Configuraciones de referencia seguras para NIS2 y DORA
La configuración incorrecta del viernes por la tarde que acabó siendo un problema del consejo de administración
A las 16:40 de un viernes, el responsable de ingeniería de una plataforma fintech aprobó lo que parecía un cambio rutinario de cortafuegos. Se abrió una regla temporal para solucionar una incidencia en una integración con un proveedor de analítica de pagos. El ticket decía: “eliminar tras las pruebas”. La prueba fue satisfactoria. La regla permaneció.
Tres semanas después, un escaneo externo encontró una interfaz administrativa accesible desde internet. El servidor estaba parcheado. Existía MFA para los usuarios normales. El escáner de vulnerabilidades no señaló ningún CVE crítico. Pero el sistema seguía sin ser seguro, porque su configuración se había desviado del estado endurecido aprobado por la organización.
El lunes por la mañana, el CISO tenía cuatro conversaciones en paralelo:
- El regulador quería saber si la resiliencia operativa se había visto afectada.
- El Delegado de Protección de Datos quería saber si se habían expuesto datos personales.
- El consejo de administración quería saber por qué no se detectaban los cambios “temporales”.
- El auditor interno de ISO/IEC 27001:2022 quería evidencias de que las configuraciones de referencia seguras estaban definidas, aprobadas, implantadas y supervisadas.
Aquí es donde muchos programas de seguridad descubren una verdad incómoda. La configuración segura no es solo una lista de verificación técnica de endurecimiento. En 2026, las configuraciones de referencia seguras son una cuestión de gobierno, ciberhigiene, riesgo de las TIC, evidencias de auditoría y responsabilidad del consejo de administración.
Una segunda versión del mismo problema se repite en muchas organizaciones reguladas. María, CISO de un procesador de pagos B2B en crecimiento, cuenta con buenos ingenieros, sistemas parcheados y buenas prácticas de nube. Pero una evaluación de preparación para NIS2 y DORA destaca un hallazgo rojo: ausencia de configuraciones de referencia seguras formalizadas. Su equipo sabe cómo endurecer servidores, pero gran parte de ese conocimiento reside en la cabeza de los ingenieros, no en estándares aprobados, comprobaciones automatizadas ni paquetes de evidencias.
Esa brecha ya no es defendible. NIS2 exige que los órganos de dirección aprueben y supervisen las medidas de gestión de riesgos de ciberseguridad. DORA exige un marco documentado de gestión del riesgo de las TIC y operaciones de TIC resilientes. El RGPD de la UE exige medidas técnicas y organizativas adecuadas. ISO/IEC 27001:2022 exige selección de controles basada en riesgos, implantación, supervisión, auditoría y mejora continua.
Las configuraciones de referencia seguras conectan todas estas obligaciones en un único sistema de control práctico: definir la configuración de referencia, asignar la propiedad, aplicarla durante el aprovisionamiento, gobernar las excepciones, detectar la deriva, aportar evidencias y mejorar tras auditorías o incidentes.
Como señala Zenith Blueprint: hoja de ruta de 30 pasos para auditores de Clarysec en la fase Controles en acción, paso 19, Controles tecnológicos I:
“Muchas brechas de seguridad no son consecuencia de defectos de software, sino de decisiones de configuración deficientes. Contraseñas por defecto sin cambiar, servicios inseguros habilitados, puertos innecesarios abiertos o sistemas expuestos a internet sin justificación.”
Esa frase resume por qué las configuraciones de referencia seguras son ahora un control esencial de resiliencia. Definen qué significa “seguro” antes de que lo pregunte un auditor, regulador, cliente o atacante.
Qué es realmente una configuración de referencia segura
Una configuración de referencia segura es el conjunto aprobado, documentado y repetible de ajustes de seguridad para un tipo de sistema. Puede aplicarse a servidores Windows, hosts Linux, dispositivos de red, entornos SaaS, almacenamiento en la nube, clústeres Kubernetes, bases de datos, cortafuegos, endpoints, plataformas de identidad, dispositivos IoT y tecnología operativa.
Una configuración de referencia sólida responde a preguntas prácticas:
- ¿Qué servicios están deshabilitados por defecto?
- ¿Qué puertos pueden exponerse externamente?
- ¿Qué ajustes de autenticación y MFA son obligatorios?
- ¿Qué ajustes de registro de eventos deben estar habilitados?
- ¿Qué ajustes de cifrado son obligatorios?
- ¿Qué interfaces administrativas están restringidas?
- ¿Qué recursos en la nube pueden ser públicos y con la aprobación de quién?
- ¿Qué desviaciones requieren aceptación del riesgo?
- ¿Con qué frecuencia comprobamos la deriva?
- ¿Qué evidencias demuestran que la configuración de referencia está operativa?
