SBOM para el aseguramiento de ISO 27001, NIS2 y DORA
Son las 07:42 de un viernes cuando Amelia, la directora de Seguridad de la Información (CISO) de una FinTech en rápido crecimiento, recibe la alerta que ningún responsable de seguridad quiere ver.
Una vulnerabilidad crítica de ejecución remota de código afecta a un paquete de código abierto ampliamente utilizado. La herramienta de análisis de composición de software indica que el componente podría estar presente en el servicio de autenticación, posiblemente en facturación y quizá en un adaptador de API de un tercero utilizado por el flujo de pagos. Ingeniería necesita tiempo para confirmarlo. El área jurídica pregunta si ha empezado a correr el plazo de notificación de NIS2. El responsable del programa DORA pregunta si el servicio afectado soporta una función crítica o importante para una entidad financiera. Ventas pregunta si esto bloqueará una renovación. El consejo de administración formula la pregunta más simple y más difícil: “¿Estamos expuestos?”
Sin una lista de materiales de software, la respuesta honesta suele ser: “Todavía no lo sabemos”.
En 2026, esa respuesta no es solo una deficiencia técnica. Es una debilidad de gobernanza, un riesgo contractual, una exposición ante auditorías y, para entidades reguladas, un problema de resiliencia. Las SBOM han pasado de ser una práctica de higiene DevSecOps a constituir evidencias de nivel consejo de administración para el aseguramiento de la cadena de suministro de software, la operación de controles de ISO/IEC 27001:2022, la gestión de riesgos de ciberseguridad de NIS2, la gobernanza de terceros de TIC de DORA, la responsabilidad proactiva de GDPR y la diligencia debida de clientes.
La clave no consiste simplemente en generar un archivo SBOM. La clave consiste en demostrar que los componentes de software se identifican, aprueban, supervisan, califican por riesgo, parchean, gobiernan contractualmente y son trazables hasta propietarios responsables. Ahí es donde la biblioteca de políticas de Clarysec, Zenith Blueprint: hoja de ruta de 30 pasos para auditores y Zenith Controls: guía de cumplimiento transversal convierten un artefacto de desarrollo en evidencias de cumplimiento defendibles.
Por qué las SBOM son ahora evidencias de aseguramiento de la cadena de suministro de software
Una SBOM es un inventario de componentes de software, incluidos paquetes de código abierto, bibliotecas comerciales, versiones, fuentes, licencias y relaciones de dependencia. Una SBOM útil ayuda a responder cuatro preguntas que ahora importan a reguladores, clientes y consejos de administración:
- ¿Qué contiene nuestro software?
- ¿Dónde está desplegado?
- ¿Es vulnerable, está sin soporte, carece de licencia o no está aprobado?
- ¿Quién es responsable de la remediación, la mitigación o la aceptación del riesgo?
Esas preguntas se corresponden directamente con las expectativas legales y regulatorias modernas.
NIS2 se aplica a muchas entidades medianas y grandes de sectores esenciales e importantes, incluidas infraestructuras digitales, proveedores de servicios de computación en la nube, proveedores de servicios de centros de datos, proveedores de servicios gestionados, proveedores de servicios de seguridad gestionados, mercados en línea, motores de búsqueda, plataformas de redes sociales y determinados proveedores digitales. También puede aplicarse en función de la designación nacional y de la transposición sectorial específica. Para las entidades dentro del alcance, NIS2 exige que los órganos de dirección aprueben medidas de gestión de riesgos de ciberseguridad y supervisen su implantación. Article 21 incluye seguridad de la cadena de suministro, adquisición segura, desarrollo y mantenimiento seguros, gestión y divulgación de vulnerabilidades, gestión de incidentes, continuidad del negocio, gestión de activos, control de acceso, criptografía, evaluación de la eficacia e higiene cibernética.
DORA, aplicable desde el 17 de enero de 2025, crea un marco uniforme de resiliencia operativa digital de la UE para entidades financieras. Cubre la gestión del riesgo de las TIC, la notificación de incidentes relacionados con las TIC, las pruebas de resiliencia, la gestión del riesgo de terceros de TIC, los acuerdos contractuales y la supervisión de proveedores terceros críticos de servicios de TIC. DORA espera que las entidades financieras identifiquen activos de TIC, funciones de negocio soportadas por TIC, dependencias, interconexiones, vulnerabilidades, escenarios de riesgo, cambios y procesos soportados por terceros.
GDPR añade una capa de privacidad. Si un componente vulnerable afecta a sistemas que tratan datos personales, la pregunta pasa a ser si los datos personales podrían haber sido accedidos, alterados, perdidos, divulgados o comprometidos de otro modo. Responsables y encargados del tratamiento necesitan evidencias que demuestren que pueden identificar los sistemas afectados, los flujos de datos, los subencargados y el impacto de la brecha de seguridad.
