Ir al contenido
SGSI.online

Preguntas principales sobre la norma ISO 27001 que los equipos de seguridad empresarial plantean a los MSPS

Los equipos de seguridad empresarial ahora dependen de los MSP para controles críticos, pero la norma ISO 27001 les permite asumir la responsabilidad de los riesgos, incluso cuando los servicios se externalizan. Conocer cómo se aplican a su organización el alcance del SGSI, los controles del Anexo A y la evidencia continua de un MSP le ayuda a fortalecer la confianza con las juntas directivas, los auditores y los organismos reguladores, a la vez que evita brechas ocultas que los certificados por sí solos no pueden revelar.

Autor
Marcos Sharron
Actualizado diciembre 1, 2025
Estrellas 4 / 5

¿Por qué las preguntas de la norma ISO 27001 a los MSP son ahora más importantes que nunca?

Las preguntas sobre la norma ISO 27001 a los MSP son ahora más importantes que nunca, ya que sus controles influyen directamente en el riesgo y la exposición regulatoria de su organización. Los equipos de seguridad empresarial, como los CISO, los gerentes de seguridad, los responsables de riesgos de los proveedores y los responsables de riesgos externos, dependen ahora de proveedores de servicios gestionados para operaciones críticas, por lo que una alineación deficiente con la norma ISO 27001 en un proveedor se convierte rápidamente en un problema. Formular preguntas más precisas sobre la norma ISO 27001 le permite comprender cómo funcionan realmente los controles día a día y le ayuda a demostrar a las juntas directivas, los comités de auditoría y los organismos reguladores que la externalización refuerza, y no debilita, su estrategia de seguridad.

Cuando adoptó por primera vez la norma ISO 27001 internamente, probablemente se centró en sus propios centros de datos, aplicaciones y equipos. Hoy en día, una parte significativa de ese patrimonio puede residir en el entorno de un MSP o en las plataformas en la nube que este gestiona. Esto puede incluir un centro de operaciones de seguridad gestionada que analiza todos sus registros o una plataforma de identidad gestionada que respalda el inicio de sesión único para cada empleado. La norma sigue responsabilizándolo de los riesgos de seguridad de la información, incluso cuando otras organizaciones operan controles clave en su nombre. La norma ISO 27001 lo deja claro al exigirle que defina su contexto organizativo, evalúe los riesgos de seguridad de la información y controle los procesos externalizados, en lugar de transferir la responsabilidad a los proveedores, como se destaca en los principales resúmenes de la familia ISO 27000, como la introducción a la serie ISO 27000. Por ello, la pregunta "¿Cuenta con la certificación ISO 27001?" se ha convertido en el punto de partida más débil, en lugar de una respuesta suficiente.

El informe sobre el estado de la seguridad de la información de 2025 señala que los clientes esperan cada vez más que los proveedores se alineen con marcos formales como ISO 27001, ISO 27701, GDPR, Cyber ​​Essentials y SOC 2 en lugar de confiar en buenas prácticas genéricas.

La confianza crece cuando ves cómo se ejecutan los controles todos los días, no sólo en el momento de la certificación.

Debe comprender si el Sistema de Gestión de Seguridad de la Información (SGSI) de un MSP cubre realmente los servicios que planea utilizar, cómo interpretan la responsabilidad compartida y cómo evidencian el control continuo. Cada uno de estos temas debe reflejarse en las preguntas que formule a cada proveedor y en la explicación posterior interna sobre por qué un MSP en particular es aceptable. Este artículo ofrece información general para respaldar estas conversaciones; no constituye asesoramiento legal ni regulatorio, y siempre debe colaborar con sus órganos de gobierno interno y asesores cualificados al tomar decisiones finales.

Cómo la subcontratación cambió su panorama de riesgos según la norma ISO 27001

Su panorama de riesgos cambió en el momento en que permitió que un proveedor externo gestionara parte de su infraestructura tecnológica. No ha externalizado la responsabilidad; ha externalizado las actividades, por lo que la norma ISO 27001 aún espera que mantenga el control sobre la gestión de la seguridad.

La mayoría de las organizaciones afirmaron que se habían visto afectadas por al menos un incidente de seguridad relacionado con terceros o proveedores durante el año pasado.

La norma ISO 27001 espera que usted:

  • Comprenda los problemas internos y externos que afectan su SGSI.
  • Definir las partes interesadas, incluidos los MSP, y sus requisitos.
  • Controlar los procesos externalizados que afectan la seguridad de la información.

Cuando servicios esenciales como identidad, infraestructura, monitorización o respuesta a incidentes recaen en los MSP, estos procesos externalizados se convierten en un elemento central de su plan de gestión de riesgos. Si no puede describir cómo los controles de un MSP respaldan sus propios controles del Anexo A, puede crear un punto ciego significativo que probablemente preocupe a su junta directiva, auditores, clientes principales y organismos reguladores. Las directrices sobre la cadena de suministro de las agencias nacionales de ciberseguridad, incluidos los recursos de CISA, también destacan los controles de terceros no gestionados como un riesgo significativo para la gobernanza. Un siguiente paso práctico es asegurarse de que cada MSP estratégico aparezca explícitamente en su registro de riesgos, con enlaces a los controles que dependen de ellos para su funcionamiento.

Desde la perspectiva de la junta directiva, las preguntas ahora se centran menos en si está certificado y más en si su ecosistema extendido se comporta como un SGSI coherente y bien gobernado. Por eso, la debida diligencia de su MSP debe verse y percibirse como una extensión de su trabajo interno según la norma ISO 27001, no como una lista de verificación de compras independiente o un cuestionario de seguridad único. Si puede demostrar que los controles operados por el MSP están integrados en su registro de riesgos, su Declaración de Aplicabilidad (DdA) y sus revisiones por la dirección, será mucho más fácil defender las decisiones de externalización bajo escrutinio.

¿Por qué estás certificado? no es suficiente

Un certificado indica que, en momentos concretos, un organismo de certificación determinó que un SGSI cumplía con un alcance establecido. No indica cuáles de sus servicios se encuentran dentro de ese alcance, cómo se implementan los controles del Anexo A ni si dichos controles siguen funcionando eficazmente.

Tampoco se menciona cómo se reparten las responsabilidades entre el proveedor y el cliente, que es donde surgen muchos incidentes y hallazgos de auditoría. Si se limita a "¿Está certificado?", no se aprende prácticamente nada sobre si los controles del MSP son los adecuados para su perfil de riesgo. Los equipos de seguridad empresarial sólidos ahora consideran el certificado como la entrada, no como la solución.

El verdadero trabajo comienza con preguntas como:

  • ¿Cómo se relaciona el alcance de su SGSI con los servicios y regiones que realmente utilizaremos?
  • Muéstrenos cómo sus controles para este servicio se corresponden con el Anexo A de la norma ISO 27001:2022.
  • ¿Qué evidencia actual puede compartir de que estos controles siguen funcionando?

Una plataforma compartida de SGSI como ISMS.online puede ayudarle a mantener estas preguntas y respuestas en un solo lugar, convirtiendo hilos de correo electrónico y archivos PDF dispersos en una garantía estructurada y repetible, fácil de reutilizar con su junta directiva, comité de auditoría, foro de riesgo de proveedores y organismos reguladores. Independientemente de la herramienta que elija, la centralización de las respuestas facilita enormemente el mantenimiento de un historial de garantía de terceros consistente a lo largo del tiempo.

Contacto


¿Qué exige realmente la norma ISO 27001:2022 a los proveedores gestionados?

La norma ISO 27001:2022 exige que los proveedores gestionados operen un SGSI basado en riesgos que cubra claramente los servicios, las ubicaciones y los procesos que afectan a su información, y que justifiquen sus decisiones de control del Anexo A. Para usted, como cliente, esto se traduce en preguntas que indagan en el alcance, la evaluación de riesgos, la selección de controles y cómo estos se relacionan con los servicios específicos que el MSP ejecuta para usted.

Muchos proveedores aún hablan de la ISO 27001 como si fuera simplemente una biblioteca de controles. En realidad, la norma define un sistema de gestión completo que debe comprender el contexto organizacional, evaluar los riesgos, planificar el tratamiento, implementar controles, supervisar el rendimiento y mejorar con el tiempo. La revisión de 2022 aclaró esta perspectiva, modernizó el Anexo A y destacó temas como la inteligencia de amenazas, la prevención de fugas de datos y los riesgos específicos de la nube, que ahora aparecen con frecuencia en los debates sobre la debida diligencia empresarial. Las descripciones oficiales de la ISO/IEC 27001:2022, incluida la descripción general de la norma en el sitio web de ISO, enfatizan estas actualizaciones estructurales y el enfoque adicional en los escenarios modernos de amenazas y de la nube.

