¿Con qué marcos se alinea Los Controles Zenith?

Está mapeado a ISO/IEC 27001:2022, 27002:2022, NIST SP 800-53 Rev. 5, EU NIS2, EU DORA, GDPR, COBIT 2019 y más.

¿Qué áreas de seguridad se cubren?

Los controles cubren gobernanza, operaciones, acceso, personal, físico, proveedores/externalización, nube, tecnológico y gestión de incidentes.

¿Los controles incluyen guía de auditoría?

Sí, cada control incluye la metodología de auditoría correspondiente, requisitos de evidencia y vínculos a cláusulas de certificación.

¿Cómo aborda Los Controles Zenith el riesgo de terceros?

Detalla la seguridad del ciclo de vida de proveedores, obligaciones contractuales, gestión de incidentes y cláusulas de derecho de auditoría con mapeo de controles.

¿Hay secciones de guía para el mapeo normativo?

Sí. Cada control incluye mapeo de cumplimiento cruzado, mostrando vínculos de evidencia con normativas y normas de la UE, EE. UU. e internacionales.

Los Controles Zenith

Descripción general

Los Controles Zenith es un conjunto de referencia detallado de controles de seguridad de la información alineado con los principales marcos globales, que cubre dominios de gobernanza, controles físicos, controles de personal, controles tecnológicos, proveedores y desarrollo, con metodología de auditoría mapeada y guía de cumplimiento para respaldar una gestión, implementación y certificación eficaces.

Biblioteca integral de controles

Cubre controles de gobernanza, controles tecnológicos, controles de personal y controles físicos para la protección de la información de extremo a extremo.

Mapeado a normas reglamentarias

Mapeado a ISO/IEC 27001 e ISO/IEC 27002, NIST SP 800-53 Rev. 5, EU NIS2, DORA, GDPR y COBIT 2019 para una cobertura de cumplimiento probada.

Guía de implementación operativa

Contiene vínculos detallados con otros controles, notas de implementación y referencias cruzadas a escenarios de riesgo prácticos.

Seguridad de terceros y de la cadena de suministro

Aborda contratos con proveedores, nube y desarrollo externalizado con criterios de auditoría de ejemplo y cláusulas de seguridad.

Gestión de riesgos de extremo a extremo

Vincula la identificación de riesgos, el tratamiento de riesgos, la respuesta a incidentes y la mejora continua en un marco de seguridad unificado.

Mapeo de controles listo para auditoría

Cada control incluye requisitos de evidencia de auditoría, mapeo ISO/NIST y expectativas metodológicas para auditorías de certificación.

Privacidad y seguridad integradas

Incorpora el tratamiento de PII, enmascaramiento de datos, minimización y supresión para normativas de privacidad y mejores prácticas de seguridad.

Leer descripción completa

Los Controles Zenith proporciona un conjunto integral y estructurado de controles de seguridad de la información alineado con normas reconocidas internacionalmente para una gobernanza, gestión de riesgos y cumplimiento eficaces. Abarcando dominios de gobernanza, controles tecnológicos, controles físicos y controles de personal, la guía detalla controles individuales, incluida la gestión de políticas, la definición de roles, la supervisión de proveedores, el inventario de activos, la gestión de accesos, la gestión de vulnerabilidades, el desarrollo seguro y la respuesta a incidentes, con referencias cruzadas en profundidad a marcos globales como ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev. 5, la Directiva EU NIS2, EU DORA, EU GDPR y COBIT 2019. Cada control del conjunto se describe meticulosamente, mostrando atributos operativos, objetivos de riesgo, propiedades de seguridad de la información abordadas y relaciones con otros controles. Los controles no se examinan de forma aislada, sino que se mapean a través de escenarios interconectados de gobernanza, tecnológicos, de proveedores y de desarrollo. Notas prácticas de implementación acompañan a cada control, respaldadas por expectativas resumidas de metodología de auditoría que reflejan las mejores prácticas actuales, incluidas entrevistas, revisión de documentación, muestreo y pruebas de escenarios en vivo. De forma destacada, Los Controles Zenith aborda el ciclo de vida completo de la seguridad: desde la creación de la política de seguridad y las responsabilidades de gestión, pasando por la gestión de accesos e identidades (a través de privilegios, restricción de información y autenticación), hasta la entrega segura de proyectos, la gestión de cambios y los controles de proveedores (incluida la nube y el desarrollo externalizado). Se presta atención detallada a dominios técnicos como la gestión de vulnerabilidades, la segmentación de red, las líneas base de configuración, la arquitectura segura de sistemas y los ciclos de vida del desarrollo seguro de sistemas, hasta la planificación de sistemas de respaldo y redundancia, registro de auditoría, seguimiento y la gestión de incidentes y mejora continua. La protección de datos y la intersección de la privacidad con la seguridad es un tema recurrente. La guía integra prácticas de privacidad desde el diseño/por defecto, minimización de datos, enmascaramiento, control de la información de prueba, supresión oportuna y eliminación segura de soportes de almacenamiento. Cuando corresponde, los controles se vinculan al cumplimiento normativo cruzado para datos personales, incluidas asignaciones claras a requisitos de GDPR e ISO/IEC 27701/27018, con especial atención a la pista de auditoría, el ejercicio de derechos de acceso y el tratamiento de PII en relaciones con proveedores y nube. La seguridad de terceros y de la cadena de suministro también se trata de forma integral. Los controles detallan diligencia debida, cláusulas contractuales, derechos de auditoría, requisitos de notificación de incidentes y prácticas de desarrollo seguro para relaciones externas. Se proporciona orientación para gestionar el ciclo de vida completo de terceros, incluido el intercambio de datos, las responsabilidades en la nube y garantizar que los entornos gestionados por proveedores se alineen con las necesidades de riesgo y cumplimiento de la organización. En todos los controles, Los Controles Zenith proporciona tablas de mapeo de ejemplo a cláusulas reglamentarias, sugiere evidencia e indicadores clave de rendimiento (KPI) para la preparación operativa y de auditoría, y alinea las prácticas con marcos actuales y tendencias del sector, lo que lo convierte en un recurso indispensable para organizaciones que buscan operacionalizar la seguridad de mejores prácticas, satisfacer necesidades de cumplimiento transjurisdiccional y asegurar a las partes interesadas su perfil de riesgo.

