Ir al contenido
SGSI.online

A.5.36 Cumplimiento de políticas, reglas y estándares de seguridad de la información – MSP Assurance

La norma A.5.36 eleva el estándar para los MSP, exigiendo pruebas de que las políticas de seguridad de la información se cumplen rigurosamente, no solo se documentan. Los clientes y las juntas directivas quieren garantías de que sus controles funcionan en las operaciones reales, en todas las herramientas y equipos. Al alinear las políticas, las acciones del personal y la evidencia, se genera confianza, se reduce el riesgo de terceros y se destaca en un mercado regulado.

Autor
Marcos Sharron
Actualizado diciembre 1, 2025
Estrellas 4 / 5

Por qué la norma A.5.36 es importante para los MSP que ofrecen servicios de seguridad gestionados

La norma A.5.36 es importante para los proveedores de servicios gestionados porque comprueba si sus reglas de seguridad se cumplen realmente en las operaciones reales, no solo por escrito, y exige evidencia de que su personal y sistemas las cumplen en el trabajo diario. Ya no les permite esconderse tras una biblioteca de políticas; espera que demuestren que las políticas, estándares y reglas se comprenden, aplican y corrigen cuando no es así, tanto en su entorno interno como en los servicios que prestan a sus clientes, abarcando diversas herramientas, equipos y zonas horarias.

La información aquí presentada es general y no constituye asesoramiento legal, regulatorio ni de certificación. Para tomar decisiones sobre su organización, consulte con profesionales debidamente cualificados y con el organismo de certificación de su elección.

A un alto nivel, el control A.5.36 de la norma ISO/IEC 27001:2022 requiere que usted haga tres cosas:

  • Defina las políticas, reglas y estándares de seguridad de la información que se aplican en su organización.
  • Revisar periódicamente si las personas y las operaciones las cumplen.
  • Actúe cuando no lo hagan y guarde evidencia de que todo esto está sucediendo.

Para la mayoría de las organizaciones, esto supone un reto. Para un MSP que ofrece servicios de seguridad gestionada, es mucho más difícil. No solo es responsable de su propio personal y sistemas, sino que también opera en entornos de clientes, con datos de clientes y bajo las políticas de los clientes y las normativas del sector. Sus normas y estándares incluyen:

  • Su propia política de seguridad de la información y estándares específicos para cada tema.
  • Cronogramas de seguridad del cliente, cláusulas de uso aceptable y requisitos de manejo de datos.
  • Estándares externos con los que usted se compromete, como líneas de base de configuración o códigos de prácticas de la industria.

La mayoría de los encuestados en la encuesta sobre el estado de la seguridad de la información de 2025 de ISMS.online afirmaron que se habían visto afectados por al menos un incidente de seguridad de terceros o proveedores durante el año pasado.

Si usted ofrece servicios como un centro de operaciones de seguridad (SOC), detección y respuesta gestionadas, gestión de vulnerabilidades o gestión de puntos finales, los clientes ven cada vez más la norma A.5.36 como su gancho para preguntar: "¿Cómo sabemos que usted sigue sus propias reglas y las nuestras, y qué sucede si no lo hace?".

Esta es una de las razones por las que las juntas directivas y los inversores ahora plantean preguntas más rigurosas sobre la gobernanza de los MSP. Las investigaciones del sector sobre la norma ISO 27001 y el riesgo cibernético en general también indican un mayor escrutinio por parte de la junta directiva sobre la seguridad y la gobernanza, en particular en lo que respecta a proveedores externos y subcontratistas, lo que refleja un cambio más amplio en las expectativas sobre cómo se gestiona el riesgo. Una sola regla desalineada en su SOC o plataforma de monitorización y gestión remota (RMM) puede perjudicar a varios clientes a la vez, por lo que buscan la seguridad de que sus controles documentados se ajustan a la realidad operativa. Un análisis independiente de la ciberresiliencia y el factor humano también destaca cómo las debilidades en plataformas o procesos compartidos pueden amplificar el impacto de errores individuales en muchas organizaciones, especialmente donde el comportamiento humano y la disciplina de procesos son fundamentales.

Una plataforma como ISMS.online puede ayudarle a definir sus políticas y estándares en un solo lugar, asignarlos a los servicios, asignar responsabilidades y vincularlos con evidencia real de auditorías, revisiones y herramientas operativas. Esto no elimina la necesidad de realizar el trabajo, pero hace que la relación entre "lo que decimos" y "lo que podemos demostrar" sea visible y gestionable.

El cumplimiento genera confianza cuando la evidencia muestra lo que realmente sucede, no lo que usted espera que suceda.

Lo que realmente exige la norma A.5.36 en lenguaje sencillo

La norma A.5.36 exige mantener claras las normas de seguridad, verificar que las personas las cumplan y solucionar los problemas cuando no lo hagan, y demostrar a auditores y clientes que este ciclo funciona en la práctica mediante pruebas tangibles, no solo con intenciones. En la práctica, esto significa demostrar que el cumplimiento de la política de seguridad de la información y las políticas, normas y estándares específicos del tema se revisa periódicamente, y que el incumplimiento se gestiona adecuadamente como parte de un ciclo de control dinámico que vincula normas, comportamiento, verificaciones y mejoras.

Para un MSP, ese bucle normalmente se ve así:

  • Definir: Mantiene un conjunto claro y actualizado de reglas que se aplican al personal, a los contratistas y, cuando sea relevante, a los entornos de los clientes.
  • Comunique: Las personas conocen las reglas y las reconocen a través de capacitaciones, reuniones informativas e incorporación.
  • Monitor: Se utilizan la supervisión técnica, los controles de procesos y las auditorías internas para comprobar si se están cumpliendo esas normas.
  • Responder: Cuando se detecta un incumplimiento, se registra, se evalúa el impacto y se toman medidas correctivas o disciplinarias cuando corresponde.
  • Mejorar: Revisa los patrones de incumplimiento y ajusta las políticas, la capacitación o los controles.

Los auditores no esperan la perfección. Esperan un ciclo controlado y documentado. Los clientes empresariales esperan lo mismo, especialmente cuando su servicio forma parte de su infraestructura crítica o del ámbito regulatorio. El apartado A.5.36 se vincula directamente con el ciclo Planificar-Hacer-Verificar-Actuar de la norma ISO 27001: se planifican las normas, se aplican los controles, se verifica el cumplimiento y se actúa en función de lo aprendido.

Por qué el control es más duro para los MSP

La norma A.5.36 es más dura para los MSP, ya que pequeñas debilidades en la aplicación de las reglas pueden extenderse a muchos servicios y clientes. Si la gobernanza interna es laxa, una sola norma o excepción deficiente puede socavar discretamente varias ofertas de seguridad gestionada a la vez.

Para muchos proveedores, A.5.36 expone una discordancia oculta: las ventas y los contratos prometen un nivel de control, las políticas describen otro y las operaciones ofrecen algo completamente distinto. Dado que sus servicios son multiusuario y se basan en herramientas, las debilidades pueden propagarse rápidamente:

  • Una regla de cuenta de administrador laxa en su propio entorno puede debilitar todos los servicios de seguridad administrados que usted ofrece.
  • Un estándar de parches que se aplica de manera inconsistente entre clientes puede generar hallazgos repetidos en las auditorías de clientes.
  • Un manual compartido que no se actualiza cuando cambian las políticas puede dejar de cumplir con las normas silenciosamente.

Alrededor del 41% de las organizaciones en la encuesta ISMS.online de 2025 nombraron la gestión del riesgo de terceros y el seguimiento del cumplimiento de los proveedores como uno de sus mayores desafíos en materia de seguridad de la información.

Los clientes y los organismos reguladores son cada vez más conscientes de esto. Utilizan preguntas alineadas con la norma A.5.36 para analizar cómo gestionan a su personal y subcontratistas, cómo supervisan el cumplimiento de las normas en las herramientas multiinquilino y cómo gestionan las excepciones. Una respuesta superficial —"Tenemos una política y capacitamos al personal"— ya no les satisface.

Considerar la norma A.5.36 como un control fundamental de gobernanza de los MSP, en lugar de un requisito de documentación limitado, le brinda la oportunidad de alinear promesas, políticas y prácticas. Al demostrar dicha alineación de forma fiable, se convierte en un factor diferenciador en licitaciones competitivas, especialmente para clientes que consideran a sus MSP como parte de su propio perímetro regulatorio.

