⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →

Arquitectura Zero Trust 2026: evidencias listas para auditoría

Igor Petreski
14 min read
Mapeo de evidencias de arquitectura Zero Trust para ISO 27001 NIS2 DORA y el RGPD de la UE

La auditoría Zero Trust del lunes por la mañana que nadie había previsto

A las 08:12 de un lunes, el CISO de una fintech SaaS europea recibe tres mensajes en menos de cinco minutos.

El primero procede de un cliente bancario: «Facilítennos su paquete de evidencias de arquitectura Zero Trust para nuestra revisión anual de terceros de TIC».

El segundo viene del área jurídica: «Puede que se nos clasifique como entidad importante bajo NIS2 en un Estado miembro, y algunos clientes preguntan si DORA nos alcanza como proveedor de servicios de TIC».

El tercero lo envía el responsable de ingeniería: «Tenemos MFA, SSO, EDR, políticas de red de Kubernetes y alertas SIEM. ¿Eso es Zero Trust?»

Aquí es donde muchas organizaciones se atascan. Cuentan con herramientas de seguridad, pero no con un modelo operativo de cumplimiento basado en Zero Trust. Pueden mostrar capturas de pantalla de MFA, pero no explicar cómo encajan la identidad, la postura del dispositivo, el mínimo privilegio, la segmentación, la supervisión, la notificación de incidentes, las salvaguardas de privacidad y las dependencias de proveedores. Pueden mostrar controles, pero no trazabilidad.

En 2026, la arquitectura Zero Trust basada en NIST SP 800-207 debe ser más que «no confiar nunca, verificar siempre». Para los CISO, responsables de cumplimiento, auditores y responsables de negocio, la pregunta práctica es más concreta:

¿Cómo convertimos Zero Trust en evidencias que satisfagan ISO/IEC 27001:2022, las expectativas de ciberhigiene de NIS2, la gestión del riesgo de las TIC de DORA, la seguridad del tratamiento del Article 32 del RGPD de la UE, la diligencia debida de clientes y la supervisión del consejo de administración?

La respuesta no es otra herramienta. Es un modelo de evidencias basado en riesgos que conecta política, controles, implementación técnica, supervisión y responsabilidad de la dirección.

Zero Trust en 2026: de estrategia de seguridad a evidencias de cumplimiento

NIST SP 800-207 define Zero Trust como un conjunto de principios para diseñar y operar sistemas seguros en los que la confianza nunca es implícita. El acceso se concede en función de la identidad, el contexto, la política, la postura del activo y la evaluación continua.

Los siete principios de Zero Trust de NIST son especialmente útiles porque convierten un eslogan de seguridad difuso en algo que puede mapearse, probarse y auditarse:

  1. Todas las fuentes de datos y los servicios informáticos se consideran recursos.
  2. Toda comunicación se protege con independencia de la ubicación de red.
  3. El acceso a recursos individuales de la organización se concede por sesión.
  4. El acceso a los recursos se determina mediante una política dinámica, que incluye atributos de identidad, dispositivo, aplicación y comportamiento.
  5. La organización supervisa y mide la integridad y la postura de seguridad de todos los activos propios y asociados.
  6. La autenticación y la autorización de todos los recursos son dinámicas y se aplican estrictamente antes de permitir el acceso.
  7. La organización recopila información sobre activos, infraestructura y comunicaciones, y la utiliza para mejorar la postura de seguridad.

Para un proveedor SaaS moderno, un banco digital, un proveedor de servicios gestionados o una plataforma nativa de la nube, estos principios se traducen en dominios de control prácticos:

  • La identidad se verifica y se gobierna.
  • Los dispositivos se evalúan antes de conceder el acceso.
  • El acceso privilegiado se minimiza y se revisa.
  • Las rutas de red se segmentan y se controlan.
  • Las aplicaciones, las API y los almacenes de datos aplican la autorización.
  • Los registros y la telemetría respaldan la supervisión continua.
  • Los incidentes activan la contención, la notificación y la recuperación.
  • Las evidencias demuestran que los controles funcionan, no solo que están diseñados.

Ese último punto es donde entra el cumplimiento.

ISO/IEC 27001:2022 exige que las organizaciones definan el contexto, las partes interesadas, los requisitos legales y contractuales aplicables, el alcance, las interfaces y las dependencias. También exige evaluación de riesgos, tratamiento de riesgos, una Declaración de Aplicabilidad, responsabilidad de la dirección, auditoría interna, revisión por la dirección y mejora continua.