Visual: un mapa simple que vincula las cláusulas ISO 27001 con los servicios MSP que afectan sus datos.

Los elementos de la norma ISO 27001:2022 que más afectan a los MSP

Cuando trabaja con MSP, varias partes de la norma ISO 27001:2022 son particularmente relevantes y deberían reflejarse en cómo responden a sus preguntas.

  • Cláusulas 4–6 (contexto, liderazgo, planificación): El MSP debe definir el alcance del SGSI que incluya claramente los servicios, centros de datos y sistemas de soporte utilizados para la prestación de servicios gestionados. También debe demostrar que la dirección, y no solo el personal de operaciones, es responsable de la seguridad de la información.
  • Cláusulas 6 a 8 (evaluación y tratamiento de riesgos): Un MSP certificado debe explicar cómo se identifican, evalúan y gestionan los riesgos para los datos de los clientes, la disponibilidad del servicio y las obligaciones regulatorias. Sus registros de riesgos y planes de tratamiento deben guiar claramente la selección de controles para su tipo de servicio.
  • Controles del Anexo A (93 controles en cuatro temas): – en la edición de 2022, el Anexo A contiene 93 controles agrupados en organizacional, personas, físicas y tecnológicas Temas, como se describe en los resúmenes públicos de la norma ISO/IEC 27001:2022 de organismos de normalización y resúmenes como la página de seguridad de la información de BSI ISO 27001 y el artículo sobre ISO/IEC 27001. Para los MSP, es fundamental el control de acceso, el registro y la monitorización, la seguridad de las operaciones, las relaciones con los proveedores y la continuidad del negocio, y es importante saber cuáles de estos aspectos se implementan en los servicios que contratan.
  • Declaración de aplicabilidad (SoA): El SoA registra qué controles del Anexo A son aplicables, cómo se implementan y por qué se excluyen. Para usted, es el mapa principal para comprender el entorno de control del MSP y detectar exclusiones inusuales para su tipo de servicio.

Los proveedores más sólidos pueden explicar cada una de estas áreas de forma concreta, utilizando procesos y herramientas reales. Los proveedores menos sólidos tienden a limitarse a eslóganes como "alineados con las mejores prácticas", sin vincular esas afirmaciones con cláusulas, controles o servicios específicos. Mientras escucha, pregúntese si podría repetir su explicación a su propio equipo directivo con un lenguaje claro y sin tecnicismos.

Qué significa esto para sus preguntas de diligencia debida

Al traducir el estándar en preguntas para los MSP, básicamente les pide que le expliquen su SGSI teniendo en cuenta sus servicios. En la práctica, esto implica ir más allá de las respuestas genéricas de "sí/no" e invitarlos a describir cómo funciona su sistema de gestión.

Algunas preguntas útiles incluyen:

  • Alcance: “Describa el alcance del SGSI y confirme cómo cubre los servicios, entornos y regiones específicos que utilizará para nosotros”.
  • Riesgo: “¿Cómo influyen los riesgos específicos de cada cliente en su registro de riesgos y planes de tratamiento?”
  • Controles: “¿Qué controles del Anexo A están implementados para nuestro servicio y dónde aún están en desarrollo?”
  • Operación: “¿Cómo se supervisa la eficacia del control y se responde cuando algo no funciona como se espera?”

El cronograma de transición de 2013 a 2022 es otra perspectiva útil. Si un MSP aún cuenta con la certificación de la versión anterior, solicite su plan de transición, los hitos y los cambios que prevé para la cobertura del control. Las guías de transición de la industria para la norma ISO/IEC 27001:2022, incluyendo blogs de profesionales de proveedores como OneTrust, suelen recomendar solicitar planes de transición documentados y explicaciones sobre cómo los controles revisados ​​afectan a los servicios, en lugar de asumir que los nuevos requisitos ya están cubiertos.

Los MSP fuertes suelen presentar un plan claro y con plazos definidos, con responsabilidad y puntos de comunicación. Los MSP débiles suelen responder vagamente o afirman estar "trabajando en ello" sin pasos concretos.

Un siguiente paso práctico es registrar las respuestas en una plantilla estándar y vincularlas a su propio registro de riesgos y a las entradas de la Declaración de Responsabilidad. De esta manera, podrá revisarlas durante las revisiones de gestión y los foros de riesgo de proveedores, en lugar de tratarlas como documentos únicos archivados después de la contratación.



ISMS.online le ofrece una ventaja inicial del 81 % desde el momento en que inicia sesión

ISO 27001 simplificado

Una ventaja del 81% desde el primer día

Hemos hecho el trabajo duro por ti y te damos una ventaja inicial del 81 % desde el momento en que inicias sesión. Todo lo que tienes que hacer es completar los espacios en blanco.

Comenzar


¿Cómo pasar de controles genéricos a asignaciones del Anexo A específicas del servicio?

Se pasa de garantías genéricas a garantías específicas para cada servicio insistiendo en una asignación clara que muestre, para cada control relevante del Anexo A, quién es responsable, cómo se implementa y qué evidencia lo respalda para el servicio específico que se adquiere. Esta asignación convierte la ISO 27001 de una simple norma abstracta a una visión concreta y auditable de cómo se gestionan los riesgos en un entorno MSP.

La mayoría de los proveedores pueden hablar en general sobre "control de acceso sólido" u "operaciones seguras". Sin embargo, son menos los que pueden mostrarle, para un servicio gestionado determinado, cómo se relacionan exactamente esas afirmaciones con los controles del Anexo A, los procedimientos documentados y la monitorización real. Es ahí donde debe centrarse su cuestionamiento si desea obtener material que pueda reutilizar con auditores, personal de compras y partes interesadas internas.

Cómo se ve un buen mapeo de control específico del servicio

Un documento de mapeo sólido para un único servicio gestionado suele incluir una descripción clara del servicio, los controles del Anexo A relevantes para dicho servicio y cómo se gestiona y se evidencia cada control. Se prioriza la especificidad, no los eslóganes.

Un documento de mapeo sólido generalmente incluye:

  • Una descripción clara del servicio y cómo se ubica dentro del alcance del SGSI del MSP.
  • Una lista de controles relevantes del Anexo A, filtrada según aquellos que realmente importan para ese servicio.
  • Para cada control:
  • Si se trata de propiedad del proveedor, propiedad del cliente o compartido.
  • Una breve descripción de cómo se implementa el control.
  • Indicadores de evidencia como políticas, procedimientos, registros, tickets e informes.

Un ejemplo simplificado podría verse así:

Tema de control Respuesta contundente del MSP Respuesta de bandera roja
Control de acceso Operamos con acceso basado en roles para este servicio, con aprobaciones, revisiones periódicas y registro centralizado. Usted gestiona los roles de sus usuarios; nosotros gestionamos el acceso a la plataforma. “El acceso está restringido según sea necesario; los detalles son internos”.
Registro y seguimiento “Todas las acciones administrativas en su entorno se registran, se conservan durante un período definido y nuestro equipo de operaciones las revisa con reglas de escalamiento claras”. “Tenemos registros, pero sólo los revisamos si algo sale mal”.
Continuidad del negocio “Este servicio está cubierto por procedimientos de recuperación, probados a intervalos acordados, con objetivos de tiempo de recuperación y puntos de recuperación definidos”. “Nuestro proveedor de centro de datos garantiza el tiempo de actividad; confiamos en ellos”.
Detección y respuesta a incidentes “Administramos un SOC que monitorea su servicio, con manuales de estrategias, acuerdos de nivel de servicio (SLA) basados ​​en la gravedad y revisiones conjuntas de incidentes para eventos que afectan sus datos”. “Le informaremos si vemos algo inusual”.

Los equipos de seguridad que revisan muchos MSP suelen observar los mismos patrones: los proveedores más sólidos ofrecen respuestas como las de la columna izquierda, con responsabilidad, mecanismos específicos y pruebas con plazos definidos. Los proveedores más débiles se agrupan en la columna derecha, con garantías vagas, una dependencia excesiva de subproveedores y poca evidencia de que alguien pruebe la recuperación o la respuesta. Una vez que se tienen algunos ejemplos, resulta mucho más fácil explicar a las partes interesadas internas qué significa "bueno".

Cómo solicitar y utilizar asignaciones específicas del servicio

En las solicitudes de propuestas o convocatorias de diligencia debida, puede traducir esto en solicitudes explícitas como:

  • “Para este servicio gestionado, proporcione una matriz de control que asigne sus controles al Anexo A de la norma ISO 27001:2022, con responsabilidades y evidencia para cada control”.
  • “Cuando se comparte un control, describa lo que hace y lo que espera que hagamos, incluidos los requisitos de configuración o proceso de nuestra parte”.
  • “Explique cómo mantiene este mapeo actualizado cuando cambia el servicio o cuando se actualiza la norma ISO 27001”.

