Evalúa la madurez de tu Sistema de Gestión de Seguridad de la Información según ISO/IEC 27001:2022
¿Cuenta su organización con un registro formalizado de una lista de requisitos legales, normativos, contractuales y de otra índole que justifiquen un SGSI?
Norma ISO/IEC 27.001:2022 - Cláusula 4.1, 4.2
Es importante establecer y mantener un registro documentado de todos los requisitos legales (como la Ley Marco de Ciberseguridad de Chile 21.663), normativos, regulatorios, contractuales y otras obligaciones aplicables a la seguridad de la información. Este registro debe actualizarse periódicamente, identificar responsables de cumplimiento, y vincularse con el proceso de gestión de riesgos y la evaluación de cumplimiento del SGSI. Si tienes dudas al respecto, te podemos ayudar con esto.
¿Existe un documento formal, vigente y aprobado por la dirección que defina el alcance del SGSI (límites, procesos, ubicaciones, partes interesadas y exclusiones justificadas)?
Norma ISO/IEC 27.001:2022 - Cláusula 4.3
Es imperativo elaborar un documento formal que defina claramente los límites del alcance del Sistema de Gestión de Seguridad de la Información, el cual puede incluir: procesos críticos del negocio, ubicaciones físicas y lógicas, tecnologías involucradas, partes interesadas relevantes y justificación documentada de cualquier exclusión. Este documento debe ser aprobado por la alta dirección y revisado periódicamente. Si tienes dudas sobre cómo realizar esto, contamos con mucha experiencia al respecto, para ayudarte con la definición del alcance de tu SGSI.
¿La organización cuenta con una política de seguridad de la información aprobada, comunicada y en revisión periódica, alineada con los objetivos del negocio y los requisitos legales aplicables en Chile?
Norma ISO/IEC 27.001:2022 - Cláusula 5.2
La organización debe desarrollar y documentar una política de seguridad de la información que establezca el compromiso de la organización, alineada con los objetivos estratégicos del negocio. Esta política debe ser aprobada por la alta dirección, comunicada a todo el personal y partes interesadas relevantes, y estar sujeta a revisión periódica (al menos anualmente). Si necesitas ayuda con tu política de seguridad de la información no dudes en contactarnos.
¿Se encuentra definida, aprobada y aplicada una metodología documentada para evaluar y tratar riesgos de seguridad de la información, con criterios de aceptación y niveles de riesgo?
Norma ISO/IEC 27.001:2022 - Cláusula 6.1.2
Lo primero es tener claridad de todos los activos de la organización, los activos críticos para la continuidad del negocio. "No se puede proteger lo que no se conoce". Es necesario definir y documentar una metodología formal de gestión de riesgos que incluya: criterios para la identificación de riesgos, métodos de análisis y evaluación, niveles de riesgo aceptable, criterios de aceptación del riesgo y proceso de escalamiento. La metodología debe ser consistente, reproducible y aprobada por la dirección. Esta actividad no es tan sencilla, por lo que si requieres apoyo de especialistas, cuenta con nosotros.
¿Existe un registro actualizado (matriz o planilla) que evidencie la identificación, análisis y valoración de los riesgos para los activos y procesos dentro del alcance?
Norma ISO/IEC 27.001:2022 - Cláusula 6.1.2 a), b)
Las organizaciones deben mantener una matriz o registro actualizado de evaluación de riesgos que documente: activos identificados, amenazas y vulnerabilidades asociadas, probabilidad e impacto de materialización, nivel de riesgo resultante, y propietarios de los riesgos. Este documento debe actualizarse periódicamente y ante cambios significativos en el contexto organizacional. Contamos con una propuesta que facilita la formalización de este documento.
¿Se mantiene un cuadro que documente las opciones de tratamiento seleccionadas, responsables, plazos y estado de avance para cada riesgo?
Norma ISO/IEC 27.001:2022 - Cláusula 6.1.3 a)
Se requiere crear y mantener un registro de tratamiento de riesgos que incluya: opción de tratamiento seleccionada (evitar, transferir, aceptar o mitigar), controles a implementar, responsables designados, plazos de implementación, estado actual de avance y recursos asignados. Este documento debe tener seguimiento regular por la dirección.
¿Se elaboran informes integrados y aprobados que consoliden resultados de evaluación y decisiones de tratamiento de riesgos, comunicados a las partes pertinentes?
