El mínimo viable de ciberseguridad: del cuestionario del seguro a ISO 27001, SOC 2 y NIS2

La mayoría de empresas piensan en ciberseguro y en cumplimiento normativo como dos proyectos separados. Uno lo lleva el corredor o el CFO, el otro lo lleva el responsable de IT o un consultor externo. El resultado es que muchas empresas acaban pagando dos veces por construir la misma base, o peor, descubren después de un incidente que el seguro no paga porque les faltaba un control que también les habría exigido cualquier auditor.

Este artículo invierte el orden de pensar habitual. En lugar de empezar por el framework, empezamos por el siniestro. Porque el conjunto de controles que una aseguradora exige para emitir una póliza y, sobre todo, para pagar un siniestro, es el mínimo más pragmático que existe en el mercado. No es un mínimo ideológico ni teórico. Está calibrado contra datos reales de pérdidas, y las cifras de denegaciones lo demuestran.

Encima de ese mínimo se construyen las capas de cumplimiento. ISO 27001 y SOC 2 cuando empiezas a vender a clientes que te lo piden en una due diligence. NIS2 cuando operas en sectores regulados. La buena noticia es que las tres capas comparten gran parte de su columna vertebral. La mala es que orquestarlas en el día a día, mantenerlas vivas y poder demostrarlas ante un auditor o un perito es donde la mayoría de empresas se rompen.

Capa 1: el mínimo no negociable que exige el seguro cyber

El mercado de ciberseguro ha cambiado por completo en los últimos cuatro años. Hasta 2021, suscribir una póliza era un trámite. Cumplimentabas un cuestionario corto, declarabas dos o tres medidas básicas y la póliza se emitía. Después de la oleada de ransomware de 2021 a 2023, las aseguradoras empezaron a perder dinero a un ritmo que el mercado no había visto antes. Su respuesta fue contratar perfiles técnicos en suscripción, alargar los cuestionarios, exigir evidencias y, sobre todo, empezar a denegar siniestros cuando los controles declarados no estaban realmente implementados.

Hoy, según datos de la industria, alrededor del 40% de los siniestros cyber se deniegan total o parcialmente. La causa más frecuente, con diferencia, es la ausencia o implementación parcial de controles que el asegurado declaró tener en el cuestionario. El 82% de las denegaciones identificadas por Coalition en 2024 estaban vinculadas a empresas sin autenticación multifactor desplegada de forma completa.

A continuación, los controles que aparecen en prácticamente todos los cuestionarios de Stoïk, Hiscox, Zurich, AIG y el resto de carriers que operan en el mercado español. No son recomendaciones. Son las preguntas que decidirán si el siniestro se paga o no.

Autenticación multifactor en todos los puntos de acceso

El control más exigido y el más malinterpretado. La aseguradora no pregunta si tienes MFA disponible. Pregunta si está obligatorio. Y no solo en el correo, también en VPN, escritorio remoto, paneles de administración cloud, accesos a herramientas SaaS críticas y cualquier cuenta privilegiada.

El error típico es responder afirmativamente porque Microsoft 365 tiene MFA activo, mientras la VPN sigue sin MFA o un servidor heredado tiene una cuenta de administrador con contraseña simple. Hay un caso público, Travelers contra International Control Services, en el que la aseguradora rescindió la póliza tras descubrir que el MFA estaba en el firewall pero no en el sistema de acceso remoto que usaron los atacantes. La declaración del cuestionario se calificó de tergiversación material y la cobertura desapareció.

Detección y respuesta en endpoint (EDR o MDR)

El antivirus tradicional ya no es suficiente para suscribir. Aproximadamente el 88% de aseguradoras exigen herramientas de tipo EDR o MDR desplegadas en la totalidad de los endpoints, incluyendo servidores. La diferencia frente al antivirus clásico es que el EDR no busca firmas conocidas, sino comportamientos anómalos, y permite aislar un dispositivo comprometido antes de que el atacante se mueva lateralmente.