Una vez que tenga el mapeo, trátelo como un documento de trabajo en lugar de un archivo adjunto estático. Sus arquitectos de seguridad pueden alinearlo con su propio marco de control e identificar brechas. Sus equipos de GRC y de riesgo de proveedores pueden referenciarlo en registros de riesgos, entradas de SoA e informes de riesgo de proveedores. Sus equipos de operaciones y propietarios de servicios pueden ver exactamente qué necesitan configurar o supervisar para respaldar su parte de los controles compartidos.

Con el tiempo, puede estandarizar la estructura de estas asignaciones en todos los MSP. En ese momento, usar una plataforma SGSI compartida como ISMS.online resulta valioso, ya que permite almacenar, comparar y mantener estas matrices de forma centralizada, en lugar de tener que gestionarlas en hojas de cálculo o archivos de correo electrónico desconectados. Incluso si comienza con documentos sencillos, acordar un formato común es un primer paso práctico.



¿Cómo se debe leer con escepticismo el certificado ISO 27001 y el SoA de un MSP?

Debe considerar el certificado ISO 27001 y la Declaración de Aplicabilidad de un MSP como puntos de partida para formular preguntas adicionales sobre el alcance, los controles y la madurez. Una lectura escéptica analiza qué abarca el alcance del certificado, qué queda fuera y cómo se alinea con los servicios, las ubicaciones y los subencargados que le interesan, en lugar de asumir que la certificación cubre todo lo necesario.

Casi todos los encuestados mencionaron la obtención o el mantenimiento de certificaciones de seguridad como ISO 27001 o SOC 2 como una prioridad máxima para el próximo año.

Un certificado que a simple vista parece impresionante puede ocultar importantes deficiencias, y los organismos de certificación y auditoría recuerdan periódicamente a las organizaciones que un certificado es únicamente una opinión de garantía sobre un alcance y un período definidos, no una garantía general de seguridad. Por ejemplo, las descripciones generales de la certificación ISO 27001 de proveedores como TÜV destacan la importancia de comprender el alcance y las limitaciones. Al leer estos documentos, pensar como un auditor o un organismo regulador facilita la detección temprana de estos problemas.

Lectura del alcance y SoA como un auditor

Al revisar un certificado y los documentos relacionados, concéntrese en algunas áreas clave que revelen si la documentación coincide con la realidad de los servicios que está comprando.

Preste especial atención a:

  • Declaración de alcance: – ¿Menciona explícitamente el tipo de servicios que planea utilizar (por ejemplo, “centro de operaciones de seguridad administrado” o “alojamiento en la nube administrado”) y las ubicaciones desde donde se prestan?
  • Ubicaciones, entidades legales y subprocesadores: – ¿Están enumerados los centros de datos, centros de soporte, empresas del grupo y subprocesadores nombrados que procesarán sus datos, o falta alguno crítico o solo se hace referencia a él indirectamente?
  • Cobertura y exclusiones de SoA: ¿Qué controles del Anexo A están marcados como aplicables, cuáles están excluidos y por qué? ¿Sorprende alguna exclusión para un proveedor de su tipo, como la exclusión de copias de seguridad, registros, continuidad del negocio o controles de proveedores?
  • Ciclo de auditoría y hallazgos: – ¿Cuándo se realizó la última auditoría de certificación o vigilancia? ¿Se conocen no conformidades que se estén abordando y que podrían afectar los servicios que recibe?

Los equipos empresariales con experiencia pueden descubrir servicios prestados desde ubicaciones no incluidas en el alcance, subencargados del tratamiento o centros de datos no cubiertos por el SGSI, o controles del Anexo A marcados como "no aplicables" que consideran esenciales. Las evaluaciones de riesgos de terceros y los análisis de consultoría, incluidos los informes de ciberriesgos de firmas como Deloitte, describen brechas de alcance y exclusiones sorprendentes como hallazgos comunes al revisar las certificaciones de proveedores. Los equipos que han pasado por varias auditorías externas suelen observar un patrón: los proveedores sólidos pueden explicar el alcance y la SoA con confianza, explicar las exclusiones con un lenguaje sencillo y reconocer las áreas de mejora. Los proveedores débiles tienen dificultades para vincular los documentos con servicios reales y, en ocasiones, tratan las preguntas sobre exclusiones como hostiles. Como seguimiento práctico, puede resumir sus observaciones clave y almacenarlas junto con el certificado en su archivo de riesgos del proveedor.

Preguntas que revelan los límites del certificado

Con esta perspectiva escéptica, puede plantear preguntas que transformen los documentos estáticos en una conversación más enriquecedora, en lugar de basarse únicamente en el certificado. El objetivo es comprender hasta qué punto el alcance y los controles documentados realmente respaldan sus casos de uso.

Preguntas como estas son útiles:

  • “¿Cuáles de nuestros servicios planificados están completamente dentro del alcance del SGSI y cuáles están parcialmente cubiertos o aún no lo están?”
  • “Explíquenos los controles clave del Anexo A que respaldan este servicio y cualquier exclusión que pueda afectarnos”.
  • “¿Cómo decide cuándo incorporar un nuevo servicio, función, subprocesador o ubicación al alcance, y cómo informa a los clientes cuando eso sucede?”
  • “¿Qué áreas de mejora destacaron sus auditorías internas y externas más recientes y que podrían impactarnos?”

Estas preguntas le recuerdan al proveedor que usted entiende la norma ISO 27001 como un sistema vivo, no como una etiqueta publicitaria. Además, sientan las bases para conversaciones posteriores sobre responsabilidades compartidas en materia de riesgos, gestión de incidentes, continuidad y notificaciones regulatorias, donde la claridad del alcance cobra aún más importancia para su propia SoA y planes de gestión de riesgos. Documentar las respuestas en sus herramientas de gobernanza interna facilita mostrar a las juntas directivas y a los organismos reguladores cómo llegó a sus conclusiones.



subir

Libérate de una montaña de hojas de cálculo

Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.

Reserva tu demostración


¿Cómo se traza el límite de la responsabilidad compartida por el riesgo, los incidentes y la continuidad?

Se define la responsabilidad compartida al convertir las funciones y responsabilidades de alto nivel de la norma ISO 27001 en acuerdos escritos concretos que especifican, para cada área de riesgo principal, qué hará el MSP, qué debe hacer usted y cómo se coordinarán ambas partes. Sin ese nivel de claridad, incluso un proveedor certificado puede dejarlo expuesto a incidentes o interrupciones.

La norma ISO 27001 exige que se definan y comuniquen los roles, responsabilidades y autoridades relacionados con la seguridad de la información. La cláusula 5.3 de la norma ISO/IEC 27001 exige explícitamente que se definan y comuniquen los roles, responsabilidades y autoridades en materia de seguridad de la información, como se destaca en los comentarios de las normas fundamentales, como la introducción a la serie ISO 27000. En una relación con un MSP, esta expectativa se extiende a los contratos, las descripciones de servicios y los manuales operativos que deben resistir el escrutinio de auditorías y regulaciones en caso de fallo.

Los límites claros evitan discusiones sobre responsabilidad cuando la presión es mayor.

Aclarar las responsabilidades de gestión de riesgos

Aclarar las responsabilidades de gestión de riesgos comienza por comprender cómo se reflejan sus riesgos en la planificación del MSP y cómo se reflejan los riesgos de este en la suya. Muchos problemas posteriores surgen porque ninguna de las partes ha dejado esto por escrito.

Algunos pasos y preguntas útiles incluyen:

  • Pregúntele al MSP cómo los riesgos relacionados con sus servicios y datos se incorporan a su registro de riesgos y planes de tratamiento.
  • Aclare si esperan que usted realice evaluaciones de riesgos específicas o que les proporcione información sobre riesgos para su propia planificación, incluidas evaluaciones de impacto de protección de datos cuando la privacidad esté dentro del alcance.
  • Asegúrese de que su propio registro de riesgos registre el uso del MSP y los controles que usted confía en ellos para operar.

Los buenos modelos de responsabilidad compartida a menudo incluyen una matriz RACI (responsable, responsable, consultado, informado) para actividades clave como:

  • Provisión de acceso y revisiones periódicas.
  • Configuración y gestión de cambios para plataformas compartidas.
  • Gestión de parches y vulnerabilidades en toda la infraestructura y aplicaciones.
  • Monitoreo, manejo de alertas y escalada.

Los recursos de mejores prácticas de operaciones y seguridad, incluida la guía RACI en los libros blancos del SANS Institute, suelen recomendar este tipo de matriz para evitar lagunas y solapamientos en la rendición de cuentas. En la práctica, una RACI de gestión de parches podría indicar que el MSP es responsable para parchar el sistema operativo y la plataforma subyacentes; estás cuentas para aprobar ventanas de mantenimiento y parchar sus propias aplicaciones; su equipo de seguridad es consultado sobre cambios de alto riesgo; y los propietarios de sus servicios están informó de los próximos ciclos de parches. Una vez que se acuerde esa división, se puede reflejar en el registro de riesgos y la Declaración de Acción para que los auditores tengan una visión coherente.

