En los últimos años, organizaciones de todo tipo (entidades públicas, empresas privadas y operadores de servicios críticos) han avanzado de forma significativa en la adopción de marcos normativos y esquemas de certificación en ciberseguridad. El Esquema Nacional de Seguridad (ENS), las normas ISO y los modelos de evaluación de riesgo de terceros como CICRA se han consolidado como pilares de la gobernanza de la seguridad.
Este progreso es necesario y positivo.
Pero conviene recordar una verdad incómoda:
Certificar, auditar o evaluar no equivale a estar protegido.
Cumplimiento normativo: el umbral mínimo, no la seguridad real
Marcos como ENS, ISO/IEC 27001, ISO/IEC 22301, ISO/IEC 27701 o las exigencias derivadas de DORA establecen requisitos mínimos de control, gestión y diligencia debida.
Su finalidad es estructurar la seguridad, no garantizar la inmunidad frente a incidentes.
El riesgo aparece cuando el cumplimiento se convierte en el objetivo final y no en la base sobre la que construir seguridad operativa real.
ENS: marco de referencia, no garantía de resiliencia
El ENS se ha convertido en un estándar de facto tanto para organizaciones públicas como privadas que prestan servicios esenciales o trabajan con información sensible.
Aporta:
- Un lenguaje común de seguridad
- Enfoque basado en categorías y proporcionalidad
- Controles organizativos, operativos y técnicos
- Auditorías periódicas
Sin embargo, no garantiza por sí mismo:
- Detección temprana de ataques avanzados
- Capacidad de respuesta efectiva ante incidentes complejos
- Resiliencia frente a ransomware o amenazas persistentes
- Madurez operativa de la función de seguridad
Es posible cumplir ENS y, aun así, fallar ante un incidente real.
Certificaciones ISO: sistema de gestión ≠ defensa efectiva
Certificaciones como ISO/IEC 27001 acreditan la existencia de un sistema de gestión de la seguridad, no el nivel real de protección técnica u operativa.
Un sistema puede:
- Estar bien documentado
- Haber superado auditorías externas
- Disponer de políticas y procedimientos formales
Y, aun así:
- No detectar intrusiones
- No responder con agilidad
- No recuperar servicios críticos en tiempo
Las normas ISO ordenan, no protegen.
CICRA: evaluación de riesgo de terceros, no certificado de seguridad
Cada vez más organizaciones incorporan CICRA (Cyber / ICT Industry Cyber Risk Assessment) como herramienta para evaluar el riesgo cibernético de proveedores y terceros críticos.
Qué es CICRA
CICRA es una evaluación estructurada del riesgo TIC, alineada con:
- ISO/IEC 27001
- ISO/IEC 27005
- ISO/IEC 27036 (relaciones con proveedores)
- ENS (gestión de proveedores)
- Requisitos de gestión de terceros en DORA
Analiza, entre otros aspectos:
- Gobierno de la seguridad
- Controles técnicos y organizativos
- Continuidad y resiliencia
- Gestión de incidentes
- Dependencias críticas
- Exposición operativa y contractual
Qué no es CICRA
- No es una certificación
- No elimina el riesgo
- No traslada la responsabilidad
- No garantiza seguridad futura
Un CICRA favorable significa únicamente que:
El riesgo ha sido evaluado y aceptado o mitigado en un momento concreto.
El error común: asumir que evaluar es controlar
Un patrón recurrente en organizaciones públicas y privadas es asumir que:
- Proveedor certificado + evaluación CICRA favorable = entorno seguro
Desde un punto de vista técnico y de riesgo, esta conclusión es errónea.
Las evaluaciones:
- No sustituyen la supervisión continua
- No detectan amenazas emergentes
- No evitan fallos operativos
- No garantizan respuesta ante incidentes
La responsabilidad última sigue siendo de la organización que consume el servicio.
El mayor riesgo: la complacencia tras cumplir
El riesgo más elevado no es la ausencia de marcos, sino la relajación posterior a su adopción.
Se observa con frecuencia:
- Análisis de riesgos desactualizados
- Evaluaciones de terceros no revisadas
- Controles no probados
- Planes de continuidad sin ejercicios reales
- Seguridad tratada como un proyecto cerrado
La ciberseguridad es un proceso continuo, no un hito administrativo.
El enfoque maduro: cumplimiento como base, no como meta
Un modelo de seguridad sólido integra:
- Cumplimiento normativo como punto de partida
- Gestión viva del riesgo
- Supervisión continua de proveedores críticos
- Monitorización, detección y respuesta
- Pruebas periódicas de continuidad y recuperación
- Formación y concienciación constantes
- Métricas de eficacia, no solo de cumplimiento
Conclusión
Certificar, auditar y evaluar no blinda.
ENS, ISO y CICRA son herramientas de gobierno, no garantías de seguridad.
Bien integradas, elevan la madurez. Mal entendidas, generan una peligrosa ilusión de control.
La seguridad real se mide por la capacidad de resistir, responder y recuperarse, no por el número de certificados obtenidos.
Porque cumplir no es lo mismo que estar preparado.
