
Bienvenidos a esta Guía de Evaluación del desempeño en ISO 27001. Comparte este articulo y síguenos para recibir más guías y cursos.
Para saber más comente a continuación, respondemos todos y cada uno de los comentarios.
¿Te gustaría enterarte de cuando lanzamos descuentos y nuevos cursos?

9.1 Monitoreo, medición, análisis y evaluación
Tratamiento de Riesgos en la Seguridad de la Información
La norma ISO 27001, en su cláusula 8.3, establece que toda organización debe llevar a cabo la implementación del plan de tratamiento de riesgos que ha sido definido previamente en la cláusula 6. Además, se debe mantener un registro detallado de los resultados obtenidos a través de indicadores de seguimiento, lo que permite evaluar la efectividad de las medidas adoptadas.
Este proceso es fundamental, ya que garantiza que los controles y estrategias de mitigación identificados en la evaluación de riesgos no queden solo en la teoría, sino que sean aplicados de manera eficaz para reducir la exposición a amenazas y vulnerabilidades. De esta manera, se refuerza la seguridad de la información dentro de la organización, protegiendo los activos críticos y asegurando la continuidad operativa.
Aplicación del Plan de Tratamiento de Riesgos
El tratamiento de riesgos es una fase que sigue a la evaluación de riesgos, permitiendo una gestión estructurada y eficiente de las amenazas detectadas. Para facilitar esta tarea, la norma ISO 27001 proporciona una referencia clave en el Anexo A, donde se detallan una serie de controles que pueden ser seleccionados y aplicados según el contexto y las necesidades específicas de la organización.
Uno de los aspectos más importantes de este proceso es la documentación adecuada de los controles implementados. Para ello, se debe elaborar la Declaración de Aplicabilidad (SOA, Statement of Applicability), en la cual se especifican los controles elegidos y la justificación de su selección. Esta declaración no solo es un requisito normativo, sino también una herramienta estratégica que permite evidenciar la alineación de las medidas de seguridad con los riesgos identificados.
Desarrollo y Administración del Plan de Tratamiento de Riesgos
Una vez definidos los controles a implementar, es esencial establecer un plan de acción estructurado y detallado que incluya:
- Las actividades concretas necesarias para la implementación de cada control.
- La correlación entre cada medida de seguridad y el riesgo que busca mitigar.
- La designación de responsables para ejecutar cada acción.
- Indicadores que permitan evaluar el grado de cumplimiento y la efectividad de las medidas aplicadas.
Además, es importante que los métodos de medición de resultados estén alineados con los objetivos estratégicos de la organización. De esta forma, se garantiza que las acciones implementadas no solo cumplan con los requisitos normativos, sino que también aporten valor real en la gestión de la seguridad de la información.
Evaluación y Seguimiento a través de Métricas
El monitoreo del plan de tratamiento de riesgos debe basarse en métricas objetivas, realistas y alcanzables. Un error común dentro de las organizaciones es definir indicadores excesivamente complejos que, en lugar de facilitar la evaluación del proceso, terminan generando una sobrecarga operativa sin un beneficio tangible.
Algunas métricas útiles para evaluar la efectividad del tratamiento de riesgos pueden ser:
- Confidencialidad: Disminuir el número de incidentes relacionados con la filtración o divulgación no autorizada de información sensible.
- Disponibilidad: Garantizar que los sistemas críticos mantengan un nivel de disponibilidad óptimo para evitar interrupciones en los procesos de negocio.
- Integridad: Minimizar los errores o modificaciones no autorizadas en la información, asegurando su exactitud y confiabilidad.
Para que el plan de tratamiento de riesgos sea efectivo en el tiempo, la organización debe llevar a cabo revisiones periódicas de los resultados obtenidos, realizar ajustes en las estrategias según sea necesario y fomentar una cultura de mejora continua en la seguridad de la información.

Reflexión Final
El tratamiento de riesgos dentro de un Sistema de Gestión de Seguridad de la Información (SGSI) es una fase esencial que permite convertir el análisis de riesgos en acciones concretas y efectivas. No basta con identificar amenazas y vulnerabilidades; es imprescindible definir medidas claras, asignar responsables y establecer mecanismos de evaluación que permitan medir el impacto real de las decisiones tomadas.