Norma ISO/IEC 27.001:2022 - Cláusula 6.1.3 c)
Las organizaciones deben elaborar informes periódicos consolidados que integren los resultados de la evaluación de riesgos y las decisiones de tratamiento adoptadas. Estos informes deben ser aprobados por la alta dirección y comunicados a los responsables de proceso, propietarios de activos y otras partes interesadas relevantes, facilitando la toma de decisiones informada.
¿Existe una Declaración de Aplicabilidad vigente que justifique la inclusión/exclusión y el estado de implementación de los controles pertinentes (p. ej., ISO/IEC 27002), basada en riesgos y requisitos legales/contractuales?
Norma ISO/IEC 27.001:2022 - Cláusula 6.1.3 d)
Desarrollar y mantener actualizada una Declaración de Aplicabilidad (SOA) que liste todos los controles necesarios de seguridad (por ejemplo, de ISO 27002), indicando cuáles están implementados, parcialmente implementados o excluidos, con justificación detallada basada en la evaluación de riesgos, requisitos legales y necesidades del negocio. ¿Ya sabes cuántos de los 93 controles de la norma son necesarios en tu organización y con cuántos se cumple actualmente? ...en caso contrario los podemos apoyar en esta materia.
¿La organización dispone de un plan de tratamiento de riesgos aprobado que detalle controles, responsables, recursos, hitos y criterios de verificación de eficacia?
Norma ISO/IEC 27.001:2022 - Cláusula 6.1.3, 6.2
Elaborar un plan formal de tratamiento de riesgos que especifique: controles a implementar para cada riesgo, responsables de la implementación, recursos necesarios (humanos, técnicos, financieros), cronograma con hitos medibles, y criterios para verificar la eficacia de los controles implementados. Este plan debe ser aprobado por la dirección y tener seguimiento regular.
¿El personal y terceros relevantes han suscrito acuerdos de confidencialidad/NDAs vigentes y custodiados, con alcance y sanciones claramente definidos?
Norma ISO/IEC 27.001:2022 - Cláusula 6.3, Anexo A.6.6
EN nuestros días es indispensable contar con un proceso para que todo el personal, contratistas y terceros con acceso a información sensible firmen acuerdos de confidencialidad (NDA) antes de acceder a la información. Estos acuerdos deben definir claramente el alcance, obligaciones, periodo de vigencia y consecuencias del incumplimiento. Mantener un registro custodiado de todos los acuerdos firmados.
¿Existen evidencias de aceptación/compromiso del personal respecto de las políticas y procedimientos del SGSI (p. ej., registros de lectura y compromiso)?
Norma ISO/IEC 27.001:2022 - Cláusula 7.2, 7.3
Se debe establecer un mecanismo formal de toma de conocimiento y aceptación de las políticas y procedimientos del SGSI por parte del personal. Mantener evidencias documentadas (formularios firmados, registros de capacitación, confirmaciones digitales) que demuestren que cada empleado ha leído, comprendido y se compromete a cumplir con la documentación del SGSI.
¿Se mantiene un inventario actualizado de información y activos asociados (propietario, clasificación, ubicación, custodia y valor), vinculado a la gestión de riesgos?
Norma ISO/IEC 27.001:2022 - Anexo A.5.9
No se puede proteger lo que no se conoce. Para poder evaluar y gestionar riesgos y continuidad de negocio se debe crear y mantener un inventario completo y actualizado de todos los activos de información dentro del alcance del SGSI. Para cada activo documentar: propietario designado, clasificación de seguridad, ubicación física o lógica, responsable de custodia, valor para el negocio y relación con procesos críticos. Este inventario debe vincularse directamente con la evaluación de riesgos.
¿La organización posee y difunde una política de uso aceptable de la información y activos (incluyendo teletrabajo y BYOD), con controles de cumplimiento?
Norma ISO/IEC 27.001:2022 - Anexo A.5.10, A.6.7
La organización debe desarrollar y comunicar una política de uso aceptable que establezca reglas claras sobre el uso apropiado de información, sistemas, dispositivos corporativos, teletrabajo y dispositivos personales (BYOD). La política debe incluir uso permitido y prohibido, responsabilidades del usuario, monitoreo y controles de cumplimiento. Debe ser difundida y aceptada por todo el personal.
¿Existe una política de control de acceso que establezca principios de mínimo privilegio, segregación de funciones, provisión/revocación y revisión periódica de accesos?
Norma ISO/IEC 27.001:2022 - Anexo A.5.15, A.5.18
Las organizaciones deben implementar una política formal de control de acceso basada en principios de seguridad: mínimo privilegio necesario, segregación de funciones críticas, proceso formal de provisión de accesos, revocación inmediata al término de relación laboral, y revisión periódica de permisos. Documentar procedimientos de solicitud, aprobación y gestión del ciclo de vida de los accesos.