Contacto


El problema: cumplimiento normativo puntual y exclusivamente en papel para MSP

El cumplimiento normativo puntual y con un alto volumen de papeleo le permite aprobar las auditorías, a la vez que aumenta discretamente el riesgo real, el coste y el estrés entre las fechas de evaluación. La guía de los organismos europeos de ciberseguridad sobre la norma ISO 27001 advierte que los enfoques basados ​​en listas de verificación o centrados exclusivamente en auditorías tienden a dejar riesgos operativos y tensiones residuales, ya que no reflejan el comportamiento de los sistemas y servicios entre evaluaciones formales. Concentran el esfuerzo en periodos cortos en lugar de implementar comprobaciones rutinarias que monitoreen el cumplimiento a lo largo del año.

Si es honesto acerca de cómo maneja actualmente A.5.36, hay una buena posibilidad de que la mayor parte del esfuerzo ocurra en ráfagas cortas e intensas en torno a auditorías externas, evaluaciones de clientes o solicitudes de propuestas importantes, en lugar de como parte de las operaciones diarias.

Un patrón típico se ve así: varias veces al año, los líderes de seguridad y operaciones lo dejan todo para recopilar evidencias. Buscan informes exportables de herramientas de tickets, RMM y gestión de información de seguridad y eventos (SIEM), extraen registros de capacitación de los sistemas de RR. HH. y crean presentaciones personalizadas para clientes específicos. Fuera de estos picos, se realizan pocas comprobaciones sistemáticas, más allá de lo que cada ingeniero y gerente recuerda hacer.

Este enfoque tiene varios costos. Desperdicia tiempo que podría dedicarse a mejorar los controles. Depende en gran medida de unas pocas personas clave. Oculta debilidades reales tras instantáneas que parecen aceptables en el día. Además, lo expone si un cliente o un regulador solicita garantías con poca antelación.

El cumplimiento que solo se activa en el momento de una auditoría generalmente no detecta cómo funcionan realmente sus servicios.

Dónde falla el cumplimiento en un momento determinado

La evidencia puntual seguirá formando parte de las auditorías externas y los ejercicios de diligencia debida, pero confiar en ella como modelo principal de aseguramiento deja lagunas predecibles, y para los MSP, tres debilidades se manifiestan una y otra vez. La más obvia es que el cumplimiento puntual permite que las infracciones de las normas pasen desapercibidas durante largos periodos: los incidentes y las no conformidades a menudo implican normas conocidas que no se estaban siguiendo porque, aunque existían, no se realizaban comprobaciones periódicas basadas en el riesgo.

La dependencia de las acciones heroicas de último minuto y la evidencia fragmentada es otra debilidad. El cumplimiento depende de que un puñado de ingenieros y gerentes hagan lo correcto, además de su carga de trabajo habitual, sin indicaciones ni verificaciones estructuradas. Extraen artefactos de herramientas dispersas y los colocan en paquetes ensamblados a toda prisa. Cuando esas personas se van, enferman o se sobrecargan, los controles se degradan silenciosamente y la historia que se les cuenta a los clientes se vuelve más difícil de reconstruir.

Si opera en sectores altamente regulados, o atiende a clientes que lo hacen, estas debilidades pueden contribuir a la pérdida de contratos, a resultados de auditoría más severos o a planes de remediación más extensos, especialmente cuando coinciden con otras deficiencias en el diseño de control o la supervisión. Incluso en mercados menos regulados, aumentan las probabilidades de que un cliente cuestione su profesionalismo si tiene dificultades para demostrar cómo aplica sus propias normas.

Reconocer estos dolores es incómodo, pero prepara el terreno para una forma diferente de pensar sobre A.5.36: no como un obstáculo ocasional, sino como una disciplina continua que protege a los clientes y su propia reputación.

Costos ocultos en personas, herramientas y confianza del cliente

Los costos ocultos del cumplimiento puntual se manifiestan en las personas, las herramientas y las relaciones. Los equipos perciben el trabajo de cumplimiento como una presión impredecible y de último minuto, lo que mina la moral y refuerza la percepción de que las normas son una sobrecarga en lugar de formar parte de las buenas prácticas de ingeniería y servicio. Con el tiempo, esta percepción fomenta el agotamiento y la rotación en puestos clave.

Por ejemplo, muchos MSP de tamaño mediano informan que dedican mucho tiempo —a menudo semanas de esfuerzo— a recopilar manualmente registros, capturas de pantalla y registros de capacitación antes de una importante solicitud de propuestas (RFP) o una auditoría de cliente. El trabajo es estresante, los resultados son difíciles de reutilizar y el equipo termina con poca sensación de haber mejorado la ejecución real de los servicios.

También existe un costo de herramientas. Los MSP invierten fuertemente en automatización de servicios profesionales (PSA), RMM, SIEM, identidad y plataformas de registro. Si la evidencia que proporciona para A.5.36 reside principalmente en hojas de cálculo y capturas de pantalla, no está obteniendo el valor de garantía total de esas herramientas. Incluso podría estar pagando dos veces: una por las herramientas y otra por el esfuerzo manual para extraer y combinar la información relevante.

La encuesta ISMS.online 2025 indica que los clientes esperan cada vez más que sus proveedores se alineen con marcos formales como ISO 27001, ISO 27701, GDPR, Cyber ​​Essentials, SOC 2 y estándares de IA emergentes.

Finalmente, los clientes lo notan. Los cuestionarios de seguridad ahora suelen preguntar no solo "¿Tiene una política?", sino también "¿Cómo supervisa su cumplimiento?" y "¿Qué métricas monitorea?". La cobertura en publicaciones especializadas en seguridad y gobernanza muestra el mismo patrón: cada vez más equipos de compras y riesgos preguntan cómo se aplican y miden los controles, en lugar de limitarse a preguntas simples sobre políticas con respuestas de sí o no. Si sus respuestas son vagas o no puede proporcionar ejemplos sin semanas de preparación, los equipos de riesgos y compras sacarán sus propias conclusiones sobre su madurez.

Abandonar el enfoque puntual implica aceptar que algunas reglas se seguirán de forma imperfecta, pero insistir en que las desviaciones sean visibles, explicables y se utilicen para impulsar la mejora, en lugar de permanecer ocultas hasta la siguiente auditoría. Ese cambio es lo que el aseguramiento continuo pretende impulsar.



ISMS.online le ofrece una ventaja inicial del 81 % desde el momento en que inicia sesión

ISO 27001 simplificado

Una ventaja del 81% desde el primer día

Hemos hecho el trabajo duro por ti y te damos una ventaja inicial del 81 % desde el momento en que inicias sesión. Todo lo que tienes que hacer es completar los espacios en blanco.

Comenzar


Reformulación: del cumplimiento estático a la garantía continua

Replantear el A.5.36 como un problema de diseño lo convierte de una simple verificación anual a una parte manejable de la gestión de las operaciones de MSP. En lugar de preguntarse cómo superar la próxima auditoría, se pregunta cómo incorporar un nivel razonable de seguridad continua en el trabajo diario.

La garantía continua no implica supervisar cada regla en tiempo real en todos los sistemas. Implica elegir ritmos y mecanismos sensatos para que las reglas importantes se revisen con la frecuencia necesaria, las comprobaciones se integren en los flujos de trabajo y herramientas habituales, y la evidencia se recopile como un subproducto del trabajo, en lugar de como un informe independiente.

Una gran mayoría de organizaciones en la encuesta sobre el estado de la seguridad de la información de 2025 de ISMS.online dijeron que la velocidad y el volumen de los cambios regulatorios están haciendo que el cumplimiento sea más difícil de mantener.

Esta mentalidad se alinea perfectamente con la estructura de la propia norma ISO 27001. La norma ya exige planificar, operar, supervisar y mejorar el sistema de gestión. La norma A.5.36 centra este ciclo en si se cumplen las propias normas y estándares, y en si se responde cuando no se cumplen.

Una breve comparación aclara el cambio. El cumplimiento puntual concentra el esfuerzo en unos pocos picos de estrés y deja largos periodos con poca visibilidad. El aseguramiento continuo distribuye el esfuerzo, reduce las sorpresas y facilita la detección temprana de problemas. La siguiente tabla resume las principales diferencias.

