Scribd
Cargar
330 vistas31 páginas

ISO 27001 Guia de Implantacion

ISO 27001 guía de implementación

Cargado por

mariaf.lopez
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
330 vistas31 páginas

ISO 27001 Guia de Implantacion

ISO 27001 guía de implementación

Cargado por

mariaf.lopez
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
Está en la página 1/ 31

ISO 27001:2022

GUÍA DE IMPLEMENTACIÓN DE SISTEMAS DE GESTIÓN DE


SEGURIDAD DE LA INFORMACIÓN

53,000
CERTIFICATES TRANSPARENT 100
GLOBALLY
> ISO 27001:2022
GUÍA DE IMPLEMENTACIÓN

2 *UK and ISO


Ireland
27001:2022
only IMPLEMENTATION GUIDE
Contenido
P04
P05
P06
P07
P08
P09
P10
P11
P12
P13
P14
P16
P18
SECCIÓN 7: Apoyo P22
P24
P26
P28
P30
P31

ISO 27001:2022 IMPLEMENTATION GUIDE 3


INTRODUCCIÓN A
LA NORMA
La mayoría de las empresas poseen o tienen acceso a información valiosa o sensible. No
proteger adecuadamente esta información puede tener graves consecuencias operativas,
financieras y jurídicas. En algunos casos, pueden llevar a la quiebra total de la empresa.
El reto al que se enfrentan la mayoría de las empresas es cómo ofrecer una protección adecuada. En
concreto, ¿cómo se aseguran de haber identificado todos los riesgos a los que están expuestas y cómo
pueden gestionarlos de forma proporcionada, sostenible y rentable?

ISO 27001 es la norma reconocida internacionalmente para Sistemas de Gestión de Seguridad de la


Información (SGSI). Proporciona un marco sólido para proteger la información que puede adaptarse a todo
tipo y tamaño de organizaciones. Las organizaciones que están muy expuestas a riesgos relacionados con la
seguridad de la información optan cada vez más por implantar un SGSI que cumpla la norma ISO 27001.

La familia 27000
Tres de las normas son especialmente útiles
La serie de normas 27000 nació en 1995 como BS para todo tipo de organizaciones a la hora de
7799 y fue redactada por el Departamento de Comercio e implantar un SGSI. Son las siguientes:
Industria (DTI) del Reino Unido. Las normas se denominan
correctamente "ISO/IEC" porque son desarrolladas y • ISO 27000 Tecnología de la información -
mantenidas conjuntamente por dos organismos Visión general y vocabulario
internacionales de normalización: ISO (Organización
Internacional de Normalización) e IEC (Comisión • ISO 27002 Tecnología de la información -
Electrotécnica Internacional). Sin embargo, para simplificar, en Técnicas de seguridad - Código de buenas
el uso cotidiano se suele omitir la parte "IEC". prácticas para los controles de seguridad de la
información. Este es el más comúnmente
Actualmente hay 45 normas publicadas en la serie ISO 27000.
referenciado, relativo al diseño e implementación
De ellas, la ISO 27001 es la única norma destinada a la
de los 93 controles especificados en el Anexo A
certificación. Todas las demás normas ofrecen orientación
de ISO 27001:2022.
sobre la aplicación de las mejores prácticas. Algunas orientan
sobre cómo desarrollar SGSI para sectores concretos; otras • ISO 27005 Tecnología de la información -
orientan sobre cómo implantar procesos y controles clave de Técnicas de seguridad - Gestión de la
gestión de riesgos para la seguridad de la información. seguridad de la información.

Revisiones y actualizaciones
Las normas ISO se revisan cada cinco años para
evaluar si es necesario actualizarlas.

La actualización más reciente de la norma ISO 27001 tuvo


lugar en 2022 y supuso una importante reestructuración
del anexo SL, así como una serie de nuevos controles.

4 ISO 27001:2022 IMPLEMENTATION GUIDE


BENEFICIOS DE
LA IMPLANTACIÓN
La seguridad de la información tiene ahora una importancia fundamental para las
organizaciones, y la adopción de la norma ISO 27001 es cada vez más común. Ya no se
trata de si se verán afectadas por una violación de la seguridad, sino de cuándo y cómo
responderán.
Implantar un Sistema de Gestión de la Seguridad de la Información (SGSI) y conseguir la certificación ISO 27001 es una
empresa importante. Sin embargo, si se hace de forma eficaz, las organizaciones que necesitan proteger información
valiosa o sensible obtienen importantes beneficios. Estas ventajas suelen clasificarse en tres ámbitos:

COMERCIAL TRANQUILIDAD
Contar con el aval de una tercera parte Las organizaciones tienen información que es
independiente para un SGSI puede fundamental para sus operaciones, vital para
proporcionar a una organización una ventaja mantener su ventaja competitiva o una parte
competitiva frente a sus competidores. Los inherente de su valor financiero.
clientes expuestos a importantes riesgos de
seguridad de la información exigen ahora la Contar con un SGSI sólido permite a los
certificación ISO 27001 en las licitaciones. directivos de las empresas dormir más
tranquilos, sabiendo que están menos
Si el cliente también cuenta con la expuestos al riesgo de multas cuantiosas,
certificación ISO 27001, sólo elegirán interrupciones importantes de la actividad
trabajar con proveedores cuyos controles de empresarial o un un atque cibernético.
seguridad de la información coincidan con
sus propios requisitos contractuales. ISO 27001 es un marco reconocido
internacionalmente para un SGSI de mejores
Para las organizaciones que desean trabajar prácticas y su cumplimiento puede verificarse
con este tipo de clientes, disponer de un SGSI de forma independiente para mejorar la
con certificación ISO 27001 es un requisito imagen de una organización y dar confianza a
clave para mantener y aumentar sus ingresos sus clientes.
comerciales.

OPERATIVO

La obtención de la ISO 27001 favorece una


cultura interna que es constantemente
consciente de los riesgos para la seguridad de
la información y tiene un enfoque coherente
para hacerles frente. Esto conduce a controles
que son más sólidos a la hora de hacer frente a
las amenazas. También se minimiza el coste de
su implantación y mantenimiento, y en caso de
que estos controles fallen, las consecuencias se
reducirán y mitigarán con mayor eficacia.

ISO 27001:2022 IMPLEMENTATION GUIDE 5


PRINCIPIOS CLAVE
Y TERMINOLOGÍA
El objetivo principal de un SGSI es proteger la información sensible o valiosa. La información
sensible suele incluir información sobre empleados, clientes y proveedores. La información
valiosa puede incluir propiedad intelectual, datos financieros, registros legales, datos
comerciales y datos operativos.

LOS TIPOS DE
RIESGO A LOS
QUE ESTÁ SUJETA
LA INFORMACIÓN
SENSIBLE
PUEDEN Confidencialidad Integridad Disponibilidad
AGRUPARSE
cuando una o cuando se modifique el cuando se pierda u
GENERALMENTE acceso no autorizado a contenido de la obstaculice el
EN 3 la información. información de modo que acceso a la
CATEGORÍAS: deje de ser exacta o información.
completa.

Estos tipos de riesgo para la seguridad de la información Vulnerabilidades como ventanas abiertas en las oficinas,
forman lo que comúnmente se denomina la tríada CID. errores de configuración del código fuente o la ubicación de
edificios junto a ríos aumentan la probabilidad de que la
Los riesgos en la seguridad de la información surgen presencia de una amenaza dé lugar a un incidente
normalmente de la presencia de amenazas y indeseado y costoso.
vulnerabilidades en los activos que procesan, almacenan,
guardan, protegen o controlan el acceso a la información En seguridad de la información, el riesgo se gestiona
que pueden dar lugar a incidentes. mediante el diseño, la aplicación y el mantenimiento de
controles como ventanas cerradas con llave, pruebas de
En el contexto de la norma ISO 27001, los activos suelen software, configuraciones correctas, parcheado de software
incluir información, personas, equipos, sistemas o o ubicación de equipos vulnerables por encima del nivel del
infraestructuras. suelo.
La información es el conjunto o conjuntos de datos que una Un SGSI que cumple con la norma ISO 27001 tiene un
organización quiere proteger, como registros de empleados, conjunto interrelacionado de procesos de mejores prácticas
registros de clientes, registros financieros, datos de diseño, que apoyan el diseño, implementación y mantenimiento de
datos de pruebas, etc. controles, específicos para ese negocio.
Los incidentes son sucesos no deseados que provocan una Los procesos que forman parte de un SGSI suelen ser una
pérdida de confidencialidad (por ejemplo, una violación de combinación de los procesos empresariales básicos
datos), integridad (por ejemplo, la corrupción de datos) o existentes (por ejemplo, contratación, inducción, formación,
disponibilidad (por ejemplo, un fallo del sistema). compras, diseño de productos, mantenimiento de equipos,
prestación de servicios,) y los específicos para mantener y
Las amenazas son las que provocan los incidentes y
mejorar la seguridad de la información (por ejemplo, gestión
pueden ser malintencionadas (por ejemplo, un ciberataque),
de cambios, gestión de la configuración, control de acceso,
accidentales (por ejemplo, compartir accidentalmente
gestión de incidentes, inteligencia de amenazas).
información con la parte equivocada) o de fuerza mayor
(por ejemplo, una inundación).