NIST CSF 2.0 refuerza el mismo modelo operativo mediante GOVERN, IDENTIFY, PROTECT, DETECT, RESPOND y RECOVER. Sus resultados de cadena de suministro esperan responsabilidades de proveedores, criticidad, requisitos contractuales, diligencia debida, supervisión, planificación de incidentes y disposiciones de finalización de la relación.
Cuando el consejo de administración de Amelia pregunta si la FinTech está expuesta, una organización que gestiona SBOM puede responder con evidencias:
- Qué productos y versiones contienen el componente vulnerable
- Qué entornos desplegados están afectados
- Qué clientes, regiones, funciones y flujos de datos están conectados
- Qué proveedor o propietario interno es responsable
- Qué controles compensatorios están activos
- Si pueden activarse umbrales de NIS2, DORA, GDPR o contractuales
- Qué corrección, mitigación, excepción o aceptación del riesgo se ha aprobado
Esa es la diferencia entre una lista de componentes y un sistema de control.
ISO 27001:2022 es la columna vertebral de la gobernanza de SBOM
ISO/IEC 27001:2022 es una base sólida para la gobernanza de SBOM porque es una norma de sistema de gestión, no solo una lista de verificación técnica. Sus cláusulas exigen que las organizaciones definan el contexto, las partes interesadas, el alcance, el compromiso de la dirección, la política, los roles, la evaluación de riesgos, el tratamiento de riesgos, los objetivos, la evaluación del desempeño, la auditoría interna, la revisión por la dirección y la mejora continua.
Los programas SBOM fracasan cuando quedan fuera del SGSI. Ingeniería puede generar archivos, pero nadie aplica acuerdos de nivel de servicio de remediación de vulnerabilidades, obligaciones de proveedores, conservación de evidencias, aceptación del riesgo o reglas de comunicación a clientes. ISO 27001 corrige esto al convertir las SBOM en parte del sistema de gestión de riesgos de la organización.
Conforme a las cláusulas 4.1 a 4.4, la organización determina las cuestiones internas y externas, los requisitos de las partes interesadas, las obligaciones legales y regulatorias, las expectativas contractuales y el alcance del SGSI. Para el aseguramiento mediante SBOM, el alcance debe incluir explícitamente:
- Productos y servicios entregados a clientes
- Entornos de producción en la nube y SaaS
- Canalizaciones de CI/CD, repositorios de código fuente y registros de artefactos
- Componentes de software de código abierto y comerciales
- Socios de desarrollo externalizado e integración
- Proveedores terceros de TIC y subcontratistas
- Requisitos de seguridad de clientes conforme a DORA, NIS2, GDPR y contratos
Las cláusulas 5.1 a 5.3 convierten el riesgo de la cadena de suministro de software en un asunto de liderazgo. La dirección debe alinear los objetivos de seguridad con la dirección estratégica, proporcionar recursos, asignar responsabilidades y comunicar la política. Las cláusulas 6.1.2 y 6.1.3 convierten los hallazgos de SBOM en evidencias de evaluación de riesgos y tratamiento de riesgos. Un componente crítico vulnerable en un servicio de autenticación expuesto a internet no es solo un ticket. Es un escenario de riesgo que afecta a la confidencialidad, la integridad, la disponibilidad, los compromisos contractuales, la notificación regulatoria y la resiliencia operativa.