Lo que verifican los suscriptores no es solo que tengas la herramienta. Es la cobertura. Si tienes 200 dispositivos en la organización, esperan ver 200 agentes activos en la consola del EDR. Un 85% de despliegue es motivo frecuente de objeción.

Copias de seguridad inmutables y probadas

La regla que las aseguradoras piden ya con bastante consistencia es la conocida como 3-2-1-1: tres copias de los datos, en dos tipos de medio distintos, una de ellas fuera del entorno de producción y otra en estado inmutable o air-gapped. La inmutabilidad importa porque buena parte de los ataques de ransomware modernos buscan deliberadamente las copias antes de cifrar para impedir la recuperación.

El segundo punto que se verifica con frecuencia es si las restauraciones se prueban. Una copia que nunca se ha restaurado no es una copia, es una esperanza. Las aseguradoras piden cada vez más logs de pruebas de restauración trimestrales o semestrales.

Plan de respuesta a incidentes documentado y probado

Documentado significa que existe un documento, con roles asignados, contactos legales y forenses identificados, plazos de notificación a la aseguradora y procedimientos de comunicación a clientes y autoridades. Probado significa que se ha hecho al menos un ejercicio de mesa o simulacro en los últimos doce meses, con resultados documentados.

Una aseguradora no espera que una empresa de cincuenta personas tenga un equipo de respuesta interno. Espera que sepa qué hacer en las primeras 72 horas y a quién llamar.

Formación y simulacros de phishing

Marsh McLennan ha venido señalando la formación en concienciación y los simulacros de phishing como controles asociados a una menor frecuencia de siniestros. Por eso aparecen en los cuestionarios. Lo que se mide no es si la formación existe, sino la tasa de finalización por parte de los empleados. Un 60% de empleados formados es un 40% de empleados sin formar, y eso se interpreta como un control parcial.

Gestión de parches y vulnerabilidades

Las aseguradoras suelen pedir un compromiso explícito de aplicación de parches críticos en plazos definidos, típicamente 30 días, y en sistemas expuestos a internet con plazos más cortos. Es una de las preguntas más frecuentes en los cuestionarios de renovación.

Gestión de accesos privilegiados

El uso de cuentas de administrador para tareas cotidianas es la señal de alarma número uno en los assessments de las aseguradoras. La expectativa es que las cuentas privilegiadas estén separadas de las cuentas de uso diario, que tengan MFA reforzado y que sus accesos queden registrados.

Riesgo de cadena de suministro

Cada vez más cuestionarios incluyen preguntas sobre proveedores críticos. La pregunta concreta suele ser si exiges evidencias de seguridad a los proveedores que tocan tus datos o tus sistemas, idealmente certificaciones tipo SOC 2 o ISO 27001 cuando aplica.

Estos ocho bloques son la base. Cumplirlos no garantiza una prima baja, pero no cumplirlos garantiza primas altas, exclusiones específicas o, en el peor escenario, que un siniestro se quede sin pagar después de haber pagado años de prima.

Capa 2: lo que añaden ISO 27001 y SOC 2 cuando un cliente te lo pide

La diferencia entre la capa 1 y la capa 2 no es de tipo de control, sino de madurez organizativa. La aseguradora pregunta si tienes MFA. Un auditor de ISO 27001 pregunta si tienes una política aprobada que defina qué cuentas deben tener MFA, quién es responsable de hacerla cumplir, cómo se revisan los accesos, con qué frecuencia y qué evidencia documental conservas de esas revisiones.

Dicho de otra forma, la capa 1 verifica que el control existe. La capa 2 verifica que el control está gobernado.

ISO 27001:2022, la referencia internacional

La versión vigente de la norma, publicada en 2022, ha reorganizado el catálogo de controles del Anexo A. Donde la versión de 2013 tenía 114 controles distribuidos en 14 dominios, la versión de 2022 tiene 93 controles distribuidos en cuatro grandes grupos: organizativos (37), de personas (8), físicos (14) y tecnológicos (34). El periodo de transición para las empresas certificadas en la versión 2013 finalizó el 31 de octubre de 2025. A partir de esa fecha, todas las certificaciones vigentes están bajo la versión 2022.