Zero Trust encaja de forma natural en esa estructura cuando se trata como un sistema de controles. No debe quedar fuera del SGSI como una iniciativa de ingeniería. Debe formar parte de la evaluación de riesgos, la selección de controles, la gobernanza de políticas, la gestión de proveedores, la protección de la privacidad, la respuesta a incidentes y la presentación de información al consejo de administración.

La presión regulatoria detrás de las evidencias de Zero Trust

La presión para aportar evidencias de Zero Trust suele venir de obligaciones superpuestas, no de una única norma.

NIS2 puede aplicarse a entidades públicas o privadas de los sectores del Anexo I o del Anexo II que cumplan umbrales de tamaño y actividad, y también puede aplicarse a determinadas entidades más pequeñas pero críticas. El Anexo I incluye proveedores de servicios de computación en la nube, proveedores de centros de datos, proveedores de redes de distribución de contenidos, prestadores de servicios de confianza, proveedores de servicios gestionados, proveedores de servicios de seguridad gestionados, entidades bancarias y entidades de infraestructura de mercados financieros. El Anexo II incluye proveedores digitales, como mercados en línea, motores de búsqueda y plataformas de redes sociales.

NIS2 Article 20 convierte la ciberseguridad en una responsabilidad del órgano de administración. El consejo de administración debe aprobar las medidas de gestión de riesgos de ciberseguridad, supervisar su implementación y recibir formación en ciberseguridad. El Article 21 exige medidas técnicas, operativas y organizativas adecuadas y proporcionadas que cubran análisis de riesgos, gestión de incidentes, continuidad del negocio, seguridad de la cadena de suministro, desarrollo seguro, gestión de vulnerabilidades, evaluación de la eficacia, ciberhigiene, formación, criptografía, seguridad de recursos humanos, control de acceso, gestión de activos y, cuando proceda, MFA o autenticación continua. El Article 23 introduce la notificación escalonada de incidentes significativos, incluida una alerta temprana en 24 horas, notificación en 72 horas e informe final.

DORA es aplicable desde el 17 de enero de 2025 y establece un régimen uniforme de resiliencia operativa digital para entidades financieras. Cubre la gestión del riesgo de las TIC, la notificación de incidentes graves relacionados con las TIC, las pruebas de resiliencia operativa, el intercambio de información sobre amenazas y el riesgo de terceros de TIC. Los Articles 5 y 6 de DORA exigen gobernanza y un marco documentado de gestión del riesgo de las TIC. El Article 9 aborda la protección y prevención, incluidas políticas, procedimientos, protocolos y herramientas para proteger los sistemas de TIC. El Article 17 exige un proceso de gestión de incidentes relacionados con las TIC.

El RGPD de la UE se aplica al tratamiento en el contexto de un establecimiento en la UE y también a responsables o encargados no establecidos en la UE que ofrezcan bienes o servicios a personas en la UE o supervisen su comportamiento. El Article 5 del RGPD de la UE exige responsabilidad proactiva. El Article 32 exige medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad adecuado al riesgo. El Article 33 exige la notificación de brechas de datos personales a la autoridad de control sin dilación indebida y, cuando sea posible, dentro de las 72 horas siguientes a tener constancia de la brecha.

Un modelo de evidencias de Zero Trust ayuda porque un mismo control puede respaldar varios marcos. MFA puede respaldar el control de acceso de ISO/IEC 27001:2022, las medidas de autenticación de NIS2, los requisitos de protección de DORA y la seguridad del tratamiento del RGPD de la UE. Pero solo si la organización puede demostrar alcance, propiedad, implementación, supervisión y revisión.

Mapeo de los principios de Zero Trust de NIST con los controles de ISO/IEC 27001:2022

Los controles del Anexo A de ISO/IEC 27001:2022, respaldados por las directrices de implementación de ISO/IEC 27002:2022, proporcionan el lenguaje de auditoría que la mayoría de las organizaciones necesita. La tabla siguiente traduce los principios de Zero Trust de NIST a áreas de control ISO reconocibles para los auditores.