Dimensiones Cumplimiento en un momento dado Aseguramiento continuo
Cadencia Picos antes de auditorías y grandes cuestionarios Controles periódicos basados ​​en el riesgo durante todo el año
Perfil de esfuerzo Explosiones manuales y estresantes Actividades más pequeñas y predecibles en flujos normales
Exposición a riesgos Las brechas entre auditorías pasan fácilmente desapercibidas Las desviaciones surgieron y se resolvieron más rápidamente
Calidad de la evidencia Reconstruido a partir de fuentes dispersas Generado como parte del trabajo rutinario y monitoreo

El objetivo no es la perfección, sino un ciclo simple que funcione la mayor parte del tiempo y que pueda explicarse a auditores, clientes y partes interesadas internas. Al diseñar ese ciclo con cuidado, se reduce el estrés y el cumplimiento de las políticas se percibe como parte de la gestión de buenos servicios, no como un proyecto adicional.

Cómo se ve la garantía continua en la práctica

La garantía continua vincula sus reglas, controles, evidencias y decisiones para que se refuercen mutuamente. Cada parte del ciclo puede ajustarse a medida que sus servicios evolucionan.

Un patrón sencillo utiliza cuatro bloques de construcción:

  • Entradas: Políticas, estándares y requisitos del cliente que definen cómo se deben hacer las cosas.
  • Actividades de control: Controles técnicos y pasos procesales que integran esas reglas en el trabajo diario.
  • Artefactos de evidencia: Registros, tickets, informes y aprobaciones que muestran lo que realmente sucedió.
  • Circuitos de retroalimentacion: Foros de gobernanza, registros de riesgos y revisiones de gestión que utilizan la evidencia para realizar cambios.

Por ejemplo, una regla que diga que “todos los cambios de alto riesgo deben ser aprobados tanto por un propietario técnico como por un representante del cliente” podría estar incorporada en su flujo de trabajo de gestión de cambios, aplicada por su sistema de tickets, evidenciada por registros de aprobación y revisada periódicamente en una auditoría interna o una revisión de gestión.

No es necesario implementar un programa de monitoreo diario para cada regla. Un enfoque basado en riesgos funciona bien:

  • Las reglas de alto impacto (acceso privilegiado, cambios de producción, manejo de incidentes) podrían revisarse de forma continua o semanal.
  • Las reglas de impacto medio (cronograma de parches, pruebas de respaldo, finalización de capacitación) se pueden muestrear mensual o trimestralmente.
  • Las normas de bajo impacto podrán ser monitoreadas mediante auditorías ocasionales y durante revisiones de gestión.

Lo importante es que pueda explicar su razonamiento y demostrar que los mecanismos elegidos realmente funcionan en la práctica. Cuando los clientes o auditores pregunten por qué una norma se revisa mensualmente en lugar de semanalmente, querrá una respuesta clara y basada en el riesgo.

Priorizar y alinearse con la gobernanza

La mayoría de los MSP no pueden migrar todo a un modelo de aseguramiento continuo de una sola vez, por lo que priorizar es fundamental. Avanzará más rápido si se centra en las reglas que causarían mayor daño si se ignoran y genera confianza en ellas primero.

Un enfoque pragmático es:

  • Identifique las cinco a diez reglas cuyo incumplimiento dañaría más a los clientes o a su propio negocio.
  • Centre los esfuerzos iniciales de diseño y automatización en esas reglas.
  • Elija procesos de monitoreo, informes y escalamiento que se relacionen directamente con la gobernanza existente.

Por ejemplo, podrías empezar por:

  • Vincular reglas de acceso privilegiado a sus sistemas de identidad y tickets para que cada elevación sea aprobada, registrada y revisada.
  • Conecte los estándares de parches a su herramienta RMM, con paneles que muestran el cumplimiento entre los clientes y marcan las excepciones.
  • Informar métricas clave, como la cantidad de violaciones de políticas y la antigüedad de las excepciones abiertas, a su comité de SGSI y a las revisiones de gestión.

De esta manera, integra A.5.36 en su planificación y supervisión habituales, en lugar de ser un lenguaje independiente que solo domina el equipo ISO. El personal y los clientes ven así una historia coherente: reglas, comprobaciones, evidencias y mejoras, todo conectado de forma alineada con el ciclo Planificar-Hacer-Verificar-Actuar.



Un marco práctico A.5.36 para MSP

Un marco práctico A.5.36 le proporciona una estructura que permite integrar reglas, responsables, verificaciones y respuestas en su MSP. Convierte políticas y hábitos dispersos en un mapa claro de quién es responsable de qué, cómo se verifica el cumplimiento y cómo responder cuando algo sale mal.

Este marco sirve de puente entre las políticas de alto nivel y los pasos operativos que siguen los ingenieros y gerentes de servicio. Además, ofrece una forma repetible de responder a las preguntas de clientes y auditores sin tener que reinventar las explicaciones cada vez.

Creación de un marco de control A.5.36 específico para MSP

Un marco A.5.36 específico para MSP suele comenzar con un registro simple que muestra cómo se aplican, verifican y evidencian las reglas importantes en la práctica. Cada entrada vincula una regla con servicios, propietarios, supervisión y evidencia.

Un punto de partida útil es un registro que, para cada regla importante, captura:

  • La política o norma de la que proviene.
  • Los servicios y entornos de clientes a los que se aplica.
  • El propietario del control responsable de su cumplimiento.
  • El propietario del proceso responsable del diseño y la eficacia.
  • El mecanismo y frecuencia de seguimiento.
  • Las fuentes de evidencia, como informes o tipos de tickets.
  • El proceso de excepción, incluidas las fechas de aprobación y revisión.

Para los MSP, este registro debe incluir explícitamente los requisitos específicos del cliente, no solo las políticas corporativas genéricas. Si un cliente importante exige el cumplimiento de estándares de registro o normas de control de cambios específicos, dichas obligaciones deben constar como reglas en su marco, con responsables, comprobaciones y fuentes de evidencia.

Por ejemplo, una regla de "acceso privilegiado" podría provenir de su política de control de acceso y de la programación de un cliente clave. Podría aplicarse al SOC y a los servicios de infraestructura, ser propiedad del Jefe de Seguridad, supervisarse semanalmente mediante informes de identidad y gestión de tickets, documentarse mediante revisiones de acceso y aprobaciones de cambios, y contar con excepciones con límite de tiempo aprobadas por el CISO.

No necesita cientos de entradas. Comience con las reglas más importantes para la seguridad y la fiabilidad, especialmente donde sus contratos y reclamos de marketing sean más sólidos. Con el tiempo, puede ampliar el registro según sea necesario, en función del riesgo y las expectativas del cliente.

Una plataforma SGSI como ISMS.online puede fortalecer esto aún más al gestionar el registro, vincular las reglas con los riesgos y controles, y realizar un seguimiento de las fechas de revisión y los cambios. Esta visión compartida reduce la confusión y facilita la alineación a medida que sus servicios evolucionan.

Definición del alcance, la propiedad y los criterios de incumplimiento

Dos partes del marco merecen especial atención: la propiedad y lo que se considera una infracción. Ambas determinan si las reglas son teóricas o realmente influyen en el comportamiento.

Una propiedad fuerte significa que cada regla significativa tiene:

  • A propietario del control, responsable de garantizar que la norma se cumpla en todos los servicios pertinentes.
  • A propietario del proceso, responsable de mantener el diseño de control y el enfoque de monitoreo apropiados a medida que cambian la tecnología, los clientes y las regulaciones.

Igualmente importantes son las claras criterios de incumplimientoNecesita una forma acordada de distinguir entre:

  • Desviaciones menores que pueden gestionarse localmente y registrarse como parte del trabajo normal.
  • Infracciones significativas que deben registrarse como no conformidades, escalarse y potencialmente tratarse como incidentes.

No se puede imponer lo que no se ha definido como una infracción. Definir umbrales con antelación facilita la configuración de herramientas, como la clasificación y el enrutamiento de las alertas, y garantiza que las medidas disciplinarias y contractuales se apliquen de forma coherente y justa. También facilita la integración de la norma A.5.36 con los procesos de gestión de incidentes y no conformidad, de modo que las infracciones graves sigan la misma ruta estructurada que otros eventos de seguridad.