Los controles del Anexo A de ISO/IEC 27001:2022 más relevantes para el aseguramiento mediante SBOM son:
| Control del Anexo A de ISO/IEC 27001:2022 | Por qué importa para las SBOM | Evidencias que esperan los auditores |
|---|---|---|
| A.5.7 Inteligencia de amenazas | Las fuentes de vulnerabilidades y la inteligencia sobre exploits ayudan a priorizar el riesgo de componentes | Fuentes de inteligencia de amenazas, alertas SCA, registros de análisis |
| A.5.9 Inventario de información y otros activos asociados | El software, los servicios, los repositorios y los componentes necesitan visibilidad de inventario | Inventario de activos, inventario de software, registros de titularidad |
| A.5.19 Seguridad de la información en las relaciones con proveedores | El software y los proveedores de servicios externos introducen riesgo de dependencia | Evaluaciones de riesgo de proveedores, clasificación de proveedores por niveles, diligencia debida |
| A.5.20 Tratamiento de la seguridad de la información en acuerdos con proveedores | Los contratos deben exigir obligaciones de seguridad y evidencias | Cláusulas contractuales, acuerdos de nivel de servicio, derechos de auditoría, plazos de notificación |
| A.5.21 Gestión de la seguridad de la información en la cadena de suministro de TIC | Las SBOM respaldan la visibilidad sobre dependencias de software y de TIC | SBOM, registros de dependencias, revisiones de riesgos de la cadena de suministro |
| A.5.22 Supervisión, revisión y gestión de cambios de servicios de proveedores | El riesgo de proveedores cambia cuando cambian componentes o subcontratistas | Revisiones de proveedores, avisos de cambio, evidencias actualizadas |
| A.5.23 Seguridad de la información para el uso de servicios en la nube | Las dependencias SaaS y en la nube necesitan gobernanza del ciclo de vida | Registros de servicios en la nube, evidencias de responsabilidad compartida, planes de salida |
| A.8.8 Gestión de vulnerabilidades técnicas | Las SBOM permiten identificar rápidamente componentes vulnerables | Resultados SCA, tickets de vulnerabilidades, acuerdos de nivel de servicio de remediación |
| A.8.25 Ciclo de vida de desarrollo seguro | Los componentes aprobados y supervisados forman parte de la ingeniería segura | Estándares de programación segura, aprobaciones de dependencias, puertas de control de canalización |
| A.8.26 Requisitos de seguridad de las aplicaciones | El uso de componentes debe alinearse con los requisitos de seguridad | Trazabilidad de requisitos, registros de revisión de diseño |
| A.8.29 Pruebas de seguridad en desarrollo y aceptación | SCA, SAST, DAST y pruebas de penetración validan el riesgo del software | Planes de prueba, salidas de análisis, excepciones, evidencias de repetición de pruebas |
| A.8.32 Gestión de cambios | Las actualizaciones de componentes y los parches de emergencia deben estar controlados | Tickets de cambio, aprobaciones, planes de reversión, revisiones posteriores al cambio |
Clarysec mapea estas relaciones mediante los atributos de ISO/IEC 27002:2022 en Zenith Controls. Por ejemplo, Zenith Controls trata el control 5.21 de ISO/IEC 27002:2022, “Gestión de la seguridad de la información en la cadena de suministro de TIC”, como preventivo, orientado a proteger la confidencialidad, la integridad y la disponibilidad, alineado con el concepto de ciberseguridad Identify y operativo en los dominios de gobernanza, ecosistema y protección. Trata el control 8.25, “Ciclo de vida de desarrollo seguro”, como preventivo y alineado con Protect. Trata el control 8.8, “Gestión de vulnerabilidades técnicas”, como preventivo y alineado con Identify y Protect, conectando la gestión de vulnerabilidades con la gobernanza, el ecosistema, la protección y la defensa.
Esa traducción importa porque distintos revisores formulan distintas preguntas. Un auditor ISO puede preguntar si el riesgo de componentes figura en la Declaración de Aplicabilidad. Un revisor DORA puede preguntar si un componente soporta una función crítica o importante. Un cliente puede preguntar si las vulnerabilidades no resueltas superan los acuerdos de nivel de servicio contractuales. Las mismas evidencias de SBOM pueden respaldar las tres perspectivas, si están correctamente gobernadas.
La capa de políticas de Clarysec para SBOM preparadas para auditoría
Un programa SBOM fiable necesita lenguaje de política. Los desarrolladores necesitan saber qué debe registrarse. Compras necesita saber qué deben proporcionar los proveedores. Seguridad necesita saber qué hallazgos activan el escalado. Cumplimiento necesita saber qué evidencias deben conservarse.
Para organizaciones más pequeñas, la Política de Desarrollo Seguro - pyme crea el control SBOM mínimo viable:
El DG o un desarrollador designado debe mantener una lista de todos los componentes externos utilizados, incluyendo: 6.6.2.1 Versión y fuente 6.6.2.2 Vulnerabilidades conocidas o estado de parcheado 6.6.2.3 Fecha de última actualización o revisión
Ese requisito es sencillo, pero potente. Establece visibilidad de versiones, trazabilidad de fuentes, estado de vulnerabilidades y cadencia de revisión.
La Política de requisitos de seguridad de las aplicaciones - pyme añade revisión del ciclo de vida:
Cualquier herramienta de terceros, complemento o biblioteca de código externa utilizada en una aplicación debe registrarse y revisarse anualmente para evaluar su impacto en la seguridad y su estado de parcheado.
La Política de gestión de vulnerabilidades y parches - pyme conecta las SBOM con la remediación:
Los desarrolladores deben supervisar y actualizar bibliotecas de terceros (por ejemplo, paquetes de código abierto)
Para entornos empresariales, la Política de Desarrollo Seguro eleva la expectativa:
El uso de código abierto o de terceros debe aprobarse, seguirse y validarse mediante:
También hace obligatorio el análisis:
Todos los componentes de terceros deben analizarse en busca de vulnerabilidades antes del despliegue y durante la ejecución mediante herramientas automatizadas.
