Las certificaciones en ciberseguridad se han convertido en un elemento casi omnipresente en el discurso corporativo. ISO 27001, ENS, SOC 2, certificaciones profesionales, sellos, acreditaciones. Y, aunque en muchos sectores no tenerlas te puede dejar fuera del mercado; tenerlas, en cambio, puede llegar a ser un lastre, por lo que desde una perspectiva de gestión de riesgos, conviene hacerse una pregunta incómoda, ¿qué valor aportan realmente esas certificaciones y en qué momento ese valor empieza a ser ficticio?
En su esencia, una certificación es una señal que cumplen habitualmente un triple propósito; ordenar la casa, mejorar la imagen/reputación de cara al cliente final o target al que te diriges y reducir la asimetría de información entre partes que no se conocen bien: cliente y proveedor, empresa y regulador, organización y mercado, pues esa señal indica que:
- Existe un sistema de gestión,
- Se han definido controles,
- Se han superado auditorías,
- Y, al menos en un momento concreto, se cumplían ciertos requisitos.
Pero una señal no es una garantía y desde ed el punto de vista del riesgo, una certificación no demuestra ausencia de riesgo, sino la existencia de un marco mínimo para gestionarlo y el problema aparece cuando esta diferencia deja de entenderse y las certificaciones dejan de responder a una reflexión interna sobre el riesgo.
En ese punto, se acumulan sin integrarse, se solapan sin una visión conjunta y se mantienen por pura inercia, sin cuestionar si siguen aportando valor y es entonces cuando empieza la ficción, no porque el estándar sea inadecuado, sino porque deja de cumplir su función original, que no es certificar un sistema, sino mejorar la gestión del riesgo, auditar la realidad operativa y transformar los procesos.
Otro de los mayores peligros es que las certificaciones deriven hacia modelos de auditoría ad hoc, diseñados más para superar la evaluación que para identificar debilidades reales, de forma que desde fuera, la organización sigue estando certificada, pero dentro el riesgo no ha disminuido necesariamente (compliance theater), generando una falsa sensación de control que en ciberseguridad, es especialmente peligrosa.
Pero además, conforme las regulaciones ponen cada vez más el ojo en la cadena de suministro, han aumentado el número de organizaciones que, a pesar de estar certificadas, la empresa se sigue enfrentando a auditorías específicas de cliente que no dan por bueno ese sello, pues no hay que olvidar que muchas certificaciones, por diseño, son agnósticas al contexto, de forma que funcionan bien como marco general, pero no siempre como herramienta de evaluación específica, lo que acaba siendo frustrante para ambas partes porque el proveedor siente que “nada es suficiente”, y el cliente siente que las certificaciones “no le dicen lo que necesita saber”.
Y lo cierto es que ninguno está equivocado pues están mirando el riesgo desde planos distintos, pero deberíamos entonces plantearnos si de verdad nos está aportando valor mantener las certificaciones que tenemos.
Por ello, la reflexión debe apoyarse en datos: cuántas auditorías específicas de cliente se realizan al año, cuántas de ellas aceptan una certificación como evidencia suficiente, cuántos controles se vuelven a revisar pese a estar certificados y cuánto esfuerzo interno se dedica a preparar evidencias que ya deberían estar cubiertas por el marco existente.
Cuando la mayoría de los clientes no da por buenas las certificaciones y solicita revisiones adicionales, cuando el número de auditorías ad hoc no disminuye pese a estar certificados, o cuando se repiten sistemáticamente las mismas preguntas independientemente del sello que se tenga, conviene preguntarse si mantener determinadas certificaciones está reduciendo realmente el riesgo o solo el malestar psicológico de “cumplir”.
En ese escenario, la certificación deja de ser un acelerador de confianza y se convierte en un coste operativo más, lo que obliga a replantear, desde el dato y no desde la costumbre, qué certificaciones tienen sentido mantener y cuáles han perdido su capacidad de generar valor real.
Pero más allá de todo esto, donde las certificaciones pueden aportar un valor genuino es dentro de la organización, siempre que se utilicen con una intención clara: mejorar.
Bien aplicadas, permiten:
- Ordenar procesos,
- Clarificar responsabilidades,
- Identificar dependencias,
- Establecer ciclos de mejora,
- Crear un lenguaje común entre áreas.
Pero ese valor no nace del certificado, sino del trabajo que hay detrás, por lo que diferencia está en la motivación, ¿se implanta el sistema para obtener el sello o se obtiene el sello como consecuencia de mejorar el sistema?
Desde la gestión del riesgo, solo la segunda opción es sostenible, por lo que desde una perspectiva madura de ciberseguridad y riesgo, las certificaciones deberían entenderse como un medio y no como un fin, pues sirven para ordenar, para conversar, para empezar y no para dejar de pensar y, quizás ese sea el verdadero criterio para evaluar su valor. Pues si la certificación reduce la reflexión sobre el riesgo, su valor es ficticio; pero si la estimula, entonces sí está cumpliendo su función.