6 ISO 27001:2022 IMPLEMENTATION GUIDE


CICLO PDCA
La norma ISO 27001 se basa en el ciclo Planificar-Hacer-Verificar-Actuar (PDCA),
también conocido como rueda de Deming o ciclo de Shewhart. El ciclo PDCA puede
aplicarse no sólo al sistema de gestión en su conjunto, sino también a cada elemento
individual para proporcionar un enfoque continuo en la mejora continua.

En resumen:
Planificar: Hacer: Verificar: Actuar:
Establecer objetivos, Aplicar lo Supervisar y medir los Tomar medidas para
recursos necesarios, previsto. procesos para mejorar el
requisitos de clientes establecer el rendimiento, según
y partes interesadas, rendimiento en relación sea necesario.
políticas organizativas con políticas, objetivos,
e identificar riesgos y requisitos y actividades
oportunidades. planificadas, e informar
de los resultados.

Modelo PDCA ISO 27001


SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (4)

ESTABLECER
PARTES EL SGSI PARTES
INTERESADAS INTERESADAS

Planificar Hacer

MANTENER IMPLANTAR
Y MEJORAR Y OPERAR
EL SGSI EL SGSI

REQUISITOS Y
EXPECTATIVAS Actuar Verificar SEGURIDAD
DE LA
EN MATERIA DE
SEGURIDAD DE INFORMACIÓN
LA CONTROLAR GESTIONADA
INFORMACIÓN Y REVISAR
EL SGSI

Planificar-Hacer-Verificar-Actuar es un ejemplo de sistema de bucle cerrado. Esto garantiza que el aprendizaje de las fases
de "hacer" y "comprobar" se utiliza para informar las fases de "actuar" y "planificar" posteriores. En teoría, se trata de un
sistema cíclico, pero es más bien una espiral ascendente, ya que el aprendizaje te hace avanzar cada vez que pasas por
el proceso.

ISO 27001:2022 IMPLEMENTATION GUIDE 7


PENSAMIENTO
BASADO EN EL
RIESGO/AUDITORÍAS
Las auditorías son un enfoque sistemático, basado en pruebas y en procesos para evaluar
su Sistema de Gestión de la Seguridad de la Información. Se realizan interna y
externamente para verificar la eficacia del SGSI. Las auditorías son un ejemplo brillante de
cómo se adopta el pensamiento basado en el riesgo dentro de la Gestión de la Seguridad
de la Información.

Auditorías de 1ª parte - Para tratar el riesgo, las organizaciones pueden seleccionar y


aplicar los controles aplicables del anexo A, así como aplicar
Auditorías internas cualquier otro control al margen de éste para gestionar sus
riesgos hasta un nivel aceptable. En consecuencia, debe
Las auditorías internas son una gran oportunidad para elaborarse una Declaración de Aplicabilidad y cada control del
aprender dentro de su organización. Proporcionan tiempo para Anexo A debe justificarse, tanto si se aplica como si no. La
centrarse en un proceso o departamento concreto y evaluar gestión de riesgos es fundamental en un SGSI y tan
realmente su rendimiento. El objetivo de una auditoría interna importante como la identificación y valoración de activos.
es garantizar el cumplimiento de las políticas, procedimientos y
procesos determinados por usted, la organización, y confirmar
la conformidad con los requisitos de la norma ISO 27001. 2a parte - Auditorías externas
Planificación de auditorías Las auditorías de segunda parte suelen ser realizadas por los
clientes o por terceros en su nombre, o usted puede llevarlas
Elaborar un calendario de auditorías puede parecer un a cabo con sus proveedores externos. Las auditorías de
ejercicio complicado. Dependiendo de la escala y segunda parte también pueden ser realizadas por
complejidad de sus operaciones, puede programar auditorías reguladores o cualquier otra parte externa que tenga un
internas desde cada mes hasta una vez al año. interés formal en una organización.

Es posible que tenga poco control sobre el momento y la


Pensamiento basado en riesgo frecuencia de estas auditorías, pero si establece su propio
SGSI se asegurará de estar bien preparado cuando se
La mejor manera de considerar la frecuencia de las auditorías produzcan.
es examinar los riesgos que entraña el proceso o la actividad
que se está auditando. Cualquier proceso de alto riesgo, ya
sea porque tiene un alto potencial de salir mal o porque las
3a parte - Auditoría certificación
consecuencias serían graves si saliera mal, debe auditarse
con más frecuencia que un proceso de bajo riesgo. Las auditorías de terceros corren a cargo de organismos de
certificación externos acreditados por UKAS, como NQA.
La forma de evaluar los riesgos depende exclusivamente de
usted. La norma ISO 27001 no dicta ningún método El organismo de certificación evaluará la conformidad con la
concreto de evaluación o gestión de riesgos. norma ISO 27001:2022, para lo cual un representante visitará
la organización y evaluará el sistema pertinente y sus
Las organizaciones deben aplicar una metodología de procesos. El mantenimiento de la certificación también
evaluación de riesgos y un plan de tratamiento con criterios implica reevaluaciones periódicas.
adecuados de aceptación de riesgos y los criterios necesarios
para llevar a cabo una evaluación de riesgos en primer lugar. La certificación demuestra a los clientes su compromiso con
Este proceso debe estar plenamente integrado en su sistema la calidad, la seguridad y las crecientes amenazas a las
de gestión. Los riesgos deben priorizarse para su tratamiento empresas en este mundo digital.
y tratarse adecuadamente.

LA CERTIFICACIÓN ASEGURA:
• Evaluación periódica • Credibilidad de que el • Reducción del riesgo y la • Coherencia en los
para supervisar y sistema puede lograr los incertidumbre y aumento resultados diseñados para
mejorar continuamente resultados previstos. de las oportunidades de satisfacer las expectativas
los procesos. mercado. de las partes interesadas.

8 ISO 27001:2022 IMPLEMENTATION GUIDE


PENSAMIENTO BASADO
EN PROCESOS/
AUDITORÍA
Un proceso es la transformación de entradas en salidas, que tiene lugar como una serie
de pasos o actividades que dan lugar al objetivo u objetivos previstos. A menudo, la
salida de un proceso se convierte en una entrada para otro proceso posterior. Muy pocos
procesos funcionan de forma aislada.

"Proceso: conjunto de actividades ISO 27001:2022 Fundamentos


interrelacionadas o en interacción que utiliza o
transforma insumos para obtener un resultado". y vocabulario
Fundamentos y vocabulario de ISO 27001:2022 Comprender cómo se interrelacionan los procesos y
producen resultados puede ayudarle a identificar
Un proceso es la transformación de entradas en salidas, que oportunidades de mejora y optimizar el rendimiento global.
tiene lugar como una serie de pasos y da lugar al objetivo u Esto también es aplicable cuando los procesos, o parte de
objetivos previstos. A menudo, la salida de un proceso se ellos, se externalizan.
convierte en entrada de otro proceso posterior. Muy pocos Comprender cómo afecta o podría afectar esto al resultado,
procesos funcionan de forma aislada. y comunicarlo claramente a la empresa que presta el
servicio externalizado, garantiza la claridad y la
Incluso una auditoría tiene un enfoque de proceso. Comienza responsabilidad en el proceso.
con la identificación del alcance y los criterios, establece un
curso de acción claro para lograr el resultado y tiene un El último paso del proceso consiste en revisar el resultado
producto definido (el informe de auditoría). Utilizar el enfoque de la auditoría y asegurarse de que la información obtenida
por procesos para auditar también garantiza que se asignan a se utiliza correctamente. Una revisión formal de la gestión es
la auditoría el tiempo y las competencias correctos. Esto la la oportunidad de reflexionar sobre el rendimiento del SGSI
convierte en una evaluación eficaz del rendimiento del SGSI. y de tomar decisiones sobre cómo y dónde mejorar. El
proceso de revisión por la dirección se trata con mayor
"Se consiguen resultados coherentes y predecibles con mayor eficacia y
profundidad en la Sección 9 - Evaluación del desempeño.
eficiencia cuando las actividades se entienden y gestionan como
procesos interrelacionados que funcionan como un sistema coherente."

£
£

ISO 27001:2022 IMPLEMENTATION GUIDE 9


ANEXO SL
La norma ISO 27001 ha adoptado el anexo SL, y esta estructura también se utiliza para las
normas ISO 14001 (norma de sistemas de gestión medioambiental) e ISO 45001 (norma de
sistemas de gestión de la salud y la seguridad).

