¿Qué es la cláusula 6 «Planificación»?

La Cláusula 6 establece cómo tu organización debe planificar para abordar los riesgos de seguridad de la información y, a la vez, definir objetivos coherentes con la política y el contexto del negocio. Se divide en:

1. Acciones para abordar riesgos y oportunidades (6.1)
   • Impulsa el análisis de riesgos (qué puede salir mal, dónde, cómo y por qué) y la definición de planes para tratarlos (el famoso plan de tratamiento de riesgos).
   • Involucra la consideración de oportunidades: no solo evitar incidentes, sino también cómo la buena gestión de la seguridad puede aportar ventajas competitivas o de negocio.
2. Objetivos de la seguridad de la información y la planificación para lograrlos (6.2)
   • Estipula que los objetivos deben ser medibles, coherentes con la política, tener plazos definidos y asignarse responsabilidades.
   • Asegura que haya un seguimiento de tales objetivos para verificar la efectividad del SGSI y la mejora continua.
3. Planificación de los cambios (6.3)
   • Novedad destacada en la versión 2022, en la que se formaliza un requisito específico para la gestión de cambios.
   • Se debe planificar y controlar cualquier modificación que pueda afectar la eficacia del SGSI (nuevas tecnologías, reorganizaciones, fusiones, etc.), asegurando una transición ordenada y segura.

Diferencias clave entre ISO 27001:2013 y ISO 27001:2022 en la Cláusula 6

1. Refuerzo en la integración de riesgos y oportunidades
   • En la versión 2013, el foco en los riesgos era claro, pero en la 2022 se subraya la importancia de identificar oportunidades ligadas a la seguridad de la información, buscando una visión más proactiva que aporte valor al negocio.
2. Formalización de la cláusula 6.3
   • En 2013, la gestión de cambios aparecía integrada de forma dispersa.
   • En 2022, se crea 6.3 como un apartado independiente, dándole visibilidad a la necesidad de planificar cuidadosamente cualquier modificación que pueda impactar el SGSI. Este requisito ayuda a evitar riesgos no contemplados en los procesos de cambio y refuerza el ciclo de mejora continua.
3. Mayor alineación con el Anexo SL revisado
   • La nueva estructura mantiene consistencia con otras normas de sistemas de gestión (como ISO 9001 o ISO 22301).
   • Esto facilita la integración de diferentes sistemas de gestión dentro de una misma organización, ahorrando esfuerzos y recursos.
4. Objetivos más medibles y orientados a resultados
   • Aunque la versión 2013 ya pedía objetivos coherentes, la 2022 refuerza la idea de que los objetivos deben ser específicos, medibles, asignables y con plazos claros (alineado con el enfoque SMART).
   • La intención es asegurar una evaluación más objetiva de la eficacia de las medidas de seguridad.
5. Conexión con los controles actualizados del Anexo A
   • Con la publicación de ISO/IEC 27002:2022, el número y la estructura de los controles ha cambiado. Esto repercute en la planificación de los planes de tratamiento de riesgos (6.1).
   • Se enfatiza seleccionar controles relevantes a la realidad actual de ciberseguridad, incluyendo entornos en la nube, teletrabajo y la gestión de proveedores.