¿Se encuentran documentados y vigentes los procedimientos operativos TIC (respaldo, cambios, parches, hardening, monitoreo, gestión de vulnerabilidades y registros)?
Norma ISO/IEC 27.001:2022 - Anexo A.5.37, A.8.1 a A.8.34
No se puede olvidar documentar y mantener actualizados procedimientos operativos detallados para todas las actividades TIC críticas: respaldos de información, gestión de cambios, aplicación de parches, hardening de sistemas, monitoreo de seguridad, gestión de vulnerabilidades y administración de logs. Estos procedimientos deben estar disponibles para el personal responsable y revisarse periódicamente.
¿La organización aplica una política de desarrollo seguro y ciclo de vida (requisitos de seguridad, revisión de código, pruebas, gestión de dependencias y vulnerabilidades)?
Norma ISO/IEC 27.001:2022 - Anexo A.8.25 a A.8.31
Si hay desarrollo de software, se debe establecer y aplicar una política de desarrollo seguro que cubra todo el ciclo de vida del software: definición de requisitos de seguridad desde el diseño, revisiones de código fuente, pruebas de seguridad (SAST/DAST), gestión de dependencias y librerías, evaluación de vulnerabilidades antes del despliegue, y mantenimiento seguro. Incluir capacitación en desarrollo seguro para el equipo de desarrollo.
¿Están documentados y aprobados los requisitos de seguridad para los sistemas de información (funcionales y no funcionales), incluyendo privacidad y cumplimiento normativo?
Norma ISO/IEC 27.001:2022 - Anexo A.8.25, A.5.12
Las mejores prácticas proponen definir y documentar requisitos de seguridad para todos los sistemas de información, tanto nuevos como existentes. Los requisitos deben incluir aspectos funcionales (autenticación, autorización, cifrado), no funcionales (disponibilidad, rendimiento), privacidad de datos y cumplimiento normativo aplicable. Estos requisitos deben ser aprobados formalmente antes del desarrollo o adquisición.
¿Los contratos con proveedores/socios incluyen cláusulas de seguridad, confidencialidad, privacidad, niveles de servicio, auditorías y gestión de incidentes?
Norma ISO/IEC 27.001:2022 - Anexo A.5.19 a A.5.23
Al trabajar con socios y proveedores se debe incorporar cláusulas específicas de seguridad en todos los contratos con proveedores y socios que tengan acceso a información o sistemas de la organización. Estas cláusulas deben cubrir: obligaciones de confidencialidad, protección de datos personales, niveles de servicio de seguridad, derecho a auditar, notificación de incidentes, responsabilidades y consecuencias del incumplimiento.
¿Existe un procedimiento formal para la gestión del ciclo de incidentes (detección, clasificación, respuesta, comunicación, escalamiento, reporte externo y lecciones aprendidas)?
Norma ISO/IEC 27.001:2022 - Anexo A.5.24 a A.5.28
No solo para reducir riesgos, sino que para cumplir con normativa legal se debe implementar un procedimiento formal de gestión de incidentes de seguridad que cubra todo el ciclo: mecanismos de detección y reporte, criterios de clasificación y priorización, pasos de respuesta y contención, canales de comunicación interna y externa, proceso de escalamiento a la dirección, obligaciones de reporte a autoridades, y análisis post-incidente para capturar lecciones aprendidas. Nosotros podemos apoyarlos con este procedimiento.
¿La organización mantiene un BCP documentado, probado y actualizado (análisis de impacto, estrategias, roles y escenarios), alineado con los riesgos?
Norma ISO/IEC 27.001:2022 - Anexo A.5.29, A.5.30
Todas las organizaciones deberían desarrollar y mantener un Plan de Continuidad del Negocio (BCP) basado en análisis de impacto al negocio (BIA) que identifique procesos críticos, RTO/RPO, estrategias de continuidad, roles y responsabilidades, procedimientos de activación y escenarios de contingencia. El plan debe ser probado periódicamente mediante ejercicios de simulación y actualizado según cambios en el negocio o lecciones aprendidas.
¿Se dispone de un plan específico de respuesta a incidentes de seguridad de la información que establezca equipos, comunicaciones, playbooks y criterios de activación?
