Categories: ISO 27001

by drmunozcl

Share

Categories: ISO 27001

Por drmunozcl

Compartir

¿Qué cubre la Cláusula 7 en ISO/IEC 27001?

La Cláusula 7 se enfoca en asegurar que la organización cuente con las herramientas, personal, procesos y documentación adecuados para implementar y mantener la seguridad de la información. Abarca:

  1. Recursos (7.1)

    • Requisitos de infraestructura, tecnología y apoyo necesario para el buen funcionamiento del SGSI.
    • Asegurar presupuesto y soporte de la dirección para la adquisición de herramientas y personal especializado.

  2. Competencia (7.2)

    • Identificación de habilidades y conocimientos que el personal necesita.
    • Formación, experiencia o certificaciones requeridas para asegurar un trabajo eficaz en seguridad de la información.

  3. Concienciación (7.3)

    • Asegurar que todos los empleados y partes interesadas pertinentes comprendan la importancia de la seguridad de la información.
    • Campañas o programas continuos para reforzar la cultura de ciberseguridad.

  4. Comunicación (7.4)

    • Políticas y procedimientos de comunicación interna y externa relacionados con la seguridad de la información.
    • Determinar qué, cómo y cuándo comunicar y a quién, para garantizar transparencia y coordinación.

  5. Información documentada (7.5)

    • Incluye tanto la creación y actualización como el control de la información documentada.
    • Se busca que toda la documentación (políticas, procedimientos, registros, etc.) esté claramente identificada, accesible, segura y actualizada.

Principales diferencias entre la versión 2013 y la 2022

  1. Mayor énfasis en la integración con el negocio

    • Aunque ya existía en 2013, la versión 2022 refuerza la alineación con el Anexo SL. Esto facilita la integración con otros sistemas de gestión (ISO 9001, ISO 22301, etc.), haciendo que la provisión de recursos, la formación y la documentación sean coherentes con la estrategia global de la organización.

  2. Competencia y concienciación más detalladas

    • La norma actual subraya la importancia de la formación continua en ciberseguridad, dada la evolución constante de las amenazas.
    • Se hace hincapié en asegurar que las personas que trabajan bajo el control de la organización conozcan claramente sus responsabilidades y consecuencias de no cumplir los procedimientos de seguridad.

  3. Comunicación interna y externa más explícita

    • Respecto a la versión 2013, la 2022 detalla mejor cómo debe planificarse la comunicación con las partes interesadas y la alta dirección, para evitar vacíos de información.
    • Se promueve una cultura de alerta temprana y notificación rápida de eventos o incidentes.

  4. Información documentada con un enfoque de ciclo de vida

    • Continúa la tendencia de la ISO en hablar de “información documentada” en lugar de “documentos y registros”, reforzando la gestión a lo largo de todo el ciclo de vida de la documentación.
    • Se fomenta revisar periódicamente la pertinencia, vigencia y protección de la información documentada, en consonancia con la evolución tecnológica (sistemas en la nube, documentos digitales, etc.).

  5. Refuerzo del enlace con la mejora continua

    • La norma actual destaca la necesidad de revisar si los recursos y la competencia del personal siguen siendo adecuados tras incidentes, cambios en el negocio o auditorías.
    • Esto impulsa a tratar la Cláusula 7 como un mecanismo dinámico que se adapta a la evolución de riesgos y oportunidades.

¿Por qué la Cláusula 7 es fundamental?

  • Suministra la base de conocimiento y recursos: sin personal formado y concienciado, incluso los mejores controles técnicos pueden resultar ineficaces.
  • Impulsa la coherencia del SGSI: la gestión adecuada de la información documentada garantiza que todos trabajen con versiones actualizadas de políticas y procedimientos.
  • Fomenta la cultura de seguridad: la comunicación y concienciación regulares hacen que la seguridad deje de ser vista como una tarea aislada de TI y se convierta en un valor compartido.

Guía de implementación de Cláusula 7 (PDF)

El siguiente documento es una guía de implementación de la cláusula 7. Se explica en detalle cual es la documentación que requiere la norma y se muestran ejemplos para ser utilizado como base.
DESCARGAR GRATIS

Enviar enlace de descarga a:

MANTENTE INFORMADO

Suscríbete a nuestro newsletter gratuito.

Posts Relacionados

  • Desmitificando la iso 27001

    Desmitificando la ISO 27001

    La seguridad de la información suele estar rodeada de términos técnicos y percepciones que pueden resultar complejas para quienes recién comienzan a explorar este mundo. Por eso, hemos creado el video “Desmitificando la ISO 27001”, una pieza desarrollada con inteligencia artificial luego de algunas pruebas experimentales. Este video es una excelente puerta de entrada para

  • ISO 27002

    ¿Qué es y para qué sirve la ISO 27002?

    Si te enfrentas a ransomware, auditorías exigentes y clientes que piden garantías, probablemente te preguntas por dónde empezar para fortalecer la seguridad. El ruido de marcos y buenas prácticas no ayuda. Aquí es donde ISO 27002 aporta claridad y orden: es el catálogo de controles de seguridad que te guía para proteger la información con

  • Evaluación del Entorno Externo: PESTEL e ISO 27001

    Cuando la tecnología, la regulación y las expectativas de clientes cambian más rápido que tu roadmap, el riesgo no espera. La Evaluación Entorno Externo PESTEL ISO 27001 te permite anticipar amenazas y oportunidades con método, alineando el contexto externo con tu Sistema de Gestión de Seguridad de la Información (SGSI). ¿Por qué importa la Evaluación

  • Comprensión del Análisis FODA en ISO 27001: Contexto, pasos y valor

    Implementar un SGSI que resista auditorías y ataques no es cuestión de suerte. El Análisis FODA en ISO 27001 ofrece una forma clara y práctica de entender tu contexto, priorizar riesgos y alinear inversiones de seguridad con objetivos del negocio. Si diriges TI o una pyme, este enfoque te ayuda a decidir dónde actuar primero,