Audito personalmente operadores de infraestructura crítica. Energía, agua, transporte, salud y entidades financieras tier 1. Son los frentes más exigentes del oficio: si un sistema de gestión falla en una empresa de servicios profesionales, hay tiempo de corregir. Si falla en una central eléctrica, un hospital público o una entidad financiera con cuentas de millones, el costo es asimétrico. Imposible de revertir.
1. Por qué la infraestructura crítica audita distinto
Tres asimetrías hacen que la auditoría de infraestructura crítica no se parezca a la de una empresa común.
Asimetría del error. En una empresa de servicios profesionales, un sistema mal certificado produce un mal trabajo. En una central eléctrica, produce un blackout regional. En un hospital, produce errores clínicos. En una entidad financiera tier 1, produce desestabilización sistémica. El error vale órdenes de magnitud más.
Asimetría temporal. El daño no se reparte en el tiempo. Una falla en infraestructura crítica colapsa la operación en segundos. La auditoría tiene que detectar lo que va a fallar, no lo que ya falló. La conformidad pasada no es predictor suficiente.
Asimetría regulatoria. En la mayoría de los países, infraestructura crítica está bajo regulación específica más allá de ISO. NIS2 en Europa, marcos sectoriales del Banco Central, agencias regulatorias de energía, salud pública. La auditoría tiene que ser defendible no solo ante el cliente: ante el regulador.
2. Marco normativo que aplico
La auditoría de infraestructura crítica se construye sobre la intersección de varias normas, no sobre una sola.
ISO/IEC 27001 con orientación a operadores críticos. El sistema de gestión de seguridad de la información, aplicado con foco en disponibilidad operativa, no solo en confidencialidad. Para operadores europeos, alineado con los requisitos NIS2 del Anexo I.
ISO 22301 · Continuidad del negocio. Es la norma que distingue un sistema teóricamente conforme de un sistema que sobrevive a un incidente. Más adelante en este texto y en el pilar específico de continuidad del negocio, ampliamos la diferencia entre planes de contingencia que funcionan y planes que existen en el armario.
ISO 9001 con foco en servicio público. Aplicada al output operativo del servicio, no a la documentación. La calidad de un hospital público se mide en pacientes atendidos correctamente, no en procedimientos archivados.
ISO/IEC 42001 cuando hay decisiones algorítmicas. En cualquier operador crítico moderno hay automatización: dispatch de carga eléctrica, scoring crediticio, triage hospitalario, ruteo de transporte. Donde hay decisiones algorítmicas, hay marco IA aplicable.
ISO/IEC 17021-1 §5.2 · Imparcialidad. Crítico en infraestructura crítica porque el regulador exige verificar que el certificador no auditó algo que su propia firma diseñó. Sobre el alcance de §5.2 y por qué importa, recomiendo la doctrina Firewall 01C.
3. Los cinco sectores donde más audito
Energía. Generación, transmisión, distribución eléctrica. Operadores de gas. Renovables a gran escala. Foco crítico: capacidad de operar bajo escenarios de demanda extrema, seguridad de la información de la red, continuidad ante ciberataque o falla física.
Agua y saneamiento. Operadores de agua potable, plantas de tratamiento, redes de cloacas. Foco crítico: trazabilidad de calidad del agua entregada, continuidad operativa, control de proveedores químicos.
Transporte. Operadores aeroportuarios, portuarios, ferroviarios, viales concesionados. Foco crítico: gestión de incidentes operativos, ciberseguridad de sistemas de control, continuidad ante eventos de gran escala.
Salud. Hospitales públicos y privados. Laboratorios clínicos. Foco crítico: seguridad del paciente, continuidad de servicios esenciales, cumplimiento de marcos de calidad asistencial. ISO 13485 cuando hay dispositivos médicos en juego.
Financiero tier 1. Bancos, entidades de pago, fintech reguladas, aseguradoras. Foco crítico: continuidad de servicios financieros bajo incidente sistémico, ciberseguridad ante ataque coordinado, trazabilidad de decisiones automatizadas.
4. La diferencia entre auditar para certificado y auditar para regulador
En infraestructura crítica esta diferencia es donde se separa el oficio del trámite.
Auditar para certificado significa verificar conformidad con la norma. Es necesario y suficiente para emitir un certificado ISO. El alcance es la norma; el resultado es conformidad / no conformidad.
Auditar para regulador significa verificar que la organización puede operar bajo escrutinio externo. El alcance es operativo. El resultado es defendible bajo investigación regulatoria. Es más exigente, más profundo, y requiere experiencia con el marco regulatorio sectorial específico.
Las auditorías que firmo bajo el IAC para operadores críticos contemplan las dos dimensiones desde el diseño del alcance. No es opcional. Un certificado que no se sostiene bajo investigación regulatoria no es certificado: es papel.
5. Lo que un board de operador crítico debe poder responder
Si dirigís un operador de infraestructura crítica, hay seis preguntas que un regulador puede pedirte responder en cualquier momento. La auditoría seria te prepara para esas seis. La auditoría cosmética te dice que cumplís y te deja descubrirlas en una crisis.
- ¿Qué pasa si nuestro sistema central falla en hora pico durante seis horas?
- ¿Quién toma las decisiones críticas cuando el equipo principal no está disponible?
- ¿Cómo demostramos que nuestros proveedores críticos también están auditados?
- ¿Qué decisiones automatizamos y quién es responsable cuando esa automatización falla?
- ¿Cuánto tiempo tarda nuestra organización en notificar un incidente regulatorio significativo?
- ¿Qué evidencia tenemos de que nuestros simulacros de continuidad reflejan operación real, no operación documental?
Estas preguntas son las que un auditor con experiencia operativa lleva a la auditoría. No están en la norma con esa formulación. Están en la práctica.
6. Cómo se contrata una auditoría de infraestructura crítica
El International Accreditation Center mantiene la capacidad técnica para auditar operadores críticos sobre las normas ISO acreditadas en su cobertura internacional, complementadas con marcos regulatorios sectoriales aplicables. La cadena de acreditación pública del IAC (marcos técnicos más respaldo de G-CERTI Co., Ltd. reconocido por IAS) sostiene la auditoría bajo escrutinio regulatorio.