El desarrollo externalizado debe seguir el mismo estándar. La Política de Desarrollo Externalizado exige:
Uso seguro de bibliotecas de código abierto, sujeto a escaneos de vulnerabilidades y aprobación
Los contratos con proveedores necesitan derechos exigibles sobre evidencias. La Política de Seguridad de Terceros y Proveedores - pyme exige cláusulas contractuales que cubran confidencialidad, obligaciones de seguridad, plazos de notificación de brechas de seguridad de los datos, derechos de auditoría, restricciones de subcontratación y finalización segura:
Los contratos deben incluir cláusulas obligatorias que cubran: 5.3.1 Confidencialidad y no divulgación 5.3.2 Obligaciones de seguridad de la información 5.3.3 Plazos de notificación de brechas de seguridad de los datos (por ejemplo, dentro de 24–72 horas) 5.3.4 Derechos de auditoría o disponibilidad de evidencias de cumplimiento 5.3.5 Restricciones a la subcontratación adicional sin aprobación 5.3.6 Condiciones de terminación, incluida la devolución o destrucción segura de datos
Para clientes empresariales, la Política de Seguridad de Terceros y Proveedores incluye:
Derechos a auditar, inspeccionar y solicitar evidencias de seguridad
Si un proveedor SaaS, un socio de desarrollo externalizado o un proveedor comercial de software no proporciona evidencias de seguridad, estado de vulnerabilidades, compromisos de notificación o acceso para auditoría, el aseguramiento de su cadena de suministro de software tiene un punto ciego.
La Política de Gestión del Riesgo de Dependencia de Proveedores convierte la concentración de dependencias en un riesgo de resiliencia medible:
Registro de dependencias de proveedores: la VMO deberá mantener un registro actualizado de todos los proveedores críticos, incluyendo detalles como los servicios/productos proporcionados; si el proveedor es proveedor único; proveedores alternativos disponibles o capacidad de sustitución; términos contractuales vigentes; y una evaluación del impacto si el proveedor fallara o se viera comprometido. El registro deberá identificar claramente los proveedores con alta dependencia (por ejemplo, aquellos para los que no existe una alternativa rápida).
Ese registro debe conectarse con las SBOM. Si una biblioteca crítica procede de un proveedor único, soporta un flujo de trabajo de cliente regulado y no tiene sustituto rápido, no es solo un paquete. Es una dependencia de resiliencia.
Del archivo SBOM al control operativo en un sprint
Un programa SBOM práctico debe comenzar con una línea de producto y un entorno de producción. No intente inventariar toda la organización el primer día. Si la FinTech de Amelia empieza por su flujo de alta de clientes y pagos, el equipo puede crear un modelo de evidencias repetible antes de escalarlo.
Paso 1: Definir el alcance de SBOM dentro del SGSI
Cree una declaración de alcance vinculada al alcance de su SGSI y a los impulsores regulatorios:
- Producto: plataforma SaaS de alta de clientes y pagos
- Entorno: producción de la UE
- Repositorios: auth-service, billing-service, payment-api, reporting-api, frontend-app
- Sistemas de compilación: proveedor Git, plataforma CI/CD, registro de contenedores
- Despliegue: clúster Kubernetes, base de datos gestionada, almacenamiento de objetos
- Datos: datos de cuenta, registros de autenticación, metadatos de facturación, referencias de pago
- Clientes: entidades financieras de la UE y clientes comerciales
- Impulsores regulatorios: ISO 27001:2022, aseguramiento de clientes NIS2, diligencia debida de terceros de TIC DORA, responsabilidad proactiva de seguridad GDPR
Esto se alinea con la lógica de alcance de la cláusula 4 de ISO 27001 y con la definición de alcance de perfiles de NIST CSF.
Paso 2: Generar y almacenar SBOM en tiempo de compilación
Configure las canalizaciones de CI/CD para generar una SBOM por cada artefacto de compilación, incluidas las imágenes de contenedor. Se utilizan habitualmente formatos estándar como CycloneDX y SPDX. Almacene cada SBOM en un repositorio controlado de evidencias vinculado al identificador de compilación, el hash de commit, el registro de despliegue y la versión liberada.
| Campo de evidencia SBOM | Por qué importa |
|---|---|
| Nombre del componente | Identifica la dependencia de software |
| Versión | Determina la exposición a vulnerabilidades conocidas |
| Fuente o registro de paquetes | Respalda la revisión de procedencia |
| Licencia | Respalda la revisión legal y contractual |
| Dependencia directa o transitiva | Ayuda a priorizar la responsabilidad de remediación |
| Vulnerabilidades conocidas | Vincula el inventario con la gestión de vulnerabilidades |
| Estado del parche o corrección | Muestra el avance del tratamiento |
| Ubicación de despliegue | Conecta el riesgo del componente con el impacto en el negocio |
| Propietario del servicio | Asigna la responsabilidad al propietario |
| Fecha de última revisión | Demuestra la supervisión continua |
Esto respalda directamente el requisito de la Política de Desarrollo Seguro - pyme de mantener versión, fuente, vulnerabilidad conocida o estado de parcheado y fecha de revisión.