Sus preguntas deben apuntar a descubrir estos modelos y comprobar si ambas partes los comprenden. Si sus equipos y los del MSP difieren en las respuestas sobre quién es responsable de una tarea, aún queda trabajo por hacer antes de poder comunicar a la junta directiva que los riesgos están bajo control.

Dividir la respuesta a incidentes y la continuidad en la práctica

La gestión de riesgos cobra una gran importancia cuando algo sale mal, por lo que se necesita el mismo nivel de claridad para la respuesta a incidentes y la continuidad. En este caso, se buscan traspasos, plazos y suposiciones precisos, en lugar de promesas a gran escala.

Dos áreas críticas son:

  • Respuesta al incidente: – quién monitorea los eventos, quién clasifica las alertas, bajo qué condiciones el MSP se comunica con usted, a través de qué canales y quién es responsable de la investigación forense, la preservación de la evidencia, las notificaciones a clientes y organismos regulatorios y las revisiones posteriores a los incidentes.
  • Continuidad del negocio y recuperación ante desastres: – qué objetivos de tiempo y punto de recuperación se compromete a cumplir el MSP para el servicio, cómo se alinean con su análisis de impacto en el negocio y qué suposiciones hace el MSP sobre sus propios acuerdos de continuidad, como rutas de acceso alternativas o soluciones manuales.

Tus preguntas podrían sonar así:

  • “Describe el proceso integral para gestionar un incidente que afecte a nuestro servicio gestionado, desde la detección hasta el cierre, y muéstranos dónde comienzan nuestras responsabilidades”.
  • Para este servicio, ¿qué escenarios de interrupción y pérdida de datos cubren sus planes de continuidad y recuperación, y qué escenarios esperan que gestionemos nosotros mismos?
  • “¿Con qué frecuencia probáis procesos conjuntos de incidentes y continuidad con clientes como nosotros, y cómo podemos participar?”

Las respuestas forman parte de su propia planificación de respuesta a incidentes y continuidad del negocio, y brindan tranquilidad a las partes interesadas, como el comité de auditoría, el responsable de privacidad y el organismo regulador, si revisan sus acuerdos. También se incorporan al inventario de evidencia que solicitará posteriormente: informes de pruebas, revisiones posteriores a incidentes y mejoras implementadas por ambas partes a lo largo del tiempo. Documentar las divisiones acordadas en sus manuales de procedimientos para incidentes y planes de continuidad es una forma práctica de convertir estas conversaciones en una realidad auditable.



¿Cómo puede un MSP demostrar el cumplimiento continuo de la norma ISO 27001 y no solo una certificación única?

Un MSP puede demostrar el cumplimiento continuo de la norma ISO 27001 compartiendo evidencia estructurada que demuestra que su SGSI y sus controles funcionan y mejoran a lo largo del año, no solo en el momento de la certificación. Esta evidencia abarca auditorías internas y externas, pruebas técnicas, actividades de gestión de vulnerabilidades, evaluaciones de proveedores, resultados de la capacitación y métricas que rastrean cómo se detectan y resuelven los problemas.

Un certificado por sí solo constituye una evaluación puntual: la guía de aseguramiento describe las certificaciones como opiniones basadas en la evidencia disponible en la fecha de la auditoría, no como garantías de rendimiento futuro, una distinción que se destaca en recursos especializados en auditoría como Audit Analytics. La evidencia continua muestra un patrón de comportamiento que garantiza a la junta directiva, auditores, reguladores de privacidad y foros de riesgo de proveedores que la postura de seguridad del MSP se gestiona activamente y no se deja que fluctúe. Por lo tanto, sus preguntas deben centrarse en cómo planifican, prueban y mejoran la seguridad continuamente, en lugar de limitarse a lo que aparece en un certificado.

Alrededor de dos tercios de las organizaciones que participaron en la encuesta ISMS.online de 2025 dijeron que la velocidad y el volumen de los cambios regulatorios están haciendo que el cumplimiento sea más difícil de mantener.

Tipos de evidencia que muestran un SGSI vivo

Al solicitar pruebas adicionales al certificado, en realidad le está pidiendo al proveedor que demuestre que su ciclo Planificar-Hacer-Verificar-Actuar funciona en la práctica para sus servicios. No necesita todos los detalles, pero sí los suficientes para comprobar que las comprobaciones, los hallazgos y las mejoras son reales.

La evidencia útil incluye:

  • Informes o resúmenes de auditoría interna: – esto demuestra que el MSP evalúa periódicamente su propio SGSI, encuentra no conformidades y aplica acciones correctivas en lugar de esperar a que auditorías externas descubran los problemas.
  • Resultados de la vigilancia y recertificación: – Los resultados de alto nivel de las auditorías externas muestran que un organismo independiente también prueba la conformidad entre los principales eventos de certificación y si las acciones de mejora se están cerrando según lo previsto.
  • Pruebas de penetración y evaluaciones de vulnerabilidad: – Los informes adecuadamente desinfectados pueden mostrar qué se probó, qué problemas se encontraron, cómo se clasificaron y con qué rapidez se solucionaron para los sistemas relevantes para sus servicios.
  • Métricas de gestión de vulnerabilidades: – tendencias de implementación de parches, tiempo promedio para remediar problemas de alta gravedad y el volumen de vulnerabilidades pendientes en las plataformas que procesan su información.
  • Evaluaciones de proveedores y subprocesadores: – evidencia de que el MSP gestiona los riesgos de terceros de una manera que respalda sus expectativas ISO 27001 y NIS 2, en lugar de confiar ciegamente en los proveedores ascendentes.
  • Registros de formación y concienciación: – datos sobre las tasas de finalización de la capacitación en seguridad, ejercicios de phishing y actividades de concientización específicas de cada función para el personal involucrado en la prestación de sus servicios administrados.

Los organismos de certificación y los proveedores de garantía que describen los programas ISO 27001, como la descripción general de TÜV, suelen hacer referencia a este tipo de artefactos como componentes típicos de un sistema de garantía de SGSI eficaz. En muchos casos, verá resúmenes, tendencias y ejemplos de artefactos en lugar de informes completos y confidenciales, lo cual suele ser razonable. La clave es que puede ver comprobaciones periódicas, hallazgos claros y seguimiento directamente relacionados con sus servicios. Una medida práctica es definir los tipos de evidencia que espera para cada MSP estratégico y registrar lo que recibe durante las revisiones anuales.

Métricas y preguntas que hacen que lo “continuo” sea real

Para que "continuo" sea más que una palabra de moda, puede solicitar y monitorear métricas específicas a lo largo del tiempo que afecten directamente a su panorama de riesgos. Esto también facilita la información a las partes interesadas internas sin abrumarlas con datos sin procesar.

Las métricas útiles incluyen:

  • La cantidad y la gravedad de los hallazgos abiertos y cerrados de auditorías internas y pruebas técnicas en los sistemas que respaldan sus servicios.
  • Tiempo promedio para remediar vulnerabilidades críticas en esos sistemas, en comparación con los objetivos acordados.
  • Frecuencia y alcance de las pruebas de continuidad o recuperación que afectan a sus servicios y si se cumplieron los objetivos.
  • Tasas de finalización de la capacitación para el personal con acceso privilegiado a sus entornos o datos de clientes.
  • La cantidad, el impacto y las causas fundamentales de los incidentes que afectaron sus servicios administrados durante el último año.

Sus preguntas podrían incluir:

  • “¿Con qué frecuencia realizan auditorías internas del SGSI y cuándo fue la última que abarcó los sistemas utilizados para nuestros servicios?”
  • “¿Qué objetivos de nivel de servicio establecen para resolver vulnerabilidades de alta gravedad y qué tan bien los han cumplido en los últimos doce meses?”
  • “¿Cómo se comparten las lecciones aprendidas de los incidentes o pruebas que podrían afectar nuestro panorama de riesgos, incluidas las notificaciones regulatorias o de clientes posteriores?”

Los MSP más sólidos podrán mostrar métricas claras, tendencias a lo largo del tiempo y ejemplos de cómo dichas métricas han impulsado mejoras, un patrón que se repite en estudios de riesgo de terceros y madurez cibernética realizados por consultoras como KPMG. Los MSP más débiles suelen responder con afirmaciones estáticas como "instalamos parches rápidamente" sin respaldarlas. Una vez que comprenda el patrón de comportamiento a lo largo del tiempo, podrá estandarizar la forma de solicitar, registrar y comparar esas respuestas entre proveedores, en lugar de tratar cada interacción como un ejercicio aislado.



ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.

Gestione todo su cumplimiento, todo en un solo lugar

ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.

Reserva tu demostración


¿Cómo convertir las preguntas de la norma ISO 27001 en un manual de mapeo de controles para servicios gestionados?

Convierte las preguntas de la ISO 27001 en un manual de mapeo de controles al estandarizar la estructura de las preguntas, la forma en que los MSP responden y cómo estas respuestas se relacionan con los controles, las responsabilidades y la evidencia. El manual se convierte en una columna vertebral reutilizable para la debida diligencia, la comparación, la incorporación y la gobernanza continua de los MSP en los equipos de seguridad, riesgos, gestión de proveedores y compras.

Alrededor del 41% de las organizaciones en la encuesta ISMS.online de 2025 dijeron que gestionar el riesgo de terceros y rastrear el cumplimiento de los proveedores era uno de sus principales desafíos de seguridad.

En lugar de reinventar su enfoque cada vez que aparece un nuevo proveedor, crea una plantilla consistente que cualquier MSP puede completar y que sus equipos pueden interpretar rápidamente. Con el tiempo, esto le proporciona una visión general de la madurez del MSP, que puede explicar a las juntas directivas y a los organismos reguladores sin tener que analizar cada contrato individualmente, ya que el formato y la puntuación ya se comprenden.

Diseño de una plantilla de mapeo reutilizable

Una buena plantilla de manual de estrategias suele tener tres capas que funcionan juntas: preguntas estructuradas, asignaciones de control y comentarios o puntuación. Mantener la coherencia de estas capas entre los proveedores es más importante que perfeccionar cada detalle desde el primer día.

Una plantilla práctica normalmente incluye:

  1. Frecuentes – Indicaciones alineadas con temas clave de la norma ISO 27001, como el alcance, la evaluación de riesgos, los controles del Anexo A, la responsabilidad compartida, la evidencia y las obligaciones de privacidad o regulatorias, cuando corresponda. Por ejemplo:
  • “Describa cómo el alcance de su SGSI cubre este servicio”.
  • “Proporcionar un mapeo del Anexo A para este servicio con responsabilidades”.
  1. Mapeo de controles – una tabla que, para cada control pertinente del Anexo A:
  • Indica si es propiedad del proveedor, propiedad del cliente o compartido.
  • Enlaces a una breve descripción de la implementación.
  • Señala tipos y ubicaciones de evidencia, incluidos cualquier vínculo a sus propios procesos.
  1. Puntuación y comentarios – una forma de evaluar la claridad y la solidez de las respuestas y registrar comentarios, lagunas o acciones de seguimiento que desea que el MSP aborde.

Al utilizar esta plantilla en todos los MSP, se obtiene una visión comparable de su madurez y adecuación. Las funciones de compras, seguridad, GRC, legal, privacidad y riesgo de proveedores pueden consultar el mismo recurso sin crear cuestionarios ni hojas de cálculo independientes que se desfasen. Revisar el manual de estrategias al menos una vez al año, o cuando cambien los servicios o las regulaciones, mantiene la información actualizada en lugar de que se convierta en un repositorio obsoleto. Como siguiente paso neutral, se puede probar la plantilla con uno o dos proveedores de alto riesgo antes de implementarla de forma más generalizada.

Convertir las respuestas en un cuadro de mando comparativo

Una vez establecida la plantilla, la puntuación se vuelve más sistemática y se centra menos en las impresiones personales. Puede ponderar los temas más importantes para su organización y luego evaluar a cada proveedor de forma consistente según esos criterios.

Las prácticas típicas incluyen:

  • Dar mayor peso a determinadas áreas, como por ejemplo:
  • Claridad y completitud de la descripción del alcance.
  • Profundidad y especificidad de las asignaciones del Anexo A.
  • Calidad y frescura de la evidencia en curso.
  • Precisión de las definiciones de responsabilidad compartida.
  • Alineación con su propio apetito de riesgo y perfil regulatorio.
  • Definir de antemano cómo es una respuesta “fuerte”, para que la evaluación de las respuestas sea menos subjetiva y más fácil de explicar a las partes interesadas.

Por ejemplo, para una pregunta como "¿Cómo gestionan los incidentes que involucran nuestros datos?", una respuesta contundente podría incluir procesos definidos de detección y triaje con una responsabilidad clara, plazos y canales de notificación acordados según la gravedad y los umbrales regulatorios, pasos conjuntos de investigación y análisis de causa raíz, y vínculos con los objetivos de recuperación alineados con su análisis de impacto empresarial. Una respuesta débil podría simplemente decir "Investigamos y le informamos cuando sea necesario", sin detallar los plazos, las funciones ni las pruebas.

Al aplicar este manual de estrategias de forma consistente, creará una biblioteca de perfiles de MSP basados ​​en la norma ISO 27001, no en el marketing. Al alinearlo con sus procesos internos de ISO 27001, será aún más eficaz: el manual puede alimentar las revisiones de gestión, las actualizaciones del registro de riesgos, los cambios en la SoA y los informes del consejo directivo. Almacenar las plantillas, las asignaciones y las puntuaciones en una plataforma colaborativa de SGSI como ISMS.online le permite reutilizar el trabajo en auditorías, renovaciones y nuevos proyectos, en lugar de empezar desde cero cada vez que una parte interesada pregunta: "¿Cómo sabemos que nuestros MSP están realmente alineados con la norma ISO 27001?".



Reserve una demostración con ISMS.online hoy mismo

ISMS.online le ofrece un único lugar compartido para estructurar preguntas, mapeos de controles y evidencias de la norma ISO 27001 con sus MSP, de modo que la verificación externa sea más rápida, clara y fácil de defender. En lugar de tener que lidiar con certificados, hojas de cálculo y correos electrónicos, puede ver cómo los controles internos y externos trabajan juntos para proteger a su organización y satisfacer a las partes interesadas.

Por qué una plataforma SGSI compartida le ayuda a usted y a sus MSP

Una plataforma SGSI compartida les ayuda a usted y a sus MSP a mantener la coherencia en las respuestas, la centralización de la evidencia y la repetibilidad de la garantía, incluso cuando cambian los servicios, los controles y las regulaciones. Cuando los equipos de seguridad empresarial y los MSP intentan colaborar únicamente con documentos estáticos, tres problemas se repiten una y otra vez.

Los problemas comunes incluyen:

  • Las respuestas se desincronizan a medida que evolucionan los servicios.
  • La evidencia reside en múltiples herramientas y es difícil vincularla con los controles.
  • Cada auditoría o solicitud de propuesta obliga a ambas partes a reconstruir las mismas explicaciones.

Una plataforma SGSI compartida transforma esa dinámica. Con ISMS.online, puede capturar su conjunto de preguntas estándar ISO 27001 para MSP una sola vez y reutilizarlo entre proveedores. Puede almacenar asignaciones del Anexo A específicas del servicio y matrices de responsabilidad compartida en la misma estructura que utiliza para sus controles internos. Puede vincular la evidencia de MSP, como resúmenes de auditoría, informes de pruebas y métricas clave, directamente con los controles y riesgos que respaldan.

Esta estructura también beneficia a sus MSP. Pueden responder a múltiples clientes desde un único conjunto fiable de mapeos y evidencia, en lugar de tener que recrear el contenido para cada cuestionario. Con el tiempo, esto reduce la fricción entre ambas partes y mejora la calidad de las conversaciones de verificación, en lugar de convertirlas en papeleo. Incluso si posteriormente cambia de proveedor, contar con un modelo consistente facilita enormemente la transición a las juntas directivas y los organismos reguladores.

Próximos pasos prácticos para explorar ISMS.online

Si reconoce los desafíos descritos aquí, no necesita rediseñar su gobernanza de terceros desde cero. Una prueba específica suele ser suficiente para demostrar el valor sin comprometerse con una transformación integral, y puede implementarla junto con sus procesos actuales.

Usted puede:

  • Elija uno o dos MSP estratégicos que respalden servicios de alto impacto.
  • Utilice su conjunto de preguntas ISO 27001 existente como punto de partida.
  • Configure una plantilla de mapeo simple y un modelo de responsabilidad compartida en ISMS.online.
  • Invite a sus homólogos de MSP a colaborar para completar y perfeccionar el contenido.
  • Utilice el resultado para informar a su junta directiva o comité de auditoría sobre cómo los controles de terceros ahora están integrados en su SGSI.

Usar un entorno compartido de esta manera puede ayudarle a crear mapeos más claros para servicios críticos, reducir las sorpresas en las auditorías que involucran a MSP y generar una imagen más confiable para los reguladores y los principales clientes. Solicitar una demostración es simplemente una forma de ver cómo se vería esto en su propio entorno y decidir si una plataforma SGSI compartida es la forma correcta de gestionarlo.

