ISO 27001: Sistema de Gestión de Seguridad de la Información
La organización planifica su SGSI de manera integral: identifica y evalúa de forma sistemática los riesgos y oportunidades que pueden afectar la seguridad de la información, define objetivos SMART alineados con la política y establece planes detallados con recursos, responsables y plazos para alcanzarlos. Todo cambio relevante se gestiona mediante un proceso formal que garantiza la continuidad y eficacia del SGSI, manteniendo los riesgos residuales dentro de niveles aceptables y aprovechando las oportunidades para fortalecer continuamente la protección de la información.
La organización gestiona de forma proactiva los riesgos y oportunidades que pueden afectar la confidencialidad, integridad y disponibilidad de la información, asegurando que el SGSI se mantenga eficaz y mejore continuamente.
Se aplican metodologías sistemáticas para identificar, analizar y evaluar riesgos y oportunidades vinculados al SGSI.
Se elabora y mantiene un Plan de Tratamiento de Riesgos con responsables, plazos y recursos asignados.
Se revisan y actualizan los criterios de aceptación de riesgos en función de cambios en el contexto, la tecnología o los requisitos legales.
Se documentan las decisiones de tratamiento, asegurando la trazabilidad desde la evaluación hasta la verificación de eficacia.
La organización aplica un proceso sistemático, consistente y repetible para identificar, analizar y evaluar los riesgos que puedan afectar la confidencialidad, integridad y disponibilidad de la información, garantizando decisiones basadas en evidencia y la priorización correcta de los controles.
Se utiliza una metodología aprobada que combina probabilidad e impacto para la valoración de cada riesgo.
Se ejecutan evaluaciones iniciales y reevaluaciones programadas o cuando ocurren cambios significativos en el contexto o en los activos.
Se asignan responsables por área para aportar datos y validar resultados, asegurando la participación de todas las partes relevantes.
Se generan reportes consolidados que sirven de base para el Plan de Tratamiento y la toma de decisiones estratégicas.
La organización selecciona, implementa y supervisa controles apropiados para reducir los riesgos de seguridad de la información a niveles aceptables, asegurando que cada decisión de tratamiento esté alineada con los objetivos estratégicos y el apetito de riesgo aprobado por la dirección.
Se elabora y mantiene un Plan de Tratamiento de Riesgos con acciones, responsables, plazos y recursos definidos.
Se seleccionan controles del Anexo A y/o controles propios, justificando su pertinencia y eficacia frente a cada riesgo identificado.
La alta dirección aprueba los riesgos residuales y los recursos necesarios para la ejecución del plan.
Se implementan los controles asignados y se documenta su puesta en marcha mediante registros de verificación.
La organización establece, mantiene y monitorea objetivos de seguridad de la información alineados con la política, los requisitos aplicables y los resultados de la evaluación de riesgos, garantizando que sean medibles, comunicados y respaldados por planes de acción concretos.
Se definen objetivos SMART (específicos, medibles, alcanzables, relevantes y con plazos) derivados de la política y de los resultados de la evaluación de riesgos.
Se elaboran planes de acción detallados que asignan responsables, recursos y fechas objetivo para cada meta.
Se integran los objetivos en los procesos operativos mediante el Plan de Control Operacional y se supervisa su avance con indicadores clave de desempeño (KPI).
Se revisan periódicamente los objetivos y sus indicadores en reuniones de seguimiento y en la Revisión por la Dirección, ajustándolos según cambios en el contexto o en los riesgos.
La organización gestiona todos los cambios que puedan impactar la seguridad de la información mediante un proceso estructurado que evalúa riesgos, asigna responsabilidades y verifica la efectividad antes, durante y después de la implementación.
Se aplica un proceso formal de gestión de cambios que cubre la solicitud, evaluación, aprobación, implementación y revisión de cada cambio.
Cada cambio propuesto es sometido a análisis de impacto y riesgos para asegurar que no comprometa la confidencialidad, integridad ni disponibilidad de la información.
La alta dirección o el Comité de Seguridad aprueba los cambios críticos y define los recursos necesarios.
Se asignan responsables y se establecen plazos y criterios de aceptación antes de ejecutar el cambio.
La planificación es fundamental para el éxito del SGSI. La organización garantiza que todos los riesgos y oportunidades sean identificados, evaluados y tratados de manera sistemática, que los objetivos estén claramente definidos y alineados con la estrategia, y que los cambios se gestionen de forma controlada para mantener la eficacia del sistema.
Mediante la aplicación de metodologías sistemáticas para la gestión de riesgos, definición de objetivos SMART, elaboración de planes de acción detallados y establecimiento de un proceso formal de gestión de cambios.
La Alta Dirección es responsable de la planificación estratégica del SGSI, con el apoyo del Responsable del SGSI en la coordinación de las actividades de gestión de riesgos, establecimiento de objetivos y gestión de cambios.