Un marco como este reduce la repetición del trabajo durante la auditoría. Cuando los auditores o clientes pregunten: "¿Cómo se aseguran de que se cumpla esta norma?", puede indicar una descripción clara que muestre la norma, los controles, la supervisión y la evidencia, y luego extraer algunas muestras para demostrar que el ciclo funciona.



subir

Libérate de una montaña de hojas de cálculo

Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.

Reserva tu demostración


Incorporación de A.5.36 en el SGSI, la gobernanza y los procedimientos operativos estándar

Integrar la norma A.5.36 en su SGSI, estructuras de gobernanza y procedimientos operativos estándar es la forma de convertir los marcos en comportamientos prácticos. El objetivo es integrar el cumplimiento de las políticas en la toma de decisiones rutinaria y la prestación de servicios, no como una actividad de cumplimiento aislada que solo aparece antes de las auditorías.

Muchos de los mecanismos necesarios ya existen en un MSP típico alineado con la norma ISO 27001: registros de riesgos, procesos de gestión de cambios, gestión de incidentes, procedimientos disciplinarios, auditorías internas y revisiones por la dirección. La tarea consiste en conectar explícitamente el A.5.36 con estos mecanismos para que el incumplimiento de las normas se gestione como un riesgo de primera clase, no como algo secundario.

Vinculación de A.5.36 con los procesos de gestión de riesgos

La vinculación del A.5.36 con los procesos existentes de gestión de riesgos facilita la gestión coherente del incumplimiento. En lugar de crear un canal independiente, se identifican las infracciones de las políticas junto con otros riesgos y problemas de control.

Paso 1: Integrar las infracciones de las normas en la gestión de riesgos

Incorpore escenarios típicos de incumplimiento de políticas a su registro de riesgos, como el incumplimiento de las reglas de control de acceso o los procesos de control de cambios. Vincúlelos con los riesgos existentes (por ejemplo, filtraciones de datos o interrupciones del servicio) para justificar las iniciativas de monitoreo y mitigación, y garantizar que la responsabilidad esté clara.

Paso 2 – Convertir A.5.36 en un tema de auditoría recurrente

Asegúrese de que las auditorías internas y las revisiones de cumplimiento comprueben periódicamente si se cumplen las normas seleccionadas. Realice una pequeña muestra de normas cada año y verifique que los controles documentados, la supervisión y las pruebas funcionen según lo descrito. Utilice los hallazgos para impulsar acciones correctivas y mejoras, no solo para identificar comportamientos pasados.

Paso 3: Incorporar métricas a las revisiones de gestión

Incluya las métricas relacionadas con A.5.36 (número de infracciones de políticas, tendencias de excepciones y finalización de las comprobaciones planificadas) como datos estándar en las revisiones de gestión. Analice su impacto en la cultura, los controles y la carga de trabajo, y decida dónde centrar las mejoras. Esto demuestra de forma consistente a los auditores y clientes que el incumplimiento se gestiona activamente.

También es importante garantizar que la declaración del alcance y el análisis del contexto de su SGSI incluyan explícitamente los servicios prestados a los clientes y las herramientas utilizadas para prestarlos. De esta manera, no habrá ambigüedad sobre si el punto A.5.36 se aplica a plataformas multiinquilino, entornos de clientes y servicios subcontratados.

Incorporar A.5.36 a los flujos de trabajo cotidianos

Hacer que A.5.36 sea parte del trabajo diario significa, en última instancia, alinear los manuales y los comportamientos con el marco para que el cumplimiento se convierta en parte de “cómo hacemos las cosas aquí”.

Las técnicas útiles incluyen:

  • Anotación de libros de ejecución: Etiquete los pasos en los manuales de ejecución de incorporación, cambios, incidentes y mantenimiento que existen para cumplir con reglas específicas. Los identificadores simples, como los ID de reglas o las referencias a políticas, facilitan la alineación cuando cambian las políticas y los estándares.
  • Actualización de formularios y flujos de trabajo: Asegúrese de que los procesos clave capturen la información que necesita para la evidencia A.5.36, como por ejemplo a qué política se relaciona una desviación, qué acción correctiva se tomó y si se concedió una excepción.
  • Formación basada en roles: Vaya más allá de los cursos genéricos de concienciación sobre seguridad. Ofrezca una guía breve y específica para cada puesto sobre lo que significa la norma A.5.36 para ingenieros, gerentes de servicio, gerentes de cuentas y vendedores. Muéstreles cómo sus acciones generan o consumen evidencia y cómo esto beneficia a los clientes.

Con el tiempo, esto hace que el cumplimiento normativo deje de ser una tarea adicional y se convierta en parte integral de la prestación de servicios de calidad. Además, facilita la automatización de comprobaciones e informes, ya que los datos necesarios ya fluyen a través de las herramientas de forma estructurada.

Una plataforma SGSI puede ser útil al alojar el marco, vincular las reglas con los riesgos, controles, manuales de procedimientos y evidencia, y proporcionar un espacio común para las no conformidades, las acciones correctivas y los registros de revisión por la dirección. Este contexto compartido reduce el riesgo de que distintos equipos trabajen con diferentes versiones de la verdad y hace que el A.5.36 sea visible tanto para las partes interesadas técnicas como para las no técnicas.



Herramientas: Convertir políticas en reglas verificables por máquina (SIEM, RMM, ITSM)

Convertir las políticas en reglas verificables por máquina significa expresar partes clave de su conjunto de políticas como condiciones que sus herramientas puedan supervisar y aplicar, lo que reduce la verificación manual y garantiza un mayor cumplimiento de las reglas. Una vez que tenga reglas, propiedad y procesos claros, puede empezar a expresar algunas de esas reglas como condiciones técnicas que sus herramientas puedan verificar. De esta manera, A.5.36 y su pila de operaciones de seguridad se refuerzan mutuamente, convirtiendo las políticas en señales verificables por máquina.

El objetivo no es crear un sistema de cumplimiento independiente, sino configurar los sistemas que ya utiliza (SIEM, RMM, plataformas de identidad, gestión de endpoints y gestión de tickets) para que generen evidencia y alertas que se ajusten a sus reglas y estándares. Si se implementa correctamente, esto reduce el esfuerzo manual y aumenta la confianza en el cumplimiento efectivo de las reglas.

Expresar políticas como condiciones técnicas

Se expresa una política como una condición técnica pasando de una regla en lenguaje sencillo a señales y comprobaciones específicas en las herramientas. El patrón es simple, pero aplicarlo consistentemente requiere disciplina.

Para traducir el texto de la política en algo con lo que las herramientas puedan trabajar, es útil utilizar un patrón que conecte el lenguaje y la configuración:

  1. Empecemos con una regla:por ejemplo, “todos los puntos finales administrados deben ejecutar la protección de puntos finales aprobada” o “no se permiten cuentas de administrador compartidas”.
  2. Identificar señales:decide qué registros, datos de configuración o eventos mostrarían si se está siguiendo o incumpliendo la regla.
  3. Definir condiciones: escriba condiciones claras que puedan probarse, como “agente presente y saludable” o “más de una persona usando la misma cuenta privilegiada”.
  4. Configurar comprobaciones:Implemente esas condiciones en sus herramientas de monitoreo y gestión, con paneles o informes que resuman el cumplimiento y destaquen las excepciones.
  5. Conectarse a los flujos de trabajo:enrutar las violaciones a colas de tickets con categorías, prioridades y SLA apropiados, para que se gestionen como cualquier otro problema operativo.

Por ejemplo, considere la regla "todos los endpoints administrados deben ejecutar la protección de endpoints aprobada". Las señales podrían ser datos de estado del agente de su RMM y la consola antivirus. La condición es "agente instalado y con informes en las últimas 24 horas". Configure comprobaciones y paneles para marcar agentes faltantes o obsoletos y crear tickets automáticamente, de modo que los dispositivos que no cumplen las normas sean visibles, rastreados y remediados.

La misma lógica se aplica a las reglas basadas en procesos. Por ejemplo, una regla que establece que «todos los cambios de alto riesgo deben pasar por un flujo de trabajo de aprobación formal» puede verificarse correlacionando los tickets de cambio con los registros de implementación y marcando las desviaciones.