El fallo más habitual es tratar las configuraciones de referencia como preferencias de ingeniería en lugar de controles gobernados. La lista de verificación de un administrador Linux, la página wiki de un arquitecto de nube y la convención de cortafuegos de un ingeniero de redes pueden ser útiles, pero no son auditables hasta que se aprueban, se mapean con riesgos, se aplican de forma coherente y se supervisan.
Por eso ISO/IEC 27001:2022 es un anclaje tan útil. Las cláusulas 4.1 a 4.3 exigen que las organizaciones comprendan las cuestiones internas y externas, las partes interesadas y el alcance del SGSI, incluidos los requisitos legales, regulatorios, contractuales y de terceros. Las cláusulas 6.1.2 y 6.1.3 exigen evaluación de riesgos de seguridad de la información, tratamiento de riesgos, selección de controles, una Declaración de Aplicabilidad y aprobación por parte del propietario del riesgo. Las cláusulas 8.2 y 8.3 exigen repetir las evaluaciones de riesgos y el tratamiento de riesgos a intervalos planificados o tras cambios significativos.
A continuación, el Anexo A concreta la expectativa técnica mediante A.8.9 Gestión de configuraciones, apoyada por inventario de activos, gestión de vulnerabilidades, gestión de cambios, registro de eventos, supervisión, control de acceso, criptografía, uso de la nube y procedimientos operativos documentados.
El resultado es una declaración de gobernanza simple pero potente: si su organización no puede demostrar qué significa “seguro” para cada tipo principal de sistema, no puede probar de forma convincente la ciberhigiene bajo NIS2, el control del riesgo de las TIC bajo DORA, la responsabilidad proactiva bajo el RGPD de la UE ni la eficacia de los controles bajo ISO/IEC 27001:2022.
Por qué NIS2, DORA y el RGPD de la UE hacen inevitables las configuraciones de referencia
NIS2, DORA y el RGPD de la UE utilizan lenguajes distintos, pero convergen en el mismo requisito operativo: los sistemas deben configurarse de forma segura, supervisarse de manera continua y gobernarse mediante una gestión del riesgo con responsabilidad asignada.
El artículo 20 de NIS2 exige que los órganos de dirección de las entidades esenciales e importantes aprueben las medidas de gestión de riesgos de ciberseguridad, supervisen su implantación y reciban formación en ciberseguridad. El artículo 21 exige medidas técnicas, operativas y organizativas adecuadas y proporcionadas. Las configuraciones de referencia seguras respaldan el artículo 21(2)(a) sobre políticas de análisis de riesgos y seguridad de los sistemas de información, el artículo 21(2)(e) sobre seguridad en la adquisición, desarrollo y mantenimiento de sistemas de redes y de información, incluida la gestión de vulnerabilidades, el artículo 21(2)(f) sobre políticas y procedimientos para evaluar la eficacia, el artículo 21(2)(g) sobre higiene cibernética básica y formación en ciberseguridad, el artículo 21(2)(h) sobre criptografía, el artículo 21(2)(i) sobre control de acceso y gestión de activos, y el artículo 21(2)(j) sobre autenticación multifactor y comunicaciones seguras.
DORA es aplicable desde el 17 de enero de 2025 y funciona como el manual sectorial de resiliencia operativa para las entidades financieras cubiertas. Los artículos 5 y 6 exigen gobernanza y un marco documentado de gestión del riesgo de las TIC. El artículo 8 exige la identificación de activos de TIC, activos de información, funciones de la organización soportadas por TIC y dependencias. El artículo 9 exige medidas de protección y prevención, incluidas políticas, procedimientos, protocolos y herramientas de seguridad para sistemas de TIC, transferencia segura de datos, control de acceso, autenticación robusta, protección de claves criptográficas, gestión de cambios, aplicación de parches y actualizaciones. Los artículos 10 a 14 extienden el modelo a detección, respuesta, recuperación, copia de seguridad, restauración, aprendizaje y comunicación.
El RGPD de la UE añade la perspectiva de privacidad. Los artículos 5 y 32 exigen integridad, confidencialidad, seguridad del tratamiento y responsabilidad proactiva mediante medidas técnicas y organizativas adecuadas. Los contenedores de almacenamiento en nube pública, las bases de datos sobreexpuestas, los valores por defecto inseguros y el acceso administrativo excesivo no son solo debilidades de infraestructura. Pueden convertirse en fallos de protección de datos personales.