Principio de Zero Trust de NIST SP 800-207Principio central de Zero TrustControles pertinentes del Anexo A de ISO/IEC 27001:2022
Todas las fuentes de datos y los servicios informáticos son recursosIdentificación de activos y datosA.5.9 Inventario de información y otros activos asociados, A.5.10 Uso aceptable de la información y otros activos asociados, A.5.12 Clasificación de la información
Toda comunicación se protege con independencia de la ubicación de redComunicación segura y canales cifradosA.8.20 Seguridad de red, A.8.22 Segregación de redes, A.8.24 Uso de criptografía
El acceso se concede por sesiónAutenticación y autorización basadas en sesiónA.5.17 Información de autenticación, A.8.5 Autenticación segura
El acceso se determina mediante una política dinámicaAcceso contextual y de mínimo privilegioA.5.15 Control de acceso, A.5.18 Derechos de acceso, A.8.3 Restricción de acceso a la información
Se supervisan la integridad de los activos y la postura de seguridadVerificación de la postura de endpoints y cargas de trabajoA.8.1 Dispositivos endpoint de usuario, A.8.8 Gestión de vulnerabilidades técnicas
La autenticación y la autorización son dinámicas y se aplican estrictamenteCiclo de vida de la identidad y gestión de accesos privilegiadosA.5.16 Gestión de identidades, A.8.2 Derechos de acceso privilegiado, A.8.5 Autenticación segura
Se recopila información para mejorar la postura de seguridadSupervisión continua, registro de eventos y mejoraA.8.15 Registro de eventos, A.8.16 Actividades de supervisión, A.8.23 Filtrado web

Este mapeo no es solo un ejercicio de diseño técnico. Se convierte en la estructura del Registro de Riesgos, la Declaración de Aplicabilidad, el paquete de evidencias y la agenda de revisión por la dirección.

Por ejemplo, un escenario de riesgo como «una cuenta de desarrollador comprometida modifica código de producción y accede a datos de clientes» debe mapearse con gestión de identidades, MFA, acceso privilegiado, segregación de redes, registro de eventos, supervisión, desarrollo seguro, gestión de cambios y respuesta a incidentes. Ese único escenario puede respaldar ISO/IEC 27001:2022, NIS2 Article 21, la gestión del riesgo de las TIC de DORA y el Article 32 del RGPD de la UE.

La pila de controles Zero Trust de Clarysec

Clarysec construye Zero Trust alrededor de cinco dominios de evidencias: identidad, dispositivo, red, aplicación y datos, con supervisión y gobernanza sobre los cinco.

La base es el control de acceso y la gestión de identidades. En Zenith Controls: la guía de cumplimiento transversal, el control 5.15 de ISO/IEC 27002:2022, Control de acceso, se clasifica como un control preventivo que respalda la confidencialidad, la integridad y la disponibilidad, alineado con el concepto de ciberseguridad Proteger y con la capacidad de gestión de identidades y accesos. El control 5.16, Gestión de identidades, también es preventivo y está vinculado a las mismas propiedades CID y a la capacidad IAM. El control 8.16, Actividades de supervisión, se clasifica como detectivo y correctivo, y respalda Detectar y Responder mediante la gestión de eventos de seguridad de la información.

Esa combinación es importante. Zero Trust no es solo control de acceso. Es control de acceso más ciclo de vida de la identidad, más postura del dispositivo, más segregación de redes, más supervisión, más respuesta.

Las cláusulas de políticas de Clarysec convierten ese modelo en gobernanza aplicable.

De la Política de Control de Acceso empresarial, sección Objetivos, cláusula 3.4:

Respaldar los principios de confianza cero denegando el acceso por defecto salvo que esté explícitamente aprobado y justificado.

De la Política empresarial de gestión de cuentas de usuario y privilegios, sección Requisitos de implementación de la política, cláusula 6.2.1:

A todos los usuarios se les debe asignar el nivel mínimo de acceso necesario para desempeñar sus funciones laborales.

De la Política empresarial de Seguridad de Redes, sección Requisitos de gobernanza, cláusula 5.2:

Todo el tráfico entre zonas debe estar controlado por cortafuegos o soluciones de perímetro definido por software, con configuraciones explícitas de denegación por defecto.

De la Política empresarial de registro y supervisión, sección Objetivos, cláusula 3.4:

Establecer sistemas centralizados de registro y generación de alertas (por ejemplo, SIEM) para agregar, correlacionar y escalar actividad sospechosa casi en tiempo real.

De la Política empresarial de Seguridad de la Información, sección Requisitos de implementación de la política, cláusula 6.6.1:

Todos los controles implementados deberán ser auditables, estar respaldados por procedimientos documentados y contar con evidencias conservadas de su funcionamiento.

Para pymes, la misma intención de gobernanza puede implementarse con documentación de políticas más ligera. La Política de gestión de cuentas de usuario y privilegios - pyme, sección Objetivos, cláusula 3.2, establece:

Aplicar el principio de mínimo privilegio, garantizando que los usuarios reciban únicamente el nivel mínimo de acceso necesario para desempeñar sus funciones.

