Nos últimos anos, organizacións de todo tipo —entidades públicas, empresas privadas e operadores de servizos críticos— avanzaron de maneira significativa na adopción de marcos normativos e esquemas de certificación en ciberseguridade. O Esquema Nacional de Seguridade (ENS), as normas ISO e os modelos de avaliación do risco de terceiros como CICRA consolidáronse como piares da gobernanza da seguridade.
Este progreso é necesario e positivo.
Porén, convén lembrar unha verdade incómoda:
Certificar, auditar ou avaliar non equivale a estar protexido.
O cumprimento normativo: o limiar mínimo, non a seguridade real
Marcos como o ENS, ISO/IEC 27001, ISO/IEC 22301, ISO/IEC 27701 ou as esixencias derivadas de DORA establecen requisitos mínimos de control, xestión e dilixencia debida.
A súa finalidade é estruturar a seguridade, non garantir inmunidade fronte a incidentes.
O risco aparece cando o cumprimento se converte no obxectivo final e non na base sobre a que construír seguridade operativa real.
ENS: marco de referencia, non garantía de resiliencia
O ENS converteuse nun estándar de facto tanto para organizacións públicas como privadas que prestan servizos esenciais ou xestionan información sensible.
Achega:
- Unha linguaxe común de seguridade
- Un enfoque baseado en categorías e proporcionalidade
- Medidas organizativas, operativas e técnicas
- Auditorías periódicas
Porén, non garante por si só:
- Detección temperá de ataques avanzados
- Capacidade de resposta efectiva ante incidentes complexos
- Resiliencia fronte a ransomware ou ameazas persistentes
- Madurez operativa da función de seguridade
É posible cumprir co ENS e, aínda así, fallar fronte a un incidente real.
Certificacións ISO: sistema de xestión ≠ defensa efectiva
Certificacións como ISO/IEC 27001 acreditan a existencia dun sistema de xestión da seguridade da información, non o nivel real de protección técnica ou operativa.
Un sistema pode:
- Estar correctamente documentado
- Superar auditorías externas
- Dispoñer de políticas e procedementos formais
E, con todo:
- Non detectar intrusións
- Non responder con axilidade
- Non recuperar servizos críticos a tempo
As normas ISO ordenan, pero non protexen.
CICRA: avaliación do risco de terceiros, non certificado de seguridade
Cada vez máis organizacións incorporan CICRA (Cyber / ICT Industry Cyber Risk Assessment) como ferramenta para avaliar o risco cibernético de provedores e terceiros críticos.
Que é CICRA
CICRA é unha avaliación estruturada do risco TIC, aliñada con:
- ISO/IEC 27001
- ISO/IEC 27005
- ISO/IEC 27036 (relacións con provedores)
- ENS (xestión de provedores)
- Requisitos de xestión de terceiros en DORA
Analiza, entre outros aspectos:
- Goberno da seguridade
- Controis técnicos e organizativos
- Continuidade e resiliencia
- Xestión de incidentes
- Dependencias críticas
- Exposición operativa e contractual
Que non é CICRA
- Non é unha certificación
- Non elimina o risco
- Non traslada a responsabilidade
- Non garante seguridade futura
Un CICRA favorable significa unicamente que:
O risco foi avaliado e aceptado ou mitigado nun momento concreto.
O erro habitual: asumir que avaliar é controlar
Un patrón recorrente en organizacións públicas e privadas é asumir que:
- Provedor certificado + avaliación CICRA favorable = contorno seguro
Desde unha perspectiva técnica e de xestión do risco, esta conclusión é incorrecta.
As avaliacións:
- Non substitúen a supervisión continua
- Non detectan ameazas emerxentes
- Non evitan fallos operativos
- Non garanten unha resposta eficaz ante incidentes
A responsabilidade última continúa sendo da organización que consome o servizo.
O maior risco: a complacencia tras cumprir
O risco máis elevado non é a ausencia de marcos, senón a relaxación posterior á súa adopción.
Obsérvase con frecuencia:
- Análises de risco desactualizadas
- Avaliacións de terceiros non revisadas
- Controis non probados
- Plans de continuidade sen exercicios reais
- A seguridade tratada como un proxecto pechado
A ciberseguridade é un proceso continuo, non un fito administrativo.
O enfoque maduro: o cumprimento como base, non como meta
Un modelo de seguridade sólido integra:
- O cumprimento normativo como punto de partida
- Xestión viva e continua do risco
- Supervisión constante de provedores críticos
- Monitorización, detección e resposta
- Probas periódicas de continuidade e recuperación
- Formación e concienciación permanentes
- Métricas de eficacia, non só de cumprimento
Conclusión
Certificar, auditar e avaliar non blinda.
O ENS, as normas ISO e CICRA son ferramentas de goberno, non garantías de seguridade.
Ben integradas, elevan a madurez das organizacións. Mal entendidas, xeran unha perigosa ilusión de control.
A seguridade real mídese pola capacidade de resistir, responder e recuperarse, non polo número de certificados obtidos.
Porque cumprir non é o mesmo que estar preparado.