Un único programa de configuraciones de referencia seguras puede respaldar los tres regímenes sin crear flujos de evidencias duplicados.
| Área de requisito | Contribución de la configuración segura | Evidencias típicas |
|---|---|---|
| Tratamiento de riesgos ISO/IEC 27001:2022 | Demuestra controles seleccionados e implantados para estados seguros de los sistemas | Plan de tratamiento de riesgos, Declaración de Aplicabilidad, configuración de referencia aprobada |
| Ciberhigiene NIS2 | Muestra ajustes por defecto seguros, exposición controlada y evaluación de la eficacia | Registro de configuraciones de referencia, informes de deriva, informes a la dirección |
| Gestión del riesgo de las TIC DORA | Vincula protección de activos de TIC, control de cambios, aplicación de parches y supervisión | Mapeo de activos de TIC, tickets de cambio, informes de cumplimiento de configuración |
| Responsabilidad proactiva del RGPD de la UE | Demuestra medidas adecuadas para sistemas que tratan datos personales | Mapeo de sistemas de datos, ajustes de cifrado, revisiones de acceso |
| Aseguramiento de clientes | Aporta evidencias repetibles para cuestionarios de diligencia debida | Paquete de evidencias, capturas de pantalla, exportaciones, registro de excepciones |
El modelo de configuraciones de referencia de Clarysec: política, procedimiento y evidencias de plataforma
Clarysec trata la configuración segura como un sistema de control repetible, no como un proyecto puntual de endurecimiento. La configuración de referencia debe estar autorizada por una política, traducida a procedimientos, implantada mediante controles técnicos y demostrada con evidencias.
La Política de Seguridad de la Información establece esta expectativa a nivel corporativo:
“La organización debe mantener una configuración de referencia mínima de controles derivada del Anexo A de ISO/IEC 27001, complementada, cuando proceda, por controles de ISO/IEC 27002, NIST SP 800-53 y COBIT 2019.”
De la sección “Tratamiento de riesgos y excepciones”, cláusula de política 7.2.1.
Esta cláusula evita que el endurecimiento de configuraciones se convierta en una colección de preferencias personales. Ancla la configuración de referencia mínima de controles en marcos reconocidos.
Para entornos en la nube, la Política de Uso de la Nube acota el requisito:
“Todos los entornos en la nube deben cumplir una configuración de referencia documentada aprobada por el arquitecto de seguridad en la nube.”
De la sección “Requisitos de implantación de la política”, cláusula de política 6.3.1.
La Política de Auditoría y Supervisión del Cumplimiento convierte después la configuración de referencia en un control supervisado:
“Deben desplegarse herramientas automatizadas para supervisar el cumplimiento de la configuración, la gestión de vulnerabilidades, el estado de cumplimiento de parches y el acceso privilegiado.”
De la sección “Requisitos de implantación de la política”, cláusula de política 6.4.1.
La configuración también es inseparable de la gestión de vulnerabilidades y parches. La Política de Gestión de Vulnerabilidades y Parches establece:
“La remediación de vulnerabilidades debe alinearse con la configuración de referencia y los estándares de endurecimiento del sistema.”
De la sección “Requisitos de implantación de la política”, cláusula de política 6.4.1.
Este punto es importante. Un sistema puede estar parcheado y seguir siendo inseguro si SMBv1 está habilitado, las interfaces administrativas están expuestas, el registro de eventos está deshabilitado o persisten ajustes débiles de autenticación. En Zenith Controls: la guía de cumplimiento transversal, la gestión de configuraciones se trata como un control preventivo que protege la confidencialidad, la integridad y la disponibilidad, con capacidad operativa en configuración segura. Zenith Controls también explica la dependencia entre gestión de configuraciones y gestión de vulnerabilidades:
“La gestión de vulnerabilidades depende de configuraciones conocidas. Sin una configuración de referencia definida, es imposible asegurar que los parches se apliquen de forma coherente.”
Esta es la historia de evidencias que auditores y reguladores esperan cada vez más: un sistema de control, no tareas técnicas aisladas.
Mapeo de ISO/IEC 27001:2022 A.8.9 con controles de apoyo
El control A.8.9 Gestión de configuraciones del Anexo A de ISO/IEC 27001:2022 es el anclaje, pero no debe tratarse como un documento pequeño e independiente. Depende de una familia de controles más amplia.