Si también está planificando o en proceso de transición a la norma ISO 27001:2022, el mismo entorno puede ayudarle a actualizar las asignaciones del Anexo A al conjunto de controles revisado, tanto para servicios internos como para servicios gestionados por MSP. La guía de transición a la norma ISO/IEC 27001:2022 señala que las organizaciones deben actualizar las asignaciones del Anexo A, las descripciones del alcance y la información documentada. El uso de un entorno compartido que admita tanto los servicios internos como los gestionados por MSP puede facilitar la coordinación de dichas actualizaciones, como se destaca en las descripciones generales de la serie ISO 27000, como la introducción a la norma ISO 27000. Cualquier decisión de adoptar nuevas herramientas o proveedores de cambios debe seguir sus procesos habituales de gobernanza y, cuando corresponda, ser revisada por asesores legales o regulatorios cualificados.

En definitiva, sus preguntas sobre la norma ISO 27001 a los MSP van más allá de las listas de verificación de diligencia debida. Se trata de demostrar que su ecosistema digital extendido se comporta como un sistema de gestión coherente y basado en riesgos en el que las juntas directivas, los organismos reguladores y los clientes pueden confiar. Solicitar una demostración con ISMS.online es una forma sencilla de explorar cómo esa coherencia podría funcionar en la práctica para su organización y sus proveedores más importantes, y de comprobar si una plataforma SGSI compartida puede ayudarle a convertir las buenas preguntas en una garantía duradera de terceros.

Contacto


Preguntas Frecuentes

¿Cómo podemos alinear la debida diligencia del MSP con la norma ISO 27001:2022 sin saturar a las partes interesadas con números de cláusulas?

Usted alinea la debida diligencia del MSP con la norma ISO 27001:2022 al formular preguntas en torno a los resultados comerciales (riesgo, tiempo de actividad, manejo de datos y responsabilidad) y solo asignar esas respuestas a las cláusulas y controles del Anexo A dentro de su propio SGSI.

¿Cómo convertimos la norma ISO 27001 en temas que las empresas y los MSP realmente reconozcan?

Comience con las conversaciones que ya tiene con las partes interesadas y los proveedores de servicios administrados y luego ánclelas a un puñado de temas repetibles:

  • Servicio y ajuste del alcance: – “¿Cuáles de sus servicios, ubicaciones, plataformas y subprocesadores realmente interactuarán con nuestros datos y se encuentran dentro del alcance de su SGSI?”
  • Riesgo y resiliencia: – “¿Dónde aparecen en su registro de riesgos nuestros riesgos de disponibilidad, confidencialidad y regulatorios y cómo se tratan?”
  • Controlar la propiedad y las pruebas: – “Para este servicio, ¿qué controles del Anexo A:2022 están establecidos, quién los posee y cómo se prueban a lo largo del año?”
  • Garantía operativa a lo largo del tiempo: – “¿Qué le han dicho las auditorías internas, las pruebas de penetración, la monitorización y las revisiones de incidentes sobre este servicio en los últimos 12 a 18 meses?”
  • Responsabilidad compartida: – “Para el acceso, la configuración, la monitorización, las incidencias, la continuidad y la gestión de proveedores, ¿qué actividades son de su propiedad, cuáles son de nuestra propiedad y qué es realmente compartido?”
  • Cambio y hoja de ruta: – “¿Cómo fluyen los nuevos servicios, las migraciones de plataformas y los cambios regulatorios a través de su alcance, evaluaciones de riesgos y controles?”

Estos temas le brindan una base sólida para los cuestionarios de diligencia debida, las solicitudes de propuestas (RFP) y las revisiones de renovación de su MSP. Internamente, puede mantener una correspondencia clara entre cada tema y pregunta y las cláusulas de la norma ISO 27001:2022, los controles del Anexo A y los procesos de gestión de proveedores en su SGSI o sistema de gestión integrado alineado con el Anexo L. Externamente, su MSP solo ve preguntas claras de nivel de servicio, en lugar de referencias a cláusulas.

Si utiliza una plataforma como ISMS.online, es sencillo almacenar el conjunto de preguntas, las respuestas y las asignaciones junto con su Declaración de Aplicabilidad y los registros de proveedores. De esta forma, puede mostrar rápidamente a los auditores cómo la supervisión externa está integrada en su SGSI, en lugar de improvisarse en función de los plazos de contratación.

¿Cómo podemos diseñar preguntas de MSP que se basen en las cláusulas de la norma ISO 27001 sin citarlas?

Trabaje hacia adelante a partir de situaciones reales y hacia atrás a partir de la norma ISO 27001, no al revés:

  • Contexto, liderazgo y planificación (Cláusulas 4–6):

Pregunte cómo el MSP define el alcance, entiende las necesidades del cliente y planifica el tratamiento de riesgos que podrían afectarlo:
“Muéstrenos cómo se identifican, evalúan y priorizan en su registro de riesgos los riesgos relacionados con nuestros datos, tiempo de actividad y obligaciones regulatorias”.

  • Soporte y operación (Cláusulas 7 y 8):

Centrarse en las personas, en los procedimientos documentados y en cómo funciona realmente el servicio gestionado:
“¿Qué procedimientos y competencias documentados se requieren para prestar este servicio y cómo se mantienen actualizados?”

  • Evaluación y mejora del desempeño (Cláusulas 9 y 10):

Explore cómo monitorean la efectividad, se auditan a sí mismos e impulsan cambios:
“Durante el último año, ¿qué auditorías, KPI y acciones correctivas se relacionaron directamente con los sistemas en los que confiamos?”

No necesita preguntarse "¿Cómo cumple con la Cláusula 8.1?" para que su implementación de la norma ISO 27001:2022 sea justificable. Lo que sí necesita es un conjunto coherente de preguntas que revelen cómo se comporta el sistema de gestión del MSP para sus servicios, y una forma disciplinada de relacionar esas respuestas con las cláusulas y los controles del Anexo A dentro de su propio SGSI. Centralizar esta correlación en un entorno compartido como ISMS.online significa que su equipo puede seguir perfeccionando las preguntas y, al mismo tiempo, mantener un registro de auditoría claro para reguladores, clientes y organismos de certificación.

¿Cómo podemos saber rápidamente si el certificado ISO 27001 de un MSP realmente cubre los servicios que planeamos utilizar?

Puede saber si el certificado ISO 27001 de un MSP cubre genuinamente sus servicios leyendo el alcance, la Declaración de aplicabilidad y los informes de auditoría recientes como si fueran suyos y luego probando cualquier brecha con preguntas concretas a nivel de servicio.

¿Qué partes del paquete de certificados son más importantes para los servicios MSP?

Trate la documentación como evidencia de riesgo, no como garantía de ventas:

  • Descripción del alcance: – Verifique que mencione los tipos de servicios específicos que le interesan (por ejemplo, SOC administrado, base de datos administrada, identidad administrada, alojamiento administrado) y las tecnologías y plataformas clave involucradas.
  • Ubicaciones y cadena de entrega: – Confirme que los centros de datos, las ubicaciones de soporte y los subprocesadores importantes para sus cargas de trabajo estén explícitamente dentro del alcance o claramente se encuentren bajo una entidad de alcance más amplio.
  • Aplicabilidad del control: – Analice la aplicabilidad del control del Anexo A:2022 en el SoA; cuestione las exclusiones en torno al registro, la supervisión, la copia de seguridad, la continuidad, la supervisión de proveedores y el desarrollo seguro cuando su propia evaluación de riesgos trate esas áreas como no negociables.
  • Auditoría reciente y enfoque: – Indique cuándo se realizó la última auditoría de vigilancia o recertificación y si los hallazgos recientes se relacionan con los entornos y servicios que espera consumir.

Pase luego directamente a preguntas específicas, por ejemplo:

  • “De los servicios que estamos evaluando, ¿cuáles están completamente dentro del alcance actual de su norma ISO 27001, cuáles están solo parcialmente cubiertos y cuáles están fuera del alcance hoy?”
  • “Para los sistemas que respaldan nuestros datos que quedan fuera de su alcance certificado, ¿qué controles y mecanismos de garantía se aplican en su lugar?”

Registrar esas respuestas en sus registros de riesgo de proveedores hace que su elección sea defendible si sus propios auditores, su junta directiva o sus clientes le preguntan más tarde por qué confió en un proveedor en particular.

Si organiza la evidencia y las notas de los proveedores en un sistema como ISMS.online, puede almacenar declaraciones de alcance, extractos clave de la Declaración de Actuación (SDA), sus preguntas y las respuestas del MSP, junto con los controles y riesgos del Anexo A que respaldan. Esto le permite reutilizar la misma evaluación al renovar, volver a licitar o someterse a la supervisión usted mismo, en lugar de empezar desde cero cada vez.

