¿En qué consiste la Cláusula 9?

La Cláusula 9 establece los requisitos para medir, monitorizar y evaluar la eficacia del SGSI. Se divide en tres grandes apartados:

1. 9.1 Seguimiento, medición, análisis y evaluación

   • Determina qué y cómo se va a medir (procesos, controles, incidentes, resultados de auditoría, etc.).
   • Define la periodicidad de la medición y análisis, así como la responsabilidad de llevarlos a cabo.
   • Requiere mantener la información documentada de los resultados.

2. 9.2 Auditoría interna

   • Establece la obligación de realizar auditorías internas a intervalos planificados para verificar que:
     1. El SGSI cumple con los requisitos de la organización y de la norma.
     2. Está correctamente implementado y funciona de forma eficaz.
   • Incluye la elaboración de un programa de auditoría que especifique la frecuencia, los métodos y las responsabilidades.

3. 9.3 Revisión por la dirección

   • Pide a la Alta Dirección revisar periódicamente el SGSI para asegurar su conveniencia y eficacia.
   • Esta revisión debe analizar indicadores, auditorías, incidentes y cualquier factor interno o externo que afecte la seguridad de la información.
   • Culmina en la toma de decisiones sobre mejoras y ajustes que mantengan el SGSI actualizado y robusto.

Diferencias clave entre ISO/IEC 27001:2013 y la versión 2022 en la Cláusula 9

1. Refuerzo del enfoque basado en riesgos y oportunidades

   • En la versión 2013 ya se manejaba el concepto de riesgos, pero en 2022 se hace más énfasis en evaluar también las oportunidades que brinde la seguridad de la información. Por tanto, los mecanismos de seguimiento y medición pueden ir más allá de evitar incidentes, buscando también aspectos positivos (p. ej., mejoras en la reputación o en la confianza de los clientes).

2. Mayor alineación con Anexo SL revisado

   • La estructura del Anexo SL se ve reflejada en el texto. Aunque ya existía en 2013, ahora está más pulida la consistencia con otras normas de sistemas de gestión (como ISO 9001 o ISO 22301).
   • Esto se traduce en una redacción más clara y en requisitos coherentes con otros sistemas cuando se realiza la revisión por la dirección y las auditorías.

3. Auditoría interna con foco en la competencia

   • En 2022 se subraya un poco más la importancia de que las personas encargadas de las auditorías internas tengan la competencia adecuada, no solo en metodologías de auditoría, sino también en ciberseguridad y en la realidad específica de la organización.
   • Esto facilita la detección de brechas reales y fomenta que las auditorías ofrezcan valor agregado más allá de un mero check de cumplimiento.

4. Clarificaciones en la revisión por la dirección

   • En la nueva versión, se menciona de manera más explícita la evaluación de resultados frente a los objetivos definidos en la cláusula 6.2 (Objetivos de la Seguridad de la Información).
   • Se impulsa un ciclo de retroalimentación más evidente: la Alta Dirección analiza resultados, toma decisiones y actualiza el SGSI para mejorar continuamente su eficacia.

5. Uso de métricas y registros

   • Continúa la idea de la necesidad de evidencias documentadas, pero en la norma 2022 se aprecia un lenguaje más directo sobre la importancia de medir y analizar datos relevantes que permitan tomar decisiones informadas (especialmente en incidentes y acciones correctivas).
   • Se pone más énfasis en vincular las métricas de seguridad con los resultados que la organización desea lograr.