| Control del Anexo A de ISO/IEC 27001:2022 | Por qué importa para las configuraciones de referencia seguras |
|---|---|
| A.5.9 Inventario de información y otros activos asociados | Todo activo conocido necesita una configuración de referencia asignada. Los activos desconocidos generan riesgo de configuración desconocido. |
| A.8.8 Gestión de vulnerabilidades técnicas | Los escaneos y la aplicación de parches dependen de configuraciones conocidas y de estados esperados del sistema. |
| A.8.32 Gestión de cambios | Las configuraciones de referencia definen estados aprobados, mientras que la gestión de cambios controla el movimiento aprobado entre estados. |
| A.8.1 Dispositivos endpoint de usuario | Las compilaciones de endpoints necesitan ajustes endurecidos, cifrado, agentes de seguridad y servicios restringidos. |
| A.8.2 Derechos de acceso privilegiado | Solo los administradores autorizados deben cambiar configuraciones, y las cuentas por defecto deben eliminarse o protegerse. |
| A.8.5 Autenticación segura | Las reglas de contraseña, bloqueo, MFA y sesión suelen ser ajustes de configuración de referencia. |
| A.8.15 Registro de eventos | Deben capturarse eventos de seguridad, administrativos y de cambios de configuración para evidencias e investigación. |
| A.8.16 Actividades de supervisión | La detección de deriva y los cambios de configuración sospechosos requieren monitorización activa. |
| A.5.37 Procedimientos operativos documentados | Los procedimientos de compilación, las listas de verificación de configuración y los pasos de revisión hacen repetible la aplicación de la configuración de referencia. |
| A.5.36 Cumplimiento de políticas, reglas y estándares de seguridad de la información | Las comprobaciones de cumplimiento demuestran que los sistemas siguen coincidiendo con las configuraciones de referencia aprobadas. |
Esta relación entre controles es la razón por la que Clarysec recomienda gestionar la configuración segura como una capacidad del SGSI con propietarios, evidencias, métricas e informes a la dirección.
Una matriz de correspondencia más amplia ayuda a traducir el mismo programa de configuraciones de referencia a otros marcos.
| Marco | Requisito o control pertinente | Evidencias de configuración segura |
|---|---|---|
| NIS2 | Artículo 21 medidas de gestión de riesgos de ciberseguridad, incluidas ciberhigiene, mantenimiento seguro, gestión de vulnerabilidades, evaluación de la eficacia, control de acceso y gestión de activos | Estándares de configuración de referencia, informes de deriva, registros de excepciones, supervisión de la dirección |
| DORA | Artículos 6, 8 y 9 sobre gestión del riesgo de las TIC, identificación de activos de TIC, protección y prevención | Registro de configuraciones de referencia de TIC, mapeo de activos con configuraciones de referencia, evidencias de cambios y parches |
| RGPD de la UE | Artículos 5 y 32 sobre integridad, confidencialidad, seguridad del tratamiento y responsabilidad proactiva | Ajustes de cifrado, ajustes de acceso, configuración segura de la nube, registros de revisión |
| NIST SP 800-53 Rev. 5 | CM-2 Baseline Configuration, CM-3 Configuration Change Control, CM-6 Configuration Settings, CM-7 Least Functionality, RA-5 Vulnerability Monitoring and Scanning, SI-4 System Monitoring | Configuraciones de referencia, registros de cambios, resultados de escaneos de vulnerabilidades, salidas de supervisión |
| COBIT 2019 | APO13 Managed Security, BAI06 Managed IT Changes, BAI10 Managed Configuration, DSS05 Managed Security Services, MEA03 Managed Compliance With External Requirements | Métricas de gobernanza, cambios aprobados, registros de configuración, informes de cumplimiento |
Una estructura práctica de configuración de referencia que puede implantar este mes
El error más habitual es intentar redactar un estándar de endurecimiento perfecto de 80 páginas antes de aplicar nada. Empiece con una configuración de referencia mínima pero auditable para cada familia tecnológica principal y madúrela mediante automatización y revisión.
| Componente de la configuración de referencia | Requisito de ejemplo | Evidencias que conservar |
|---|---|---|
| Alcance | Servidores Windows, servidores Linux, endpoints, cortafuegos, almacenamiento en la nube, entorno de identidad y bases de datos | Registro de configuraciones de referencia con categorías de activos |
| Propiedad | Cada configuración de referencia tiene un propietario técnico, un propietario del riesgo y una autoridad de aprobación | RACI o matriz de propiedad de controles |
| Compilación aprobada | Imagen endurecida, plantilla de infraestructura como código, GPO, perfil MDM o lista de verificación manual de compilación | Exportación de plantilla, captura de pantalla, commit de repositorio o lista de verificación |
| Exposición de red | Solo puertos y servicios aprobados expuestos externamente | Exportación de reglas de cortafuegos, informe de grupos de seguridad en la nube |
| Autenticación | MFA para acceso administrativo, sin cuentas por defecto, ajustes seguros de contraseña y bloqueo | Captura de pantalla de política de identidad, revisión de acceso administrativo |
| Registro de eventos | Registros de seguridad, administración, autenticación y cambios de configuración habilitados | Panel SIEM, inventario de fuentes de registro |
| Cifrado | Cifrado en reposo y en tránsito habilitado cuando sea obligatorio | Captura de pantalla de configuración, registro de gestión de claves |
| Control de cambios | Los cambios y excepciones de configuración de referencia requieren ticket, aprobación, pruebas y plan de reversión | Ticket de cambio e historial de aprobación |
| Supervisión de deriva | Comprobaciones automatizadas o programadas comparan los ajustes reales con la configuración de referencia aprobada | Informe de cumplimiento de configuración |
| Cadencia de revisión | Configuraciones de referencia revisadas al menos anualmente y tras incidentes graves, cambios de arquitectura o cambios regulatorios | Actas de revisión, historial de versiones actualizado |
Para una configuración de referencia de almacenamiento en la nube, la primera versión puede incluir acceso público deshabilitado por defecto, cifrado en reposo habilitado, registro de accesos habilitado, acceso administrativo limitado a grupos aprobados, MFA obligatorio para acceso privilegiado a la consola, control de versiones habilitado cuando lo exijan los requisitos de recuperación, replicación restringida a regiones aprobadas y cambios realizados únicamente mediante canalizaciones aprobadas de infraestructura como código.
