Ciberseguridad y transparencia.

Firmo certificaciones ISO/IEC 27001 desde 2014. Doce años de práctica continua antes del salto regulatorio europeo de NIS2, antes del despliegue de zero trust como arquitectura corporativa estándar, antes de que la transparencia algorítmica se volviera obligación legal. Esa antigüedad importa porque permite ver qué cambió de verdad en el campo y qué es ruido de marketing técnico.

1. Lo que cambió en doce años · síntesis honesta

En 2014, una certificación ISO 27001 podía sostenerse sobre tres pilares: control de acceso documentado, encriptación de datos sensibles y procedimientos de respuesta a incidentes. La auditoría verificaba que esos tres pilares estuvieran implementados y revisados. Eso era razonable para la superficie de ataque de entonces.

En 2026, esos tres pilares siguen siendo necesarios. Son insuficientes. La superficie de ataque cambió en seis dimensiones que la norma ya recogió en su revisión 2022 pero que la mayoría de las organizaciones documenta superficialmente:

1. Cadena de suministro digital. El ataque entra por el proveedor, no por la empresa.
2. Identidad como perímetro. El perímetro de red dejó de existir. La identidad es el nuevo perímetro.
3. Cloud y multi-cloud. La responsabilidad compartida con el proveedor de cloud cambia el alcance de la auditoría.
4. Decisiones algorítmicas. Lo que el sistema decide automatizadamente entra en el scope de gobernanza de seguridad.
5. Trabajo remoto permanente. El endpoint corporativo está en la cocina de la casa del empleado.
6. Geopolítica. El proveedor de software puede ser sancionado, bloqueado o forzado a colaborar por jurisdicción extranjera.

2. ISO/IEC 27001:2022 leída en serio

La revisión 2022 de la norma reorganizó los controles del Anexo A y agregó once nuevos. La estructura de Anexo SL sigue intacta (compatible con 9001, 14001, 42001, 22301). Lo importante de la revisión está en los controles nuevos, no en la estructura.

De los once controles nuevos, hay tres que en auditorías reales hacen toda la diferencia.

5.7 Threat intelligence. La organización tiene que demostrar que vigila proactivamente el panorama de amenazas. No basta con responder cuando algo pasó: hay que tener inteligencia activa sobre lo que va a pasar.

5.23 Information security for use of cloud services. Por fin la norma reconoce que cloud no es "infraestructura externa": es operación crítica. El alcance de la auditoría se extiende a la responsabilidad compartida.

8.28 Secure coding. Cuando la organización desarrolla software propio, las prácticas de desarrollo seguro entran a la norma. Esto saca a la auditoría 27001 del cuarto de servidores y la lleva a la mesa del CTO.

3. NIS2 · cuándo aplica y qué obliga

La directiva NIS2 (Network and Information Security 2), vigente en la Unión Europea desde octubre de 2024, expande masivamente el conjunto de organizaciones obligadas a cumplir requisitos de ciberseguridad. Si tu organización opera en algún sector definido como esencial o importante por NIS2, no podés elegir si cumplís: tenés que cumplir.

Sectores esenciales bajo NIS2: energía, transporte, banca, infraestructura financiera, salud, agua potable, agua residual, infraestructura digital, gestión de servicios TIC, sector público, espacio.

Sectores importantes: servicios postales, gestión de residuos, fabricación de productos químicos, alimentación, fabricación de productos críticos, proveedores digitales, investigación.

Si auditás bajo NIS2, hay cinco obligaciones que cambian la práctica:

1. Reporte obligatorio de incidentes significativos en 24 horas (notificación inicial) y 72 horas (notificación detallada).
2. Responsabilidad directa del management. La cúpula responde, no solo el CISO.
3. Multas hasta el 2% del facturado global anual.
4. Obligación de gestión de riesgo de cadena de suministro.
5. Evaluación de ciberseguridad de productos críticos.

Las auditorías que firmo para operadores en Europa o que sirven a clientes europeos tienen que integrar NIS2 con ISO 27001. No son lo mismo. Se acoplan.

4. Zero trust · arquitectura, no producto

Zero trust es la arquitectura de referencia actual para ciberseguridad corporativa. Su principio es simple: no confíes en nada por defecto, ni dentro ni fuera de tu red. Verificá cada acceso, cada vez.

En la práctica, zero trust no es un producto que se compra. Es una arquitectura que se construye sobre cinco pilares: identidad (todo usuario verificado), dispositivo (todo endpoint verificado), aplicación (toda app autenticada), red (microsegmentación), datos (cifrado contextual).

Cuando audito ciberseguridad sobre una organización que dice "implementamos zero trust", lo que busco son evidencias en los cinco pilares. Si solo hay evidencia en uno o dos, no es zero trust: es marketing técnico interno.

5. Transparencia algorítmica · pieza nueva del marco

Hasta hace cinco años, "transparencia" en ciberseguridad significaba clarity sobre incidentes, sobre tratamiento de datos, sobre actores externos. Hoy también significa transparencia sobre las decisiones algorítmicas que el sistema toma.

La transparencia algorítmica no es lo mismo que la explicabilidad técnica del modelo de IA. Sobre eso, ya escribí en Transparencia algorítmica: cuándo es mito. La transparencia algorítmica que sí se puede auditar es procedimental: qué decisiones toma el sistema, bajo qué criterio declarado, con qué oversight humano, con qué recurso para el sujeto afectado.

Esta dimensión se acopla con ISO/IEC 42001 (gestión de IA) y con AI Act en Europa. Ver también Auditoría de inteligencia artificial.

6. Lo que un board debe poder responder sobre ciberseguridad

Cinco preguntas que un board responde con evidencia operativa o no responde en serio:

1. ¿Cuánto tardamos en detectar el último incidente de ciberseguridad significativo, y cuánto en contenerlo?
2. ¿Cuál fue el último incidente que afectó a un proveedor crítico nuestro y cómo nos enteramos?
3. ¿Quién en esta sala respondería personalmente bajo NIS2 si tenemos un incidente reportable?
4. ¿Cuántos de nuestros endpoints son corporativos administrados versus BYOD (bring your own device)?
5. ¿Qué decisiones algorítmicas tomamos en el sistema que afecten a clientes o empleados, y cómo las auditamos?

7. Cómo se contrata una auditoría de ciberseguridad

Las auditorías formales sobre ISO/IEC 27001:2022, integradas cuando aplica con NIS2 europeo, ISO 22301 (continuidad), ISO 42001 (gestión de IA), se contratan a través del International Accreditation Center. La cobertura internacional vigente del IAC incluye 27001 entre las diez normas operadas.