Contenido

Lista completa de controles 5.x–8.x (Gobernanza, personal, físico, tecnológico)

Referencias cruzadas detalladas: ISO/IEC 27001, 27002, NIST SP 800-53, EU NIS2, DORA, GDPR, COBIT

Metodología de auditoría y criterios de evidencia específicos por control

Requisitos de pruebas y aceptación para entornos DevOps, proveedores y nube

Protección de datos, privacidad y prácticas de supresión

Integración de mejora continua y respuesta a incidentes

Marco	Cláusulas / Controles cubiertos
ISO/IEC 27001:2022	Clause 5.1, 5.2, 5.3; 6.1.3, 8.1, 9.1, 9.2, 9.3; 10.1 Annex A 5.1–5.37, 6.1–6.8, 7.1–7.14, 8.1–8.34
ISO/IEC 27002:2022	5.1–5.37 6.1–6.8 7.1–7.14 8.1–8.34
NIST SP 800-53 Rev.5	PL-1, PL-2, PL-4, PM-1, PM-2, PM-9, PM-23, CA-2, CA-3, CA-7, CA-9, AU-2, AU-6, AU-8, AU-9, SI-3, SI-4, IR-1, IR-4, IR-6, IR-8, RA-5, SI-5, SC-2, SC-7, SC-8, SC-11, SC-12, SC-13, SC-17, SC-18, SC-28, AC-1–AC-20, PS-2, PS-3, PS-4, PS-5, PS-6, PS-7, MP-2–MP-7, CM-2, CM-3, CM-4, CM-5, CM-6, CM-8, PE-3, PE-4, PE-6, PE-8, PE-9, PE-11–PE-16, MA-1–MA-3, CP-2, CP-4, CP-7, CP-8, CP-9, CP-10, SI-12, DM-2, UL-4, AR-4, PT-3
EU NIS2	Articles 21, 23, 24, Annex I, Annex II Article 21(2)(a)–(k), 21(5)
EU DORA	Articles 5, 6, 8, 10, 11, 12, 13, 15, 16, 17, 18, 21, 23, 25, 28, 29, 30, Annex I Section A
EU GDPR	Articles 5(1)(c),(f), 5(2), 6, 17, 24, 25, 28, 30, 32, 33, 34, 39, 47, Recital 39, 49, 83, 85, 87, 88
COBIT 2019	EDM01.02, EDM03, EDM03.02, APO01.01, APO01.06, APO07.02, APO07.06, APO08.03, APO10.02, APO10.03, APO13.01, APO13.02, APO12.01, APO12.03, APO12.04, BAI03.04, BAI03.05, BAI03.06, BAI06.05, BAI08.03, BAI09.01, BAI09.02, BAI09.05, DSS01.01, DSS01.03, DSS01.04, DSS01.05, DSS01.06, DSS01.07, DSS04.03, DSS04.04, DSS05.01, DSS05.02, DSS05.03, DSS05.04, DSS05.07, DSS05.08, DSS05.09, DSS05.10, DSS06.03, DSS06.04, DSS06.05, DSS06.06, DSS06.07, MEA01.01, MEA01.02, MEA02.01, MEA02.03, MEA03, MEA03.01, MEA03.06

Marco

Cláusulas / Controles cubiertos

ISO/IEC 27001:2022

Clause 5.1, 5.2, 5.3; 6.1.3, 8.1, 9.1, 9.2, 9.3; 10.1 Annex A 5.1–5.37, 6.1–6.8, 7.1–7.14, 8.1–8.34

