ESC

Escribe para buscar entre todos los artículos

Volver al archivo
· 2 min de lectura · Intermedio

ISO/IEC 19896: cuando la ciberseguridad se centra en la competencia real

Ya no basta con certificar sistemas: ahora se certifica la competencia de las personas que evalúan y certifican la seguridad. La familia ISO 19896 marca un punto de inflexión.

ISOcertificacionescompliancegobernanzaciberseguridad

Certificar personas, no solo sistemas

La familia de normas ISO/IEC 19896 marca un punto de inflexión en ciberseguridad y privacidad:

Ya no basta con certificar sistemas. Ahora se certifica la competencia de las personas que evalúan, prueban y certifican la seguridad.

La serie ISO/IEC 19896

ISO/IEC 19896-1:2025 — Overview & Concepts

Define el marco común de competencias:

  • Establece conceptos, roles y principios
  • Alinea el lenguaje entre evaluadores, auditores y certificadores
  • Es la base conceptual del modelo

ISO/IEC 19896-2 — Testers y evaluadores técnicos

Exige conocimientos, habilidades y eficacia demostrable:

  • Aplica a quienes realizan pruebas técnicas
  • Evaluaciones de seguridad
  • Validación de controles

La clave: no basta con tener la certificación. Hay que demostrar competencia técnica verificable.

ISO/IEC 19896-3:2025 — Evaluadores y revisores de certificación

Define competencias para quienes certifican bajo:

  • ISO/IEC 15408 (Common Criteria)
  • ISO/IEC 18045 (Metodología de evaluación)

Refuerza objetividad, trazabilidad y consistencia en decisiones de conformidad.

Quien certifica seguridad también debe ser competente y evaluable.

Por qué esto importa

BeneficioImpacto
Reduce auditorías de “papel”Competencia demostrada, no solo documentación
Eleva la confianza en certificacionesEl evaluador es tan riguroso como el estándar
Profesionaliza la ciberseguridadEstándares claros para quienes evalúan
Protege mejor a personas y organizacionesDecisiones de seguridad tomadas por profesionales competentes

El problema que resuelve

Todos hemos visto auditorías donde:

  • El auditor no tiene experiencia técnica en lo que evalúa
  • Las certificaciones se otorgan basándose en documentación, no en evidencia técnica
  • Dos evaluadores llegan a conclusiones opuestas sobre el mismo sistema
  • La “certificación” no refleja el nivel real de seguridad

ISO 19896 ataca directamente estos problemas estableciendo un estándar para la competencia de quien evalúa, no solo para lo que se evalúa.

Implicaciones para la industria

Para organizaciones: pueden exigir que sus auditores y evaluadores cumplan con ISO 19896, elevando la calidad de las evaluaciones que reciben.

Para profesionales: es una ruta clara de desarrollo profesional con criterios objetivos y medibles.

Para la industria: profesionaliza un espacio donde la variabilidad en la calidad de las evaluaciones ha sido un problema histórico.

Referencias

  • ISO/IEC 19896-1:2025 — Overview and concepts
  • ISO/IEC 19896-2 — Knowledge, skills and effectiveness
  • ISO/IEC 19896-3:2025 — Evaluadores y revisores de certificación
SV
Autor

Sebastián Vargas

CISO & Fundador de TTPSEC SpA. Más de 15 años en ciberseguridad, governance, riesgo y compliance. Escribiendo sobre seguridad de la información desde 2018.

LinkedIn Medium

Artículos relacionados

·2 min de lectura
ISO/IEC 27706: el auditor también debe ser auditado
ISOprotección de datoscompliance
·2 min de lectura
Acciones inmediatas para la Alta Dirección ante la Ley Marco de Ciberseguridad
ley 21.663ANCIcompliance
·3 min de lectura
El sistema operativo de tu empresa será AI-FIRST: Agentic OS
inteligencia artificialagentesGenAI

¿Te sirve el contenido?

Recomendarme en LinkedIn
Volver al archivo