¿Cuáles son las señales de alerta prácticas en el alcance de la MSP y en los documentos de SoA?

No es necesario ser un especialista ISO para detectar patrones que merecen un escrutinio más minucioso:

  • Un alcance evidentemente más estrecho que la realidad de la entrega: , como un certificado que solo cubre las “operaciones de la oficina central” cuando la prestación real del servicio se ejecuta desde múltiples regiones y plataformas en la nube.
  • Redacción excesivamente promocional: en lugar de información concreta sobre activos, sistemas y responsabilidades.
  • Auditorías obsoletas: o un cronograma de vigilancia poco claro, lo que puede indicar prácticas a la deriva.
  • Grupos de controles “no aplicables”: en áreas que su propio registro de riesgos considera importantes, especialmente la monitorización, el backup, la continuidad, la supervisión de proveedores o el desarrollo seguro.

Cuando algo parezca vago, pídale al MSP que le explique un servicio específico que le interese: dónde residirían sus datos, qué equipos podrían interactuar con ellos y qué aspectos del alcance y los controles de su SGSI cubren exactamente esos componentes. Los proveedores sólidos le proporcionarán una historia consistente y comprobable. Después, puede adjuntar esa narrativa como evidencia estructurada a su propio SGSI para que, cuando los clientes o auditores le hagan preguntas, se base en un registro claro y no en recuerdos.

¿Cómo podemos acordar una responsabilidad compartida con un MSP con certificación ISO para que nadie se vea sorprendido en un incidente real?

Debe acordar una responsabilidad compartida con un MSP certificado por ISO tomando los controles del Anexo A:2022 que afectan a ambas organizaciones, decidiendo quién hace qué para cada una y luego reflejando esa división de manera consistente en los contratos, manuales de ejecución y su SGSI.

¿Qué áreas de responsabilidad compartida merecen más atención?

Comience donde la ambigüedad se vuelve costosa durante las operaciones o incidentes cotidianos:

  • Gestión y planificación de riesgos:

Haga explícito el vínculo entre los riesgos de su negocio y los riesgos técnicos del MSP.
– Pregunte cómo los escenarios de su registro de riesgos (como la pérdida de una región, la vulneración del acceso privilegiado o una violación regulatoria) aparecen en su evaluación de riesgos y planes de tratamiento.
– Construir un RACI conciso que cubra revisiones de acceso, líneas base de configuración, gestión de vulnerabilidades, monitoreo, respaldo y restauración, y revisión regular de proveedores.
– Guarde ese RACI en sus registros de tratamiento de riesgos, SoA y notas de proveedores para que los auditores y gerentes vean la misma imagen.

  • Detección, respuesta y comunicación:

– Aclare qué alertas y telemetría debe monitorear el MSP, cuáles debe monitorear su propio equipo y cómo fluyen los incidentes entre ambos.
– Acordar umbrales y plazos para la notificación de incidentes, y qué organización lidera las comunicaciones con los reguladores, clientes y titulares de los datos conforme a leyes como el RGPD o las normas del sector.
– Documentar estos flujos en manuales conjuntos y ensayarlos con escenarios de mesa realistas.

  • Continuidad y recuperación:

– Confirme que los objetivos de tiempo y punto de recuperación del MSP se alineen con su análisis de impacto empresarial y sus promesas contractuales.
– Pídales que distingan claramente entre las interrupciones de las que son responsables (por ejemplo, una falla de la plataforma) y aquellas de su responsabilidad (por ejemplo, un compromiso de la red local o de un punto final).

Solicite al MSP que le guíe en un escenario de incidente completo y específico para el servicio: qué métricas activan la acción, quién asume la primera respuesta, cuándo interviene su equipo y cómo se extraen las lecciones aprendidas por ambas partes. Una vez que ese modelo funcione para un servicio estratégico, podrá replicarlo en otros MSP y capturarlo centralmente en una plataforma como ISMS.online, vinculando cada mapa de responsabilidad compartida con los controles, riesgos y contratos pertinentes del Anexo A.

¿Cómo mantenemos el modelo de responsabilidad compartida alineado con la norma ISO 27001 y un sistema integrado del Anexo L?

Utilice la norma ISO 27001:2022 y cualquier norma complementaria como columna vertebral estructural en lugar de como una idea de último momento:

  • Identifique los controles del Anexo A que obviamente abarcan al proveedor y al cliente (por ejemplo, los de registro y monitoreo, configuración segura, respaldo, administración de proveedores, seguridad de red y administración de incidentes) y decida si cada uno es principalmente su responsabilidad, la de ellos o es compartida.
  • Refleja esas decisiones en tu actividades de planificación en virtud de la cláusula 6 y descripciones operativas según la cláusula 8, por lo que las opciones e interfaces de subcontratación aparecen en los planes de tratamiento de riesgos, procedimientos documentados y notas de procesos subcontratados.
  • Asegúrese de que se respete la misma asignación al realizar evaluación del desempeño según la cláusula 9 y mejora en virtud de la cláusula 10, de modo que los incidentes conjuntos impulsen acciones correctivas en los sistemas de gestión de ambas organizaciones, en lugar de solo en las colas de tickets operativos.

Si ejecuta un sistema de gestión integrado (SGI) alineado con el Anexo L que combina la norma ISO 27001 con estándares como la ISO 22301 para la continuidad o la ISO 27701 para la privacidad, reutilice la misma lógica de responsabilidad compartida. Los revisores deberían poder seguir una línea recta desde un servicio gestionado hasta las responsabilidades de seguridad, continuidad y privacidad sin encontrar suposiciones contradictorias en diferentes partes de su SGI.

¿Qué evidencia deberíamos pedir a los MSP para demostrar la práctica continua de la norma ISO 27001, no solo un certificado enmarcado?

Debe solicitar a los MSP evidencia que muestre cómo sus controles ISMS y Anexo A funcionan a lo largo del tiempo para los servicios de los que depende: artefactos recientes y estructurados que demuestren planificación, operación, medición y mejora durante al menos el último año.

¿Qué tipos de evidencia de MSP resisten mejor las auditorías internas y externas?

Priorizar un pequeño conjunto de artefactos que se correspondan claramente con los controles y los cambios reales:

  • Informes o instantáneas de auditoría interna del SGSI: – qué controles se muestrearon, qué no conformidades o debilidades se encontraron y cómo se hizo seguimiento de las acciones correctivas hasta el cierre.
  • Resúmenes de vigilancia externa o recertificación: – resultados del organismo de certificación, con cualquier hallazgo u observación que involucre sus servicios, plataformas o lugares de entrega.
  • Resultados de la prueba de seguridad: – pruebas de penetración y análisis de vulnerabilidades para los sistemas que sustentan sus cargas de trabajo, con un plan de remediación claro y un estado de los hallazgos significativos.
  • Métricas de gestión de vulnerabilidades: – tendencias en los tiempos de remediación, recuentos de problemas abiertos por gravedad y cualquier excepción formalmente aceptada.
  • Supervisión de proveedores y subencargados del tratamiento: – documentos o paneles que muestran cómo evalúan y monitorean a sus propios proveedores estratégicos y plataformas en la nube.
  • Indicadores de formación y sensibilización: – evidencia de que las personas que diseñan, operan y respaldan los servicios administrados han completado la capacitación pertinente en seguridad y privacidad.

Combínalos con preguntas directas como:

  • “¿Con qué frecuencia las auditorías internas, las pruebas técnicas y las revisiones de gestión cubren los sistemas que respaldan los servicios que utilizaremos y qué cambios se realizaron como resultado?”
  • “¿Qué objetivo se ha fijado para cerrar vulnerabilidades críticas y graves, y cómo ha actuado en relación con esos objetivos durante los últimos 12 meses?”

Rara vez necesita registros de eventos sin procesar ni todos los detalles de sus herramientas, pero sí necesita suficientes pruebas actuales y estructuradas para demostrar que el SGSI del MSP es activo y eficaz. Acordar de antemano lo que su organización define como un "paquete completo de evidencias" e incluir esa expectativa en su procedimiento de gestión de proveedores reduce la fricción posterior y simplifica sus propias auditorías ISO 27001 y de sistemas integrados.

¿Cómo podemos archivar y reutilizar evidencia MSP de manera efectiva dentro de nuestro SGSI o SGI Anexo L?

Maneje la evidencia de MSP con la misma estructura y disciplina que espera internamente:

  • Vincula cada artefacto a controles y servicios específicos: – asociar documentos con los controles, riesgos, registros de proveedores y definiciones de servicios pertinentes del Anexo A:2022, de modo que pueda explicar exactamente qué respalda cada pieza de evidencia.
  • Propiedad de la etiqueta y cadencia de revisión: – registrar quién es responsable de revisar la evidencia, con qué frecuencia debe actualizarse y cualquier condición o riesgo residual aceptado.
  • Reutilizar cuando sea apropiado en todos los marcos: – por ejemplo, una prueba de penetración que cubre sistemas dentro del alcance de ISO 27001, SOC 2 y NIS 2 debe referenciarse una sola vez de manera que satisfaga los tres regímenes, en lugar de duplicarse en silos separados.