Norma ISO/IEC 27.001:2022 - Anexo A.5.24, A.5.26
Además de un Procedimiento para gestión de incidentes, se debe crear un plan específico de respuesta a incidentes que defina: equipo de respuesta a incidentes (roles, responsabilidades, disponibilidad), canales de comunicación de emergencia, playbooks detallados para diferentes tipos de incidentes, criterios de activación del plan, procedimientos de escalamiento, herramientas disponibles y contactos clave internos y externos (proveedores, autoridades, expertos forenses).
¿Existe un plan de recuperación (DRP) que defina RTO/RPO, procedimientos de restauración, pruebas periódicas y responsabilidades para sistemas críticos?
Norma ISO/IEC 27.001:2022 - Anexo A.5.29, A.8.13
En caso que no exista, se debe elaborar un Plan de Recuperación ante Desastres (DRP) que especifique para cada sistema crítico: objetivos de tiempo de recuperación (RTO) y punto de recuperación (RPO), procedimientos paso a paso de restauración, infraestructura de respaldo necesaria, responsables de ejecutar la recuperación, cronograma de pruebas periódicas del plan y criterios de éxito de la recuperación.
¿La organización ejecuta un plan anual de capacitación y concienciación en seguridad y protección de datos, con medición de efectividad y registros?
Norma ISO/IEC 27.001:2022 - Anexo A.6.3
Las personas continuamos siendo el eslabón más débil, por lo que se debe desarrollar e implementar un programa anual de capacitación y concienciación en seguridad de la información dirigido a todo el personal. El programa debe incluir: inducción en seguridad para nuevos empleados, campañas periódicas de concienciación, capacitación específica por rol, evaluaciones para medir efectividad (ej. simulacros de phishing), y mantener registros de todas las actividades realizadas y participación del personal.
¿Se cuenta con un programa anual de auditoría interna del SGSI, basado en riesgo, que cubra alcance, criterios, frecuencia, independencia y competencias del equipo auditor?
Norma ISO/IEC 27.001:2022 - Cláusula 9.2
Además de todas las medidas implementadas en la organización de debe establecer un programa anual de auditorías internas del SGSI basado en la importancia de los procesos y áreas, y en los resultados de auditorías previas. El programa debe definir: alcance de cada auditoría, criterios de auditoría (normas, políticas, procedimientos), frecuencia, selección de auditores independientes competentes, planificación y metodología. Las auditorías deben verificar la conformidad y eficacia del SGSI.
¿Se emiten informes de auditoría interna con hallazgos, evidencias, conclusiones y recomendaciones, comunicados oportunamente a los responsables?
Norma ISO/IEC 27.001:2022 - Cláusula 9.2
No solo se deben ejecutar auditorías, sino también elaborar informes detallados de cada auditoría interna que documenten: hallazgos identificados (conformidades, no conformidades, observaciones), evidencias que sustentan los hallazgos, conclusión sobre el estado del SGSI en el área auditada, y recomendaciones para la mejora. Los informes deben ser comunicados oportunamente a los responsables de las áreas auditadas y a la alta dirección.
¿Existen actas/minutas de la revisión por la dirección que evidencien entradas (desempeño, incidentes, auditorías, riesgos, cumplimiento) y decisiones/acciones resultantes?
Norma ISO/IEC 27.001:2022 - Cláusula 9.3
También se deben realizar revisiones periódicas del SGSI por la alta dirección (al menos anualmente) y mantener actas o minutas documentadas. Las minutas deben registrar: elementos de entrada revisados (resultados de auditorías, incidentes, cambios en riesgos, cumplimiento de objetivos, retroalimentación de partes interesadas), decisiones tomadas por la dirección, acciones de mejora acordadas, recursos asignados y responsables designados.
¿Se utiliza un formato/proceso estandarizado para registrar no conformidades, análisis de causa raíz, acciones correctivas, responsables, plazos y verificación de eficacia?
Norma ISO/IEC 27.001:2022 - Cláusula 10.1
No basta con identificar sino también implementar un proceso y formato estandarizado para la gestión de no conformidades y acciones correctivas. El formato debe capturar: descripción de la no conformidad detectada, análisis de causa raíz, acciones correctivas propuestas para eliminar la causa, responsable de implementar cada acción, plazo de implementación, y verificación posterior de la eficacia de las acciones tomadas para evitar recurrencia.
Resultados de su evaluación de cumplimiento con el estándar internacional de gestión de seguridad de la información
Tu organización requiere atención urgente en la implementación de un SGSI.
Nuestros especialistas pueden ayudarle a implementar un Sistema de Gestión de Seguridad de la Información, realizar auditorías internas, preparar certificación ISO 27001 y cumplir con requisitos normativos.