Comience con un número reducido de reglas de alto impacto y ajuste los umbrales con cuidado. Las comprobaciones demasiado sensibles que generan alertas constantes perderán credibilidad rápidamente y pueden hacer que la seguridad parezca peor en lugar de mejor.

Usar sus herramientas para detectar y aplicar reglas

Muchos MSP ya cuentan con las herramientas necesarias para soportar A.5.36; lo que generalmente falta es la asignación explícita de reglas a la configuración de herramientas e informes, y la disciplina para mantener esa asignación actualizada.

Las oportunidades útiles incluyen:

  • Monitoreo remoto y gestión de puntos finales: Utilícelos para implementar e informar sobre estándares de parches, cifrado, implementación de protección de endpoints y derechos de administrador local en todos los clientes. Las excepciones se convierten en datos visibles y cuantificados para los procesos de gestión de riesgos y gobernanza.
  • Análisis y registro de seguridad: Configure reglas de correlación que agrupen las posibles infracciones de políticas, como el acceso privilegiado fuera del horario laboral o los cambios de configuración sin tickets asociados, en paneles específicos. Estas pueden revisarse en rutinas diarias o semanales.
  • Gestión de identidades y accesos: Utilice la pertenencia a grupos, las políticas de acceso condicional y los controles de acceso basados ​​en roles para aplicar reglas sobre quién puede hacer qué, dónde y cuándo. Los registros e informes forman parte del conjunto de evidencias para las reglas relacionadas con el control de acceso.
  • Gestión de tickets y servicios de TI (ITSM): Asegúrese de que los tickets que representan incumplimientos se etiqueten con la regla correspondiente, se les dé seguimiento hasta su cierre y se conserven para su análisis. Con el tiempo, esto crea un historial estructurado de cómo se aplican y hacen cumplir las reglas.

La aplicación automatizada de la normativa, como el bloqueo de acciones que incumplen normas clave o la cuarentena de dispositivos no conformes, puede ser eficaz en las áreas de mayor riesgo. Al implementar estos controles, documentar su diseño, alcance y supervisión proporciona información sólida tanto para auditores como para clientes, según el apartado A.5.36.

ISMS.online no reemplaza estas herramientas operativas, pero puede integrarse en ellas, almacenando las reglas, asignándolas a servicios y controles, y vinculándolas con los informes, paneles y tickets que muestran su funcionamiento. Esto evita la necesidad de reimplementar la monitorización, a la vez que proporciona una infraestructura de cumplimiento coherente que integra tecnología y gobernanza.



ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.

Gestione todo su cumplimiento, todo en un solo lugar

ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.

Reserva tu demostración


KPI, registros y evidencias para auditores y clientes empresariales

Un conjunto pequeño y bien organizado de métricas y registros contribuirá más al aseguramiento de la norma A.5.36 que docenas de gráficos y capturas de pantalla vagamente relacionados, ya que las medidas correctas ayudan a demostrar que las normas son importantes, se verifican y conducen a la acción cuando no se cumplen. Las guías de consulta sobre la norma ISO 27001 y la gestión de ciberriesgos en general también tienden a favorecer las métricas específicas y relevantes para la toma de decisiones frente a grandes volúmenes de datos no estructurados precisamente por esta razón, ya que esta combinación es más fácil de interpretar para las juntas directivas, los auditores y los clientes.

Con reglas expresadas y controles establecidos, puede transformar los datos resultantes en medidas y evidencia que satisfagan a dos públicos exigentes: auditores de certificación y clientes empresariales.

Casi todos los encuestados en la encuesta ISMS.online de 2025 mencionaron la obtención o el mantenimiento de certificaciones de seguridad, como ISO 27001 o SOC 2, como una máxima prioridad.

El objetivo es un conjunto reducido de medidas y artefactos que demuestren tres cosas:

  • Sabes qué reglas importan.
  • Usted verifica el cumplimiento de los mismos.
  • Actúas según lo que encuentras y aprendes.

Las historias de seguridad más sólidas son las que se pueden contar de manera consistente, no las que se reinventan para cada cliente.

Diseño de un conjunto de métricas lean A.5.36

Un conjunto de métricas A.5.36 simplificadas se centra en unos pocos indicadores que reflejan claramente el riesgo, el comportamiento y la mejora. Demasiadas medidas diluyen la atención y son difíciles de mantener.

No necesita una larga lista de KPI. Un conjunto pequeño y cuidadosamente seleccionado puede ser más eficaz y fácil de mantener, especialmente cuando debe explicarlo repetidamente a auditores, juntas directivas y clientes.

Algunos ejemplos que funcionan bien para los MSP incluyen:

  • Cobertura de políticas y capacitación: Porcentaje de personal y roles clave que han reconocido y completado la capacitación sobre políticas y normas pertinentes.
  • Tasas de infracción: Número y gravedad de las infracciones identificadas de normas clave durante un período, desglosadas por servicio o función.
  • Es hora de remediar: Tiempo promedio desde la detección de una infracción o no conformidad hasta su resolución.
  • Paisaje de excepción: Número de excepciones aprobadas a las reglas, su antigüedad y cuándo deben revisarse.
  • Cobertura de monitoreo: Proporción de sistemas o clientes dentro del ámbito de aplicación cubiertos por controles definidos.

Estas métricas pueden presentarse de forma diferente para cada público. Las juntas directivas y los ejecutivos se preocupan por las tendencias y el impacto en el negocio. Los equipos técnicos se preocupan por dónde centrar sus esfuerzos. Los clientes se preocupan por la garantía de que las normas se cumplan y mejoren con el tiempo. Vincular métricas como la antigüedad de las excepciones o la cobertura de la monitorización con los resultados comerciales (por ejemplo, cómo afectan a los resultados de la diligencia debida o a las renovaciones de contratos) aclara su relevancia.

Las revisiones internas periódicas de estas medidas ayudan a identificar problemas sistémicos, como infracciones reiteradas de la misma norma o servicios específicos que tienen dificultades para cumplir con los estándares. Estos conocimientos deberían contribuir a mejoras específicas en la capacitación, los procesos o las herramientas.

Creación de paquetes de evidencia reutilizables

Los paquetes de evidencia reutilizables le permiten responder con rapidez y consistencia a las solicitudes de verificación. En lugar de crear paquetes ad hoc bajo presión, mantiene un núcleo A.5.36 que puede adaptarse a cada auditor o cliente.

Tanto los auditores como los clientes valoran la evidencia estructurada y reutilizable. En lugar de empezar desde cero para cada evaluación, puede preparar un paquete de evidencia A.5.36 que actualice periódicamente y adapte a la audiencia.

Un paquete típico podría incluir:

  • Una explicación concisa de cómo se implementa A.5.36 en su MSP, con diagramas que muestran el marco y los procesos clave.
  • Extractos de su registro de políticas y normas, destacando las reglas que se aplican a los servicios dentro del alcance.
  • Muestras de registros de capacitación y reconocimiento del personal relevante.
  • Informes de seguimiento seleccionados que demuestran verificaciones respecto de reglas clave.
  • Un pequeño conjunto de tickets redactados que muestran cómo se registra y resuelve el incumplimiento.
  • Resúmenes de auditorías internas o revisiones de cumplimiento que probaron los controles relacionados con A.5.36.
  • Evidencia de que la administración ha revisado las métricas de cumplimiento de políticas y ha tomado decisiones sobre mejoras.

Para los clientes, puede anonimizar y adaptar aún más este material, centrándose en las normas y servicios relevantes para ellos y en cómo la gobernanza de su MSP a nivel de MSP satisface sus requisitos específicos. Un ejemplo anonimizado de un cliente similar, como un MSP de tamaño mediano con SOC y servicios gestionados de detección y respuesta, puede ilustrar cómo funciona su marco en la práctica sin revelar información confidencial.

ISMS.online le ayuda a almacenar descripciones de controles, vincularlas a registros de evidencia, realizar un seguimiento de las fechas de revisión y exportar vistas consistentes cuando sea necesario. También respalda su propia verificación interna, ya que puede ver de un vistazo qué reglas tienen evidencia actualizada y cuáles requieren atención antes de la próxima auditoría o revisión del cliente.