Para una configuración de referencia de Windows Server 2022 que soporte procesamiento de pagos, la primera versión puede incluir SMBv1 deshabilitado, servicios no esenciales deshabilitados, RDP restringido a un bastión de acceso endurecido, Windows Defender Firewall habilitado con reglas de denegación por defecto, cuentas de administrador local controladas, registros de eventos reenviados al SIEM, protección de endpoints habilitada y cambios administrativos vinculados a tickets aprobados.
Para cada configuración de referencia, cree un pequeño paquete de evidencias:
- El documento de configuración de referencia aprobado.
- Una captura de pantalla o política exportada que muestre la configuración aplicada.
- Una lista de activos cubiertos por la configuración de referencia.
- Un ticket de cambio que muestre cómo se aprueban las actualizaciones.
- Un informe de cumplimiento de configuración o registro de revisión manual.
Esto se alinea directamente con Zenith Blueprint, fase Controles en acción, paso 19, donde Clarysec aconseja a las organizaciones establecer listas de verificación de configuración para los principales tipos de sistemas, aplicar los ajustes de forma coherente durante el aprovisionamiento mediante automatización siempre que sea posible y auditar de forma rutinaria los sistemas desplegados. El Blueprint también ofrece un método práctico de auditoría:
“Elija algunos sistemas representativos (por ejemplo, un servidor, un switch y un PC de usuario final) y valide que su configuración coincide con su configuración de referencia segura. Documente las desviaciones y la remediación.”
Para pymes, ese enfoque de muestreo representativo suele ser la vía más rápida para pasar del endurecimiento informal a evidencias preparadas para auditoría.
Ejemplos de endurecimiento para pymes que reducen el riesgo rápidamente
La configuración segura no es solo una cuestión de nube empresarial. Las pymes suelen obtener la mayor reducción de riesgo a partir de unas pocas reglas claras de configuración de referencia.
La Política de Seguridad de Redes - pyme establece:
“Solo los puertos esenciales (por ejemplo, HTTPS, VPN) pueden exponerse a internet público; todos los demás deben estar cerrados o filtrados”
De la sección “Requisitos de implantación de la política”, cláusula de política 6.1.3.
También exige disciplina en los cambios:
“Todos los cambios en las configuraciones de red (reglas de cortafuegos, ACL de switches, tablas de enrutamiento) deben seguir un proceso documentado de gestión de cambios”
De la sección “Requisitos de implantación de la política”, cláusula de política 6.9.1.
Y establece una cadencia de revisión:
“El proveedor de soporte de TI debe realizar una revisión anual de las reglas de cortafuegos, la arquitectura de red y las configuraciones inalámbricas”
De la sección “Requisitos de gobernanza”, cláusula de política 5.6.1.
Las configuraciones de referencia de endpoints requieren la misma atención. La Política de Protección de Endpoints frente al Malware - pyme de Clarysec establece:
“Los dispositivos deben deshabilitar protocolos obsoletos (por ejemplo, SMBv1) que puedan ser explotados por malware”
De la sección “Requisitos de implantación de la política”, cláusula de política 6.2.1.3.
Para entornos IoT y OT, los valores por defecto inseguros siguen siendo una exposición recurrente. La Política de Seguridad de Internet de las Cosas (IoT) / Tecnología Operativa (OT) - pyme establece:
“Las contraseñas por defecto o codificadas de forma fija deben cambiarse antes de activar los dispositivos”
De la sección “Requisitos de gobernanza”, cláusula de política 5.3.2.
Estas cláusulas de política no son declaraciones abstractas. Son requisitos de configuración de referencia que pueden probarse, evidenciarse y seguirse. Para una pyme que se prepara para la diligencia debida de clientes, revisiones de proveedores NIS2, seguro cibernético o certificación ISO/IEC 27001:2022, crean valor inmediato.
Gestión de excepciones: el control que separa la madurez del papeleo
Todas las configuraciones de referencia tendrán excepciones. Una aplicación heredada puede requerir un protocolo antiguo. Un dispositivo de proveedor puede no soportar el ajuste de cifrado preferido. Puede necesitarse una apertura temporal de cortafuegos para una migración. La cuestión no es si existen excepciones. La cuestión es si están gobernadas.