Mantener un plan bien documentado, con métricas adecuadas y una gestión proactiva de la seguridad, no solo ayudará a cumplir con la norma ISO 27001, sino que también fortalecerá la resiliencia de la organización ante posibles incidentes, asegurando que la protección de la información sea sostenible en el tiempo.
9.2 Auditoría interna
Auditoría Interna en un SGSI: Requisitos y Consideraciones Clave
Dentro de un Sistema de Gestión de Seguridad de la Información (SGSI), la auditoría interna es un proceso fundamental para evaluar el cumplimiento de los requisitos de la norma ISO 27001 y la efectividad de los controles implementados. La cláusula 9.2 de la norma establece que las organizaciones deben llevar a cabo auditorías internas en intervalos planificados, garantizando que el SGSI cumpla tanto con los requisitos propios de la organización como con los estipulados en la norma.
Uno de los principales desafíos en este proceso es la planificación adecuada y la independencia de los auditores. En organizaciones pequeñas, esto puede representar una dificultad, ya que no solo deben contar con personal capacitado para implementar y mantener la norma, sino también disponer de recursos independientes para llevar a cabo las auditorías. Sin embargo, la correcta ejecución de estas auditorías es clave para la mejora continua y la identificación de posibles no conformidades antes de una auditoría de certificación externa.
Los auditores también evalúan si el SGSI se implementa y mantiene efectivamente

Programa de Auditoría
Para garantizar la eficacia del proceso, se debe establecer un programa de auditoría que contemple aspectos esenciales como:
- Frecuencia y fechas en las que se realizarán las auditorías internas.
- Alcance de cada auditoría, es decir, qué áreas, procesos y controles serán evaluados.
- Métodos utilizados para llevar a cabo la auditoría, incluyendo entrevistas, revisión documental y pruebas de efectividad de los controles.
- Asignación de responsabilidades, especificando quiénes serán los encargados de la planificación, ejecución y reporte de resultados.
Este programa debe estar alineado con los objetivos estratégicos de la organización y con la criticidad de los activos de información, priorizando aquellas áreas que representen mayores riesgos para la seguridad de la información.
Definición de Criterios de Auditoría
Otro aspecto clave es la definición de los criterios de auditoría, es decir, los parámetros con los que se evaluarán las evidencias recopiladas durante la auditoría interna. Estos criterios pueden incluir:
- Lo que se va a auditar, estableciendo qué procesos o controles serán objeto de evaluación.
- Frecuencia de revisión, considerando que los controles diseñados para mitigar riesgos críticos deben ser auditados con mayor periodicidad.
- Identificación de activos y sus propietarios, asegurando que exista una gestión adecuada de la seguridad de la información.
Cada auditoría interna debe estar acompañada de una documentación clara de los criterios utilizados, así como del alcance de la auditoría, para garantizar que los objetivos sean alcanzados de manera efectiva.
Requisitos para la Auditoría Interna
Los requisitos de la auditoría interna están relacionados con las referencias de conformidad contra las cuales se realizará la evaluación. Entre los principales requisitos se incluyen:
- Norma ISO 27001, asegurando que el SGSI cumpla con sus disposiciones.
- Requisitos legales y regulatorios, que la organización debe seguir en función de su sector y ubicación geográfica.
- Políticas, procedimientos y procesos internos, definidos por la propia organización.
- Requisitos de clientes o partes interesadas, en caso de que existan compromisos contractuales relacionados con la seguridad de la información.
Estos requisitos proporcionan el marco de referencia para la auditoría interna y permiten detectar desviaciones o áreas de mejora dentro del SGSI.
Determinación del Alcance de la Auditoría
El alcance de la auditoría interna debe describir con claridad qué aspectos serán evaluados. Esto puede incluir:
- Ubicaciones físicas en las que se realizará la auditoría.
- Unidades organizativas que estarán involucradas en el proceso.
- Actividades y procesos que serán auditados.
- Periodo de tiempo cubierto por la auditoría.
Definir adecuadamente el alcance ayuda a garantizar que la auditoría sea efectiva y que proporcione información relevante sobre el estado del SGSI.
Selección de Auditores y Garantía de Independencia
La selección del equipo auditor es un aspecto crítico en el proceso de auditoría interna. Según la norma ISO 27001, los auditores deben ser independientes e imparciales, lo que significa que no pueden auditar funciones o procesos en los que tengan una participación directa.