Reserve una demostración con ISMS.online hoy mismo

ISMS.online ofrece a su MSP una forma práctica de convertir la norma A.5.36 de un simple ejercicio en papel a un control visible y manejable en todos sus servicios. Le ayuda a pasar del cumplimiento puntual y dependiente del personal a una garantía continua que se adapta a su forma actual de gestionar las operaciones de seguridad.

En la práctica, eso significa que puedes:

  • Mantenga sus políticas y estándares establecidos en un solo lugar, vinculados a servicios, riesgos y controles ISO 27001.
  • Asigne una propiedad clara a las reglas y controles, con tareas y flujos de trabajo que realicen un seguimiento de las revisiones y las mejoras.
  • Vincule reglas con evidencia del mundo real, como auditorías, informes de monitoreo y tickets, sin duplicar datos operativos.
  • Cree y mantenga paquetes de evidencia reutilizables para auditores y clientes, reduciendo el tiempo de preparación y el estrés.
  • Apoyar las revisiones de gestión y los informes de la junta directiva con vistas actualizadas de las métricas de cumplimiento de políticas y las no conformidades.

Ver esto en el contexto de sus propios servicios es mucho más impactante que leerlo en abstracto. Una demostración le brinda la oportunidad de analizar sus desafíos A.5.36, ver cómo se integran en la plataforma y explorar cómo sería un modelo de aseguramiento más continuo y basado en herramientas para su organización.

Si lidera la seguridad, las operaciones o el cumplimiento normativo en un MSP y necesita reforzar su demostración de la norma A.5.36 a auditores y clientes empresariales, reservar una demostración es un paso práctico. Le permite comprobar si ISMS.online puede ayudarle a demostrar, y no solo afirmar, que cumple con sus políticas, normas y estándares de seguridad de la información en todos los servicios gestionados que ofrece.


Preguntas Frecuentes

¿Qué exige realmente la norma ISO 27001:2022 A.5.36 a un MSP en el día a día?

A.5.36 espera que su MSP demuestre que las personas realmente siguen sus reglas de seguridad en el trabajo diario y que usted detecta, evalúa y corrige rutinariamente el incumplimiento en su propia infraestructura, su cadena de herramientas y los entornos de sus clientes.

¿Dónde aparece A.5.36 en un MSP real?

Para un proveedor de servicios administrados, este control afecta tres lugares a la vez:

Tu entorno interno

Esto es todo lo que su equipo utiliza para ejecutar y respaldar los servicios:

  • Acceso a plataformas PSA, RMM, SIEM, backup, identidad y ticketing.
  • Computadoras portátiles, servidores, VPN y SaaS utilizados por ingenieros y personal administrativo.
  • Cómo manejan las personas los datos de los clientes en el correo electrónico, el chat, la documentación y las pantallas compartidas.

Aquí A.5.36 pregunta: ¿tiene reglas claras sobre cómo el personal accede y protege este patrimonio, las entienden y puede mostrar cómo las verifica y mejora con el tiempo?

La pila de servicios multiinquilino que usted opera

Esta es la capa de herramientas compartida que usted maneja en nombre de muchos clientes:

  • RMM, EDR, SIEM, identidad, consolas de administración en la nube, plataformas de respaldo y tickets.
  • Reglas para MFA en consolas, diseño de roles de administrador, uso de cuentas de ruptura de vidrio, acceso de proveedores y aprobaciones de cambios.
  • Alineación entre su catálogo de servicios, sus libros de ejecución y lo que realmente sucede con los tickets y los cambios fuera de horario.

Aquí la expectativa es simple: reglas documentadas, propietarios claros, cadencias de revisión definidas y evidencia de que las excepciones se registran, evalúan y cierran o aceptan como riesgos.

Entornos de clientes dentro del alcance

Esta es la infraestructura y las cargas de trabajo en la nube que administra bajo contrato:

  • Dispositivos, redes, inquilinos, suscripciones y controles de seguridad de los que usted es responsable.
  • SLA y manuales de ejecución que definen qué significa “suficientemente seguro” para cada servicio.
  • Evidencia de que la aplicación de parches, la supervisión, las comprobaciones de copias de seguridad, las revisiones de acceso y el manejo de incidentes coinciden con lo prometido.

En estas tres capas, los auditores, las aseguradoras cibernéticas y los compradores empresariales realmente buscan tres cosas:

  • Reglas específicas del MSP: que hablan sobre acceso remoto, herramientas multiinquilino, manejo de datos de clientes y uso de subcontratistas.
  • Evidencia de que la gente sigue esas reglas: – capacitación, reconocimiento de políticas, ejemplos de tickets trabajados y libros de ejecución, registros de revisión de acceso.
  • Un bucle rastreable: demostrando que cuando se rompen las reglas, se registra, se evalúa el riesgo, se toman medidas y se ajustan los controles o la capacitación.

Cuando puede explicar ese ciclo en un lenguaje sencillo y respaldarlo con un conjunto pequeño y bien elegido de ejemplos, A.5.36 se convierte en una forma de mostrar a los clientes que administra su MSP con disciplina, en lugar de ser solo otra casilla de verificación en la lista del Anexo A.

¿Cómo puede un MSP pasar del “cumplimiento anual en papel” a una garantía continua sin agotar a su personal?

Puede pasar a una garantía continua dejando de lado el trabajo duro de una vez al año y, en su lugar, integrando verificaciones más pequeñas basadas en riesgos en las herramientas y flujos de trabajo que sus equipos ya usan, de modo que aparezca evidencia útil automáticamente mientras hacen su trabajo.

¿Cómo se ve la garantía continua en un MSP?

Un modelo práctico generalmente se basa en tres movimientos.

Utilice cadencias basadas en riesgos en lugar de listas de verificación planas

No todas las reglas merecen atención semanal:

  • Dominios de alto impacto: – acceso privilegiado, cambios de alto riesgo, copias de seguridad para inquilinos clave, cobertura de monitoreo – justificar continuo, diario o semanal cheques.
  • Dominios de impacto medio: – cumplimiento de parches, líneas base de configuración, finalización de la capacitación en seguridad – ajuste mensual o trimestral ciclos
  • Áreas de menor impacto: – algunos controles físicos o herramientas de nicho – se pueden muestrear en auditorías internas y controles aleatorios.

Esto demuestra que está poniendo el esfuerzo A.5.36 donde el riesgo y la confianza del cliente lo exigen, no solo donde una plantilla decía "mensual".

Incorpore controles a las herramientas que sus equipos ya utilizan

La garantía continua sólo sobrevive si los controles son parte del trabajo normal:

  • Las aprobaciones de cambios, el uso administrativo fuera del horario laboral y las excepciones se aplican mediante flujos de trabajo de tickets con campos obligatorios y aprobaciones.
  • Las líneas base y las reglas de parches se aplican y se informan en Herramientas de seguridad de endpoints y RMM, no copiados en hojas de cálculo.
  • Los eventos de administración e identidad (nuevos roles privilegiados, cambios de MFA, inicios de sesión riesgosos) se rastrean mediante registros de auditoría y reglas SIEM sintonizado con un pequeño número de patrones significativos.

El objetivo es que su SGSI y cualquier SGSI alineado con el Anexo L utilicen estas señales existentes en lugar de crear un universo paralelo de registros manuales en los que nadie confía.

Dejemos que la evidencia sea un subproducto de las buenas operaciones

Cuando los cheques están conectados a sus plataformas:

  • Tickets, paneles, informes, registros de cambios y notas de revisión convertirse en evidencia A.5.36 por defecto.
  • Su ISO o responsable de seguridad deja de ser un “cazador de pruebas” y se convierte en un sintonizador de control, utilizando esta transmisión para ajustar los umbrales, las cadencias y el entrenamiento.

Si su equipo ya teme las semanas previas a las auditorías de vigilancia o las revisiones importantes de clientes, puede implementar la verificación continua como una forma de simplificar y profesionalizar la gestión, no como una capa más de administración de cumplimiento. ISMS.online está diseñado para integrarse en este modelo, integrando riesgos, políticas, auditorías internas y acciones correctivas en un solo lugar, de modo que las comprobaciones continuas en sus herramientas alimenten de forma natural su sistema de gestión de seguridad de la información.

¿En qué controles y registros concretos debería centrarse primero un MSP para A.5.36?