La Política de Control de Acceso - pyme, sección Requisitos de gobernanza, cláusula 5.4.3, añade:

Las cuentas privilegiadas deben utilizar autenticación multifactor (MFA) cuando sea compatible.

La Política de Seguridad de Redes - pyme, sección Requisitos de implementación de la política, cláusula 6.2.3, establece:

El tráfico entre segmentos debe filtrarse, y el acceso entre segmentos debe seguir el principio de mínimo privilegio.

La Política de registro y supervisión - pyme, sección Propósito, cláusula 1.3, explica:

El registro de eventos y la supervisión respaldan la detección de amenazas, el cumplimiento normativo, la notificación y gestión de incidentes, y el análisis forense.

Para una confianza cero impulsada por la privacidad, la Política de Protección de Datos y Privacidad - pyme, sección Requisitos de gobernanza, cláusula 5.3.2, establece:

El acceso de los usuarios a datos personales debe limitarse a roles con una necesidad de negocio documentada.

Estas cláusulas crean puntos de anclaje para auditoría. Un auditor puede comprobar si el acceso se deniega por defecto, si el privilegio se minimiza, si el tráfico entre zonas se controla, si los registros están centralizados y si las evidencias se conservan.

Mapa de evidencias Zero Trust entre marcos

Un modelo sólido de evidencias de Zero Trust debe evitar capturas de pantalla fragmentadas. Las evidencias deben mostrar gobernanza, diseño, implementación, supervisión y revisión.

Capacidad Zero TrustEvidencias de ISO/IEC 27001:2022 e ISO/IEC 27002:2022Evidencias NIS2Evidencias DORAEvidencias del RGPD de la UE
Verificación de identidad y ciclo de vidaAlcance del SGSI, Registro de Riesgos, entradas de la SoA para A.5.15 y A.5.16, registros de altas, cambios y bajasMedidas del Article 21 sobre seguridad de RR. HH., control de acceso y gestión de activosGobernanza de activos de TIC y accesos de usuarios dentro del marco de riesgo de TICAcceso limitado a roles autorizados, registros de responsabilidad proactiva del responsable del tratamiento
MFA y autenticación continuaPolítica de Control de Acceso, procedimiento de acceso privilegiado, informes de aplicación de MFAMedidas del Article 21 para MFA o autenticación continua cuando procedaControles que respaldan el acceso seguro a sistemas de TIC y funciones críticasEvidencias de seguridad del tratamiento del Article 32 para el acceso a datos personales
Postura del dispositivo y confianza en endpointsInventario de activos, configuración de referencia de endpoints, cobertura de EDR, aprobaciones de excepcionesCiberhigiene, gestión de vulnerabilidades y políticas de sistemas segurosInventario de activos de TIC, pruebas de resiliencia, supervisión de sistemas de TICProtección frente al tratamiento no autorizado o ilícito desde endpoints comprometidos
Segmentación de red y microsegmentaciónDiagramas de red, reglas de cortafuegos, resultados de pruebas de segmentación, registros de cambiosMedidas para prevenir o minimizar el impacto de incidentes y respaldar la continuidad del negocioArquitectura de referencia, tolerancia al impacto, pruebas de sistemas críticosAislamiento de datos, minimización del alcance de la brecha
Mínimo privilegio en aplicaciones y APIMatrices RBAC o ABAC, políticas IAM en la nube, ámbitos de tokens, revisiones de acceso a APIAdquisición, desarrollo y mantenimiento seguros, gestión de vulnerabilidadesMapeo de funciones soportadas por TIC y documentación de dependenciasLimitación de la finalidad, acceso a datos personales basado en necesidad de negocio
Supervisión continua y detecciónCasos de uso SIEM, triaje de alertas, procedimiento de supervisión, registros de incidentesGestión de incidentes y preparación para la notificación de incidentes significativosClasificación de incidentes, escalado de gestión y ciclo de vida de notificaciónDetección de brechas de datos personales y evidencias de responsabilidad proactiva
Confianza en proveedores y nubeAcuerdos con proveedores, plan de salida de la nube, supervisión de proveedores, mapeo de responsabilidad compartidaSeguridad de la cadena de suministro para proveedores directos y proveedores de serviciosEstrategia de riesgo de terceros de TIC, registro de contratos de TIC, derechos de auditoría y planes de salidaDiligencia debida de encargados, salvaguardas contractuales y controles de seguridad

Esta tabla es el núcleo de un programa Zero Trust preparado para el consejo de administración. Muestra cómo un único entorno de control puede respaldar múltiples demandas de aseguramiento sin crear paquetes de evidencias separados para cada marco.