Paso 3: Enriquecer los datos de SBOM con explotabilidad y contexto de negocio
No se detenga en una lista de paquetes. Añada contexto operativo de riesgo:
- ¿El componente es vulnerable?
- ¿La función vulnerable es alcanzable?
- ¿El servicio está expuesto a internet?
- ¿El servicio trata datos personales?
- ¿Soporta una función crítica o importante para un cliente sujeto a DORA?
- ¿Existe un parche disponible?
- ¿Existe un control compensatorio?
- ¿La aceptación del riesgo ha sido aprobada por el propietario del riesgo?
Una CVE crítica en un paquete usado solo para pruebas es distinta de una CVE crítica en un servicio de autenticación de producción. Las cláusulas de evaluación y tratamiento de riesgos de ISO 27001 ayudan a que esa distinción sea defendible.
Paso 4: Vincular las SBOM con controles de proveedores y desarrollo externalizado
Si un componente lo proporciona un proveedor comercial o un socio de desarrollo externalizado, actualice el registro del proveedor:
| Campo de evidencia del proveedor | Por qué importa |
|---|---|
| Nombre y servicio del proveedor | Identifica la responsabilidad |
| Componente o artefacto suministrado | Vincula el proveedor con la exposición del software |
| Clasificación de criticidad | Respalda la diligencia debida basada en riesgos |
| Cláusula de notificación de vulnerabilidades | Respalda la preparación para incidentes |
| Derechos de auditoría o derechos sobre evidencias | Respaldan el aseguramiento y las solicitudes de clientes |
| Restricciones a subcontratistas | Reduce el riesgo de dependencias ocultas |
| Opciones de salida o sustitución | Respaldan la resiliencia y la gestión del riesgo de concentración |
| Fecha de revisión anual | Demuestra la supervisión continua |
Esto respalda la seguridad de la cadena de suministro de NIS2 Article 21 y las expectativas de DORA Article 28 sobre estrategia de riesgo de terceros de TIC, diligencia debida, salvaguardas contractuales, registros de información, planificación de auditorías, derechos de terminación y estrategias de salida.
Paso 5: Definir reglas y evidencias de remediación
Vincule los acuerdos de nivel de servicio de remediación al impacto en el negocio, no solo a las puntuaciones CVSS.
| Escenario | Respuesta objetivo | Evidencia requerida |
|---|---|---|
| Componente crítico vulnerable en servicio de producción expuesto a internet | Triaje inmediato, mitigación o plan de parcheado en 24 horas | Ticket de vulnerabilidad, evaluación de riesgos, decisión de mitigación |
| Vulnerabilidad alta en servicio interno que trata datos personales | Revisión de riesgos y plan de remediación dentro del acuerdo de nivel de servicio definido | Ticket, revisión de impacto sobre datos, evidencia de parcheado |
| Dependencia transitiva vulnerable sin parche disponible | Control compensatorio o aceptación del riesgo aprobada | Registro de excepción, aprobación del propietario, fecha de revisión |
| Componente proporcionado por proveedor con estado desconocido | Solicitud de evidencias al proveedor y escalado | Comunicación con el proveedor, referencia de cláusula contractual, actualización de diligencia debida |
Aquí es donde las SBOM se vuelven útiles para NIS2, DORA y GDPR. Un flujo de trabajo de remediación debe considerar el potencial de incidente significativo, el impacto de un incidente grave relacionado con TIC, los criterios de brecha de datos personales, las obligaciones contractuales de notificación y el impacto en la resiliencia operativa.
Paso 6: Añadir una puerta de control de versión
Antes del despliegue, exija que la canalización o el proceso de cambio confirme:
- La SBOM se ha generado correctamente
- No quedan vulnerabilidades críticas no aprobadas
- Los nuevos componentes de terceros están aprobados
- Se cumple la política de licencias
- SCA, SAST, DAST u otras pruebas requeridas están completas
- El ticket de cambio está vinculado
- El plan de reversión está documentado para versiones de alto riesgo
Esto conecta A.8.25 desarrollo seguro, A.8.29 pruebas de seguridad y A.8.32 gestión de cambios en un único flujo de trabajo auditable.