Antes de la adopción del anexo SL había muchas diferencias


entre las estructuras de las cláusulas, los requisitos y los
términos y definiciones utilizados en las distintas normas de Estructura de alto nivel
sistemas de gestión. Ello dificultaba a las organizaciones la
integración de la aplicación y gestión de varias normas, entre
las que las más comunes eran las de medio ambiente, El anexo SL consta de 10 cláusulas:
calidad, salud y seguridad, y seguridad de la información.
1. Alcance
2. Referencias normativas
3. Términos y definiciones
4. Contexto de la organización
5. Liderazgo
6. Planificación
7. Soporte
8. Operación
9. Evaluación del rendimiento
10. Mejora
De estas cláusulas, los términos comunes y las
definiciones básicas no pueden modificarse. Los
requisitos no pueden suprimirse ni modificarse, pero
sí pueden añadirse requisitos y recomendaciones
específicos de una disciplina.
Todos los sistemas de gestión requieren tener en
cuenta el contexto de la organización (más
información al respecto en la sección 4); un conjunto
de objetivos pertinentes para la disciplina, en este
caso la calidad, y alineados con la dirección
estratégica de la organización; una política
documentada que respalde el sistema de gestión y
sus objetivos; auditorías internas y revisión por parte
de la dirección. Cuando existen varios sistemas de
gestión, muchos de estos elementos pueden
combinarse para abordar más de una norma.

10 ISO 27001:2022 IMPLEMENTATION GUIDE


10 CLÁUSULAS DE ISO 27001:2022
La norma ISO 27001 consta de 10
secciones conocidas como cláusulas.

Los requisitos de la norma ISO 27001 que PARTES INTERESADAS


deben cumplirse se especifican en las
cláusulas 4.0 a 10.0. La organización debe USO VALOR
cumplir con todos los requisitos de las REGULADO
cláusulas 4.0 - 10.0. No pueden declarar una o
más cláusulas como no aplicables a ellos. No
pueden declarar que una o más cláusulas no
les son aplicables.

VULNERABILIDADES
CONFIDENCIALIDAD
En la norma ISO 27001, además de las AMENAZA INFORMACIÓN RIESGOS
INTEGRIDAD
cláusulas 4.0 a 10.0, hay un conjunto adicional
de requisitos detallados en una sección DISPONIBILIDAD

denominada Anexo A, a la que se hace


referencia en la cláusula 6.0.
El Anexo A contiene 93 controles de CONTROL
seguridad de la información. Es necesario ACCESO
tener en cuenta cada uno de estos 93
controles. Para cumplir con la norma ISO BIENES
27001, la organización debe implementar CONTROLES
estos controles, o se debe dar una
justificación aceptable para no implementar
un control en particular.
MEJORA
SEGUIMIENTO
CONTINUA

SECCIÓN 1:
ALCANCE
La sección Alcance de la norma ISO 27001 establece:
• la finalidad de la norma.

• Los tipos de organizaciones a las que se aplica; y

• Las secciones de la norma (denominadas cláusulas) que contienen los


requisitos que debe cumplir una organización para que se certifique su
"conformidad" con la misma (es decir, que es conforme).

La norma ISO 27001 está diseñada para ser aplicable a cualquier tipo de
organización. Independientemente de su tamaño, complejidad, sector
industrial, finalidad o madurez, su organización puede implantar y
mantener un SGSI que cumpla la norma ISO 27001.

ISO 27001:2022 IMPLEMENTATION GUIDE 11


SECCIÓN 2:
REFERENCIAS
NORMATIVAS
En las normas ISO, la sección Referencias normativas enumera cualquier otra norma que
contenga información adicional relevante para determinar si una organización cumple la
norma en cuestión. En la norma ISO 27001, solo se enumera un documento: ISO 27000
Tecnología de la información - Visión general y vocabulario.

Algunos de los términos y requisitos detallados en la norma ISO


27001 se explican con más detalle en la norma ISO 27000. La
referencia a la norma ISO 27000 es muy útil para comprender
mejor un requisito o identificar la mejor forma de cumplirlo.

CONSEJO - Los auditores externos esperarán que haya tenido


en cuenta la información contenida en la norma ISO 27000 en el
desarrollo e implantación de su SGSI.

12 ISO 27001:2022 IMPLEMENTATION GUIDE


SECCIÓN 3:
TÉRMINOS Y
DEFINICIONES
La norma ISO 27001 no contiene términos ni definiciones. En su lugar, se hace referencia
a la versión más actual de ISO 27000 Sistemas de Gestión de Seguridad de la
Información - Visión General y Vocabulario. La versión actual de este documento
contiene 81 definiciones de términos que se utilizan en la norma ISO 27001.

Además de los términos explicados


anteriormente en la sección "Principios clave y Cuando redacte la documentación de
terminología", otros términos importantes son: su sistema de gestión de la seguridad
Controles de acceso de la información, no tiene por qué
Garantizar que el acceso físico y lógico a los activos está utilizar estos términos exactos. Sin
autorizado y restringido en función de los requisitos de embargo, puede ayudar a aclarar el
seguridad de la empresa y de la información. significado y la intención si puede
Activo de información definir los términos que ha utilizado.
Un conjunto de información, definido y gestionado como una Puede ser útil incluir un glosario en la
sola unidad, para que pueda ser comprendido, compartido, documentación del sistema.
protegido y explotado. Los activos de información deben
identificarse y su valor establecerse asignando su valor a la
organización, basándose en los impactos reputacionales y/o
financieros que pueden causar si se ven comprometidos. Junto al "Riesgo" hay otros dos componentes
fundamentales de la norma ISO 27001, que son:
Riesgo
Combinación de la probabilidad de que se produzca un Mejora continua (CI)
suceso relacionado con la seguridad de la información y las La idea de que los cambios pequeños, continuos y bien
consecuencias resultantes. calculados pueden dar lugar a mejoras importantes con el
tiempo. En ISO, la CI se refiere al esfuerzo de la empresa por
Evaluación de riesgos mejorar constantemente su sistema de gestión para cumplir
Proceso de identificación de riesgos, análisis del nivel de los requisitos de la norma ISO.
riesgo que plantea cada uno de ellos y evaluación de la
necesidad de adoptar medidas adicionales para reducirlos a
un nivel más aceptable.

Tratamiento del riesgo


Procesos o acciones que reducen los riesgos
identificados a un nivel aceptable.

Alta dirección
El grupo de personas que toman las decisiones de más
alto nivel en una organización. Es probable que sean
responsables de establecer su dirección estratégica y de
determinar y alcanzar los objetivos de las partes
interesadas.

ISO 27001:2022 IMPLEMENTATION GUIDE 13


SECCIÓN 4:
CONTEXTO DE LA
ORGANIZACIÓN
El propósito de su SGSI es proteger los Activos de Información de su organización, para
que pueda alcanzar sus objetivos.
• Coherencia: ¿Dispone de procesos uniformes en toda la
La forma de hacerlo y las áreas específicas de prioridad organización o de una multitud de prácticas operativas
dependerán del contexto en el que opere su organización. diferentes con poca coherencia?
organización: • Sistemas: ¿Tiene su organización muchos sistemas que
• Internamente: las cosas sobre las que la funcionan con versiones de software que ya no son
organización tiene cierto control. compatibles con el fabricante, o mantiene la tecnología más
• Externamente: las cosas que la organización no actualizada y mejor disponible?
controla directamente. • Complejidad del sistema: ¿Utiliza un sistema principal que
Un análisis cuidadoso del entorno en el que opera su hace todo el trabajo pesado, o varios sistemas
organización es fundamental para identificar los departamentales con una transferencia de información
riesgos inherentes a la seguridad de sus activos de limitada entre ellos?
información. El análisis es la base que le permitirá • Espacio físico: ¿Disponen de una oficina propia y segura, o
evaluar qué procesos debe considerar añadir o trabajan en un espacio compartido con otras
reforzar para construir un SGSI eficaz. organizaciones, o son una organización exclusivamente
remota?