No necesita un montón de carpetas. Necesita un conjunto pequeño y riguroso de comprobaciones y registros que demuestren que existen normas en zonas de alto riesgo, se aplican en la práctica y se corrigen cuando no lo son.

¿Qué dominios suelen ser más importantes en las auditorías y la diligencia debida?

Generalmente, cinco áreas tienen el mayor peso para un MSP.

1. Acceso privilegiado y remoto

Generalmente este es el primer lugar al que recurren los auditores y los clientes.

  • Definir: quién puede tener cuentas de administrador, qué estándares de MFA y dispositivos se aplican, cómo se evitan las credenciales compartidas y cómo se solicita y revoca el acceso de emergencia.
  • Mantener: exportaciones de membresía del grupo de administración, minutos breves de revisión de acceso y algunos tickets redactados que muestran el acceso de emergencia abierto y cerrado.

2. Aplicación de parches y configuración

Esto demuestra si es posible implementar medidas de higiene básica a gran escala.

  • Definir: ciclos mínimos de parches por tipo de sistema, configuraciones de referencia para puntos finales, servidores y nube, y cómo se manejan las excepciones.
  • Mantener: informes de parches y vulnerabilidades con alcance y fechas claras, además de tickets en los que se encontraron desviaciones de la línea base, se evaluaron los riesgos y se solucionaron.

3. Gestión de cambios de alto riesgo

Aquí es donde comienzan muchos incidentes graves.

  • Definir: qué cambios requieren aprobación formal (por ejemplo, reglas de firewall, cambios de identidad, políticas de respaldo), quién los aprueba y qué debe registrarse.
  • Mantener: un pequeño conjunto de tickets de cambio completamente completados que muestran el recorrido desde la solicitud hasta la aprobación y, cuando sea necesario, la revisión posterior a la implementación.

4. Registro y monitoreo de la cobertura

Esto demuestra que te das cuenta y actúas cuando algo sale mal.

  • Definir: qué eventos deben registrarse para su propio patrimonio y para los servicios administrados, dónde se almacenan los registros, durante cuánto tiempo los conserva y qué alertas son importantes.
  • Mantener: diagramas o resúmenes de cobertura simples, alertas de ejemplo y tickets de seguimiento que muestran cómo se investigó y cerró el problema.

5. Excepciones e incumplimientos

Aquí es donde A.5.36 realmente demuestra si usted toma las reglas en serio.

  • Definir: cómo se plantean, aprueban, limitan el tiempo y revisan las excepciones, y cómo se escala el incumplimiento reiterado.
  • Mantener: un registro de excepciones vivo vinculado a su registro de riesgos y algunos casos en los que no solo solucionó el problema inmediato sino que también cambió una plantilla, actualizó un libro de ejecución o ajustó la capacitación.

Al recopilar todo esto en un paquete de evidencias A.5.36 compacto y mantenerlo actualizado, podrá responder rápidamente a auditores, aseguradoras cibernéticas y equipos de compras empresariales sin tener que inventar nuevas evidencias cada vez. En ISMS.online, este paquete puede integrarse con sus políticas, riesgos, auditorías internas y revisiones de gestión relevantes para que su equipo siempre sepa adónde acudir cuando alguien pregunte: "¿Cómo sabe que se cumplen sus políticas?".

¿Cómo debería un MSP integrar la norma A.5.36 en su SGSI y SGI para que sobreviva a los cambios de personal?

La norma A.5.36 perdura más allá de cualquier liderazgo ISO cuando se considera parte del ritmo de gobernanza, no como un proyecto secundario. Esto significa integrar el cumplimiento de las políticas en la gestión de riesgos, la auditoría interna, la gestión de incidentes y cambios, y la revisión por la dirección, de modo que se discuta y se actúe en consecuencia con regularidad.

¿Cómo se ve esto en una propuesta de estrategia marina alineada con el Anexo L?

Tres elecciones de diseño hacen una diferencia notable.

1. Tratar los patrones de infracciones como riesgos, no como ruido

En lugar de tratar las reiteradas violaciones de las políticas como “molestas excepciones”:

  • Capture temas recurrentes (cuentas de administrador no administradas, cambios no aprobados, retrasos repetidos en los parches, fallas en las copias de seguridad) en su registro de riesgo con impacto explícito en el cliente y el negocio.
  • Evalúelos como cualquier otro riesgo ISO 27001: probabilidad, impacto y efectividad del control, de modo que “nos salimos con la nuestra” no sea la métrica.
  • En un SGI alineado con el Anexo L, vincule esos riesgos con cláusulas relacionadas en estándares de calidad, gestión de servicios o continuidad del negocio, de modo que la misma debilidad no esté minando silenciosamente varios certificados.

2. Incluir el punto A.5.36 en la agenda para revisión por la dirección y auditoría interna.

El cumplimiento de políticas debería ser un tema permanente, no sólo un apéndice.

  • En las revisiones de gestión, incluya indicadores simples y que permitan medir tendencias: cantidad y gravedad de las violaciones de políticas, antigüedad de las excepciones, verificaciones de control vencidas y hallazgos de auditoría interna relacionados con reglas no seguidas.
  • Utilice auditorías internas para Muestras de servicios, herramientas y clientes reales y comprobar si las reglas se aplican realmente allí, no sólo en sus cuentas más antiguas.
  • Convierta los resultados de las revisiones en acciones rastreables: quién es responsable de una solución, cuándo debe realizarse, cómo se verificará el progreso y cómo se mide el éxito.

ISMS.online respalda este patrón al brindarle plantillas de revisión de gestión, riesgos vinculados, auditorías internas y acciones correctivas en un solo lugar, para que pueda mostrar el ciclo desde el problema hasta la mejora.

3. Vincular los procedimientos operativos estándar y los manuales de ejecución directamente con los controles y contratos

Los ingenieros necesitan ver cómo sus pasos se corresponden con sus obligaciones.

  • Anote los pasos de incorporación, cambio, incidente y mantenimiento con la política, el control del Anexo A o la cláusula del contrato que satisfacen.
  • Actualice los formularios para que capturen los datos de los que dependerá más adelante: qué regla se aplicó, quién la aprobó, qué inquilino se vio afectado, qué se hizo para evitar que se repitiera.
  • Refleje estas expectativas en la capacitación basada en roles para que el personal comprenda por qué ciertos campos y aprobaciones son obligatorios y no “administración adicional”.

Cuando esta estructura reside dentro de su SGSI y de cualquier SGI más amplio, en lugar de estar dispersa en documentos y en la mente de los empleados, A.5.36 se convierte en "cómo gestionamos el MSP", no en "lo que desempolvamos para el auditor". Si utiliza ISMS.online, puede explicitar estos vínculos mediante trabajo vinculado, registros de riesgos, auditorías internas y revisiones de gestión, lo que le ayuda a demostrar continuidad incluso cuando cambian los roles.

¿Cómo pueden las herramientas SIEM, RMM y de tickets convertirse en motores prácticos de aplicación de normas políticas?

Puede convertir las plataformas existentes en motores de cumplimiento al traducir un pequeño conjunto de reglas importantes en condiciones que esas herramientas pueden verificar automáticamente y al garantizar que cualquier falla se convierta en un ticket claro y procesable con responsabilidad y una ruta de retroalimentación hacia su SGSI.

¿Qué patrón puede seguir un MSP para que las reglas sean verificables por máquina?

Un patrón simple de seis pasos funciona en la mayoría de los dominios.

1. Escribe la regla para que tanto un humano como una herramienta puedan aplicarla.

Por ejemplo:

  • “Todos los servidores Windows administrados deben aplicar actualizaciones de seguridad críticas dentro de los 14 días posteriores al lanzamiento, a menos que exista una excepción aprobada”.
  • “Cada inquilino del cliente debe tener al menos dos administradores globales nombrados, ambos protegidos por MFA y acceso condicional”.

Evite frases ambiguas como “cuando sea posible” si desea herramientas que le ayuden.

2. Decide qué señales prueban que la regla es correcta o incorrecta

Mira lo que tus sistemas ya pueden ver:

  • Datos del parche RMM o escáner de vulnerabilidad.
  • Contenido del CMDB o inventario de activos.
  • Roles de administrador de directorio y SaaS, registros de inicio de sesión y configuración.
  • Tickets y excepciones en tu mesa de servicio.

