Los requisitos básicos de las Cláusulas 4-10

El documento oficial de estándares ISO/IEC 27001:2022 se divide en varias secciones, llamadas cláusulas, y apéndices llamados anexos. Las que necesita conocer son las cláusulas 4-10 y el Anexo A.

Las Cláusulas 4-10 enumeran todos los requisitos que un sistema de gestión de seguridad de la información (ISMS) debe cumplir antes de poder ser certificado por ISO 27001. El Anexo A enumera 114 controles de seguridad que una organización puede implementar para cumplir con esos requisitos.

En este artículo, revisaremos las cláusulas. Para obtener detalles sobre los controles de seguridad del Anexo A, consulte nuestro artículo sobre controles ISO 27001.

Cláusula 4: Contexto de la organización

El ISMS debe documentar lo que se supone que debe hacer.

¿Por qué su empresa tiene activos de información bajo su cuidado en primer lugar, y para qué los utiliza?

El auditor solo puede hacer una evaluación precisa de la efectividad de su ISMS una vez que comprenda sus objetivos. Una empresa que gestiona nombres de clientes en un registro de invitados necesita un ISMS muy diferente al de una firma que recopila números de seguridad social para servicios fiscales.

Para cumplir con los requisitos de la Cláusula 4, documente lo que hace su organización, lo que los clientes necesitan de usted y el alcance de su ISMS.

Cláusula 5: Liderazgo

Para que un ISMS sea efectivo, debe contar con el apoyo total de la alta dirección.

Los auditores de ISO 27001 necesitan saber que los líderes séniores se sienten responsables del éxito del ISMS. También es vital que se sientan comprometidos con él y no crean que sus roles ejecutivos los sitúan por encima de las políticas del ISMS.

Si los gerentes séniores no están directamente involucrados, se deben asignar líderes dedicados para monitorear, probar y mejorar los procesos de seguridad de la información. No puede haber dudas sobre quién es responsable de cada aspecto del ISMS.

Cláusula 6: Planificación

La Cláusula 6 trata sobre la gestión de riesgos. La documentación debe mostrar:

• Cómo identifica y analiza cada riesgo de seguridad de la información
• Su proceso para elegir cómo responder a cada riesgo
• Cómo se ve la evitación, la tolerancia y la mitigación del riesgo para su equipo

La Cláusula 6 también trata sobre oportunidades. Además de mitigar riesgos, uno de los requisitos de ISO 27001 es que debe nombrar objetivos para su ISMS y hacer planes para lograrlos. Para cumplir con los requisitos de la Cláusula 6, debe poder definir el éxito para su ISMS.

Cláusula 7: Soporte

Alcanzar el nivel de sofisticación que ISO 27001 requiere de un ISMS demanda mucho apoyo. La Cláusula 7 implica la creación de un plan para garantizar que los recursos de apoyo siempre estén disponibles.

El principal entre esos recursos es la experiencia humana. Cada vez que su organización trabaje con datos de clientes, debe haber alguien que entienda cómo funciona el ISMS en el contexto apropiado.

La Cláusula 7 también detalla uno de los requisitos cruciales de ISO 27001: un sistema de comunicación. Las personas responsables de la seguridad de la información deben tener canales dedicados y siempre abiertos para discutir la implementación y mejora de las políticas del ISMS.

Cláusula 8: Operaciones

La Cláusula 6 trata sobre la evaluación y el análisis de riesgos. La Cláusula 8 se basa en esos requisitos para discutir cómo se implementan las evaluaciones de riesgos.

Para cumplir con los requisitos de la Cláusula 8, construya sobre su trabajo de las Cláusulas 6 y 7. La documentación de la Cláusula 8 reúne los elementos expuestos en las Cláusulas 6 y 7 en un plan coherente de principio a fin.

Cláusula 9: Evaluaciones de rendimiento

Las dos últimas cláusulas, la 9 y la 10, son un conjunto a juego. Requieren que documentes cómo planeas mejorar continuamente el SGSI de tu organización.

La Cláusula 9 trata sobre el monitoreo. Para empezar, necesitarás documentar cómo mides la efectividad de tu SGSI y cómo saber si estás obteniendo resultados confiables. Procesos como las pruebas de penetración suelen aparecer aquí.

También necesitarás un plan para realizar auditorías internas para asegurarte de que sigues cumpliendo con la norma ISO 27001 después de que se complete tu auditoría de certificación.

Cláusula 10: Mejora continua

La Cláusula 10 trata sobre el control de daños. ¿Cómo reaccionas si detectas una no conformidad en tu SGSI (definida como cualquier incumplimiento de las políticas establecidas del SGSI)?

Una no conformidad podría ser el resultado de un simple error humano. También podría provenir de un atacante hostil que intenta robar datos de tu sistema. Para enfrentar eficazmente los riesgos, necesitas un plan consistente para lidiar con una aberración.

Una vez que hayas resuelto un problema, ¿cómo refuerzas el sistema para que no vuelva a ocurrir? Un SGSI certificable debe estar en un estado constante de crecimiento y mejora.

ISO 27001:2002: Actualizaciones del Anexo A

Una actualización de la norma ISO 27001 se publicó oficialmente en octubre de 2022, titulada ISO/IEC 27001:2022 Seguridad de la Información, Ciberseguridad y Protección de la Privacidad. Las actualizaciones en las Cláusulas del SGSI 4-10 incluyen cambios menores de redacción y estructurales.

Por ejemplo, los cambios en la Cláusula 6: Planificación eliminan la ambigüedad y el lenguaje obsoleto (es decir, objetivos de control).

En términos de cambios estructurales, la Cláusula 9.2: Auditoría interna se dividió en 9.2.1: Generalidades y 9.2.2: Programa de auditoría interna. Sin embargo, los requisitos siguen siendo los mismos.

De manera similar, la Cláusula 9.3: Revisión por la dirección se dividió en tres subsecciones: 9.3.1: Generalidades, 9.3.2: Entradas de la revisión por la dirección y 9.3.3: Resultados de la revisión por la dirección. La versión de 2022 también introduce una nueva Cláusula 6.3: Planificación de cambios.