Contexto interno Contexto externo


Los siguientes son ejemplos de las áreas que pueden tenerse Los siguientes son ejemplos de las áreas que pueden
en cuenta al evaluar las cuestiones internas que pueden influir tenerse en cuenta al evaluar las cuestiones externas que
en los riesgos del SGSI: pueden influir en los riesgos del SGSI:

• Madurez: ¿Es una empresa ágil con un lienzo en blanco en • La competencia: ¿Opera en un mercado innovador y en
el que trabajar, o una institución con procesos y controles evolución, que requiere actualizaciones de los sistemas
de seguridad establecidos? para seguir siendo competitivo, o en un mercado maduro y
• Cultura organizativa: ¿Es su organización relajada en estable con pocas innovaciones?
cuanto a cómo, cuándo y dónde trabaja la gente, o • Propietario: ¿Necesita aprobación para mejorar la
extremadamente reglamentada? seguridad física?
• Reguladores: ¿Existe en su sector la obligación de realizar
• Gestión: ¿Existen canales y procesos de comunicación
cambios reglamentarios con regularidad, o hay poca
claros entre los principales responsables de la toma de
supervisión por parte de los organismos reguladores?
decisiones y el resto de la organización?
• Económico/político: ¿Influyen las fluctuaciones monetarias
• Tamaño de los recursos: ¿Trabaja con un equipo de en su organización? ¿Cómo afectan las situaciones
seguridad de la información o lo hace todo una persona? geopolíticas a su organización?
• Madurez de los recursos: ¿Los recursos disponibles están • Consideraciones ambientales: ¿Están sus instalaciones en
informados, plenamente formados, son fiables y constantes, una llanura inundable y los servidores en un sótano?
o el personal carece de experiencia y cambia ¿Existen factores que hagan de sus instalaciones un
constantemente? posible objetivo de robo o atentado terrorista (por ejemplo,
en un lugar céntrico o cerca de un posible objetivo)?
• Formatos de los activos de información: ¿Sus activos de
información se almacenan principalmente en formato • Prevalencia de los ataques a la seguridad de la
impreso o electrónicamente en un servidor o en sistemas información: ¿Su organización opera en un sector que sufre
remotos basados en la nube? ciberataques?
• Sensibilidad/valor de los activos de información: ¿Su • Accionistas: ¿Están muy preocupados por la vulnerabilidad
de la organización a las violaciones de datos? ¿Hasta qué
organización tiene que gestionar activos de información
punto les preocupa el coste de los esfuerzos de la
muy valiosos?
organización por mejorar su seguridad de la información?

14 ISO 27001:2022 IMPLEMENTATION GUIDE


Partes interesadas
Una parte interesada es cualquiera que esté, pueda estar o se
perciba afectado por una acción u omisión de su
organización. Las partes interesadas se irán aclarando a lo
largo del proceso de análisis exhaustivo de los problemas
internos y externos.

Probablemente incluirá a accionistas, propietarios,


reguladores, clientes, empleados y competidores.
Dependiendo de su empresa, pueden incluir al público en
general y al medio ambiente. No tiene que intentar
comprender o satisfacer todos sus caprichos, pero sí
determinar cuáles de sus necesidades y expectativas son
relevantes para su SGSI.

Alcance del SGSI


Para cumplir con la norma ISO 27001, debe documentar el
alcance de su SGSI. Los alcances documentados suelen
describir:
• Los límites del lugar o lugares físicos incluidos (o no
incluidos).
• Los límites de las redes físicas y lógicas incluidas (o no
incluidas). Nueva consideración para
• Los grupos de empleados internos y externos incluidos (o
no incluidos) el cambio climático
• Los procesos, actividades o servicios internos y externos ISO ha introducido cambios en la norma ISO 27001
incluidos (o no incluidos). para subrayar la importancia de abordar los efectos
• Interfaces clave en los límites del ámbito de aplicación. del cambio climático en el marco de los sistemas de
gestión de las organizaciones.
Si quiere priorizar recursos creando un SGSI que no cubra
toda su organización, seleccionar un ámbito limitado a la Para mejorar la concienciación y la respuesta de
gestión de los intereses de las partes interesadas clave es un las organizaciones al cambio climático, ISO ha
enfoque pragmático. Esto se puede hacer incluyendo sólo introducido dos cambios fundamentales en la
sitios, activos, procesos y unidades de negocio o cláusula 4:
departamentos específicos. Algunos ejemplos son:
Cláusula original 4.1:
• “Todas las operaciones realizadas por el Dpto. IT." "Comprensión de la organización y su contexto. La
• “Soporte y gestión del correo electrónico". organización debe determinar las cuestiones externas
• “Todos los equipos, sistemas, datos e infraestructuras e internas que son relevantes para su propósito y que
del centro de datos de la organización, situado en la afectan a su capacidad para lograr el resultado o
sede de Basingstoke". resultados previstos de su sistema de gestión de XXX."

CONSEJO: Documente o mantenga un archivo de toda la


Esta cláusula incluye ahora explícitamente
información recopilada en el análisis del contexto de su
la afirmación "La organización determinará
organización y de las partes interesadas, como por ejemplo
si el cambio climático es una cuestión
• Conversaciones con un alto representante de la relevante".
organización, por ejemplo, un director general, CFO, CTO...
• Actas de reuniones o planes de negocio.
• Un documento específico que identifica los problemas Cláusula original 4.2:
internos/externos y las partes interesadas, así como sus "Comprender las necesidades y expectativas de las
necesidades y expectativas; por ejemplo, un análisis DAFO, partes interesadas. La organización debe determinar:
un estudio PESTLE o una evaluación de riesgos
empresariales de alto nivel. • Las partes interesadas que son relevantes para el
sistema de gestión XXX.
• Los requisitos pertinentes de estas partes interesadas.
• Cuáles de estos requisitos se abordarán a través
del sistema de gestión XXX".

La cláusula ahora también dice: "Nota: Las


partes interesadas pertinentes pueden tener
requisitos relacionados con el cambio
climático".

ISO 27001:2022 IMPLEMENTATION GUIDE 15


SECCIÓN 5:
LIDERAZGO
La importancia del liderazgo
El liderazgo en este contexto significa la • Claridad en las responsabilidades y La norma ISO 27001 concede gran
participación en el establecimiento de la la rendición de cuentas. importancia al compromiso activo de
dirección del SGSI, su aplicación y • El pensamiento basado en el riesgo la Dirección en el SGSI, partiendo de
provisión de recursos. Esto incluye: está en el centro de toda toma de la base de que el compromiso de la
decisiones Dirección es crucial para garantizar la
• Garantizar que los objetivos del • Comunicación clara de esta implantación efectiva y el
SGSI sean claros y estén alineados información a todas las personas mantenimiento de un SGSI eficaz por
con la estrategia general. dentro del ámbito de su SGSI. parte de los empleados.

Política de seguridad info. Funciones y responsabilidades


Una responsabilidad vital de la dirección es establecer y Para que las actividades de seguridad de la información
documentar una Política de Seguridad de la Información (PSI) formen parte de las actividades de la mayoría de las personas
que esté alineada con los objetivos clave de la organización. de la organización, las responsabilidades y las obligaciones
Debe incluir objetivos o un marco para establecerlos. Para de rendir cuentas deben definirse y comunicarse claramente.
demostrar que está alineada con el contexto de la
organización y los requisitos de las principales partes Aunque la norma no exige la designación de un
interesadas, se recomienda que haga referencia o contenga representante de seguridad de la información, puede ser útil
un resumen de los principales problemas y requisitos que para algunas organizaciones nombrar a uno que dirija un
debe gestionar. También debe incluir el compromiso de: equipo de seguridad de la información para coordinar la
formación, supervisar los controles e informar sobre el
• Cumplir los requisitos aplicables en materia de seguridad de funcionamiento del SGSI a la alta dirección. Es posible que
la información, como los requisitos legales, las expectativas esta persona ya sea responsable de la protección de datos.
de los clientes y los compromisos contractuales.
Sin embargo, para desempeñar su función con eficacia, lo
• La mejora continua de su SGSI.
ideal es que forme parte del equipo de alta dirección y que
tenga sólidos conocimientos técnicos sobre gestión de la
El PSI puede hacer referencia a, o incluir sub-políticas que
seguridad de la información.
cubran, los controles clave del SGSI de la organización.
Algunos ejemplos son: la selección de proveedores críticos
para la seguridad de la información, la contratación y Evidenciar liderazgo al auditor
formación de los empleados, clear desk y clear screen,
controles criptográficos, controles de acceso, etc.
La Dirección serán aquellos que establecen la dirección
Para demostrar la importancia del PSI, es aconsejable que lo estratégica y aprueban la asignación de recursos para la
autorice el miembro de mayor rango de su Alta Dirección o organización o área de negocio con el alcance de su SGSI.
cada uno de los miembros del equipo de Alta Dirección. Dependiendo de cómo esté estructurada su organización,
estas personas pueden ser el equipo directivo diario. Un
CONSEJO: Para asegurarse de que su PSI está bien auditor normalmente pondrá a prueba el liderazgo mediante
comunicado y a disposición de las partes interesadas, una entrevista, y evaluará su nivel de implicación en el:
recomendamos:
• Evaloración de riesgos y oportunidades.
• IInclúyala en los paquetes de iniciación y en las
• Establecimiento y comunicación de políticas.
presentaciones para nuevos empleados y contratistas.
• Fijación y comunicación de objetivos.
• Publique la declaración clave en los tablones de anuncios
• Revisión y comunicación del rendimiento del sistema.
internos, las intranets y el sitio web de su organización.
• Asignación de recursos, responsabilidades y obligaciones
• Haga que su cumplimiento y/o apoyo sea un requisito adecuadas.
contractual para empleados, contratistas y proveedores
críticos para la seguridad de la información. CONSEJO: Antes de su auditoría externa, identifique quién
de la alta dirección se reunirá con el auditor externo.
Prepárelos con un simulacro de entrevista que incluya las
preguntas que espera que les hagan.