Paso 7: Construir el paquete de evidencias de la versión
Para cada versión, conserve:
- Archivo SBOM
- Identificador de compilación y hash de commit
- Salida del análisis SCA
- Registro de triaje de vulnerabilidades
- Excepciones aprobadas
- Aprobación de cambio
- Registro de despliegue
- Resultados de las pruebas
- Evidencias del proveedor, si corresponde
- Registro de incidente o problema si la versión remedió una vulnerabilidad
Cuando un auditor pregunta cómo se gestionan las bibliotecas de terceros en producción, el equipo de Amelia no tiene que buscar entre hilos de Slack. Abre el paquete de evidencias de la versión.
Mapeo de cumplimiento transversal: un programa SBOM, muchas obligaciones
El valor comercial de un programa SBOM aumenta cuando se mapea una vez y se reutiliza en distintos marcos. El enfoque de cumplimiento transversal de Clarysec evita trabajo duplicado al traducir las mismas evidencias a distintos lenguajes de aseguramiento.
| Marco o regulación | Qué espera | Cómo ayudan las evidencias de SBOM |
|---|---|---|
| ISO/IEC 27001:2022 | SGSI basado en riesgos, controles de proveedores, desarrollo seguro, gestión de vulnerabilidades, pruebas, gestión de cambios | Muestra inventario de componentes controlado, tratamiento de riesgos, evidencias de la Declaración de Aplicabilidad, remediación, pruebas y propiedad |
| NIS2 | Medidas aprobadas por el consejo de administración, seguridad de la cadena de suministro, desarrollo y mantenimiento seguros, gestión de vulnerabilidades, gestión de incidentes, gestión de activos | Identifica vulnerabilidades específicas de proveedores, exposición de productos, servicios afectados, acciones de remediación e impacto del incidente |
| DORA | Documentación de activos y dependencias de TIC, conocimiento de vulnerabilidades, pruebas de resiliencia, registros de terceros de TIC, salvaguardas contractuales | Vincula componentes de software con funciones soportadas por TIC, servicios críticos, terceros, pruebas, planes de salida y evidencias de auditoría |
| GDPR | Integridad, confidencialidad, seguridad y responsabilidad proactiva del tratamiento de datos personales | Ayuda a identificar si los componentes vulnerables afectan a sistemas que tratan datos personales |
| NIST CSF 2.0 | GOVERN, IDENTIFY, PROTECT, DETECT, RESPOND, RECOVER y resultados de riesgo de la cadena de suministro | Respalda la diligencia debida de proveedores, la supervisión, la planificación de incidentes, la recuperación, los perfiles objetivo y los planes de brechas |
| COBIT 2019 y práctica de auditoría ISACA | Objetivos de gobernanza, propiedad del proceso, diseño de controles, aseguramiento y calidad de evidencias | Respalda la propiedad trazable, la supervisión de la dirección, la remediación medible y la auditabilidad |
La notificación de incidentes NIS2 puede avanzar rápidamente cuando la explotación causa o puede causar una interrupción operativa grave, pérdidas financieras o daños materiales o inmateriales considerables. NIS2 utiliza una notificación por fases, incluida una alerta temprana dentro de las 24 horas desde que se tiene conocimiento, una notificación de incidente dentro de las 72 horas y un informe final dentro del mes siguiente a la notificación del incidente. Las SBOM ayudan a determinar si el componente afectado está presente, si los servicios de clientes están afectados y si es plausible un impacto transfronterizo.
DORA utiliza un ciclo de vida estructurado de incidentes de TIC, que incluye detección, registro, clasificación, análisis de causa raíz, escalado, planes de comunicación, escalado al órgano de dirección y notificación regulatoria de incidentes graves relacionados con TIC. Las evidencias de SBOM respaldan la clasificación porque conectan un componente vulnerable con clientes afectados, indisponibilidad, extensión geográfica, pérdidas de datos, criticidad del servicio e impacto económico.
NIST CSF 2.0 añade lenguaje útil para el aseguramiento de clientes. Zenith Controls mapea A.5.21 con resultados de gobernanza de la cadena de suministro como GV.SC-05, donde los requisitos de ciberseguridad para proveedores se establecen, comunican e integran en contratos y otros acuerdos. Exigir SBOM, divulgación de vulnerabilidades, evidencias de auditoría y plazos de remediación se convierte en un control contractual, no en una solicitud ad hoc.
Cómo Zenith Blueprint secuencia el trabajo
Zenith Blueprint convierte el lenguaje de control en una hoja de ruta de implantación.
