ISO 27001 robots seguridad: mapeo Anexo A para RSI

ISO 27001 robots de seguridad: por qué el mapeo se vuelve obligatorio

ISO/IEC 27001:2022 es la norma de referencia para sistemas de gestión de seguridad de la información. Contiene el Anexo A vinculante con 93 controles en cuatro temas: organizativos, personales, físicos, tecnológicos (ISO 27001:2022). El bloque A.7 enumera 14 controles físicos (A.7.1 a A.7.14) que los auditores revisan en concreto en cada auditoría de recertificación. Una brecha aquí supone riesgo de no conformidad mayor.

Los robots de patrulla generan telemetría continua y a prueba de manipulación. Track-logs, eventos de sensores y trayectorias de movimiento quedan documentados de forma reproducible. Un vigilante humano no entrega esa calidad de datos. Los libros de registro son manuscritos, incompletos y a menudo completados a posteriori.

Los responsables del SGSI exigen un mapeo 1:1 del número de control a la medida técnica. Sin este mapeo, cada despliegue de robot sigue siendo riesgo de auditoría, porque el auditor no puede atribuir la eficacia. Quarero entrega el mapeo como anexo al Service Description Document, no como folleto de marketing. La tabla forma parte del contrato.

El mapeo es requisito previo para imputar el robot en la Declaración de Aplicabilidad (SoA). Sin entrada en el SoA, la medida no existe desde el punto de vista del SGSI.

Próximo paso: revisar QR-2 patrulla exterior con cámara térmica.

Anexo A.7 controles físicos: el mapeo duro

A.7.1 Perímetros de seguridad física: QR-2 y QR-3 patrullan el perímetro definido con seguimiento GPS. Cada ronda se guarda como track-log, marca de tiempo y desviación del waypoint son visibles en el informe.

A.7.2 Entrada física: cámara térmica y detección de personas reconocen intrusos en valla y portón. El evento llega a la central en 8 segundos, con anexo de imagen y coordenadas.

A.7.4 Monitorización de seguridad física: live-stream 24/7 y grabación basada en eventos. Retención 90 días, accesos registrados. Cada consulta de streaming queda documentada en el audit-log con ID de usuario.

A.7.5 Protección contra amenazas físicas y ambientales: el robot detecta humo, anomalías de temperatura y nivel de agua. QR-3 para KRITIS con LiDAR y detección de drones realiza además escaneos volumétricos que registran cambios en la geometría del edificio y los inventarios.

A.7.6 Trabajo en áreas seguras: el robot sustituye la inspección humana en zonas de alta seguridad. Sin riesgo de personal en áreas restringidas, sin problema del principio de cuatro ojos en turnos de noche.

Lo que no queda cubierto aquí: A.7.7 mesa limpia y A.7.9 seguridad de activos fuera del local. Estos controles siguen bajo responsabilidad del cliente. El robot no sustituye todo el bloque A.7.

A.8 controles tecnológicos: la parte digital del robot

A.8.1 Dispositivos endpoint de usuario: cada robot figura en el inventario como activo del SGSI. Dirección MAC, número de serie, versión de firmware, ubicación y responsable están documentados.

A.8.5 Autenticación segura: acceso operativo vía MFA. Sin cuentas compartidas, logs de sesión con retención de 12 meses. Acceso privilegiado mediante cuenta separada con segundo factor.

A.8.9 Gestión de configuración: golden image por modelo, cambios mediante Change Advisory Board. Actualizaciones OTA firmadas, verificación de hash antes de la instalación.

A.8.15 Logging: todos los movimientos, detecciones y comandos en log inmutable. Hash-chain por bloque de 24 horas, la manipulación se hace visible de inmediato al verificar.

A.8.16 Monitorización de actividades: conexión al SOC vía conector syslog o SIEM. Anomalías (robot offline más de 5 minutos, patrón de movimiento atípico, fallos de autenticación) disparan un ticket de incidente.