16 ISO 27001:2022 IMPLEMENTATION GUIDE


ISO 27001:2022 IMPLEMENTATION GUIDE 17
SECCIÓN 6:
PLANIFICACIÓN
La norma ISO 27001 es una herramienta de gestión de riesgos que orienta a una organización para que
identifique las causas de sus riesgos para la seguridad de la información. Como tal, el propósito de un SGSI es:

• Identificar los riesgos importantes, los obvios y los ocultos pero peligrosos.
• Garantizar que las actividades y los procesos operativos de una organización estén diseñados,
dirigidos y dotados de recursos para gestionar intrínsecamente esos riesgos.
• Responder y adaptarse automáticamente a los cambios para hacer frente a los nuevos riesgos y
reducir continuamente la exposición al riesgo de la organización.
Disponer de un plan de acción detallado que se supervise de forma alineada y se apoye en revisiones periódicas
es crucial, y proporciona al auditor la mejor prueba de que la planificación del sistema está claramente definida.

Evaluación de riesgos La norma ISO 27005 - Gestión de riesgos


La evaluación de riesgos es el núcleo de cualquier para la seguridad de la información ofrece
SGSI eficaz. Ni siquiera la organización mejor dotada orientación sobre el desarrollo de una
de recursos puede eliminar la posibilidad de que se técnica de evaluación de riesgos para su
produzca un incidente de seguridad de la organización. Sea cual sea la técnica que
información. Para todas las organizaciones, la elija, debe incluir los siguientes elementos:
evaluación de riesgos es esencial:
• Aumentar la probabilidad de identificar todos los 1 Proporcionan un impulso para la identificación
riesgos potenciales mediante la participación de sistemática de los riesgos (por ejemplo, revisando
personas que utilicen técnicas de evaluación. los activos, grupos de activos, procesos, tipos de
información) uno a uno, comprobando en cada uno
• Asignar recursos para abordar las áreas más prioritarias. la presencia de amenazas y vulnerabilidades
• Tomar decisiones estratégicas sobre cómo gestionar comunes, y registrando los controles que tiene
los riesgos que permitan alcanzar con mayor actualmente para gestionarlos.
probabilidad sus objetivos.
2 Proporcionar un marco para evaluar la
La mayoría de los marcos de evaluación de riesgos probabilidad de que se produzca cada riesgo de
consisten en una tabla que contiene los resultados de forma sistemática (por ejemplo, una vez al mes,
los elementos 1-4 con una tabla o matriz suplementaria una vez al año).
que cubre el punto 5. 3 Proporcionar un marco para evaluar las
consecuencias de que se produzca cada riesgo
Un auditor externo esperará ver un registro de su
sobre una base coherente (por ejemplo, pérdida de
evaluación de riesgos, un propietario asignado para
1.000 £, pérdida de 100.000 £).
cada riesgo identificado y los criterios que ha utilizado.

CONSEJO: El anexo A (5.9) contiene el requisito de 4 Proporcione un marco para clasificar cada
mantener una lista de los activos de información, los riesgo identificado sobre una base coherente
activos asociados a la información (por ejemplo, teniendo en cuenta su evaluación de la
edificios, archivadores, ordenadores portátiles, probabilidad y las consecuencias.
licencias) y las instalaciones de procesamiento de la
información. Si completa su evaluación de riesgos 5 Establecer criterios documentados que
evaluando sistemáticamente los riesgos que plantea especifiquen, para cada puntuación o categoría de
cada elemento de esta lista, habrá cumplido dos riesgo, el tipo de acción que debe emprenderse y
requisitos en el mismo ejercicio. el nivel o prioridad que se le asigna.

18 ISO 27001:2022 IMPLEMENTATION GUIDE


Tratamiento del riesgo Objetivos de SI y
Para cada riesgo identificado en su evaluación de riesgos,
debe aplicar criterios coherentes para determinar si debe: planificación para
• Aceptar el riesgo, o conseguirlos
• Tratar el riesgo ("Tratamiento del riesgo").
Las opciones de Tratamiento de Riesgos disponibles suelen En los niveles de su organización, debe disponer de
ser una de las siguientes: un conjunto documentado de objetivos relacionados
con la seguridad de la información. Estos objetivos
• Evitar - Dejar de realizar la actividad o de procesar la pueden ser de alto nivel y aplicarse a toda la
información expuesta al riesgo. organización o a un departamento.
• Eliminación - Eliminar la fuente del riesgo.
• Cambiar la probabilidad - Implantar un control que haga menos Cada objetivo que fijes debe ser
probable que se produzca un incidente de seguridad de info.
• Cambiar las consecuencias - Implantar un control que disminuya •Mensurable.
el impacto si se produce un incidente. •Alineado con su ISP.
• Transferir el riesgo - Externalizar la actividad o el proceso a un •Tener en cuenta los requisitos de seguridad de la
tercero que tenga mayor capacidad para gestionar el riesgo. información de la organización.
• Aceptar el riesgo - Si la organización no dispone de un •Tener en cuenta los resultados del proceso de
tratamiento práctico del riesgo, o si el coste del tratamiento del evaluación y tratamiento de riesgos.
riesgo se considera superior al coste del impacto, puede tomar la
decisión informada de aceptar el riesgo. Esta decisión deberá ser Los objetivos típicos que son relevantes
aprobada por la alta dirección. para la seguridad de la información
Un auditor externo esperará ver un Plan de Tratamiento de
incluyen:
Riesgos que detalle las acciones de tratamiento de riesgos que ha •Responder, contener y erradicar los efectos de los
implementado o planea implementar. El plan debe ser lo incidentes de seguridad de la información en un
suficientemente detallado como para permitir verificar el estado de plazo determinado, para reducir el impacto y los
ejecución de cada acción. También deberá haber pruebas de que efectos del incidente.
este plan ha sido aprobado por los responsables y la Dirección. •Lograr un nivel mensurable de cumplimiento de los
controles de seguridad de la información.
Anexo A y declaración de •Ofrecer una disponibilidad definida de servicios de
información.
aplicabilidad •No superar un número apreciable de errores de datos.
•Mejorar los recursos disponibles mediante
Todas las opciones de Tratamiento del Riesgo (excepto la
contratación, formación o adquisición.
"aceptación") implican la implantación de uno o más controles. El
•Aplicación de nuevos controles.
Anexo A de la norma ISO 27001 contiene una lista de 93 controles
•Lograr el cumplimiento de las normas relacionadas
de seguridad de la información. Tendrá que considerar si implantar
con la seguridad de la información.
e estos controles en su Plan de Tratamiento de Riesgos.
La descripción de los 93 controles es bastante vaga, por lo que Cada objetivo debe comunicarse al personal
se recomienda encarecidamente revisar la norma ISO 27002, que pertinente. Los objetivos deben actualizarse cuando
contiene más información sobre las formas de aplicarlos. sea necesario para mantener su pertinencia y evaluar
los resultados en función de ellos.
Como prueba de la realización de esta evaluación, se le pedirá que
elabore un documento denominado Declaración de Aplicabilidad Para cada uno de los objetivos debe
(SoA). En él, deberá registrar cada uno de los 93 controles: planificar cómo va a alcanzarlos. Esto
• Si es aplicable a sus actividades, procesos y riesgos de incluye determinar:
seguridad de la información..
• Tanto si lo ha aplicado como si no. •Lo que hay que conseguir.
• JJustificación de la inclusión o exclusión del control. •Qué recursos se asignan.
•Quién es el propietario o el principal
Para la mayoría de las organizaciones, la mayoría de los 93 responsable de la consecución del objetivo.
controles serán aplicables, y es probable que ya hayan implantado •Tanto si hay una fecha límite para la finalización
varios de ellos en cierta medida. como si se trata de un requisito continuo.
CONSEJO: Su Declaración de Aplicabilidad (DdA) no tiene por qué •El método de evaluación de los resultados con
ser un documento complejo. Bastará con una simple tabla con los respecto al objetivo (es decir, cuál es su medida).
siguientes encabezados de columna: •Registro de los resultados.

• Control - ¿Aplicable? - ¿Implementado? - Justificación SUGERENCIA: Entre las formas eficaces de


También es aconsejable registrar alguna información sobre cómo comunicar los objetivos de seguridad de la
se ha aplicado el control para ayudarle a responder más fácilmente información se encuentran incluirlos en la formación
a cualquier pregunta de su auditor externo. inicial, fijarlos como objetivos de los empleados o
incluirlos en las evaluaciones de los empleados,
CONSEJO: Aunque no es obligatorio, puede que desee incluir establecerlos en los acuerdos de nivel de servicio
atributos en su evaluación de riesgos y/o SoA. Estos atributos con los proveedores.
pueden ayudarle a registrar y recuperar información empresarial
para tomar decisiones basadas en el riesgo.