Uso de Zenith Blueprint para crear trazabilidad

Zenith Blueprint: hoja de ruta de 30 pasos para auditores de Clarysec está diseñado para evitar que Zero Trust se convierta en una filosofía de ingeniería no documentada. En la fase de Gestión de riesgos, Paso 13, Planificación del Tratamiento de riesgos y Declaración de Aplicabilidad, explica:

La SoA es, en la práctica, un documento puente: conecta su evaluación/tratamiento de riesgos con los
controles reales que tiene. Al completarla, también verifica si ha omitido algún control.

El mismo paso recomienda mapear controles con riesgos, añadir referencias a controles del Anexo A en las entradas de tratamiento de riesgos y cruzar referencias con regulaciones como el RGPD de la UE, NIS2 o DORA cuando los controles se implementen para satisfacer esas obligaciones.

Para Zero Trust, este es el puente que falta. Si un auditor pregunta por qué se implementó el acceso condicional, la respuesta no debería ser «porque Zero Trust lo dice». Una respuesta mejor es:

  • El escenario de riesgo es el acceso no autorizado a datos de clientes mediante credenciales comprometidas.
  • El Propietario del Riesgo es el CTO o el responsable de ingeniería.
  • El tratamiento incluye SSO, MFA, acceso condicional, validación de la postura del endpoint, mínimo privilegio, segmentación y supervisión.
  • La SoA mapea el tratamiento con control de acceso, gestión de identidades, registro de eventos, supervisión, criptografía, gestión de vulnerabilidades y gestión de servicios en la nube.
  • El mismo tratamiento respalda NIS2 Article 21, la gestión del riesgo de las TIC de DORA y el Article 32 del RGPD de la UE.
  • Las evidencias incluyen cláusulas de políticas, revisiones de acceso, alertas SIEM, informes de postura EDR, reglas de cortafuegos, exportaciones IAM, ejercicios de incidentes y actas de revisión por la dirección.

Así es como la arquitectura Zero Trust queda lista para auditoría.

Confianza en endpoints, API y segregación de redes en la práctica

Zero Trust falla con frecuencia porque las organizaciones se centran en la identidad e ignoran el contexto del dispositivo, la carga de trabajo, los datos y la red.

El Paso 19 de Zenith Blueprint, Controles tecnológicos I, explica con claridad el requisito de postura de endpoints:

El acceso a la información mediante endpoints debe ser contextual. Por ejemplo, ¿cumple el dispositivo
los estándares mínimos de seguridad antes de acceder a los recursos de la empresa? ¿Ha superado recientemente
un análisis de malware? ¿Se conecta desde una ubicación o red inusual? Integrada con los principios de confianza
cero, la postura del endpoint puede alimentar el acceso condicional y denegar la entrada hasta que el
dispositivo demuestre que es seguro.

Esto convierte el dispositivo en parte de la decisión de autorización. Una contraseña válida desde un portátil no gestionado no debe tratarse igual que un inicio de sesión válido desde un endpoint corporativo conforme, cifrado y supervisado.

El mismo paso subraya que las restricciones de acceso se aplican a aplicaciones, servicios y API, no solo a usuarios:

Las restricciones de acceso también deben aplicarse a aplicaciones, servicios e interfaces de programación de aplicaciones, no solo a personas.
Por ejemplo, un microservicio puede necesitar únicamente acceso de lectura a una tabla de base de datos, no derechos
CRUD completos. Una herramienta de copia de seguridad puede necesitar acceso solo a buckets de almacenamiento específicos, no a todos los recursos del tenant.

Esta orientación es crítica para entornos nativos de la nube. Los ámbitos de las API, las cuentas de servicio, las identidades de carga de trabajo, los roles de Kubernetes y las políticas IAM en la nube deben seguir todos el mínimo privilegio. El acceso humano es solo una parte de la superficie de control.

El Paso 20 de Zenith Blueprint aborda la segregación de redes:

La segregación es uno de los principios más antiguos y eficaces en ciberseguridad: limitar la
propagación, reducir el riesgo y contener el daño
. El control 8.22 se centra en la segregación
de redes, la práctica de separar sistemas, servicios y usuarios en distintas zonas lógicas o
físicas para prevenir el acceso no autorizado y restringir el movimiento lateral en caso de
compromiso.

