Históricamente, la auditoría clásica se ha limitado a certificar el cumplimiento de la organización con relación a alguna normativa o Regulación, un mero trámite que se resume en la frase: «Hay que conseguir que certifiquen que cumplimos». Sin embargo, la auditoría moderna de ciberseguridad industrial ha evolucionado para ir mucho más allá de la simple certificación.
El enfoque estratégico de la Auditoría actual
Hoy en día, el auditor no solo revisa normas, sino que analiza un flujo conceptual enfocado en la sostenibilidad del proceso, con las siguientes fases:
- Revisa y justifica el Mapa de Riesgos de la organización.
- Analiza los controles mitigatorios asignados a ese Mapa, apoyándose en estándares como ISO 62443, NIST o SGCI.
- Evalúa la implantación y el funcionamiento real y efectivo de dichos controles.
- Emite un Informe de Auditoría que identifica las causas raíz de las debilidades y deficiencias observadas, para no quedarse solo en el síntoma.
En definitiva, este proceso se traduce en una evaluación de la Madurez. El objetivo último es alcanzar el nivel «Optimizado», el único que permite garantizar la sostenibilidad real de la organización a largo plazo.
Para realizar esta evaluación de madurez, tanto en tiempo de auditoría como de forma preventiva, nos apoyamos en herramientas potentes como MACIN.
Esta aplicación, ofrecida y desarrollada por el CCI, revisa la estructura organizativa, el esquema de roles, responsabilidades y capacidades de actuación, analizando en detalle:
- 10 dominios y 45 objetivos lógicos de ciberseguridad.
- 175 prácticas evaluadas desde 4 dimensiones clave: Procesos, Tecnología, Personas y Resultados.
- 5 niveles de madurez: Inicial (1), Repetible (2), Definido (3), Gestionado (4) y Optimizado (5).
Valor para la Alta Dirección
El uso de la herramienta MACIN ofrece como resultado un Nivel de Madurez, provisional, que el auditor se encarga de confirmar con evidencias.
Resulta una herramienta muy valiosa, tanto para el responsable de una instalación industrial como para el auditor de sistemas de control industrial. Permite a ambos obtener una visión estratégica basada en datos verificables.
Con la ayuda de MACIN, el Informe de Auditoría tiene dos partes bien documentadas: por un lado, se detallan los Hechos Significativos (hallazgos y debilidades operativas) y, por otro, se indica de forma justificada el Nivel de Madurez a la Alta Dirección, proporcionando una visión estratégica clara sobre las barreras que deben superar para lograr una ciberseguridad industrial resiliente y sostenible.
Erik De Pablo
Experto en Auditoría de Ciberseguridad
– –
Más información sobre la Plataforma MACIN aquí