Lo que ISO 27001 añade sobre el cuestionario del seguro se concentra en tres áreas. Primero, la existencia de un Sistema de Gestión de Seguridad de la Información, lo que implica un proceso documentado de análisis de riesgos, una Declaración de Aplicabilidad que justifica qué controles aplicas y por qué, y un ciclo de mejora continua. Segundo, la cobertura formal de áreas que el cuestionario del seguro no toca con detalle: clasificación de la información, gestión del ciclo de vida de los empleados, seguridad física, gestión de proveedores con cláusulas contractuales específicas. Tercero, la existencia de evidencias documentales que demuestren que cada control no solo existe en el papel, sino que se ejecuta y se revisa.

Los 11 controles nuevos que introdujo la versión 2022 reflejan el estado actual de la amenaza: inteligencia de amenazas, seguridad para el uso de servicios cloud, preparación TIC para continuidad de negocio, monitorización de seguridad física, gestión de configuraciones, borrado seguro de información, enmascaramiento de datos, prevención de fugas de datos, monitorización de actividades, filtrado web y codificación segura. Si alguno de estos suena nuevo, es una buena señal de las áreas donde la madurez actual del mercado se está moviendo.

SOC 2, la lógica anglosajona

SOC 2 es un informe de auditoría, no una certificación. La diferencia importa: ISO 27001 dice “esta empresa cumple un estándar”. SOC 2 dice “esta empresa opera de esta manera, y un auditor ha verificado que opera así durante un periodo de tiempo determinado”. Está pensado para clientes corporativos, sobre todo en Estados Unidos, que quieren ver cómo gestionas tú tu seguridad en lugar de aceptar un sello.

Se estructura sobre cinco Trust Services Criteria: seguridad (obligatorio), disponibilidad, integridad de procesamiento, confidencialidad y privacidad. La empresa elige qué criterios incluye en su informe. SOC 2 Type II es el formato más exigido por clientes serios, porque cubre un periodo de observación de al menos seis meses durante los cuales los controles se monitorizan y se generan evidencias.

El solapamiento entre ISO 27001 y SOC 2 ronda el 80% de los controles. Por eso, las empresas que primero certifican ISO 27001 y después añaden SOC 2 ahorran entre un 30 y un 40% del coste total de la doble certificación frente a implementarlas por separado.

Cuándo importa cada una

ISO 27001 es la referencia clara para mercado europeo y latinoamericano, especialmente cuando hay licitaciones públicas o clientes corporativos europeos pidiendo certificación. SOC 2 entra en juego en cuanto la empresa empieza a vender a corporaciones estadounidenses o a empresas que han crecido bajo ese estándar. Para una agencia o startup española en mercado europeo con clientes nacionales, ISO 27001 es la primera elección.

Capa 3: lo que cambia con NIS2

NIS2 es la directiva europea (2022/2555) que reemplaza a la NIS original y eleva el listón de ciberseguridad obligatoria para entidades esenciales e importantes. El plazo de transposición a derecho nacional venció el 17 de octubre de 2024. España no llegó a tiempo. El Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad fue aprobado por el Consejo de Ministros en enero de 2025 y, a fecha de este artículo, sigue pendiente de tramitación parlamentaria. La Comisión Europea ya envió a España un dictamen motivado en mayo de 2025, primer paso antes de un posible procedimiento de infracción ante el Tribunal de Justicia de la UE.

El hecho de que la ley nacional no esté publicada no protege a las empresas afectadas. Cuando se publique, los plazos de adaptación serán cortos, y las empresas que ya tengan implementadas las medidas del artículo 21 partirán con una ventaja considerable.

