Categories: ISO 27001

by drmunozcl

Share

Categories: ISO 27001

Por drmunozcl

Compartir

¿En qué consiste la Cláusula 9?

La Cláusula 9 establece los requisitos para medir, monitorizar y evaluar la eficacia del SGSI. Se divide en tres grandes apartados:

  1. 9.1 Seguimiento, medición, análisis y evaluación

    • Determina qué y cómo se va a medir (procesos, controles, incidentes, resultados de auditoría, etc.).
    • Define la periodicidad de la medición y análisis, así como la responsabilidad de llevarlos a cabo.
    • Requiere mantener la información documentada de los resultados.

  2. 9.2 Auditoría interna

    • Establece la obligación de realizar auditorías internas a intervalos planificados para verificar que:
      1. El SGSI cumple con los requisitos de la organización y de la norma.
      2. Está correctamente implementado y funciona de forma eficaz.
    • Incluye la elaboración de un programa de auditoría que especifique la frecuencia, los métodos y las responsabilidades.

  3. 9.3 Revisión por la dirección

    • Pide a la Alta Dirección revisar periódicamente el SGSI para asegurar su conveniencia y eficacia.
    • Esta revisión debe analizar indicadores, auditorías, incidentes y cualquier factor interno o externo que afecte la seguridad de la información.
    • Culmina en la toma de decisiones sobre mejoras y ajustes que mantengan el SGSI actualizado y robusto.

Diferencias clave entre ISO/IEC 27001:2013 y la versión 2022 en la Cláusula 9

  1. Refuerzo del enfoque basado en riesgos y oportunidades

    • En la versión 2013 ya se manejaba el concepto de riesgos, pero en 2022 se hace más énfasis en evaluar también las oportunidades que brinde la seguridad de la información. Por tanto, los mecanismos de seguimiento y medición pueden ir más allá de evitar incidentes, buscando también aspectos positivos (p. ej., mejoras en la reputación o en la confianza de los clientes).

  2. Mayor alineación con Anexo SL revisado

    • La estructura del Anexo SL se ve reflejada en el texto. Aunque ya existía en 2013, ahora está más pulida la consistencia con otras normas de sistemas de gestión (como ISO 9001 o ISO 22301).
    • Esto se traduce en una redacción más clara y en requisitos coherentes con otros sistemas cuando se realiza la revisión por la dirección y las auditorías.

  3. Auditoría interna con foco en la competencia

    • En 2022 se subraya un poco más la importancia de que las personas encargadas de las auditorías internas tengan la competencia adecuada, no solo en metodologías de auditoría, sino también en ciberseguridad y en la realidad específica de la organización.
    • Esto facilita la detección de brechas reales y fomenta que las auditorías ofrezcan valor agregado más allá de un mero check de cumplimiento.

  4. Clarificaciones en la revisión por la dirección

    • En la nueva versión, se menciona de manera más explícita la evaluación de resultados frente a los objetivos definidos en la cláusula 6.2 (Objetivos de la Seguridad de la Información).
    • Se impulsa un ciclo de retroalimentación más evidente: la Alta Dirección analiza resultados, toma decisiones y actualiza el SGSI para mejorar continuamente su eficacia.

  5. Uso de métricas y registros

    • Continúa la idea de la necesidad de evidencias documentadas, pero en la norma 2022 se aprecia un lenguaje más directo sobre la importancia de medir y analizar datos relevantes que permitan tomar decisiones informadas (especialmente en incidentes y acciones correctivas).
    • Se pone más énfasis en vincular las métricas de seguridad con los resultados que la organización desea lograr.

Guía de implementación de Cláusula 9 (PDF)

El siguiente documento es una guía de implementación de la cláusula 9. Se explica en detalle cual es la documentación que requiere la norma y se muestran ejemplos para ser utilizado como base.
DESCARGAR GRATIS

Enviar enlace de descarga a:

MANTENTE INFORMADO

Suscríbete a nuestro newsletter gratuito.

Posts Relacionados

  • ISO 42001: El nuevo estándar para gestionar la inteligencia artificial

    La inteligencia artificial (IA) está transformando la forma en que las organizaciones operan, toman decisiones y ofrecen servicios. Desde asistentes virtuales hasta sistemas de análisis predictivo, el uso de IA crece rápidamente en empresas de todos los sectores. Sin embargo, junto con los beneficios también surgen nuevos riesgos: sesgos en los algoritmos, uso indebido de

  • seguridad iso 27001

    ISO 27001 en 2026: por qué ya no es solo cumplimiento, sino ventaja competitiva

    Durante años, muchas organizaciones vieron la certificación como una obligación: un requisito para licitaciones, auditorías o clientes exigentes. Pero en 2026 el escenario cambió radicalmente. La ISO 27001 como ventaja competitiva dejó de ser un concepto teórico y se transformó en una realidad estratégica para empresas que entienden el valor del riesgo bien gestionado. Hoy,

  • Costo de ciberseguridad 2025

    Ciberataques en 2025 costaron billones: lecciones clave para tu SGSI en 2026

    La conversación dejó de ser “si me van a atacar” y pasó a “cuándo, cómo y qué tan caro me va a salir”. Hoy, los costos de ciberseguridad en empresas ya no se miden solo en tecnología, sino en interrupciones operativas, sanciones regulatorias y pérdida de confianza del mercado. A modo de referencia reciente, un

  • Test de phishing de google

    Hoy probé el Test de phishing de google y lo encontré bastante bueno para revelar nuestros puntos ciegos frente a correos maliciosos. Es una herramienta simple y gratuita que puedes usar para concientizar a tu equipo o para evaluar tu propia capacidad de detección. Te dejo el enlace directo: https://phishingquiz.withgoogle.com/ Cada día recibimos mensajes que