ISO 27001:2022 IMPLEMENTATION GUIDE 19


ISO 27001
Guía del Anexo A
ISO 27001:2022 es la norma internacional que describe las mejores prácticas para un Sistema de
Gestión de la Seguridad de la Información (SGSI). Si está familiarizado con nuestra anterior guía de
implantación, ya habrá examinado las cláusulas contenidas en la norma. También habrá aprendido que
esta norma sigue un enfoque basado en el riesgo a la hora de considerar la seguridad de la información
de una organización. Esto requiere la identificación de los riesgos de seguridad y, a continuación, la
selección de los controles adecuados para reducir, eliminar o gestionar dichos riesgos.

En el Anexo A de la norma figuran los controles necesarios para cumplir esos requisitos de riesgo. En total, hay
93 controles subdivididos en cuatro grupos de control diferentes. Al considerar estos controles, es importante
tener en cuenta que se trata simplemente de posibilidades u opciones.
Al llevar a cabo el proceso de riesgos, el riesgo identificado debe contar con los controles adecuados que se
hayan seleccionado de la lista del Anexo A. No se pueden aplicar todos los controles. Por ejemplo, si su
organización no dispone de locales y opera a distancia, no sería adecuado utilizar algunos controles del
ámbito de la seguridad física.
Del mismo modo, el paso a soluciones basadas en la nube exige una nueva mirada a los controles existentes
en los ámbitos de la seguridad de las operaciones y las comunicaciones.

Categorías de controles

CONTROLES CONTROL DE CONTROLES CONTROLES


ORGANIZATIVOS PERSONAS FÍSICOS TECNOLÓGICOS

20 ISO 27001:2022 IMPLEMENTATION GUIDE


Otras consideraciones
Esta información se incluirá en un registro de
Antes de la auditoría de certificación, una
riesgos y podrá conservarse como
organización debe haber elaborado una
documentación. La metodología variará de una
Declaración de Aplicabilidad (SoA).
organización a otra, aunque la demostración de
Este requisito se describe en la cláusula 6 de la que los controles del Anexo A están implantados
norma ISO 27001. El SoA debe contener al menos es una necesidad constante.
93 entradas con cada una de las Categorías y Las disposiciones de seguridad de la norma no
Controles enumerados. Una vez hecho esto, cada son algo a lo que deba atenerse únicamente el
control debe ser seleccionado y justificado o equipo informático o de seguridad de una
excluido con una justificación similar. Todos los organización. La norma exige que se tengan en
documentos de SoA deben poder demostrar que cuenta todos los aspectos de la organización a la
se ha tenido en cuenta cada control. Esto significa hora de examinar los riesgos y su tratamiento.
que una SoA debe contener todas las entradas
señaladas. No basta con enumerar los controles Las personas mejor situadas para poner remedio
seleccionados. Los controles seleccionados a los problemas no siempre se encuentran en el
formarán parte de las pruebas del tratamiento del Departamento de TI. La ubicación exacta del
riesgo y deberán registrarse. tratamiento de riesgos variará de una
organización a otra. La propiedad del riesgo es
vital para garantizar que los controles están
sujetos a revisión.

Por último
Los controles del Anexo A son sólo algunas de las opciones de que dispone una organización. Se pueden
utilizar controles de seguridad adicionales no descritos específicamente en el Anexo A para dar tratamiento a
un riesgo identificado. Siempre que las cláusulas y los controles de la norma se aborden de forma adecuada,
el SGSI funcionará y proporcionará buenos niveles de seguridad de la información.

ISO 27001:2022 IMPLEMENTATION GUIDE 21


SECCIÓN 7:
SOPORTE
La cláusula 7 se refiere a los recursos. Se refiere tanto a las personas, la infraestructura y
el entorno como a los recursos físicos, materiales, herramientas, etc. También se presta
una atención renovada al conocimiento como recurso importante dentro de su
organización. A la hora de planificar sus objetivos de calidad, una consideración
importante será la capacidad actual de sus recursos, así como los que pueda necesitar de
proveedores o socios externos.

Concienciación
Para implantar y mantener un SGSI
Además de garantizar la competencia específica del personal
eficaz es necesario disponer de en relación con la seguridad de la información, el grupo más
recursos de apoyo. Estos recursos amplio de empleados, proveedores y contratistas deberá
conocer los elementos básicos de su SGSI. Esto es
deberán ser: fundamental para establecer una cultura de apoyo dentro de
la organización. Todo el personal, proveedores y contratistas
• Capaces - Si son equipos o
deben ser conscientes de lo siguiente
infraestructuras.
• Competentes - Si son personas. • Que tiene un SGSI y por qué lo tiene.
• Incluidos en las reuniones de • Que tiene una Política de Seguridad de la Información y
revisión de la gestión. qué elementos de la política son relevantes para ellos.
• Cómo pueden contribuir a proteger información valiosa y
qué deben hacer para ayudar a la organización a alcanzar
sus objetivos.
Competencia • Qué políticas, procedimientos y controles les afectan y qué
consecuencias tiene su incumplimiento.
La aplicación de controles eficaces de seguridad de la
información depende en gran medida de los conocimientos CONSEJO: La comunicación de esta información puede
y competencias de sus empleados, proveedores y realizarse normalmente a través de los procesos y
contratistas. Para tener la certeza de contar con una base documentos existentes, como las inducciones, los contratos
adecuada de conocimientos y competencias, es necesario: de trabajo, las charlas, los acuerdos con proveedores...

• Definir qué conocimientos y competencias se requieren.


• Determinar quién debe poseer los conocimientos y
Comunicación
competencias necesarios. Para que los procesos de su SGSI funcionen eficazmente,
• Establecer cómo puede evaluar o verificar que las deberá asegurarse de que las actividades de comunicación
personas adecuadas tienen los conocimientos y las están bien planificadas y gestionadas. La norma ISO 27001
competencias adecuadas. las detalla de forma concisa al exigirle que las determine:

• Lo que hay que comunicar.


Su auditor esperará que disponga de documentos que • Cuando hay que comunicarlo.
detallen sus requisitos en materia de conocimientos y • A quién hay que incluir en las comunicaciones.
competencias. Cuando considere que se cumplen los • Cuáles son los procesos de comunicación.
requisitos, deberá demostrarlo con documentos como
certificados de formación, registros de asistencia a cursos o CONSEJO: Si sus requisitos de comunicación están bien
evaluaciones internas de competencias. definidos en sus procesos, políticas y procedimientos,
entonces no necesita hacer nada más para satisfacer este
CONSEJO: La mayoría de las organizaciones que ya utilizan requisito. Si no son suficientes, entonces debería considerar
herramientas como matrices de formación/habilidades, documentar sus actividades clave de comunicación en forma
valoraciones o evaluaciones de proveedores pueden de tabla o procedimiento que incluya los epígrafes detallados
satisfacer el requisito de registros de competencias ampliando anteriormente.
las áreas cubiertas para incluir la seguridad de la información. Recuerde que también hay que comunicar el contenido de
estos documentos.

22 ISO 27001:2022 IMPLEMENTATION GUIDE


Información documentada
Para que sea útil, la información documentada que La fuente de la información documentada puede ser interna o
utilice para implantar y mantener su SGSI debe serlo: externa, por lo que los procesos de control deben gestionar la
información documentada de ambas fuentes.
• Exacto.
• Comprensible para las personas que lo utilizan. CONSEJO: Las organizaciones que tienen un buen control
• Apoyo para cumplir los requisitos legales, gestionar de los documentos suelen contar con uno o varios de los
los riesgos de seguridad de la información y alcanzar siguientes elementos:
sus objetivos.
• Una sola persona o un pequeño equipo responsable de
Para que su información documentada satisfaga siempre garantizar que los documentos nuevos/modificados se
estos requisitos, deberá disponer de procesos que revisan antes de su publicación, se almacenan en el lugar
garanticen que: adecuado, se retiran de la circulación cuando son
• La información documentada es revisada, en su caso, sustituidos y que se mantiene un registro de cambios.
por las personas adecuadas antes de su difusión • Un sistema de gestión electrónica de documentos que
general. contiene flujos de trabajo y controles automáticos.
• Sólidos procesos de copia de seguridad de datos
• El acceso a la información documentada se controla electrónicos y de archivo/almacenamiento de archivos en
para que no pueda modificarse accidentalmente, papel.
corromperse, borrarse o ser consultada por externos.
• Gran conocimiento por parte de los empleados de los
• La información se elimina de forma segura o se devuelve a requisitos de control de documentos, mantenimiento de
su propietario cuando es necesario. registros y acceso/conservación de la información.
• Puede realizar un seguimiento de los cambios en la
información para garantizar el control del proceso.