Estas señales definen lo que se puede comprobar automáticamente.

3. Convertir la regla en condiciones concretas y comprobables

Ejemplos:

  • “Todos los servidores incluidos en el análisis aparecen en el inventario, tienen un agente actualizado y no presentan vulnerabilidades críticas sin parchear con más de 14 días de antigüedad”.
  • “Cualquier servidor con un parche vencido tiene una excepción abierta y aprobada o un ticket de remediación con un propietario y un SLA”.
  • “Cada inquilino tiene al menos dos administradores globales únicos con MFA implementado; ninguna cuenta genérica tiene roles de administrador”.

Este paso crea el puente entre las palabras políticas y la lógica de la herramienta.

4. Cree paneles, consultas y reglas en sus herramientas

Implementa esas condiciones en tus plataformas:

  • Paneles de control en RMM y herramientas de vulnerabilidad que sacan a la luz activos no conformes y permiten a los equipos analizarlos en profundidad.
  • Reglas de correlación SIEM o informes programados que resaltan anomalías relevantes para las políticas, como nuevas cuentas privilegiadas sin MFA o grandes cambios fuera de las ventanas de cambio.
  • Flujos de trabajo de emisión de tickets que imponen aprobaciones y capturan los campos correctos cuando se generan determinadas categorías.

Hoy en día, “verificar el cumplimiento” es una cuestión de mirar visualizaciones en vivo, no de armar hojas de cálculo ad hoc.

5. Transformar los fallos en tickets significativos

Cuando algo no pasa la prueba, se debe crear un ticket al que alguien pueda recurrir:

  • Etiquete los tickets con la regla y el control al que se relacionan (por ejemplo, “ISO 27001 A.5.36 – acceso privilegiado”).
  • Incluya contexto: nombre del cliente, ID del activo, gravedad, cuánto tiempo ha estado en violación y enlaces a cualquier excepción relacionada.
  • Establezca SLA y propietarios realistas para que estos tickets no queden enterrados bajo ruido de bajo valor.

Esta es la parte que le interesa a A.5.36: no solo detectar infracciones de tus propias reglas, sino que también las solucionar de forma controlada.

6. Mantenga suficiente historial para mostrar tendencias y aprendizaje.

La evidencia de que los controles funcionan proviene de la historia:

  • Conserve los paneles, informes y tickets durante el tiempo suficiente para mostrar mejoras o temas recurrentes y para respaldar las auditorías internas.
  • Utilice un puñado de casos bien elegidos, incluido al menos un ejemplo incómodo, en revisiones de gestión, diligencia debida con proveedores y reuniones con clientes para demostrar que las violaciones de las políticas conducen a la acción y al aprendizaje.

Con el tiempo, este patrón crea un catálogo de reglas verificables por máquina que abarcan el acceso privilegiado, la verificación de copias de seguridad, la implementación de EDR, la cobertura de registros y más. ISMS.online facilita la vinculación de estos controles y su evidencia con sus políticas, riesgos y controles del Anexo A para que pueda presentarlos como parte de un sistema coherente de gestión de la seguridad de la información, no como un montón de capturas de pantalla inconexas.

¿Cómo puede un MSP convertir la norma ISO 27001 A.5.36 en una clara ventaja comercial con ISMS.online?

Convierte la norma A.5.36 en una ventaja comercial al guiar con tranquilidad a auditores y clientes desde la "esta es la norma" hasta "así es como la aplicamos y qué hacemos cuando se infringe", y al hacerlo desde un entorno único y estructurado que puede reutilizarse en auditorías, licitaciones y revisiones. ISMS.online está diseñado para ser ese entorno.

¿Cómo se ve esto en las auditorías, las solicitudes de propuestas y las reseñas de los clientes?

Tres hábitos hacen que los MSP se destaquen constantemente.

Utilice una vista mapeada desde la regla hasta el servicio y la evidencia

En lugar de hacer malabarismos con carpetas y hojas de cálculo cuando alguien menciona A.5.36:

  • Mantener un registro único y estructurado de políticas, estándares y reglas específicas del servicio en ISMS.online, con propietarios designados, alcances y fuentes de evidencia vinculadas.
  • Vincule cada regla con los controles, riesgos, auditorías internas y acciones correctivas pertinentes del Anexo A utilizando trabajo vinculado.
  • Cuando un auditor o un cliente empresarial lo solicite, abra ese mapa y haga clic en algunos ejemplos en vivo (revisiones de acceso, tickets de cambio, reconocimientos de capacitación) para mostrar el camino desde la regla escrita hasta el comportamiento real.

Este nivel de trazabilidad lo hace parecer un MSP que funciona con un SGSI real y no solo con buenas intenciones.

Muestra cómo respondes cuando se rompen las reglas

Los compradores cada vez quieren entender más cómo te comportas en los días malos:

  • Utilice ISMS.online para mantener un registro estructurado de infracciones y excepciones de políticas, con campos para impacto, causa raíz, propietario, tratamiento y cierre.
  • Lleve un par de casos cuidadosamente redactados a las reuniones para mostrar cómo se detectaron los problemas, qué hizo inmediatamente y cómo fortaleció los controles o la capacitación posteriormente.

Si se manejan bien, estos ejemplos generan confianza y demuestran que hay que tratar el A.5.36 como una disciplina viva y no como un eslogan de marketing.

Reutilice su trabajo A.5.36 en distintos marcos y clientes

Debido a que ISMS.online es compatible con los sistemas de gestión integrados alineados con la norma ISO 27001 y el Anexo L, cada mejora que realice para A.5.36 cumple una doble función:

  • Otros marcos y regulaciones: – Las normas SOC 2, NIS 2, DORA o específicas del sector a menudo plantean preguntas similares sobre cómo seguir sus propias reglas; puede responderlas a partir de los mismos registros vinculados.
  • RFP y seguros cibernéticos: – Los cuestionarios de seguridad que prueban el cumplimiento de las políticas a menudo se pueden responder exportando o resumiendo la evidencia existente de ISMS.online.
  • Reseñas de clientes y revisiones trimestrales: – puede reutilizar partes de su paquete de evidencia A.5.36 para demostrar cómo protege el entorno de cada cliente a lo largo del tiempo, no solo en los hitos de certificación.

Si desea ser visto como el MSP que realmente puede demostrar cómo trabaja, es lógico brindar a su equipo una plataforma diseñada para ese nivel de transparencia. Explorar cómo ISMS.online puede respaldar su enfoque A.5.36, junto con su sistema de gestión de seguridad de la información más amplio y cualquier sistema de gestión integrado de tipo Anexo L, es una forma práctica de pasar de una certificación básica a una visión comercial más defendible sobre cómo gestiona la seguridad para usted y sus clientes.

Marcos Sharron

Mark Sharron lidera la Estrategia de Búsqueda e IA Generativa en ISMS.online. Su enfoque es comunicar cómo funcionan en la práctica las normas ISO 27001, ISO 42001 y SOC 2, vinculando el riesgo con los controles, las políticas y la evidencia con una trazabilidad lista para auditorías. Mark colabora con los equipos de producto y cliente para integrar esta lógica en los flujos de trabajo y el contenido web, ayudando a las organizaciones a comprender y demostrar la seguridad, la privacidad y la gobernanza de la IA con confianza.

Twitter

Hacer un recorrido virtual

Comience ahora su demostración interactiva gratuita de 2 minutos y vea
¡ISMS.online en acción!

Pruébalo ahora
Panel de control de la plataforma completo en Mint

Somos líderes en nuestro campo

Estrellas 4 / 5
Los usuarios nos aman
Líder - Invierno 2026
Líder regional - Invierno 2026 Reino Unido
Líder regional - Invierno 2026 UE
Líder regional - Invierno 2026 Mercado medio UE
Líder regional - Invierno 2026 EMEA
Líder regional - Invierno 2026 Mercado medio EMEA

"ISMS.Online, la herramienta líder para el cumplimiento normativo"

—Jim M.

"Hace que las auditorías externas sean muy sencillas y conecta todos los aspectos de su SGSI sin problemas"

— Karen C.

"Solución innovadora para la gestión de acreditaciones ISO y otras"

— Ben H.