Cláusulas 4 a 10 de ISO 27001: requisitos obligatorios explicados

Las cláusulas 4 a 10 de ISO 27001:2022 constituyen el corazón normativo del estándar. Son los requisitos obligatorios que toda organización debe cumplir para obtener y mantener la certificación. Mientras que las cláusulas 1 a 3 son introductorias (alcance, referencias normativas y términos), las cláusulas 4 a 10 definen exactamente qué debe hacer tu organización para implementar un Sistema de Gestión de Seguridad de la Información (SGSI) efectivo.

En esta guía desglosamos cada cláusula con un enfoque práctico, explicando qué exige, qué evidencia necesitas y los errores más comunes que detectan los auditores.

Cláusula 4: Contexto de la organización

Esta cláusula establece los cimientos del SGSI. Antes de diseñar controles o políticas, necesitas entender dónde estás parado.

4.1 — Comprensión de la organización y su contexto

Debes identificar las cuestiones externas e internas relevantes para la seguridad de la información. Las externas incluyen el entorno regulatorio (como la Ley 21.663 en Chile), el panorama de amenazas, la competencia y las expectativas del mercado. Las internas abarcan la estructura organizacional, la cultura, los recursos tecnológicos y los procesos existentes. Una herramienta útil es el análisis PESTLE (Político, Económico, Social, Tecnológico, Legal y Ambiental) complementado con un análisis FODA.

4.2 — Comprensión de las necesidades y expectativas de las partes interesadas

Identifica quiénes son tus partes interesadas y qué esperan en materia de seguridad de la información. Esto incluye clientes, reguladores, empleados, accionistas, proveedores y socios. Documenta sus requisitos específicos: contratos que exigen certificación, regulaciones que imponen controles, expectativas de confidencialidad de los clientes.

4.3 — Determinación del alcance del SGSI

Define los límites y la aplicabilidad del SGSI. El alcance debe especificar qué ubicaciones, procesos, tecnologías y unidades de negocio están incluidas. Un error común es definir un alcance demasiado amplio (imposible de gestionar) o demasiado estrecho (no cubre los activos críticos). El alcance debe documentarse y estar disponible como información documentada.

4.4 — Sistema de gestión de seguridad de la información

La organización debe establecer, implementar, mantener y mejorar continuamente el SGSI. Este requisito es la declaración general de que necesitas un sistema completo, no solo controles aislados.

Cláusula 5: Liderazgo

5.1 — Liderazgo y compromiso

La alta dirección debe demostrar liderazgo y compromiso activo con el SGSI. No basta con firmar la política: deben asegurar que los objetivos de seguridad están alineados con la estrategia del negocio, que se asignan recursos suficientes, que se comunica la importancia de la seguridad, y que se promueve la mejora continua.

5.2 — Política de seguridad de la información

La dirección debe establecer una política de seguridad que sea apropiada al propósito de la organización, incluya objetivos de seguridad o el marco para establecerlos, incluya el compromiso de cumplir los requisitos aplicables, e incluya el compromiso de mejora continua del SGSI.

5.3 — Roles, responsabilidades y autoridades

La dirección debe asignar y comunicar los roles y responsabilidades relevantes para la seguridad de la información. Esto incluye quién es responsable de asegurar que el SGSI cumple con los requisitos de la norma y quién reporta el desempeño del SGSI a la alta dirección.

Cláusula 6: Planificación

6.1 — Acciones para abordar riesgos y oportunidades

Esta es una de las cláusulas más importantes. Debes definir un proceso de evaluación de riesgos que identifique los riesgos de seguridad de la información, analice su probabilidad e impacto, y los evalúe contra los criterios de aceptación. Luego debes definir un proceso de tratamiento de riesgos que seleccione opciones apropiadas y determine los controles necesarios. Los controles seleccionados deben compararse con el Anexo A para verificar que no se omitió ninguno relevante, y el resultado se documenta en la Declaración de Aplicabilidad (SoA).

6.2 — Objetivos de seguridad de la información

Debes establecer objetivos medibles de seguridad coherentes con la política. Los objetivos deben ser específicos, medibles, alcanzables, relevantes y con plazo definido (SMART). Ejemplo: "Reducir el tiempo medio de detección de incidentes de 72 a 24 horas antes del Q4 2026".

6.3 — Planificación de cambios

Nuevo en ISO 27001:2022, este requisito exige que cuando se necesiten cambios al SGSI, estos se realicen de manera planificada, considerando el propósito del cambio, las consecuencias potenciales, la integridad del SGSI y la disponibilidad de recursos.

Cláusula 7: Apoyo

7.1 a 7.4 — Recursos, competencia, concienciación y comunicación

La organización debe proporcionar los recursos necesarios, asegurar que las personas que trabajan bajo su control tengan la competencia necesaria (formación, educación, experiencia), que estén concienciadas sobre la política de seguridad y su contribución al SGSI, y que existan procesos de comunicación interna y externa definidos (qué comunicar, cuándo, a quién y cómo).

7.5 — Información documentada

El SGSI debe incluir la información documentada requerida por la norma y la que la organización determine como necesaria. Debe controlarse su creación, actualización, distribución, acceso, almacenamiento, conservación y disposición.

Cláusula 8: Operación

8.1 — Planificación y control operacional

Implementa y controla los procesos necesarios para cumplir los requisitos de seguridad. Esto incluye ejecutar el plan de tratamiento de riesgos, implementar los controles seleccionados y gestionar los cambios planificados y no planificados.

8.2 — Evaluación de riesgos de seguridad de la información

Realiza evaluaciones de riesgos a intervalos planificados o cuando ocurran cambios significativos. Conserva información documentada de los resultados.

8.3 — Tratamiento de riesgos de seguridad de la información

Implementa el plan de tratamiento de riesgos y conserva evidencia de los resultados.

Cláusula 9: Evaluación del desempeño

9.1 — Seguimiento, medición, análisis y evaluación

Define qué necesitas monitorear y medir, los métodos de medición, cuándo se debe realizar y quién debe analizar los resultados. Las métricas del SGSI son fundamentales aquí.

9.2 — Auditoría interna

Realiza auditorías internas a intervalos planificados para verificar que el SGSI es conforme con los requisitos de la norma y los requisitos propios de la organización, y que está implementado y mantenido eficazmente.

9.3 — Revisión por la dirección

La alta dirección debe revisar el SGSI a intervalos planificados para asegurar su conveniencia, adecuación y eficacia. La revisión por la dirección debe considerar el estado de las acciones previas, los cambios en el contexto, la retroalimentación sobre el desempeño y las oportunidades de mejora.

Cláusula 10: Mejora

10.1 — Mejora continua

La organización debe mejorar continuamente la conveniencia, adecuación y eficacia del SGSI. El ciclo PDCA es el motor de esta mejora.

10.2 — No conformidad y acción correctiva

Cuando ocurra una no conformidad, la organización debe reaccionar para controlarla y corregirla, evaluar la necesidad de acciones para eliminar la causa raíz, implementar las acciones necesarias, revisar su eficacia y realizar cambios al SGSI si es necesario.

Profundiza en cada cláusula con nuestras guías sobre evaluación de riesgos, Declaración de Aplicabilidad y auditoría interna.