ISO 27001:2022 IMPLEMENTATION GUIDE 23


SECCIÓN 8: ACT
PLAN

DO

OPERACIÓN CHECK

Así que, después de toda la planificación y evaluación de riesgos, estamos listos para
pasar a la fase de "hacer". La cláusula 8 trata de tener un control adecuado sobre la
creación y entrega de su producto o servicio.

La gestión de los riesgos para la seguridad de la información


y la consecución de sus objetivos requieren la formalización
Evaluación de riesgos para la
de sus actividades en un conjunto de procesos claros.
seguridad de la información
Es probable que muchos de estos procesos ya existan (por Los métodos y técnicas de evaluación de riesgos descritos
ejemplo, la iniciación y la formación) y que simplemente haya en la cláusula 6 deben aplicarse a todos los procesos,
que modificarlos para incluir elementos relevantes para la activos, información y actividades dentro del alcance del
seguridad de la información. Otros procesos pueden tener SGSI de la organización.
lugar de manera ad hoc (por ejemplo, aprobación de Dado que los riesgos no son estáticos, los resultados de estas
proveedores), mientras que algunos pueden no existir en evaluaciones deben revisarse frecuentemente, al menos una
absoluto (por ejemplo, auditoría interna). vez al año, o con mayor frecuencia si la evaluación identifica la
Para aplicar procesos eficaces son cruciales presencia de uno o más riesgos significativos. Los riesgos
las siguientes prácticas: también deben revisarse siempre que:
• Se completan todas las acciones de Tratamiento de Riesgos
1 Los procesos se crean adaptando o formalizando las (véase más abajo).
actividades habituales de una organización.
• Se producen cambios en los activos, la información o los
procesos de la organización.
2 Identificación sistemática de los riesgos de seguridad de
• Se identifican nuevos riesgos.
la información pertinentes para cada proceso.
• La experiencia o nueva información indican que la
3 Definición y comunicación claras del conjunto de probabilidad y las consecuencias de cualquier riesgo
actividades necesarias para gestionar los riesgos asociados identificado han cambiado.
a la seguridad de la información cuando se produce un CONSEJO: Para asegurarse de que su proceso de
evento (por ejemplo, la incorporación de un nuevo empleado evaluación de riesgos cubre los tipos de eventos que
a la empresa). requerirían una revisión, también debe tener en cuenta los
4 Asignación clara de las responsabilidades para llevar a controles del Anexo A.
cabo las actividades relacionadas.

5 Asignación adecuada de recursos para garantizar que las Tratamiento de los riesgos
actividades relacionadas puedan llevarse a cabo como y
cuando sea necesario.
para la seguridad de la
6 Evaluación rutinaria de la coherencia con la que se sigue información
cada proceso y su eficacia en la gestión de los riesgos
pertinentes para la seguridad de la información. El plan de tratamiento de riesgos que elabore no puede
quedarse simplemente en una declaración de intenciones:
CONSEJO: Para cada proceso, designe a una persona debe aplicarse. Cuando sea necesario introducir cambios
responsable de garantizar que se lleven a cabo los pasos 2 a para tener en cuenta nueva información sobre riesgos y
6. Esta persona suele denominarse propietario del proceso. A cambios en los criterios de evaluación de riesgos, el plan
esta persona se la suele denominar propietario del proceso. debe actualizarse y volver a autorizarse.
También se debe evaluar el impacto del plan y registrar los
resultados de esta evaluación. Esto puede hacerse como
parte de la revisión de la gestión o de los procesos de
auditoría interna, o utilizando evaluaciones técnicas como
pruebas de penetración en la red, auditorías de proveedores
o auditorías de terceros sin previo aviso.

24 ISO 27001:2022 IMPLEMENTATION GUIDE


SECCIÓN 9:
EVALUACIÓN DEL
DESEMPEÑO
Auditorías internas
Existen tres formas principales de El objetivo de las auditorías internas es comprobar los
evaluar el rendimiento de un SGSI. puntos débiles de los procesos del SGSI e identificar
Éstas son: oportunidades de mejora. También son una oportunidad
para que la alta dirección compruebe la eficacia del SGSI. Si
• Supervisar la eficacia de los controles del
se hacen bien, las auditorías internas pueden garantizar que
SGSI.
no haya sorpresas en las auditorías externas.
• Mediante auditorías internas.
• Reuniones de revisión por la dirección. Las auditorías internas que realice deben comprobar

• La coherencia con que se siguen y aplican los procesos,


procedimientos y controles.
Seguimiento, medición, • Hasta qué punto sus procesos, procedimientos y
controles generan los resultados previstos.
análisis y evaluación • Si su SGSI sigue cumpliendo la norma ISO 27001 y los
requisitos de las partes interesadas.
Su organización tendrá que decidir qué necesita supervisar
para asegurarse de que el proceso del SGSI y los controles Para garantizar que las auditorías se llevan a cabo con un
de seguridad de la información funcionan según lo previsto. calidad y de forma que aporten valor añadido, es
No es práctico para una organización supervisar necesario que las realicen personas que sean:
manualmente todo en todo momento. Si intentara hacerlo, es
• Respetadas.
probable que el volumen de datos fuera tan grande que
• Competentes.
resultara prácticamente imposible utilizarlo con eficacia. Por
• Familiarizadas con los requisitos de la norma ISO 27001.
lo tanto, tendrá que tomar una decisión informada sobre qué
• Capaces de interpretar su documentación y conocedores
supervisar. Las siguientes consideraciones serán importantes:
de técnicas y comportamientos de auditoría sólidos.
• ¿Qué procesos y actividades están sujetos a las
Lo más importante es que se les asigne tiempo suficiente
amenazas más frecuentes y significativas?
para completar la auditoría y se les garantice la
• ¿Qué procesos y actividades presentan las vulnerabilidades
cooperación de los empleados pertinentes. Debe
inherentes más importantes?
mantener un plan para llevar a cabo sus auditorías
• ¿Qué resulta práctico controlar y generar información
internas. Un auditor externo esperará que este plan
significativa y oportuna?
garantice que todos los procesos de su SGSI se auditan
• ¿Está automatizando su supervisión?
en un ciclo de tres años y que cuentan con procesos que:
• Con cada proceso de supervisión que ponga en marcha,
para que sea eficaz debe definirlo claramente: • Mostrar pruebas de un rendimiento deficiente (por
- Cómo se lleva a cabo el seguimiento ejemplo, a través de auditorías previas, o resultados de
- Cuando se emprende. supervisión o incidentes de seguridad de la información).
- Quién es responsable de llevarla a cabo.
- Cómo se comunican los resultados, cuándo, a quién y • Gestionar los riesgos más importantes para la seguridad
qué hacen con ellos. de la información.
- Si los resultados de la supervisión identifican un • Se auditan con mayor frecuencia.
rendimiento inaceptable, ¿cuál es el proceso o
procedimiento de escalada para hacer frente a esta El auditor externo también esperará que las acciones
situación? identificadas en las auditorías se registren, sean revisadas
por los empleados adecuados y se apliquen a tiempo para
Para demostrar a un auditor que dispone de un proceso de rectificar cualquier problema significativo. En el plazo de
supervisión adecuado, deberá conservar registros de los cierre de las auditorías, los auditores deben tener en cuenta
resultados de la supervisión, los análisis, las revisiones de las oportunidades de mejora identificadas que requieran una
evaluación y cualquier actividad de escalado. inversión significativa de recursos.

26 ISO 27001:2022 IMPLEMENTATION GUIDE


Revisión por la dirección
cLa revisión por la dirección es un elemento esencial de un Deberá conservar información documentada sobre sus
SGSI. Es el punto formal en el que la Alta Dirección revisa la revisiones de gestión. Normalmente se trata de las actas de
eficacia del SGSI y asegura su alineación con la dirección las reuniones o, tal vez, de las grabaciones de las
estratégica de la organización. Las revisiones por la conferencias telefónicas. No es necesario que sean notas
dirección deben tener lugar a intervalos planificados y el extensas, pero deben contener un registro de las decisiones
programa general de revisión (es decir, una reunión o varias tomadas y las acciones acordadas, idealmente con
reuniones) debe cubrir como mínimo una lista de áreas responsabilidades y plazos.
básicas especificadas en la cláusula 9.3 de la norma.
CONSEJO: Si decide adaptar su programa actual de
No es imprescindible que se celebre una única reunión de reuniones de gestión y estas reuniones cubren varias áreas,
revisión de la gestión que abarque todo el orden del día. puede considerar la posibilidad de resumir las áreas que
cubren estas reuniones en forma de tabla o procedimiento, de
Si actualmente celebra una serie de reuniones que cubren modo que tanto usted como un auditor tengan claro qué
las aportaciones entre ellas, no hay necesidad específica de reuniones cubren cada una de las áreas de revisión
duplicarlas. requeridas.

