ISO 27001 FASE 9 Revisión por la dirección según ISO 27001

Bienvenidos a esta guía sobre ISO 27001 FASE 9 Revisión por la dirección según ISO 27001. Comparte este articulo y síguenos para recibir más guías y cursos.

Para saber más comente a continuación, respondemos todos y cada uno de los comentarios.

¿Te gustaría enterarte de cuando lanzamos descuentos y nuevos cursos?

• Facebook
• Twitter
• LinkedIn
• Telegram
• TikTok
• YouTube
• Instagram

Fase 9: Revisión por la Dirección según ISO 27001

La revisión del sistema por parte de la alta dirección es un requisito clave dentro del estándar ISO 27001. Específicamente, se encuentra en el capítulo 9, en el apartado 9.3 Revisión de Gestión. Esta etapa es esencial para garantizar que el Sistema de Gestión de Seguridad de la Información (SGSI) se mantenga alineado con los objetivos estratégicos de la organización y continúe siendo eficaz ante los cambios del entorno.

Importancia de la Revisión del Sistema

La revisión del sistema de gestión suele ser un aspecto que pasa desapercibido o que no recibe la atención que merece. En muchos casos, las empresas lo ven simplemente como un requisito formal para cumplir con la certificación, sin aprovechar su verdadero potencial.

Sin embargo, esta revisión es lo que mantiene vivo al SGSI, permitiendo su evolución y adaptación a nuevas amenazas, requisitos regulatorios y necesidades organizacionales. Cuando la dirección se involucra activamente en este proceso, la seguridad de la información deja de ser solo un tema técnico y se convierte en una prioridad estratégica.

Lamentablemente, es frecuente que la revisión se haga únicamente para satisfacer a los auditores externos, perdiendo así una valiosa oportunidad para que la alta dirección participe en la toma de decisiones clave relacionadas con la seguridad de la información.

Objetivo de la Revisión por la Dirección

La revisión del SGSI tiene un doble propósito:

1. Garantizar la adecuación y efectividad del sistema. Se debe evaluar si el SGSI sigue cumpliendo su propósito y si es capaz de abordar los riesgos de seguridad de manera eficaz.
2. Revisar la validez de los problemas identificados y los riesgos de la organización. Aunque estos aspectos ya se han tratado en otras fases del estándar, como en 4.1 La Organización y su Contexto, 4.2 Requisitos de las Partes Interesadas y 6.1 Gestión de Riesgos, aquí se busca analizar el impacto real de la gestión y tomar decisiones estratégicas basadas en datos y resultados concretos.

Esta evaluación permite que la alta dirección tome decisiones informadas sobre la seguridad de la información, asegurando que el SGSI continúe mejorando y alineándose con los objetivos organizacionales.

La Revisión de la Dirección como Parte de la Mejora Continua

El enfoque de mejora continua es fundamental en ISO 27001. Aunque en la versión más reciente del estándar ya no se menciona explícitamente el Ciclo de Deming (PDCA: Plan, Do, Check, Act), este sigue implícito en toda la estructura del SGSI.

El estándar enfatiza este concepto en el punto 10.2 de la norma, donde se establece que:

“La organización debe mejorar de manera continua la idoneidad, adecuación y eficacia del sistema de gestión de la seguridad de la información.”

El Ciclo PDCA en la Estructura de la Norma

Plan (Planificar)

La planificación del sistema de gestión de seguridad de la información se encuentra reflejada en varios capítulos de ISO 27001, tales como:

• Capítulo 4: Análisis del contexto de la organización
• Capítulo 5: Liderazgo
• Capítulo 6: Planificación del sistema
• Capítulo 7: Soporte (recursos del sistema)

Dentro del proceso de implementación del SGSI, esta fase corresponde a:

• Fase 1: Auditoría inicial ISO 27001 (GAP Analysis)
• Fase 2: Análisis del contexto organizacional y determinación del alcance
• Fase 3: Elaboración de la política y objetivos del SGSI
• Fase 4: Planificación del SGSI

Do (Hacer)

Aquí se implementa el sistema de gestión, documentando los procesos, estableciendo controles de seguridad y asignando roles y responsabilidades. En la norma ISO 27001, esto se relaciona con el Capítulo 8: Operación.

Las fases prácticas de esta etapa incluyen:

• Fase 5: Documentación del SGSI
• Fase 6: Implementación del SGSI
• Fase 7: Formación y sensibilización sobre seguridad de la información

Check (Monitorizar)

Este es el punto clave dentro del ciclo de mejora continua, ya que implica la evaluación del desempeño del SGSI. La norma exige establecer controles y métricas para verificar que los procesos de seguridad están funcionando correctamente.

En ISO 27001, esto se encuentra en el Capítulo 9: Evaluación del Desempeño, el cual se implementa a través de:

• Fase 8: Auditoría interna según ISO 27001
• Fase 9: Revisión del sistema por la dirección

Act (Actuar)

Para que el ciclo de mejora continua sea efectivo, no basta con identificar problemas. Es fundamental establecer acciones correctivas y planes de mejora para solucionar cualquier deficiencia detectada.

