaje del riesgo cibernético gobernado.
Lista de verificación práctica para empezar esta semana
No necesitas esperar a una certeza perfecta. Empieza con pasos que mejoren de inmediato la visibilidad y el gobierno.
- Nombra un propietario de criptografía poscuántica.
- Añade el riesgo criptográfico relacionado con la computación cuántica al Registro de Riesgos del SGSI.
- Identifica los diez servicios principales con datos sensibles de larga vida o alto impacto en la integridad.
- Construye una CBOM mínima viable para esos servicios.
- Solicita a los proveedores críticos su hoja de ruta poscuántica.
- Revisa las políticas de criptografía, desarrollo seguro, proveedores y activos.
- Identifica sistemas con algoritmos codificados de forma fija, bibliotecas obsoletas, rotación manual de certificados o propiedad débil.
- Selecciona un piloto de bajo riesgo para pruebas de criptoagilidad.
- Define métricas para el Consejo de Administración y frecuencia de reporte.
- Programa una auditoría interna centrada en gobierno criptográfico y evidencias.
El movimiento más importante es convertir la incertidumbre en trabajo gestionado. El riesgo cuántico mira al futuro, pero la deuda criptográfica existe hoy.
Próximos pasos con Clarysec
La migración poscuántica será una de las transiciones de seguridad más complejas de la próxima década porque afecta a identidad, cifrado, firmas, proveedores, nube, software, dispositivos, archivos y evidencias de auditoría. Las organizaciones que empiecen por gobierno e inventario avanzarán más rápido que aquellas que esperen a un ciclo de sustitución de última hora.
Clarysec puede ayudarte a construir un plan de migración criptográfica preparado para la era cuántica utilizando:
- Zenith Blueprint: hoja de ruta de 30 pasos para auditores para una implementación por fases y preparación para auditorías
- Zenith Controls: la guía de cumplimiento transversal para el mapeo de ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST, COBIT 2019, GDPR, DORA y NIS2
- Política de criptografía y gestión de claves para reglas criptográficas preparadas para gobierno
- Política de seguridad de terceros y proveedores para requisitos de hoja de ruta y aseguramiento de proveedores
- Política de desarrollo seguro para prácticas de ingeniería criptoágiles
El mejor momento para comenzar la planificación poscuántica es antes de que un regulador, auditor, cliente o miembro del Consejo de Administración solicite evidencias. Empieza por el inventario, conéctalo con el riesgo y construye la ruta de migración una decisión controlada cada vez.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