En la fase de gestión de riesgos, el Paso 14 conecta el desarrollo seguro, los controles de CI/CD, el análisis de dependencias, la gestión de cambios, la gestión de incidentes y la formación de desarrolladores. En la fase de controles en acción, el Paso 20 es explícito sobre componentes de terceros y de código abierto:
Este control también se aplica a componentes de terceros y de código abierto. Depender de bibliotecas externas es una práctica habitual, pero cada inclusión es una decisión de confianza. Los desarrolladores deben evaluar las dependencias en función de la reputación, la frecuencia de mantenimiento, las vulnerabilidades conocidas y las restricciones de licencia. Herramientas como las SBOM (listas de materiales de software) son cada vez más esenciales para saber qué está integrado en su pila tecnológica.
El Paso 21 plantea las pruebas de seguridad como dependientes del contexto y recomienda pruebas por capas para sistemas críticos para las operaciones de la organización o expuestos a internet, incluido el análisis de composición de software para bibliotecas de terceros, análisis estático y dinámico, pruebas de penetración, validación de modelado de amenazas, pruebas de casos de uso indebido, fuzzing y pruebas exploratorias manuales.
El Paso 23 aborda los acuerdos con proveedores, incluidas obligaciones de confidencialidad, responsabilidades de control de acceso, medidas técnicas y organizativas, plazos de notificación de incidentes, derecho de auditoría, controles sobre subcontratistas y disposiciones de fin de contrato.
| Fase y paso de Zenith Blueprint | Relevancia para SBOM | Resultado práctico |
|---|---|---|
| Fase de gestión de riesgos, Paso 14 | Tratar el riesgo de componentes de software mediante políticas y referencias regulatorias cruzadas | Política de desarrollo seguro, aprobación de dependencias, reglas de remediación |
| Fase de controles en acción, Paso 20 | Tratar cada componente de terceros como una decisión de confianza | SBOM, inventario de componentes, comprobaciones de licencias y vulnerabilidades |
| Fase de controles en acción, Paso 21 | Validar el riesgo del software mediante pruebas por capas | SCA, SAST, DAST, evidencias de pruebas de penetración |
| Fase de controles en acción, Paso 23 | Convertir las expectativas sobre proveedores en términos contractuales | Cláusulas SBOM, derechos de auditoría, obligaciones de notificación |
La lección práctica es sencilla. Las SBOM pertenecen a la gestión de riesgos, el desarrollo seguro, las pruebas, la gobernanza de proveedores, la respuesta a incidentes y los informes a la dirección.
La perspectiva de auditoría: qué probarán distintos revisores
Un programa SBOM maduro debe resistir distintos estilos de auditoría.
Un auditor de ISO 27001:2022 comenzará por el SGSI. Preguntará si el riesgo de la cadena de suministro de software está dentro del alcance, si los requisitos de las partes interesadas incluyen NIS2, clientes DORA, GDPR y contratos, si el riesgo de componentes forma parte de la metodología de riesgos, si la Declaración de Aplicabilidad incluye los controles pertinentes del Anexo A y si las políticas se implantan de forma sostenida. Puede seleccionar una versión como muestra y trazarla desde la política hasta la canalización, la SBOM, el escaneo de vulnerabilidades, la aprobación de cambios, el despliegue y la supervisión posterior a la versión.
Un revisor DORA o un cliente financiero se centrará en la resiliencia operativa y el riesgo de terceros de TIC. Puede preguntar qué componentes soportan el servicio utilizado por la entidad financiera, si el servicio soporta una función crítica o importante, cómo se documentan los activos y dependencias de TIC, si las vulnerabilidades se supervisan, si las pruebas anuales cubren sistemas críticos y si los contratos incluyen asistencia, derechos de auditoría, notificación de incidentes, ubicación de datos, subcontratación y condiciones de terminación.
Un evaluador de NIST CSF buscará resultados. En GOVERN, probará la gobernanza legal, regulatoria, contractual, de privacidad y de cadena de suministro. En IDENTIFY, esperará visibilidad de activos, software y servicios. En PROTECT, probará el desarrollo seguro y los controles de canalización. En DETECT y RESPOND, examinará alertas de vulnerabilidades, análisis, escalado y comunicaciones. En RECOVER, preguntará cómo afecta el compromiso de un componente a la restauración y a las comunicaciones con clientes.
Un auditor de estilo COBIT o ISACA se centrará en la gobernanza, la responsabilidad proactiva, la propiedad del riesgo, el diseño de controles y la fiabilidad de las evidencias. Puede probar si las SBOM están completas, si los tickets de vulnerabilidad se cierran conforme a la política, si las excepciones caducan, si las evidencias de proveedores están actualizadas y si la dirección recibe informes significativos.