Esto es crítico para la resiliencia de DORA y NIS2. Una red Zero Trust debe asumir que una cuenta, carga de trabajo o endpoint puede verse comprometido. La segmentación evita que un evento local se convierta en un incidente sistémico.

Un paquete de evidencias Zero Trust en 10 días

Imagine una fintech SaaS que proporciona analítica antifraude a bancos. Trata datos personales, utiliza infraestructura en la nube, depende de Kubernetes gestionado, se integra con API de clientes y utiliza un proveedor de identidad externo. Un cliente solicita evidencias de Zero Trust y la empresa dispone de diez días laborables.

Un sprint práctico de evidencias de Clarysec sería así.

PlazoAcciónResultado de evidencias
Días 1 a 2Definir el alcance de Zero Trust en cuentas de nube de producción, proveedor de identidad, CI/CD, estaciones de trabajo de administradores, pasarela de API de clientes, almacén de datos, SIEM, EDR y proveedores críticosDeclaración de alcance, mapa de dependencias, diagrama de límites
Día 3Construir la trazabilidad de riesgos a controles utilizando el Paso 13 de Zenith BlueprintEntradas del Registro de Riesgos, plan de tratamiento, mapeos de la SoA
Días 4 a 5Aplicar cláusulas de políticas empresariales o para pymes y documentar excepcionesPolíticas aprobadas, Registro de Excepciones, registros de aceptación del riesgo
Días 6 a 7Recopilar evidencias técnicasInformes de MFA, políticas de acceso condicional, registros PAM, paneles de endpoints, reglas de cortafuegos, políticas de red de Kubernetes, exportaciones IAM, casos de uso SIEM
Día 8Añadir evidencias de privacidad y protección de datosMatriz de roles a datos, registros de tratamiento, evidencias de cifrado, reglas de conservación, procedimiento de escalado de brechas
Día 9Añadir capas NIS2 y DORAMapeo del Article 21, preparación para la notificación de incidentes, mapa de funciones de TIC, registro de proveedores, evidencias del plan de salida
Día 10Crear el resumen ejecutivoNarrativa lista para el consejo de administración, resumen de riesgo residual, hoja de ruta de mejora

El objetivo no es fingir que la organización ha alcanzado Zero Trust perfecto en diez días. El objetivo es crear una cadena de evidencias defendible para los riesgos más importantes y demostrar que el programa está gobernado, es medible y mejora.

Cómo probarán Zero Trust distintos auditores

Un error frecuente es preparar un único relato técnico y asumir que todos los auditores harán las mismas preguntas. No lo harán.

Un auditor de ISO/IEC 27001:2022 buscará el sistema de gestión. Preguntará si los riesgos de Zero Trust están incluidos en la evaluación de riesgos, si los tratamientos están aprobados, si la SoA está completa, si las políticas son documentos controlados, si se realizan revisiones de acceso, si las auditorías internas prueban los controles y si las revisiones por la dirección hacen seguimiento del desempeño.

Un revisor de DORA preguntará si los controles Zero Trust forman parte del marco documentado de gestión del riesgo de las TIC. Esperará inventarios de activos y dependencias, mapeo de funciones críticas o importantes, clasificación de incidentes, escalado al consejo de administración, pruebas, requisitos contractuales de terceros, derechos de auditoría, estrategias de salida y seguimiento de la remediación.

Un evaluador de NIS2 se centrará en la responsabilidad del órgano de administración, las medidas de gestión de riesgos de ciberseguridad del Article 21 y la preparación para la notificación de incidentes del Article 23. También esperará evidencias de que se gestionan la seguridad de la cadena de suministro, la continuidad del negocio, la gestión de vulnerabilidades, el control de acceso y la ciberhigiene.

Un revisor del RGPD de la UE o auditor de privacidad preguntará si el acceso a datos personales es necesario, documentado, limitado, supervisado y alineado con las finalidades del tratamiento. Examinará los roles de responsable y encargado, la detección de brechas de datos personales, el acceso basado en roles, el cifrado, la seudonimización cuando proceda, la conservación y la responsabilidad proactiva.