ISO 27001:2022 IMPLEMENTATION GUIDE 27


SECCIÓN 10: ACT
PLAN

DO

MEJORA CHECK

El objetivo clave de la implantación de un SGSI debe ser reducir la probabilidad de


que se produzcan sucesos relacionados con la seguridad de la información y su
impacto. Ningún SGSI será perfecto. Sin embargo, un SGSI eficaz mejorará con el
tiempo y aumentará la resistencia de la organización a los ataques contra la seguridad
de la información.

No conformidad y acción
correctiva Análisis de las causas
Uno de los principales motores de la mejora es aprender de Para identificar medidas correctivas eficaces, es muy
los incidentes de seguridad, los problemas detectados en aconsejable realizar un análisis de la causa raíz del
las auditorías, los problemas de rendimiento detectados en problema. Si no se llega al fondo de la cuestión, es
la supervisión, las quejas de las partes interesadas y las probable que cualquier solución que se aplique no
ideas generadas en las revisiones de la gestión. sea del todo eficaz. Un planteamiento sencillo, como
Para cada oportunidad de aprendizaje identificada debe el de los "cinco porqués", es una buena herramienta
mantener un registro de: de análisis de las causas profundas: se empieza por
el problema y luego se pregunta "por qué" suficientes
• Qué ocurrió. veces para llegar a la causa profunda. Suele bastar
• Si el suceso tuvo consecuencias indeseables, qué medidas con preguntar 5 veces, pero se puede profundizar.
se adoptaron para contenerlas y mitigarlas.
• La causa raíz del suceso (si se determina). Ejemplo:
• Las medidas adoptadas para eliminar la causa raíz.
• Una evaluación de la eficacia de las medidas adoptadas. Planteamiento del problema:
• Un análisis de tendencias de resultados similares puede La organización fue infectada por el virus
ayudar a su empresa, pero no es un requisito. Wannacry.

¿Por qué?
Alguien hizo clic en un enlace de correo
electrónico, se descargó el virus e infectó su PC.

¿Por qué?
No habían recibido ninguna formación para hacer
clic en enlaces de correos electrónicos no deseados.

¿Por qué?
El responsable de formación está de baja por
maternidad y la organización no ha implementado
una cobertura para ellos.

¿Por qué?
El proceso de baja por maternidad no está
contemplado en el Procedimiento de Gestión de
Cambios, por lo que no se completó una evaluación
de riesgos para identificar cualquier riesgo para la
seguridad de la información.

CONSEJO: Puede que no disponga de recursos


suficientes para realizar un análisis de causa raíz de
cada suceso. Para priorizar sus esfuerzos, considere la
posibilidad de realizar en primer lugar una evaluación
sencilla del riesgo de un suceso y, a continuación,
emprender el análisis de la causa raíz solo para
aquellos que presenten un riesgo medio o alto.

28 ISO 27001:2022 IMPLEMENTATION GUIDE


ISO 27001:2022 IMPLEMENTATION GUIDE 29
SAQUE EL MÁXIMO
PARTIDO A SUS
SISTEMAS DE
GESTIÓN
Consejos para implantar con éxito un SGSI

1. "¿Por qué? Asegúrese de que las 6. Los procesos y la documentación de


razones para implantar un SGSI son apoyo deben ser sencillos. Puede
claras y están alineadas con su dirección ampliarse con el tiempo si es
estratégica; de lo contrario, puede no necesario.
obtener la aceptación de la dirección.
7. Diseñar y aplicar normas
2. Considere "¿Para qué?" Implantar y en la práctica. No cometa el
mantener un SGSI requiere un el error de documentar una norma
compromiso importante, así que demasiado elaborada que nadie pueda
asegúrate de que su alcance es lo cumplir. Es mejor aceptar un riesgo y
suficientemente amplio como para seguir buscando formas de gestionarlo.
cubrir la información crítica que hay que
proteger, pero no tan amplio como para 8. Recuerde a sus proveedores. Algunos
no disponer de recursos suficientes. proveedores le ayudarán a mejorar su
SGSI, otros aumentarán su riesgo. Debe
3. Consiga que todas las partes asegurarse de que los proveedores de
interesadas participen. La dirección para alto riesgo tengan controles al menos
establecer el contexto, los requisitos, la tan buenos como los suyos. Si no es
política y los objetivos; los directivos y así, busque alternativas.
empleados para la evaluación de
riesgos, el diseño de procesos y la 9. Formar, formar y volver a formar. Es
redacción de procedimientos. probable que la seguridad de la
información sea un concepto nuevo
4. Comunique ampliamente todo el para la mayoría de sus empleados. Es
proceso a todas las partes interesadas. posible que tengan que cambiar hábitos
Hágales saber lo que está haciendo, arraigados durante muchos años. Es
por qué lo está haciendo, cómo piensa poco probable que baste con una sola
hacerlo y cuál será su participación. sesión de concienciación.
Actualice periódicamente los avances.
10. No olvide asignar recursos suficientes
5. Busca ayuda externa. No fracase por para probar sus controles de forma
falta de conocimientos técnicos rutinaria. Las amenazas a las que se
internos. La gestión de los riesgos de enfrenta su organización cambian
seguridad de la información requiere a constantemente y debe comprobar si es
menudo conocimientos especializados. capaz de responder a ellas.
Sin embargo, asegúrese de comprobar
las credenciales de un tercero antes de
contratarlo.

30 ISO 27001:2022 IMPLEMENTATION GUIDE


PASOS TRAS LA
IMPLEMENTACIÓN
FORMACIÓN DE SENSIBILIZACIÓN AUDITORÍA INTERNA
• Su organización debe dar a conocer las • Es esencial que la organización cuente con un sólido
distintas normas que abarca el SGI. sistema de auditoría interna. Se recomienda la
formación de auditores internos y NQA puede
1 • Debe celebrar reuniones de formación separadas
para la alta dirección, los mandos intermedios y los
directivos de nivel inferior, lo que contribuirá a
6 proporcionar formación de auditores internos para
la(s) norma(s) que esté aplicando.
crear un entorno motivador, listo para la aplicación. • Es importante aplicar medidas correctoras para
mejorar cada uno de los documentos auditados, a fin
de colmar las lagunas y garantizar la eficacia del
SGI..

POLÍTICA Y OBJETIVOS ORGANIZAR UNA REUNIÓN DE


REVISIÓN DEL "SISTEMA" DE GESTIÓN
• su organización debe desarrollar una Política
Integrada de Calidad/Política Medioambiental/ • TLa dirección de primer nivel debe revisar varios
Política de Salud y Seguridad/Política de aspectos oficiales de la organización que son

2 Seguridad de la Información y los objetivos


pertinentes para ayudar a cumplir los requisitos. 7 relevantes para las normas que se están
implantando.
• Revisar la política, objetivos, resultados de la
• En colaboración con la alta dirección, la empresa auditoría interna, del rendimiento de los procesos, de
debe organizar talleres con todos los niveles del las quejas/recomendaciones/cumplimiento legal, de
personal directivo para perfilar los objetivos la evaluación de riesgos/incidentes y desarrollar un
integrados. plan de acción tras la reunión, con acta.

ANÁLISIS INTERNO DE DEFICIENCIAS ANÁLISIS EXHAUSTIVO DE LAS


DEFICIENCIAS DE LOS SISTEMAS
• su organización debe identificar y comparar el APLICADOS
nivel de cumplimiento de los sistemas existentes
con los requisitos de las normas de su nuevo SGI. • Debe realizarse un análisis formal de las deficiencias

3 • Todo el personal pertinente debe comprender las


operaciones de la organización y elaborar un mapa
8 previo a la certificación para evaluar la eficacia y el
cumplimiento de la implantación del sistema en la
organización.
de procesos para las actividades de la empresa.
• Este análisis final de deficiencias preparará a su
organización para la auditoría final de certificación.

DOCUMENTACIÓN / DISEÑO DE PROCESOS ACCIONES CORRECTIVAS


• La organización debe crear documentación de • La organización debe estar preparada para la
los procesos conforme a los requisitos de las auditoría de certificación final, siempre que la
normas pertinentes. auditoría de análisis de deficiencias realizada en
4 • debe redactar y aplicar un manual, un cuaderno de
procedimientos funcionales, instrucciones de
9 el último paso y todas las no conformidades (NC)
se hayan asignado acciones correctivas.
trabajo, procedimientos de sistema y proporcionar • Comprobar que todas las NC significativas están
los términos asociados. cerradas y que la organización está preparada para
la auditoría final de certificación.

DOCUMENTACIÓN / AUDITORÍA FINAL DE CERTIFICACIÓN


APLICACIÓN DE PROCESOS
• Una vez completado, es de esperar que se
• Los procesos y documentos elaborados en el paso recomiende a su organización que se registre
4 deben aplicarse en toda la organización y abarcar según la norma exigida.
5 todos los departamentos y actividades. 10 • ¡ENHORABUENA!
• La organización debe organizar un taller sobre la
aplicación de los requisitos de la norma ISO.

ISO 27001:2022 IMPLEMENTATION GUIDE 31


www.nqa.com

También podría gustarte