Una plataforma SGSI compartida como ISMS.online facilita la vinculación y la reutilización: la evidencia del MSP puede adjuntarse directamente a controles, riesgos, auditorías y registros de proveedores. Cuando las partes interesadas o los auditores pregunten: "¿Cómo sabe que este MSP sigue operando de forma segura y conforme a sus políticas?", puede guiarlos a través de los elementos vinculados en pantalla en lugar de buscar en unidades de disco y correos electrónicos.

¿Cómo podemos comparar la madurez de la norma ISO 27001 entre varios MSP sin tener que recurrir a consultores cada vez?

Puede comparar la madurez de la norma ISO 27001 entre MSP preguntando a cada proveedor el mismo conjunto de preguntas estructuradas y convirtiendo sus respuestas en un modelo de puntuación simple que refleje sus prioridades de riesgo, en lugar de intentar ponderar cada respuesta de forma aislada.

¿Cómo es un cuadro de mando práctico de MSP basado en la norma ISO 27001?

Un cuadro de mando útil es lo suficientemente compacto para que los no especialistas lo entiendan, pero lo suficientemente completo para orientar las decisiones:

  • Alcance y ajuste del certificado (1–5): – con qué claridad el alcance certificado del MSP cubre los servicios, ubicaciones y plataformas que planea utilizar.
  • Mapeo de control específico del servicio (1–5): – qué tan bien asignan los controles del Anexo A:2022 y otros controles relevantes a sus servicios y flujos de datos, con propietarios designados.
  • Claridad de responsabilidad compartida (1–5): – cuán claros son sus contratos, SLA y RACI sobre “quién hace qué” para el tratamiento de riesgos, monitoreo, incidentes y continuidad.
  • Profundidad y frescura de la evidencia (1–5): – qué tan completos y actualizados son sus resultados de auditoría, pruebas, métricas y revisiones de proveedores para los entornos en los que confía.
  • Apertura y capacidad de respuesta (1–5): – la disposición con la que brindan detalles adicionales, reconocen las deficiencias y se comprometen con planes de mejora realistas.

Puede ponderar estas dimensiones para que se ajusten a su sector y obligaciones. Por ejemplo, una organización regulada por resiliencia operativa podría priorizar la continuidad y la evidencia; un proveedor de SaaS en rápido crecimiento podría priorizar la transparencia, la profundidad de las pruebas de seguridad y la competencia de la plataforma.

La ejecución de este cuadro de mando en colaboración con los departamentos de compras, legal, seguridad y patrocinadores comerciales le proporciona un lenguaje común para explicar por qué un MSP representa una mejor adaptación al riesgo general, incluso cuando los términos comerciales parecen similares. Registrar las respuestas, puntuaciones y justificación subyacentes en su SGSI, en lugar de simplemente en una presentación, le permite reutilizar y actualizar la evaluación en las renovaciones y durante las auditorías, en lugar de tener que rehacer la justificación de memoria cada vez que alguien pregunta "¿por qué elegimos a este proveedor?".

¿Cómo puede un cuadro de mando de MSP seguir siendo útil en diferentes estándares y regiones?

Un buen cuadro de mando se centra en los comportamientos y mecanismos de garantía que interesan a múltiples normas y organismos reguladores, no solo al papeleo de la ISO 27001:

  • Se puede aplicar el mismo modelo básico a los MSP que también apoyan regímenes como PCI DSS, SOC 2, NIS 2 o DORA, porque está evaluando cómo definen el alcance de los servicios, implementan y prueban controles, gestionan proveedores y comunican el riesgo.
  • Las juntas directivas y los reguladores ven una visión consistente y comparable del riesgo de terceros en materia de seguridad, continuidad y privacidad, en lugar de un mosaico de cuestionarios distintos para cada marco.
  • Su sistema de gestión integrado del Anexo L obtiene una forma repetible de abordar cuestiones externas y partes interesadas según la Cláusula 4, independientemente de qué normas específicas estén en vigor en un momento dado.

A medida que acumula resultados, el cuadro de mando se convierte en un punto de referencia dinámico. Puede refinar las preguntas, ajustar la ponderación cuando cambien las regulaciones o la tolerancia al riesgo empresarial, y crear puntos de referencia internos que hagan que cada nueva evaluación de MSP sea más rápida, consistente y fácil de defender ante las partes interesadas.

¿Cuándo tiene sentido trasladar la supervisión de MSP a una plataforma ISMS compartida en lugar de residir en correos electrónicos y hojas de cálculo?

Tiene sentido trasladar la supervisión de MSP a una plataforma ISMS compartida cuando su equipo busca repetidamente la misma información ISO 27001 de varios proveedores estratégicos, lucha por mantener la evidencia y los mapeos actualizados en todos los documentos y le resulta difícil presentar una imagen coherente del riesgo de terceros a su liderazgo o auditores.

¿Qué beneficios prácticos deberíamos esperar de gestionar MSP dentro de una plataforma ISMS compartida?

Comenzar con uno o dos servicios administrados de alto impacto puede demostrar rápidamente si este modelo funciona para usted:

  • Estructuras de control alineadas: – sus conjuntos de preguntas ISO 27001, matrices de control del Anexo A:2022 específicas del servicio, divisiones de responsabilidad compartida y registros de riesgos se encuentran juntos en un entorno al que tanto su equipo como el MSP pueden acceder bajo permisos controlados.
  • Evidencia central y viva: – Los resúmenes de auditoría interna y externa, los informes de pruebas de penetración, las métricas de vulnerabilidad y las evaluaciones de proveedores se pueden vincular directamente con los controles, riesgos y servicios que respaldan, de modo que puede responder a las solicitudes de "muéstrame" sin tener que buscar en las carpetas.
  • Una única fuente para múltiples públicos: – la misma información estructurada respalda los paquetes de la junta directiva, las actualizaciones del comité de riesgos, las respuestas de diligencia debida del cliente y las auditorías de certificación, sin solicitar al MSP los mismos datos en varios formatos diferentes.
  • Evaluaciones y renovaciones más rápidas: – cuando puede ver el alcance, la cobertura del control, la evidencia y los resultados del cuadro de mando uno al lado del otro dentro de su SGSI, comparar proveedores y justificar renovaciones se convierte en un ejercicio menos improvisado en una hoja de cálculo.

Un primer paso sensato es elegir un servicio relevante para su negocio, como la monitorización de seguridad gestionada o una plataforma central en la nube. Configure una estructura sencilla y conforme a las normas ISO para dicho servicio en una herramienta como ISMS.online e invite al MSP a aportar pruebas y mejoras. Si, después de un trimestre, puede guiar a su junta directiva, comité de auditoría o clientes principales a través de esa visión compartida sin tener que buscar documentos a última hora, tendrá una prueba sólida de que extender el enfoque a otros MSP dará sus frutos. Al mismo tiempo, su propio SGSI o sistema integrado en el Anexo L madura, ya que la supervisión externa se convierte en parte de la gestión rutinaria en lugar de una búsqueda anual de documentos.

Marcos Sharron

Mark Sharron lidera la Estrategia de Búsqueda e IA Generativa en ISMS.online. Su enfoque es comunicar cómo funcionan en la práctica las normas ISO 27001, ISO 42001 y SOC 2, vinculando el riesgo con los controles, las políticas y la evidencia con una trazabilidad lista para auditorías. Mark colabora con los equipos de producto y cliente para integrar esta lógica en los flujos de trabajo y el contenido web, ayudando a las organizaciones a comprender y demostrar la seguridad, la privacidad y la gobernanza de la IA con confianza.

Twitter

Hacer un recorrido virtual

Comience ahora su demostración interactiva gratuita de 2 minutos y vea
¡ISMS.online en acción!

Pruébalo ahora
Panel de control de la plataforma completo en Mint

Somos líderes en nuestro campo

Estrellas 4 / 5
Los usuarios nos aman
Líder - Invierno 2026
Líder regional - Invierno 2026 Reino Unido
Líder regional - Invierno 2026 UE
Líder regional - Invierno 2026 Mercado medio UE
Líder regional - Invierno 2026 EMEA
Líder regional - Invierno 2026 Mercado medio EMEA

"ISMS.Online, la herramienta líder para el cumplimiento normativo"

—Jim M.

"Hace que las auditorías externas sean muy sencillas y conecta todos los aspectos de su SGSI sin problemas"

— Karen C.

"Solución innovadora para la gestión de acreditaciones ISO y otras"

— Ben H.