by drmunozcl
Share
Por drmunozcl
Compartir

¿Qué es la Cláusula 8 y por qué es importante?
La Cláusula 8 (Operación) se encarga de la ejecución práctica de todo lo que se ha planificado en las secciones anteriores (en particular la 6, sobre evaluación y tratamiento de riesgos). Se divide en tres apartados:
-
8.1 Planificación y control operacional
- Asegura que todos los procesos necesarios (según la cláusula 6) se pongan en marcha de manera coherente.
- Incluye la gestión y supervisión de los cambios operativos (teniendo en cuenta ahora la referencia al punto 6.3 de la nueva versión, sobre planificación de cambios).
- Requiere el control de procesos externos (p. ej., proveedores o servicios subcontratados) para garantizar que se cumplan los requisitos de seguridad.
-
8.2 Evaluación de los riesgos de seguridad de la información
- Indica la necesidad de evaluar los riesgos de forma periódica (en los intervalos previstos) y también cuando se produzcan cambios importantes.
- Debe haber registros y documentación que evidencien estas evaluaciones, alineadas con los criterios definidos en 6.1.
-
8.3 Tratamiento de los riesgos de seguridad de la información
- Obliga a implementar el plan de tratamiento de riesgos (definido también en 6.1).
- Hace hincapié en conservar la información documentada relativa a los resultados del tratamiento (cuáles controles se han aplicado, qué riesgos se han mitigado, etc.).
Diferencias clave entre ISO/IEC 27001:2013 y la versión 2022 en la Cláusula 8
-
Refuerzo de la relación con la nueva Cláusula 6.3
- En la edición de 2013, la planificación de cambios estaba dispersa dentro de los requisitos de planificación general.
- En 2022, se introduce el punto 6.3 (Planificación de cambios) de forma explícita. Esto impacta en la operación (8.1), pues ahora es más claro cómo deben gestionarse los cambios y cómo deben reflejarse en las acciones operativas.
-
Mayor énfasis en la integración y el control de proveedores externos
- Ya se solicitaba en 2013, pero en 2022 se ve reforzada la idea de controlar externamente los procesos que afecten la seguridad de la información (p. ej., servicios en la nube, subcontratación de IT).
- El texto incide más en la supervisión continua, de modo que las organizaciones no se limiten a firmar un contrato, sino que vigilen de forma activa la ejecución y el desempeño del proveedor.
-
Alianza con otras normas ISO (Anexo SL)
- La redacción de la nueva versión está más alineada con el Anexo SL revisado, lo que facilita el control operacional si la empresa también implementa otros sistemas de gestión (ISO 9001, ISO 22301, etc.).
- Se unifican la terminología y la secuencia de pasos, de manera que la operación y el seguimiento sean más sencillos de integrar con otros departamentos.
-
Claridad sobre la documentación
- La norma actual insiste en que exista evidencia documental de la evaluación de riesgos (8.2) y del tratamiento de riesgos (8.3).
- Aunque no es un cambio drástico, se establece un énfasis en la necesidad de mantener registros consistentes y fácilmente rastreables, alineados con el enfoque de mejora continua.
-
Enfoque proactivo de la operación
- Con el auge de las ciberamenazas, ISO/IEC 27001:2022 subraya la importancia de anticiparse a los cambios y adaptarse rápidamente (aprovechando la nueva cláusula 6.3 y revisando los planes de acción en 8.1).
- Esto da un toque más dinámico a la parte operativa, en lugar de enfocarse solo en chequeos periódicos.
Guía de implementación de Cláusula 8 (PDF)
Enviar enlace de descarga a:
MANTENTE INFORMADO
Suscríbete a nuestro newsletter gratuito.
Cambios en el Anexo A Reducción y re estructuración de controles Número total de controles: 2013: 114 2022: 93 Los 114 controles se reducen mediante: 57 controles fusionados en 24 nuevos conjuntos 23 controles renombrados 1 control dividido en 2 Nueva estructura de dominio ISO 27001:2022 reorganiza los controles en 4 dominios temáticos (antes eran 14):
Importancia de la ISO 27001:2022 La reciente actualización de la ISO 27001 a la versión 2022 trae consigo modificaciones esenciales que refuerzan y modernizan el enfoque hacia la protección de la información. Esta versión no solo amplía los controles a seguir, sino que también alinea sus directrices con las amenazas actuales del entorno digital. No
En el entorno digital actual, los incidentes de seguridad son inevitables. Desde ataques de ransomware hasta accesos no autorizados, cada día surgen nuevas amenazas que pueden comprometer la confidencialidad, integridad y disponibilidad de la información. La falta de preparación Muchas organizaciones reaccionan de forma improvisada cuando ocurre un incidente de seguridad. Esta falta de planificación
La norma ISO/IEC 27001:2022 es un pilar esencial en la gestión de la seguridad de la información. Su actualización más reciente introduce cambios clave que las organizaciones deben comprender para mantenerse al día y garantizar la protección de sus activos digitales. La falta de cumplimiento con estándares actualizados Muchas empresas aún operan bajo versiones anteriores