Fallos comunes de SBOM que deben evitarse
Los programas SBOM suelen fracasar por motivos previsibles.
El primer fallo es generar SBOM sin almacenarlas como evidencias controladas. Si el archivo se sobrescribe en cada compilación y no puede vincularse a una versión, es una evidencia de auditoría débil.
El segundo fallo es separar las SBOM de la gestión de vulnerabilidades. Una lista de componentes sin triaje, propiedad, remediación o aceptación del riesgo no demuestra la operación del control.
El tercer fallo es excluir dependencias transitivas. Las vulnerabilidades suelen ocultarse por debajo de la capa de dependencia directa.
El cuarto fallo es dejar el desarrollo externalizado fuera del proceso. Si un proveedor entrega código sin divulgación de componentes, evidencias de análisis o registros de aprobación, la cadena de suministro de software tiene un punto ciego no gestionado.
El quinto fallo es firmar contratos con proveedores sin derechos sobre evidencias. Compras firma el acuerdo, ingeniería consume el servicio y seguridad descubre después que no existe derecho de auditoría, obligación de divulgación de vulnerabilidades, restricción de subcontratistas ni soporte de salida.
El sexto fallo es no mapear los componentes con servicios de negocio. Un paquete vulnerable significa poco hasta que se sabe si afecta a autenticación, pagos, reporting, datos de pacientes, administración de la nube, alta de clientes o un flujo de trabajo financiero regulado.
El séptimo fallo es ocultar a la dirección vulnerabilidades críticas no resueltas. NIS2 y DORA hacen explícita la responsabilidad de la dirección. El riesgo crítico de componentes debe ser visible en los foros de gobernanza, no quedar enterrado en backlogs de ingeniería.
Cómo se ve un buen programa en 2026
Un programa SBOM preparado para auditoría tiene rasgos visibles.
Existe una política aprobada que exige que los componentes de terceros y de código abierto se aprueben, sigan, analicen y revisen. La canalización de CI/CD genera SBOM automáticamente. Los análisis SCA se ejecutan antes del despliegue y durante la ejecución cuando corresponde. Las vulnerabilidades críticas activan un escalado definido. Las excepciones tienen propietarios, fechas de caducidad, controles compensatorios y aceptación del riesgo.
Los contratos con proveedores incluyen obligaciones de seguridad, plazos de notificación de brechas de seguridad, derechos de auditoría, controles de subcontratación y disposiciones de terminación. Los proveedores críticos se revisan al menos anualmente. Los riesgos de dependencia de proveedores y de concentración son visibles. Los equipos de desarrollo externalizado siguen las mismas reglas de desarrollo seguro y aprobación de componentes que los equipos internos.
Los informes a la dirección conectan el riesgo técnico con el impacto en el negocio:
- Componentes críticos vulnerables por producto
- Exposición por cliente o servicio regulado
- Remediaciones abiertas vencidas respecto al acuerdo de nivel de servicio
- Componentes sin fuente aprobada
- Bibliotecas sin soporte o al final de su vida útil
- Deficiencias de evidencias de proveedores
- Excepciones pendientes de renovación o cierre
- Incidentes vinculados a vulnerabilidades de componentes
Es entonces cuando las SBOM dejan de ser un artefacto de cumplimiento y se convierten en una herramienta de gestión.
Convierta las SBOM en evidencias de cumplimiento defendibles
La próxima vez que una alerta de componente crítico llegue a las 07:42, la respuesta no debería ser: “Necesitamos dos horas para averiguar dónde está”.
Debería ser: “Este es el componente afectado, estos son los servicios, estos son los clientes, esta es la calificación de riesgo, este es el plan de remediación y estas son las evidencias”.
Clarysec puede ayudarle a diseñar ese sistema de control. Ayudamos a las organizaciones a definir el alcance de SBOM dentro del SGSI, mapear los controles del Anexo A de ISO 27001:2022 con NIS2, DORA, GDPR, NIST CSF 2.0 y expectativas de auditoría de estilo COBIT, implantar políticas de desarrollo seguro y proveedores, crear paquetes de evidencias de versión y preparar aseguramiento listo para auditoría mediante Zenith Controls y Zenith Blueprint.
¿Está preparado para convertir su cadena de suministro de software de una fuente de incertidumbre en una demostración de resiliencia?
Descargue las políticas pertinentes de Clarysec, utilice Zenith Blueprint para secuenciar la implantación y use Zenith Controls para mapear sus evidencias en ISO 27001:2022, NIS2, DORA y requisitos de aseguramiento de clientes. Contacte con Clarysec para comenzar con una evaluación focalizada de preparación de SBOM y construir un programa práctico, preparado para auditoría, de aseguramiento de la cadena de suministro de software.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