A quién afecta

NIS2 amplía drásticamente el ámbito respecto a NIS1. Por defecto, afecta a entidades de más de 50 empleados o más de 10 millones de euros de facturación que operen en alguno de los 18 sectores definidos en los anexos de la directiva. Esos sectores incluyen energía, transporte, banca, infraestructura digital, servicios TIC gestionados, sanidad, agua, alimentación, fabricación de productos críticos, servicios postales, gestión de residuos, productos químicos y otros.

Hay dos elementos importantes. Primero, ciertas entidades pueden quedar dentro del ámbito independientemente de su tamaño, si son único proveedor de un servicio crítico en un Estado miembro o si una interrupción tendría impacto público significativo. Segundo, NIS2 introduce el concepto de cadena de suministro: aunque tu empresa no esté directamente sujeta, si vendes servicios TIC a una entidad esencial o importante, vas a recibir requisitos contractuales de tu cliente que efectivamente te traerán las obligaciones de la directiva.

Las 10 medidas del artículo 21

El artículo 21 establece diez agrupaciones de medidas mínimas que toda entidad afectada debe implementar. Resumidas:

1. Políticas de análisis de riesgos y de seguridad de los sistemas de información.
2. Gestión de incidentes, incluyendo detección, contención, notificación y recuperación, con plazos legales de 24 horas para alerta temprana, 72 horas para notificación y un mes para informe final.
3. Continuidad de negocio y gestión de copias de seguridad.
4. Seguridad de la cadena de suministro.
5. Seguridad en la adquisición, desarrollo y mantenimiento de sistemas, incluida la gestión de vulnerabilidades.
6. Políticas y procedimientos para evaluar la eficacia de las medidas de gestión de riesgos.
7. Prácticas básicas de ciberhigiene y formación en ciberseguridad.
8. Políticas y procedimientos sobre uso de criptografía y, cuando proceda, cifrado.
9. Seguridad de los recursos humanos, políticas de control de acceso y gestión de activos.
10. Uso de soluciones de autenticación multifactor o continua, comunicaciones seguras y sistemas de comunicación de emergencia.

Quien lea esta lista junto al cuestionario del seguro y al Anexo A de ISO 27001 verá rápidamente que hablan del mismo universo de controles, organizado de tres maneras distintas. La diferencia es el nivel de exigencia documental y el régimen sancionador.

Sanciones y responsabilidad personal

NIS2 contempla multas de hasta 10 millones de euros o el 2% de la facturación anual mundial para entidades esenciales, y hasta 7 millones o el 1,4% para importantes. Más relevante, traslada responsabilidad directa a los órganos de dirección, que deben aprobar formalmente las medidas, supervisar su aplicación y recibir formación específica. El artículo 20 establece de forma explícita que esta responsabilidad no se puede delegar. Es una de las palancas más fuertes de la directiva: convierte la ciberseguridad en un asunto de consejo de administración, no de IT.

En España, la transposición incluye la posibilidad de demostrar el cumplimiento mediante certificación bajo el Esquema Nacional de Seguridad (ENS) en categoría media o alta, lo que ofrece una vía formal de evidencia.

El mapa real: cómo se solapa todo

Una vez se ven las tres capas en la misma página, queda claro que no son alternativas, son progresiones. La columna vertebral es prácticamente la misma:

• MFA, EDR, copias inmutables y plan de respuesta aparecen en el cuestionario del seguro, en el Anexo A de ISO 27001 (controles 5.17, 8.5, 8.7, 8.13, 5.24 a 5.27) y en el artículo 21 de NIS2.
• Análisis de riesgos formal aparece como prerrequisito en ISO 27001 y como obligación explícita en NIS2.
• Gestión de proveedores aparece en el cuestionario del seguro de forma incipiente, en ISO 27001 con detalle (controles 5.19 a 5.23) y en NIS2 con peso especial.
• Formación, gestión de accesos privilegiados, gestión de parches y monitorización aparecen en los tres niveles.

