Código abierto para el cumplimiento: por qué los auditores valoran un ISMS abierto
La herramienta de evidencia no debería ser la única caja negra de su auditoría.
La verificabilidad supera a la garantía
El cumplimiento tiene que ver con la evidencia y la verificabilidad. Un auditor pregunta cómo se procesan los datos, dónde residen y quién tiene acceso. Con software de código abierto puede responder a eso por inspección, no por confianza.
Para una herramienta cuya única función es custodiar su evidencia, ser inspeccionable no es un lujo prescindible.
El código abierto permite a un auditor o a su propio equipo rastrear con exactitud cómo se registra una aprobación, un plazo o una entrada del registro de auditoría. El artículo 21(2)(f) NIS 2 exige políticas y procedimientos para evaluar la eficacia de sus medidas.
Evaluar la eficacia resulta más fácil cuando el mecanismo que produce la evidencia puede inspeccionarse en lugar de presuponerse.
El artículo 21(2)(d) NIS 2 le obliga a gestionar el riesgo de la cadena de suministro, y su plataforma de cumplimiento es uno de sus proveedores. El código abierto reduce esa carga de diligencia: el código es revisable y no hay ninguna dependencia cerrada que no pueda evaluar.
Puede externalizar la operación de una herramienta, pero la responsabilidad del deber permanece en usted (§ 30 BSIG). Una herramienta inspeccionable facilita asumir esa responsabilidad.
El código abierto no es intrínsecamente menos seguro. El código público y el seguimiento público de incidencias a menudo implican que las vulnerabilidades se encuentran y corrigen más rápido. El artículo 21(2)(e) NIS 2 cubre la gestión y divulgación de vulnerabilidades.
Lo que realmente decide la seguridad es si el software se mantiene y se actualiza, algo que vale igualmente para las herramientas abiertas y las cerradas.
Preguntas frecuentes
¿Puede un auditor rechazar una herramienta de código abierto?
Un auditor evalúa sus medidas y su evidencia, no la marca de su software. NIS 2 no nombra ningún producto obligatorio. Una herramienta inspeccionable tiende a facilitar el trabajo del auditor, no a dificultarlo.
¿Es el código abierto menos seguro que un producto comercial?
No por el hecho de ser abierto. El mantenimiento y las actualizaciones oportunas deciden la seguridad; el principio de los muchos ojos a menudo ayuda más que perjudica.
¿Sigo teniendo que documentar si la herramienta es abierta?
Sí. La herramienta registra la evidencia; las decisiones siguen siendo suyas. El código abierto hace transparente el registro, no opcional.
¿Cumple el código abierto automáticamente el requisito de cadena de suministro?
No, pero reduce el coste de la diligencia. Usted sigue evaluando y documentando la herramienta como proveedor conforme al artículo 21(2)(d) NIS 2.
¿Qué debería comprobar antes de confiar en un ISMS abierto?
El mantenimiento activo, una vía de actualización clara, el modelo de hosting y si puede exportar sus datos. La apertura es el suelo, el mantenimiento es la prueba.