Uno de los errores más comunes detectados en auditorías de certificación es que los auditores internos han desempeñado un papel clave en la implementación o mantenimiento del SGSI, lo que compromete su objetividad. Un auditor interno no puede auditar su propio trabajo, ya que esto podría generar sesgos en la evaluación y restar validez a los resultados obtenidos.
Para garantizar la independencia, algunas organizaciones recurren a auditores externos o establecen acuerdos de auditoría cruzada con otras empresas, asegurando una evaluación objetiva del SGSI.
Informe de Resultados de la Auditoría
Una vez finalizada la auditoría interna, es responsabilidad del auditor interno documentar los hallazgos y presentar un informe de auditoría a la alta dirección. Este informe debe incluir:
- Descripción de los hallazgos, incluyendo conformidades, no conformidades y oportunidades de mejora.
- Impacto de las no conformidades detectadas, detallando cómo afectan la seguridad de la información.
- Recomendaciones de mejora, proponiendo acciones correctivas y preventivas.
El objetivo de este informe es proporcionar información valiosa para la toma de decisiones y fomentar la mejora continua del SGSI.
Retención de Registros y Seguimiento
Como parte del proceso de auditoría, la organización debe mantener registros detallados sobre la planificación, ejecución y resultados de las auditorías internas. Estos registros no solo permiten evaluar el desempeño del SGSI a lo largo del tiempo, sino que también sirven como evidencia de cumplimiento en auditorías de certificación.
Además, la alta dirección debe asegurarse de que las acciones correctivas derivadas de la auditoría sean implementadas de manera efectiva y que se realicen seguimientos periódicos para verificar su cumplimiento.
Reflexión Final
La auditoría interna es una herramienta esencial dentro de un SGSI, ya que permite detectar áreas de mejora y garantizar el cumplimiento de la norma ISO 27001. Para que el proceso sea efectivo, es fundamental contar con un programa de auditoría bien estructurado, criterios claros, auditores independientes y una adecuada documentación de los hallazgos.
Una auditoría bien ejecutada no solo ayuda a cumplir con los requisitos normativos, sino que también fortalece la seguridad de la información dentro de la organización, reduciendo riesgos y garantizando la confiabilidad, integridad y disponibilidad de los activos de información.
Se recomienda consultar la norma ISO 19011:2018 para mayor orientación sobre cómo ejecutar auditorías a sistemas de gestión, esta norma da orientación sobre los principios de auditoría, la gestión de un programa de auditoría y la realización de auditorías del sistema de gestión, así como orientación sobre la evaluación de la competencia de las personas involucradas en el proceso de auditoría.

9.3 Revisión por la dirección
Revisión por la Dirección en un SGSI: Un Pilar para la Mejora Continua
La revisión por la dirección es un requisito clave dentro de la norma ISO 27001, establecido en la cláusula 9.3. Su propósito es garantizar que la alta dirección evalúe periódicamente el desempeño del Sistema de Gestión de Seguridad de la Información (SGSI) y tome decisiones estratégicas basadas en los resultados obtenidos.
Aunque la norma no exige que estas revisiones se realicen en reuniones formales, en la práctica resulta conveniente programarlas con periodicidad, asegurando la participación de las partes interesadas y facilitando la toma de decisiones informadas sobre la gestión de la seguridad de la información.
Frecuencia de las Revisiones
La norma ISO 27001 establece que la revisión por la dirección debe llevarse a cabo periódicamente, sin especificar un intervalo de tiempo determinado. Esto otorga flexibilidad a las organizaciones para definir la frecuencia de acuerdo con sus necesidades y el nivel de madurez del SGSI.
En sistemas recién implementados, donde se identifican numerosas acciones de mejora, es recomendable realizar revisiones mensuales o bimensuales para mantener un control detallado sobre los avances. Conforme el sistema madura y se estabiliza, las reuniones pueden espaciarse a períodos trimestrales o semestrales.
Además de la revisión formal por parte de la dirección, es importante que los responsables de los controles de seguridad y los propietarios de los riesgos revisen regularmente el desempeño del SGSI en sus respectivas áreas. Esto asegura una gestión proactiva y facilita la identificación temprana de oportunidades de mejora.