ISO/IEC 27002:2022

5.1–5.37 6.1–6.8 7.1–7.14 8.1–8.34

NIST SP 800-53 Rev.5

PL-1, PL-2, PL-4, PM-1, PM-2, PM-9, PM-23, CA-2, CA-3, CA-7, CA-9, AU-2, AU-6, AU-8, AU-9, SI-3, SI-4, IR-1, IR-4, IR-6, IR-8, RA-5, SI-5, SC-2, SC-7, SC-8, SC-11, SC-12, SC-13, SC-17, SC-18, SC-28, AC-1–AC-20, PS-2, PS-3, PS-4, PS-5, PS-6, PS-7, MP-2–MP-7, CM-2, CM-3, CM-4, CM-5, CM-6, CM-8, PE-3, PE-4, PE-6, PE-8, PE-9, PE-11–PE-16, MA-1–MA-3, CP-2, CP-4, CP-7, CP-8, CP-9, CP-10, SI-12, DM-2, UL-4, AR-4, PT-3

EU NIS2

Articles 21, 23, 24, Annex I, Annex II Article 21(2)(a)–(k), 21(5)

EU DORA

Articles 5, 6, 8, 10, 11, 12, 13, 15, 16, 17, 18, 21, 23, 25, 28, 29, 30, Annex I Section A

EU GDPR

Articles 5(1)(c),(f), 5(2), 6, 17, 24, 25, 28, 30, 32, 33, 34, 39, 47, Recital 39, 49, 83, 85, 87, 88

COBIT 2019

EDM01.02, EDM03, EDM03.02, APO01.01, APO01.06, APO07.02, APO07.06, APO08.03, APO10.02, APO10.03, APO13.01, APO13.02, APO12.01, APO12.03, APO12.04, BAI03.04, BAI03.05, BAI03.06, BAI06.05, BAI08.03, BAI09.01, BAI09.02, BAI09.05, DSS01.01, DSS01.03, DSS01.04, DSS01.05, DSS01.06, DSS01.07, DSS04.03, DSS04.04, DSS05.01, DSS05.02, DSS05.03, DSS05.04, DSS05.07, DSS05.08, DSS05.09, DSS05.10, DSS06.03, DSS06.04, DSS06.05, DSS06.06, DSS06.07, MEA01.01, MEA01.02, MEA02.01, MEA02.03, MEA03, MEA03.01, MEA03.06

Políticas relacionadas

Política de seguridad de la información

Establece políticas de seguridad de la información de la organización como base para la gobernanza.

Política de roles y responsabilidades de gobernanza

Define la rendición de cuentas para desarrollar, aprobar y aplicar controles de seguridad de la información.

Política de responsabilidades gerenciales

Asigna el deber de la alta dirección para la supervisión del SGSI, la implementación de políticas y el aseguramiento del cumplimiento.

Política de contacto con autoridades

Garantiza que las organizaciones mantengan relaciones y protocolos para la interacción oportuna con autoridades externas.

Política de contacto con grupos de interés especial

Promueve la participación en comunidades de seguridad para beneficiarse del conocimiento compartido, la evaluación comparativa y la inteligencia de amenazas.

Sobre las Políticas de Clarysec - Los Controles Zenith

Este libro es un manual probado en campo para auditores, directores de Seguridad de la Información (CISO) y responsables de cumplimiento que quieren control operativo, no listas de verificación teóricas. Cada control se desglosa para el mapeo directo a ISO 27001:2022, NIS2, DORA, GDPR y NIST, mostrando exactamente lo que los auditores esperarán y qué evidencia realmente importa. Obtienes referencias cruzadas accionables, asignaciones rol por rol y desgloses a nivel de cláusula diseñados para la implantación práctica del Sistema de gestión de la seguridad de la información (SGSI), la preparación para auditoría y la mejora continua. Sin relleno, sin ambigüedad: solo la guía esencial y las herramientas que necesitas para cerrar brechas de cumplimiento y defender tu negocio.

Guía sólida de auditoría y evidencia

Proporciona metodología de auditoría explícita y evidencia de ejemplo para cada control, respaldando auditorías internas, externas y de certificación.

Interrelaciones detalladas de controles

Mapea relaciones prácticas entre controles, permitiendo a las organizaciones comprender dependencias de seguridad en gobernanza, tecnología y operaciones.

Mapeos normativos actualizados

Ofrece el mapeo de cumplimiento cruzado más reciente a todos los marcos principales, facilitando la certificación, la autoevaluación y la notificación normativa.

Cobertura de seguridad de proveedores y externalización

Aborda de forma integral requisitos de contrato, seguimiento y auditoría para la gestión del riesgo de seguridad de proveedores y externalización.

Preguntas frecuentes

Diseñado para Líderes, por Líderes

Esta política ha sido elaborada por un líder en seguridad con más de 25 años de experiencia en la implementación y auditoría de marcos ISMS en organizaciones globales. Está diseñada no solo como un documento, sino como un marco defendible que resiste el escrutinio de los auditores.

Elaborado por un experto que cuenta con:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Cobertura y temas

🏢 Departamentos objetivo

TI Seguridad Cumplimiento Auditoría Gobernanza

🏷️ Cobertura temática

Control de acceso Gestión de identidades Gestión de autenticación Gestión de accesos privilegiados (PAM)