La diferencia entre niveles es de tres ejes: la profundidad documental exigida, el alcance organizativo (más controles formales en el lado de personas y procesos a medida que se sube de capa) y el régimen de verificación (cuestionario para el seguro, auditoría externa para ISO 27001 y SOC 2, supervisión administrativa con sanciones para NIS2).

La consecuencia práctica es que las empresas que construyen bien la capa 1 cubren entre el 60 y el 70% del trabajo de las capas 2 y 3. Y las empresas que ya tienen ISO 27001 madura suelen pasar el cuestionario del seguro sin sobresaltos y entran en NIS2 con pocas brechas.

Por qué la mayoría de empresas falla aquí

El problema no suele ser elegir el control correcto. El problema es mantenerlo vivo y poder demostrarlo cuando hace falta.

El cuestionario del seguro se rellena una vez al año en la renovación, casi siempre con prisa, y a menudo declarando controles que en algún momento estuvieron al 100% pero que se han ido degradando. Una cuenta de administrador heredada sin MFA. Un servidor que el equipo de IT olvidó incluir en la última instalación de EDR. Una copia que no se restaura desde hace ocho meses. Un nuevo proveedor crítico que entró sin pasar por la lista de evaluación. Cualquiera de estos huecos, en el momento equivocado, anula la cobertura.

ISO 27001 y SOC 2 obligan a evidenciar continuamente. Los auditores piden capturas de pantalla, configuraciones exportadas, registros de pruebas, actas de reuniones de comité. Si no existen como rutina, se construyen a la carrera dos semanas antes de la auditoría, con el coste y el riesgo que eso implica.

NIS2 va un paso más allá: establece supervisión activa por parte de la autoridad competente, con potestad para auditar y sancionar incluso sin que haya habido incidente.

Donde se rompe todo esto es en la capa operativa. No en el papel. La empresa típica del mercado medio español, sin un CISO interno, sin un equipo dedicado, no tiene capacidad para mantener vivo el inventario de controles, ejecutar las verificaciones, generar las evidencias y revisar los riesgos cada mes. Y si lo intenta con personas, lo hace con una sobrecarga que termina degradando el sistema.

Esta es la conclusión real del análisis. El mínimo viable de ciberseguridad existe y es bastante claro. Lo que no existe en la mayoría de empresas es el motor que lo mantenga ejecutándose y demostrable de forma continua. Y sin ese motor, ninguna de las tres capas funciona como debería: el seguro no paga, el auditor encuentra brechas, el regulador llega a una empresa sin evidencias.

Cómo lo aborda Axyom

La forma en que Axyom plantea esto es deliberada. La capa financiera la cubre el ciberseguro, transferencia del riesgo residual una vez que la base operativa está bajo control. La capa operativa la cubre AI CISO, que monitoriza de forma continua si los controles que el seguro exige y que los frameworks añaden están realmente implementados, genera las evidencias automáticamente y orquesta la remediación cuando aparece una desviación.

Esto no sustituye a un consultor de ISO 27001 cuando una empresa quiere certificarse, ni reemplaza a un equipo legal especializado en NIS2 cuando hay que afrontar una transposición sectorial específica. Lo que hace es resolver el problema diario que rompe a la mayoría de empresas: mantener la base viva, conocer en cada momento dónde estás respecto a lo que tu seguro exige, y poder demostrarlo en una auditoría, en una renovación o, en el peor caso, en un siniestro.

Antes de elegir frameworks, antes de plantearse certificaciones y antes incluso de renovar la próxima póliza, lo más útil que puede hacer una empresa es saber con precisión qué controles tiene activos hoy, dónde están los huecos y qué impacto tienen sobre su asegurabilidad. Ese es el punto de partida del análisis de riesgo digital que hacemos en getaxyom.com/es/risk-analysis. Treinta segundos para empezar, una foto real de tu superficie expuesta y un punto de conversación honesto sobre qué hacer a continuación.