Un registro de excepciones maduro incluye:
- El requisito de configuración de referencia que se incumple.
- La justificación de negocio.
- El activo afectado y su propietario.
- La evaluación de riesgos.
- Los controles compensatorios.
- La autoridad de aprobación.
- La fecha de caducidad.
- El requisito de supervisión.
- El plan de remediación.
Aquí es donde el tratamiento de riesgos de ISO/IEC 27001:2022 y la proporcionalidad de DORA funcionan conjuntamente. ISO/IEC 27001:2022 exige que las decisiones de control se justifiquen mediante evaluación de riesgos, tratamiento de riesgos, Declaración de Aplicabilidad y aprobación del propietario del riesgo. DORA permite una implantación proporcional basada en el tamaño, el perfil de riesgo y la naturaleza, escala y complejidad de los servicios, pero sigue esperando gobernanza documentada del riesgo de las TIC, supervisión, continuidad, pruebas y concienciación.
La proporcionalidad no es permiso para omitir configuraciones de referencia. Es un requisito para escalarlas de forma inteligente.
Para una microentidad financiera o una entidad financiera más pequeña bajo un marco simplificado de riesgo de las TIC, la configuración de referencia puede ser concisa y estar respaldada por muestreo manual. Para una entidad financiera mayor, el mismo dominio probablemente requerirá comprobaciones automatizadas de configuración, participación de auditoría interna, pruebas anuales e informes al órgano de dirección.
La Política de Gestión de Cambios también recuerda a las organizaciones que vigilen:
“Deriva de configuración o manipulación tras cambios aprobados”
De la sección “Aplicación y cumplimiento”, cláusula de política 8.1.2.3.
Esa frase conecta el control de cambios con la detección de deriva. Un cambio puede estar aprobado y aun así crear riesgo si el estado implantado difiere del estado aprobado, o si un ajuste temporal permanece tras el cierre de la ventana de cambio.
Construir una única pista de evidencias para muchas obligaciones de cumplimiento
Una configuración de referencia segura no debería crear cinco flujos de trabajo de cumplimiento separados. El modelo de Clarysec utiliza una única pista de evidencias mapeada con múltiples obligaciones.
| Artefacto de evidencia | Uso en ISO/IEC 27001:2022 | Uso en NIS2 | Uso en DORA | Uso en RGPD de la UE | Uso en NIST y COBIT 2019 |
|---|---|---|---|---|---|
| Estándar de configuración de referencia | Respalda la selección de controles del Anexo A y el tratamiento de riesgos | Demuestra ciberhigiene y mantenimiento seguro | Respalda el marco de riesgo de las TIC y operaciones de TIC seguras | Muestra medidas técnicas adecuadas | Respalda ajustes de configuración y objetivos de gobernanza |
| Mapeo de activos con configuraciones de referencia | Respalda el inventario de activos y el alcance | Muestra que los sistemas utilizados para la prestación del servicio están controlados | Respalda la identificación de activos de TIC y dependencias | Identifica sistemas que tratan datos personales | Respalda inventarios y gestión de componentes |
| Tickets de cambio | Muestra implantación controlada y desviaciones | Muestra control operativo basado en riesgos | Respalda gestión de cambios, aplicación de parches y actualizaciones | Muestra responsabilidad proactiva sobre cambios que afectan a datos personales | Respalda control de cambios y pistas de auditoría |
| Informes de deriva | Muestra supervisión y evaluación de la eficacia | Muestra evaluación de medidas técnicas | Muestra supervisión y control continuos | Muestra protección continua de los datos | Respalda monitorización continua y conformidad |
| Registro de excepciones | Muestra aprobación del riesgo residual por el propietario del riesgo | Muestra gestión proporcionada del riesgo | Muestra aceptación del riesgo de las TIC y seguimiento de remediación | Muestra responsabilidad proactiva y salvaguardas | Respalda respuesta al riesgo y supervisión de la dirección |
| Actas de revisión | Respaldan revisión por la dirección y mejora continua | Respaldan supervisión de la dirección bajo el artículo 20 | Respaldan responsabilidad del órgano de dirección | Respaldan revisión y actualización de medidas | Respaldan informes de gobernanza y métricas |
La clave es la trazabilidad. Zenith Blueprint, fase Auditoría, revisión y mejora, paso 24, instruye a las organizaciones a actualizar la Declaración de Aplicabilidad y verificarla de forma cruzada con el plan de tratamiento de riesgos. Si un control es aplicable, se necesita una justificación. Esa justificación debe vincularse con el riesgo, la obligación legal, el requisito contractual o la necesidad de negocio.