Perspectiva del auditorPregunta probableEvidencias que la responden
Auditor de ISO/IEC 27001:2022¿Zero Trust está basado en riesgos, aprobado y reflejado en la SoA?Registro de Riesgos, SoA, Plan de Tratamiento de Riesgos, aprobaciones de políticas, actas de revisión por la dirección
Evaluador de NIST CSF¿Están integrados los resultados de gobernanza, identidad, protección, detección, respuesta y recuperación?Perfil CSF, plan de brechas, controles IAM, casos de uso de registro de eventos, playbooks de respuesta, pruebas de recuperación
Revisor de DORA¿Zero Trust respalda la gestión del riesgo de las TIC y la resiliencia de funciones críticas?Inventario de activos de TIC, mapa de dependencias, programa de pruebas, clasificación de incidentes, registro de proveedores
Auditor de privacidad/RGPD de la UE¿El acceso a datos personales está limitado y protegido de forma demostrable?Matriz de roles a datos, revisiones de acceso, evidencias de cifrado, procedimientos de brechas, registros de tratamiento
Auditor de COBIT 2019/ISACA¿Se gobiernan las responsabilidades, las métricas y el desempeño de los controles?RACI, KPI, Registro de Excepciones, hallazgos de auditoría, herramienta de seguimiento de remediación

Un mismo control puede satisfacer múltiples preguntas, pero solo si las evidencias están organizadas.

Proveedores, nube y riesgo de terceros de TIC

Zero Trust no se detiene en el cortafuegos, y en entornos de nube puede no existir ningún perímetro tradicional de cortafuegos. Proveedores de identidad, plataformas en la nube, herramientas de CI/CD, proveedores de detección gestionada, procesadores de pago, pasarelas de API y equipos de desarrollo externalizado pasan a formar parte del tejido de confianza.

NIS2 Article 21 incluye explícitamente la seguridad de la cadena de suministro para proveedores directos y proveedores de servicios, incluidas las vulnerabilidades de proveedores, la resiliencia de productos y servicios, las prácticas de ciberseguridad de proveedores y los procedimientos de desarrollo seguro.

DORA exige que el riesgo de terceros de TIC se gestione como parte del marco de gestión del riesgo de las TIC, con un registro de contratos de servicios de TIC, diligencia debida precontractual, evaluación de criticidad, riesgo de concentración, requisitos contractuales de seguridad, asistencia en incidentes, cooperación con autoridades, derechos de auditoría, derechos de terminación, estrategias de salida y planes de transición.

Para Zero Trust, la regla práctica es sencilla: no confíe en una conexión de proveedor solo porque exista un contrato. Exija controles técnicos y evidencias.

Una integración de API de cliente debe tener tokens con alcance definido, limitación de tasa, supervisión, rotación, titularidad y revocación. Un proveedor de servicios gestionados debe usar MFA, cuentas de usuario nominales, mínimo privilegio, registro de sesiones y acceso limitado en el tiempo. La relación con un proveedor de nube debe incluir mapeo de responsabilidad compartida, configuración de cifrado, conservación de registros, pruebas de copias de seguridad y planificación de salida.

Por eso las evidencias de proveedores y nube deben formar parte del modelo Zero Trust, en lugar de quedar en una carpeta de contratación separada.

Métricas que demuestran que Zero Trust funciona

Los consejos de administración y los auditores no quieren solo diagramas de arquitectura. Quieren evidencias operativas y tendencias de mejora.

Entre las métricas útiles de Zero Trust se incluyen:

  • Porcentaje de cuentas privilegiadas protegidas por MFA.
  • Porcentaje de usuarios cubiertos por acceso condicional.
  • Número de cuentas privilegiadas permanentes comparado con cuentas de acceso justo a tiempo.
  • Número de revisiones de acceso vencidas.
  • Porcentaje de endpoints conformes con los requisitos de postura.
  • Cobertura de EDR en activos críticos.
  • Número de intentos de acceso denegados por riesgo asociado al dispositivo o a la ubicación.
  • Tiempo medio para detectar actividad privilegiada sospechosa.
  • Tiempo medio para revocar el acceso tras la terminación de la relación laboral o contractual.
  • Porcentaje de reglas de cortafuegos entre zonas revisadas en el último trimestre.
  • Número de proveedores críticos con evidencias de seguridad vigentes.
  • Número de excepciones Zero Trust superada la fecha de remediación.
  • Porcentaje de aplicaciones críticas que envían registros al SIEM.
  • Resultados de simulaciones de incidentes por compromiso de credenciales.

Estas métricas respaldan la mejora continua de ISO/IEC 27001:2022, la evaluación de la eficacia de NIS2, las expectativas de pruebas y remediación de DORA y la responsabilidad proactiva del RGPD de la UE.

Fallos frecuentes en evidencias de Zero Trust

Los fallos más frecuentes no se deben a la falta de herramientas. Se deben a una trazabilidad débil.