Participantes en la Revisión por la Dirección
Las reuniones de revisión deben contar con la presencia de personal de nivel gerencial que tenga un papel relevante en la gestión del SGSI. Generalmente, esto incluye:
- Gerentes operativos, responsables de la implementación de controles en sus áreas.
- Gerentes de TI, encargados de la infraestructura tecnológica y la seguridad de la información.
- Gerentes de seguridad de la información, quienes lideran la estrategia de seguridad.
- Gerentes de calidad, en caso de que el SGSI esté integrado con otros sistemas de gestión.
- Gerentes de recursos humanos, si el factor humano es un riesgo clave en la organización.
Las partes interesadas externas solo deben ser consideradas a nivel de gestión y consultadas cuando sea necesario. Es importante restringir la asistencia a aquellos directamente involucrados en la operación del SGSI, evitando incluir a miembros de la alta dirección que no tengan un interés específico en los aspectos operativos. Para ellos, se pueden programar reuniones anuales en las que se les proporcione una visión global del estado del sistema.
Contenido y Estructura de la Revisión
Para que una revisión por la dirección sea efectiva, debe seguir una agenda bien estructurada, abordando los temas clave que impactan el desempeño del SGSI. A continuación, se presenta un esquema típico de revisión basado en las mejores prácticas de ISO 27001:
1. Introducción y Propósito de la Reunión
- Explicación del objetivo de la reunión.
- Verificación de la lista de asistentes y confirmación de la presencia de los responsables clave.
2. Revisión de las Reuniones Anteriores
- Análisis de los informes de reuniones previas.
- Evaluación del estado de las acciones pendientes.
- Registro de acciones completadas y cierre de tareas finalizadas.
3. Análisis del SGSI y Gestión de Riesgos
- Revisión del alcance y objetivos del SGSI.
- Evaluación del desempeño general del SGSI, incluyendo avances en la mejora continua.
- Análisis de no conformidades y acciones correctivas implementadas.
- Revisión de recursos y presupuesto asignado al SGSI.
- Actualización del registro de riesgos, identificando riesgos pendientes y riesgos residuales.
- Evaluación de políticas y procedimientos de seguridad de la información para determinar su efectividad.
4. Métricas de Desempeño y KPI
- Análisis de indicadores clave de rendimiento (KPI) relacionados con la seguridad de la información.
- Revisión de incidentes recientes y análisis de causa raíz.
- Evaluación del impacto de las medidas correctivas implementadas.
5. Cierre de la Reunión
- Confirmación de las acciones acordadas y asignación de responsables.
- Definición de plazos para la ejecución de acciones correctivas.
- Programación de la próxima reunión de revisión.
Evidencia y Documentación de la Revisión
Como parte del cumplimiento con ISO 27001, la organización debe mantener registros de las revisiones por la dirección, ya que estos sirven como evidencia de la gestión proactiva del SGSI. Estos registros pueden incluir:
- Minutas de reunión con un resumen de los temas discutidos.
- Listas de tareas con acciones asignadas y fechas de seguimiento.
- Informes de desempeño con métricas clave y análisis de incidentes.
El auditor de certificación probablemente solicitará evidencia de estas revisiones durante el proceso de auditoría. Contar con documentación estructurada facilita la demostración de cumplimiento y refuerza la transparencia en la gestión de la seguridad de la información.
Reflexión Final
La revisión por la dirección es una herramienta esencial para asegurar que el SGSI no solo se mantenga, sino que evolucione y mejore con el tiempo. La clave del éxito radica en establecer revisiones periódicas, garantizar la participación de las partes clave y documentar los resultados de manera efectiva.
Un SGSI bien gestionado no solo cumple con los requisitos de ISO 27001, sino que también protege los activos de información de la organización, reduciendo riesgos y asegurando la continuidad operativa en un entorno cada vez más digital y amenazante.
No te detengas, sigue avanzando
Aprende con nuestros más de 100 cursos que tenemos disponibles para vos
¿Te gustaría enterarte de cuando lanzamos descuentos y nuevos cursos?

Sobre la autora
Romina Orlando
Con más de 20 años de experiencia en liderazgo, gestión financiera y empresarial. Brindo Educación y Consultoría a profesionales, bancos y empresas. Puedes seguirme en mis redes:
Compartimos estos recursos para ayudar a la comunidad. COMPARTE y Siéntete libre de agregar más sugerencias en los comentarios a continuación, respondemos todos y cada uno de los comentarios.