Para la configuración segura, la entrada de la SoA correspondiente a A.8.9 debe hacer referencia al estándar de configuraciones de referencia seguras, las categorías de activos cubiertas, los propietarios de las configuraciones de referencia, el procedimiento de gestión de cambios, el método de supervisión, el proceso de excepciones, la cadencia de revisión y las obligaciones de cumplimiento transversal, como NIS2 artículo 21, DORA artículos 6, 8 y 9, RGPD de la UE artículo 32 y compromisos con clientes.
Cómo probarán los auditores las configuraciones de referencia seguras
La configuración segura es atractiva para los auditores porque es rica en evidencias. Puede probarse mediante documentos, entrevistas, muestreo e inspección técnica.
| Perspectiva de auditoría | Qué preguntará el auditor | Evidencias que funcionan |
|---|---|---|
| Auditor del SGSI ISO/IEC 27001:2022 | ¿La gestión de configuraciones está dentro del alcance, evaluada en riesgos, seleccionada en la SoA, implantada y supervisada? | Entrada de la SoA, plan de tratamiento de riesgos, estándar de configuración de referencia, evidencias de sistemas de muestra, resultados de auditoría interna |
| Auditor técnico | ¿Los sistemas reales coinciden con las configuraciones de referencia aprobadas y se corrigen las desviaciones? | Exportaciones de configuración, capturas de pantalla, exportaciones de GPO, informes de deriva, registros de acciones correctivas |
| Evaluador NIST | ¿Las configuraciones de referencia están documentadas, los ajustes seguros se aplican, los inventarios se mantienen y las desviaciones se supervisan? | Listas de verificación de endurecimiento, CMDB, informes automatizados de cumplimiento, salidas de escaneos de benchmarks |
| Auditor COBIT 2019 | ¿Las configuraciones de referencia están gobernadas, aprobadas, supervisadas y notificadas a la dirección? | Métricas de gobernanza, informes de gestión, tickets de cambio, registro de excepciones |
| Auditor alineado con ISACA ITAF | ¿Existe evidencia suficiente y adecuada de que el control está diseñado y opera eficazmente? | Entrevistas, recorridos, registros de auditoría de configuración, registros de incidentes vinculados a configuraciones incorrectas |
Las preguntas prácticas son previsibles:
- ¿Utilizan una lista de verificación de endurecimiento al instalar servidores nuevos?
- ¿Cómo evitan que servicios inseguros como Telnet se ejecuten en routers?
- ¿Los recursos de almacenamiento en la nube son privados por defecto?
- ¿Quién puede aprobar una desviación de la configuración de referencia?
- ¿Cómo detectan la deriva después de un cambio?
- ¿Puede mostrar una revisión reciente de configuración?
- ¿Puede demostrar que una desviación detectada fue corregida?
- ¿Las configuraciones de red y nube se respaldan y están sujetas a control de versiones?
- ¿Los procedimientos de reversión están documentados y probados?
Las organizaciones más sólidas mantienen un paquete de evidencias de configuración de referencia para cada categoría principal de sistema. Acorta las auditorías, mejora las respuestas de diligencia debida de clientes y ayuda a la dirección a comprender el desempeño real de los controles.
Convierta la deriva de configuración en una métrica de ciberhigiene para el consejo de administración
Los consejos de administración no necesitan conocer todas las reglas de cortafuegos. Sí necesitan saber si la ciberhigiene mejora o se deteriora.
Un panel útil de configuración segura incluye:
- Porcentaje de activos mapeados con una configuración de referencia aprobada.
- Porcentaje de activos que superan las comprobaciones de configuración de referencia.
- Número de desviaciones críticas de configuración de referencia.
- Antigüedad media de desviaciones abiertas.
- Número de excepciones vencidas.
- Número de cambios de configuración no autorizados detectados.
- Porcentaje de cambios de configuración privilegiados con tickets aprobados.
- Excepciones de exposición pública en la nube.
- Estado de revisión de configuraciones de referencia por familia tecnológica.
Estas métricas respaldan la evaluación del desempeño de ISO/IEC 27001:2022, la supervisión de la dirección en NIS2 y los informes de riesgo de las TIC en DORA. También se mapean de forma natural con los resultados de gobernanza de NIST CSF 2.0 y los objetivos de monitorización y cumplimiento de COBIT 2019.
Una regla ejecutiva sencilla ayuda: ningún sistema crítico entra en producción sin evidencias de configuración de referencia. Esto puede aplicarse mediante gestión de cambios, puertas de control de CI/CD, comprobaciones de políticas en la nube, revisión de infraestructura como código, cumplimiento MDM, aplicación de GPO o revisión de configuración de red. El nivel de madurez puede variar, pero la lógica de control no debería hacerlo.
El playbook de 90 días para configuraciones de referencia seguras
Si empieza desde cero, no intente resolver todos los problemas de configuración a la vez. Utilice un plan de 90 días.