Primero, las organizaciones implementan MFA, pero no pueden demostrar que las cuentas privilegiadas estén cubiertas por completo. Las cuentas de servicio, las cuentas de emergencia (break-glass) y las cuentas de administrador local suelen quedar fuera del control.

Segundo, las revisiones de acceso se realizan manualmente, pero no se vinculan a roles de negocio, sensibilidad de los datos o propietarios del riesgo. La evidencia muestra que alguien hizo clic en «revisado», no que se eliminó el acceso innecesario.

Tercero, la segmentación de red existe en diagramas, pero no en reglas probadas. Los auditores preguntarán si el acceso entre segmentos se deniega por defecto y si las excepciones están aprobadas.

Cuarto, los registros se recopilan, pero no son accionables. Un SIEM sin casos de uso definidos, triaje de alertas y procedimientos de respuesta no demuestra supervisión continua.

Quinto, el acceso de proveedores no está gestionado. Los proveedores pueden utilizar credenciales compartidas, acceso VPN persistente o roles amplios en la nube sin supervisión de sesiones.

Sexto, las evidencias de privacidad están separadas de las evidencias de seguridad. El RGPD de la UE exige protección demostrable de los datos personales, por lo que los controles de identidad y acceso deben conectarse con categorías de datos y finalidades del tratamiento.

Por último, las excepciones no están documentadas. Zero Trust puede tolerar excepciones si se evalúan en términos de riesgo, se aprueban, tienen límite temporal y se supervisan. No puede tolerar excepciones invisibles.

Construya su paquete de evidencias Zero Trust con Clarysec

La arquitectura Zero Trust en 2026 no es un eslogan. Es un modelo operativo de cumplimiento que vincula identidad, dispositivos, aplicaciones, segmentación de red, mínimo privilegio, supervisión continua, control de proveedores y salvaguardas de privacidad en un único sistema auditable.

Si se está preparando para la certificación ISO/IEC 27001:2022, respondiendo a consultas de clientes sobre NIS2, alineándose con la gestión del riesgo de las TIC de DORA o demostrando la seguridad del tratamiento del Article 32 del RGPD de la UE, empiece por la trazabilidad.

Use Zenith Blueprint: hoja de ruta de 30 pasos para auditores para mapear los riesgos Zero Trust en su Registro de Riesgos, plan de tratamiento y SoA. Use Zenith Controls: la guía de cumplimiento transversal para alinear el control de acceso, la gestión de identidades y la supervisión con expectativas entre marcos. Use la biblioteca de políticas de Clarysec, incluidas la Política de Control de Acceso empresarial, la Política empresarial de gestión de cuentas de usuario y privilegios, la Política empresarial de Seguridad de Redes, la Política empresarial de registro y supervisión, la Política empresarial de Seguridad de la Información y la Política de Protección de Datos y Privacidad - pyme, para convertir la arquitectura en gobernanza aplicable.

Su siguiente paso práctico es seleccionar un escenario de alto riesgo, como el compromiso de acceso privilegiado a datos de clientes, y construir una cadena completa de evidencias Zero Trust alrededor de él. Si puede demostrar ese escenario de extremo a extremo, tendrá la base de un programa Zero Trust escalable, auditable y preparado para reguladores.

Descargue los paquetes de políticas de Clarysec o programe una llamada estratégica para ver cómo Zenith Blueprint y Zenith Controls pueden transformar Zero Trust de un riesgo de auditoría en una ventaja de cumplimiento.

Frequently Asked Questions

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles

Gobernanza del acceso remoto seguro y las VPN para NIS2 y DORA

Gobernanza del acceso remoto seguro y las VPN para NIS2 y DORA

El acceso remoto ya no es un asunto limitado a TI. En 2026, las evidencias sobre VPN, MFA, acceso de proveedores, postura de endpoint, registro y aplicación de parches deben satisfacer a los auditores ISO 27001, la responsabilidad de la dirección bajo NIS2, las normas de riesgo TIC de DORA y las obligaciones de seguridad del artículo 32 del RGPD de la UE.

Gobernanza de seguridad de pipelines CI/CD para auditorías de 2026

Gobernanza de seguridad de pipelines CI/CD para auditorías de 2026

Guía práctica para CISO sobre la gobernanza de pipelines CI/CD como sistemas auditables de cadena de suministro de software, con procedencia de compilación, runners bastionados, artefactos firmados, evidencias de despliegue y mapeos de políticas de Clarysec.