¿Qué es la Cláusula 8 y por qué es importante?

La Cláusula 8 (Operación) se encarga de la ejecución práctica de todo lo que se ha planificado en las secciones anteriores (en particular la 6, sobre evaluación y tratamiento de riesgos). Se divide en tres apartados:

1. 8.1 Planificación y control operacional

   • Asegura que todos los procesos necesarios (según la cláusula 6) se pongan en marcha de manera coherente.
   • Incluye la gestión y supervisión de los cambios operativos (teniendo en cuenta ahora la referencia al punto 6.3 de la nueva versión, sobre planificación de cambios).
   • Requiere el control de procesos externos (p. ej., proveedores o servicios subcontratados) para garantizar que se cumplan los requisitos de seguridad.

2. 8.2 Evaluación de los riesgos de seguridad de la información

   • Indica la necesidad de evaluar los riesgos de forma periódica (en los intervalos previstos) y también cuando se produzcan cambios importantes.
   • Debe haber registros y documentación que evidencien estas evaluaciones, alineadas con los criterios definidos en 6.1.

3. 8.3 Tratamiento de los riesgos de seguridad de la información

   • Obliga a implementar el plan de tratamiento de riesgos (definido también en 6.1).
   • Hace hincapié en conservar la información documentada relativa a los resultados del tratamiento (cuáles controles se han aplicado, qué riesgos se han mitigado, etc.).

Diferencias clave entre ISO/IEC 27001:2013 y la versión 2022 en la Cláusula 8

1. Refuerzo de la relación con la nueva Cláusula 6.3

   • En la edición de 2013, la planificación de cambios estaba dispersa dentro de los requisitos de planificación general.
   • En 2022, se introduce el punto 6.3 (Planificación de cambios) de forma explícita. Esto impacta en la operación (8.1), pues ahora es más claro cómo deben gestionarse los cambios y cómo deben reflejarse en las acciones operativas.

2. Mayor énfasis en la integración y el control de proveedores externos

   • Ya se solicitaba en 2013, pero en 2022 se ve reforzada la idea de controlar externamente los procesos que afecten la seguridad de la información (p. ej., servicios en la nube, subcontratación de IT).
   • El texto incide más en la supervisión continua, de modo que las organizaciones no se limiten a firmar un contrato, sino que vigilen de forma activa la ejecución y el desempeño del proveedor.

3. Alianza con otras normas ISO (Anexo SL)

   • La redacción de la nueva versión está más alineada con el Anexo SL revisado, lo que facilita el control operacional si la empresa también implementa otros sistemas de gestión (ISO 9001, ISO 22301, etc.).
   • Se unifican la terminología y la secuencia de pasos, de manera que la operación y el seguimiento sean más sencillos de integrar con otros departamentos.

4. Claridad sobre la documentación

   • La norma actual insiste en que exista evidencia documental de la evaluación de riesgos (8.2) y del tratamiento de riesgos (8.3).
   • Aunque no es un cambio drástico, se establece un énfasis en la necesidad de mantener registros consistentes y fácilmente rastreables, alineados con el enfoque de mejora continua.

5. Enfoque proactivo de la operación

   • Con el auge de las ciberamenazas, ISO/IEC 27001:2022 subraya la importancia de anticiparse a los cambios y adaptarse rápidamente (aprovechando la nueva cláusula 6.3 y revisando los planes de acción en 8.1).
   • Esto da un toque más dinámico a la parte operativa, en lugar de enfocarse solo en chequeos periódicos.