Días 1 a 30: definir la configuración de referencia mínima
Identifique categorías de activos críticos. Para cada una, asigne un propietario técnico, un propietario del riesgo y una autoridad de aprobación. Cree una primera configuración de referencia para los ajustes más relevantes para la resiliencia frente a ransomware, la exposición en la nube, el acceso privilegiado, el registro de eventos, el cifrado y la protección de datos.
Cree el registro de configuraciones de referencia y mapéelo con el alcance del SGSI, el registro de riesgos y la Declaración de Aplicabilidad. Si está sujeto a NIS2, identifique si es una entidad esencial o importante, o si sus clientes esperan ciberhigiene alineada con NIS2. Si es una entidad financiera bajo DORA, identifique qué activos de TIC soportan funciones críticas o importantes. Si trata datos personales, mapee los sistemas con actividades de tratamiento y categorías de datos del RGPD de la UE.
Días 31 a 60: aplicar y recopilar evidencias
Aplique la configuración de referencia a una muestra de sistemas de alto riesgo. Use automatización cuando sea posible, pero no espere a tener herramientas perfectas. Exporte configuraciones, capture pantallas, guarde ajustes de políticas y registre tickets de cambio.
Para cada excepción, cree un registro de riesgo con fecha de caducidad. Para cada desviación, cree un ticket de remediación.
Días 61 a 90: supervisar, informar y mejorar
Ejecute una revisión de configuración. Tome como muestra un servidor, un endpoint, un dispositivo de red y un entorno en la nube. Compare los ajustes reales con la configuración de referencia aprobada. Documente desviaciones y acciones correctivas.
Informe a la dirección sobre el cumplimiento de configuraciones de referencia. Actualice la Declaración de Aplicabilidad y el plan de tratamiento de riesgos. Incorpore las desviaciones recurrentes al análisis de causa raíz. Si una configuración incorrecta causó un incidente o contribuyó a él, actualice la configuración de referencia pertinente como parte de las lecciones aprendidas.
Esto ofrece a los auditores algo comprobable, a los reguladores algo comprensible y a la dirección algo gobernable.
Reflexión final: la configuración segura es ciberhigiene con pruebas
NIS2 utiliza el lenguaje de medidas de gestión de riesgos de ciberseguridad e higiene cibernética básica. DORA utiliza el lenguaje de riesgo de las TIC, resiliencia, supervisión, continuidad y pruebas. El RGPD de la UE utiliza el lenguaje de medidas adecuadas y responsabilidad proactiva. ISO/IEC 27001:2022 utiliza el lenguaje de tratamiento de riesgos, controles, información documentada, evaluación del desempeño y mejora continua.
Las configuraciones de referencia seguras conectan todo ello.
Demuestran que los sistemas no se despliegan con valores por defecto inseguros. Demuestran que los cambios están controlados. Demuestran que la deriva se detecta. Demuestran que las excepciones se aceptan en función del riesgo. Demuestran que existen evidencias antes de que las pida el auditor.
Lo más importante es que reducen el riesgo operativo real. La regla de cortafuegos del viernes por la tarde, el contenedor de almacenamiento en la nube público, el ajuste SMBv1 olvidado, la contraseña IoT por defecto y la consola de administración sin registros no son hallazgos de auditoría teóricos. Son puntos prácticos de fallo.
Clarysec ayuda a las organizaciones a convertir esos puntos de fallo en configuraciones de referencia controladas, supervisadas y auditables.
Próximos pasos
Si su organización necesita demostrar configuración segura para ISO/IEC 27001:2022, ciberhigiene NIS2, gestión del riesgo de las TIC DORA, responsabilidad proactiva del RGPD de la UE o aseguramiento de clientes, empiece con el kit de herramientas de Clarysec:
- Use Zenith Blueprint: hoja de ruta de 30 pasos para auditores para implantar la gestión de configuraciones en la fase Controles en acción, paso 19, y validarla mediante la fase Auditoría, revisión y mejora, paso 24.
- Use Zenith Controls: la guía de cumplimiento transversal para mapear la gestión de configuraciones con los controles de apoyo de ISO/IEC 27001:2022, NIS2, DORA, RGPD de la UE, NIST SP 800-53, COBIT 2019 y metodologías de auditoría.
- Use políticas de Clarysec como Política de Seguridad de la Información, Política de Uso de la Nube, Política de Auditoría y Supervisión del Cumplimiento, Política de Gestión de Vulnerabilidades y Parches, Política de Seguridad de Redes - pyme, Política de Protección de Endpoints frente al Malware - pyme y Política de Seguridad de Internet de las Cosas (IoT) / Tecnología Operativa (OT) - pyme para definir, aplicar y evidenciar sus requisitos de configuración de referencia.
Una configuración de referencia segura no es solo una lista de verificación de endurecimiento. Es la prueba de que su organización sabe cómo debe ser una configuración segura, la aplica de forma coherente y puede demostrarlo cuando importa.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