A.8.24 Uso de criptografía: TLS 1.3 para comunicación, AES-256 para almacenamiento. Rotación de claves cada 90 días, documentada en el concepto criptográfico.

Lo que queda sin resolver en el bloque A.8: A.8.28 codificación segura es asunto del fabricante. El cliente recibe informes de pentest, pero no tiene acceso directo al código fuente. Esta brecha debe documentarse en el riesgo residual.

Declaración de Aplicabilidad: cómo entra el robot

Por cada control se documenta la medida. Texto de ejemplo en el SoA: "A.7.4 Monitorización de seguridad física: implementada mediante Quarero QR-2 patrulla, 4 rondas por hora, ID de servicio QR2-2024-0117, responsable jefe de seguridad de planta, evidencia en el portal de telemetría."

El Service Description Document contiene número de versión, especificación de sensores, diagrama de flujo de datos y certificados del proveedor (ISO 27001 del proveedor, certificación C5 del proveedor de hosting). Este documento se entrega al auditor antes del inicio de la auditoría Stage 2.

El riesgo residual se cuantifica: puntos ciegos por topografía, fallo meteorológico con tormentas superiores a 80 km/h, tiempo de cambio de batería (12 minutos de docking autónomo). Estos valores no están maquillados. Quien los oculta pierde credibilidad en la primera auditoría.

Medición de eficacia mediante KPI: Mean Time to Detect (MTTD) por debajo de 15 segundos, tasa de falsos positivos documentada por trimestre. Ambos valores son exportables del sistema y forman parte del input de revisión por la dirección.

El auditor recibe acceso de solo lectura al portal de telemetría durante la auditoría. No bajo petición ni mediante capturas por correo. El acceso directo reduce la revisión por muestreo en horas.

Seguridad de proveedores: A.5.19 a A.5.23

Quarero es proveedor en el sentido de A.5.19. El contrato contiene cláusulas de seguridad, un contrato de encargo según art. 28 RGPD y una lista divulgada de subcontratistas con país de sede y finalidad de tratamiento.

A.5.20 Tratamiento de la seguridad de la información en acuerdos con proveedores: SLA con disponibilidad del 99,5 por ciento, tiempo de reacción de 4 horas en averías críticas, régimen de penalización por incumplimiento reiterado.

A.5.21 Gestión de la seguridad de la información en la cadena de suministro TIC: SBOM (Software Bill of Materials) para el firmware del robot a petición. Los componentes de terceros se listan con versión y licencia. Monitorización de CVE por parte del fabricante.

A.5.22 Monitorización, revisión y gestión de cambios de los servicios de proveedores: revisión trimestral del servicio con el RSI del cliente, acta obligatoria. Temas: cumplimiento de SLA, incidentes, estado de parches, cambios previstos.

A.5.23 Seguridad de la información en el uso de servicios en la nube: hosting en centros de datos en Alemania y Suiza con certificación C5. Sin exportación de datos fuera de UE/EEE. Cláusula contractual que prohíbe el cambio de subprocesador sin preaviso de 30 días.

Para operadores KRITIS, la documentación de la cadena de suministro no es opcional. La KritisV define umbrales y sectores para los que las medidas de protección física y TI son obligatorias. El BBK es la autoridad federal competente para registro y asesoramiento. Resumen: requisitos KRITIS en visión general.

Gestión de incidentes: A.5.24 a A.5.28

Las detecciones del robot se clasifican como Security Events. Los niveles de escalado están fijados en el runbook: información, advertencia, alarma, crítico. Cada nivel tiene una reacción definida.

A.5.25 Evaluación y decisión sobre eventos de seguridad de la información: el operador de central clasifica en 60 segundos. El árbol de decisión está documentado y disponible en el puesto de trabajo. Doble clasificación a partir del nivel alarma.

A.5.26 Respuesta ante incidentes de seguridad de la información: acciones definidas por tipo de evento (dron, intrusión de personas, incendio, fallo técnico) incluyendo notificación a la policía y cadena interna de escalado.

A.5.27 Aprendizaje a partir de incidentes de seguridad de la información: reunión mensual de lecciones aprendidas. La ruta de patrulla y los umbrales de detección se ajustan cuando un incidente ha revelado una brecha. Los cambios son trazables en el change-log.

A.5.28 Recopilación de evidencia: datos brutos de vídeo y sensores asegurados forense, cadena de custodia documentada. Los valores hash de los archivos originales se anotan en el acta de entrega a las autoridades de persecución penal.

Ejemplo concreto de la práctica: protección perimetral en parque industrial muestra cómo una detección de dron por QR-3 derivó en un incidente documentado con entrega a la policía.

Preparación de auditoría: lo que el RSI necesita en concreto

Tabla de mapeo en Excel o en la herramienta SGSI con las columnas: número de control, título original, medida concreta, responsable, ruta de evidencia, frecuencia de verificación, última fecha de verificación. Esta tabla es el punto de entrada para el auditor.

Tres incidentes de ejemplo del último trimestre con documentación completa. El auditor toma muestras. Quien solo prepara un caso resulta selectivo.

Registro de acceso al portal de telemetría de los últimos 12 meses, filtrado por acciones administrativas: crear usuario, cambiar rol, modificar configuración, exportar datos.

Historial de versiones de firmware con tickets de cambio. El SLA de parches está documentado: CVE crítica menos de 14 días, CVE alta menos de 30 días. Desviaciones con justificación en el registro de riesgos.

Informe de pentest del backend del robot, anual, por proveedor externo. Hallazgos con grado de severidad, medida, fecha de implementación y fecha de verificación.

Análisis de riesgos según ISO 27005 con el robot como activo. Catálogo de amenazas (manipulación física, GPS-spoofing, interferencia radio, ciberataque al backend) y evaluación de riesgo residual por daño y probabilidad.

Quien prepara estos seis puntos supera la auditoría Stage 2 sin no conformidad mayor relativa al despliegue del robot.

Efecto económico: la madurez del SGSI sube, los costes de vigilancia bajan

Un puesto de vigilancia 24/7 cuesta entre 15.000 y 25.000 euros al mes, según grupo tarifario, complementos y región. La estructura de costes de personal está documentada en la estadística sectorial BDSW. Un QR-2 en modelo RaaS está en torno a 3.500 euros al mes.

El esfuerzo de auditoría baja: evidencia generada por máquina sustituye libros manuscritos. El RSI ahorra entre 8 y 12 días-persona estimados por recertificación. Las muestras son exportables digitalmente en vez de recogerse de carpetas en papel.

Las primas de seguro cibernético y de daños son negociables si se acredita ISO 27001 más monitorización por robot. Los descuentos concretos dependen de la aseguradora, oscilan entre el 5 y el 12 por ciento.

Los operadores KRITIS cumplen en paralelo los requisitos del art. 21 NIS-2. La directiva obliga a entidades esenciales e importantes a aplicar medidas técnicas, operativas y organizativas para proteger sus redes y sistemas de información. Base: Directiva NIS-2 2022/2555. Doble utilidad por euro de tarifa RaaS: ISO 27001 Anexo A.7/A.8 y requisitos NIS-2 art. 21 se cubren con la misma medida.

Umbral de ROI: el mapeo se amortiza a partir del turno 2 de 3 puestos sustituidos. Cifras duras en la comparación TCO vigilancia clásica. Quien sustituye solo un puesto pierde dinero. Quien sustituye dos o tres financia la solución robótica con el ahorro de personal. El modelo Robotics-as-a-Service sin CapEx desplaza el gasto de inversión a coste operativo, lo que alivia las cifras de balance.

Próximo paso concreto para el RSI: solicitar el Service Description Document y la tabla de mapeo del Anexo A en QR-2 patrulla exterior con cámara térmica. Ambos documentos se entregan antes de la firma del contrato y forman parte del anexo al contrato principal.