En la norma, esta fase corresponde al Capítulo 10: Mejora, que se enfoca en definir medidas correctivas y estrategias de optimización del SGSI.

Resumen

Un SGSI eficaz no se basa solo en cumplir con los requisitos de la norma, sino en aplicar un enfoque estructurado y en constante evolución. La clave es asegurarse de que el sistema sigue un proceso de mejora continua, siguiendo los cuatro pilares del ciclo PDCA.

Desde las primeras etapas, un SGSI debe contar con:

• Políticas claras de seguridad de la información y un análisis de riesgos adecuado.
• Medidas de seguridad mínimas para proteger la información y cumplir con los requisitos normativos.
• Una revisión periódica del sistema, que incluya seguimiento de objetivos y acciones correctivas para fortalecer la seguridad de la información.

La revisión por parte de la dirección no es un simple trámite, sino una oportunidad para reforzar la seguridad de la información dentro de la organización y garantizar que el SGSI se mantenga alineado con sus necesidades y riesgos reales.

Aspectos Clave a Considerar en la Revisión del SGSI

La revisión del Sistema de Gestión de Seguridad de la Información (SGSI) por parte de la dirección es un proceso esencial para asegurar su alineación con los objetivos estratégicos de la organización y su adecuación a las amenazas y desafíos emergentes. Para que esta revisión sea efectiva, es fundamental que siga una estructura que cumpla con los requisitos de ISO 27001, aunque también puede integrarse en un informe de mayor nivel que abarque otros estándares como ISO 9001 o regulaciones de cumplimiento legal como el RGPD.

El proceso de revisión debe estar respaldado por datos concretos y evidencias documentadas, utilizando diversas fuentes de información. Estas pueden incluir informes de auditoría interna, acciones correctivas y su estado actual, cambios internos y externos que afecten la seguridad de la información, resultados de mediciones de desempeño, incidentes de seguridad recientes, recursos necesarios, y oportunidades de mejora detectadas en evaluaciones anteriores.

Elementos Claves en la Revisión del SGSI

De acuerdo con ISO 27001, la revisión de la gestión debe considerar los siguientes aspectos esenciales:

• El estado de las acciones de revisiones anteriores. Es importante evaluar qué medidas se implementaron tras la última revisión y cuál ha sido su impacto.
• Cambios en el entorno interno y externo. Se deben analizar factores que puedan afectar la seguridad de la información, como nuevos riesgos, cambios normativos, o alteraciones en la infraestructura tecnológica.
• Desempeño del SGSI. Esto incluye tendencias en no conformidades, efectividad de las acciones correctivas, cumplimiento de objetivos y resultados de auditorías internas.
• Retroalimentación de partes interesadas. Puede provenir de clientes, empleados, auditores o cualquier actor relevante dentro del ecosistema del SGSI.
• Evaluación de riesgos y estado del plan de tratamiento de riesgos. Se deben analizar los riesgos emergentes y la efectividad de las estrategias implementadas para su mitigación.
• Oportunidades de mejora continua. Se deben identificar nuevas estrategias, tecnologías o metodologías que permitan fortalecer la seguridad de la información.

Planificación de Auditorías y Seguimiento del SGSI

Aunque no es un requisito obligatorio dentro de ISO 27001, es altamente recomendable incluir dentro de la revisión de gestión la planificación de futuras auditorías. Esto permitirá establecer un cronograma claro para las próximas evaluaciones y garantizar un monitoreo continuo del sistema.

Decisiones Clave en la Revisión del SGSI

El resultado de la revisión de gestión debe traducirse en decisiones concretas que guíen la mejora del sistema. Algunas de las decisiones más relevantes incluyen:

• Evaluar si el SGSI ha cumplido sus objetivos y si estos siguen siendo adecuados.
• Identificar mejoras necesarias en procesos, controles y estrategias.
• Determinar si es necesario ajustar el alcance del SGSI para incluir nuevos activos, áreas o procesos.
• Aprobar recursos adicionales para garantizar el cumplimiento de los controles de seguridad.
• Decidir si es necesario realizar modificaciones en documentos clave, como políticas de seguridad, procedimientos o normativas internas.

No obstante, la revisión del SGSI no debe limitarse a estos puntos. Se trata de una oportunidad invaluable para sensibilizar a la alta dirección sobre la importancia de la seguridad de la información, presentar desafíos actuales y obtener el respaldo necesario para su fortalecimiento.

Más Allá del Cumplimiento: Construcción de una Cultura de Seguridad

Uno de los errores más comunes es considerar la revisión de gestión como un simple requisito normativo. Sin embargo, si se usa estratégicamente, esta instancia puede convertirse en una poderosa herramienta para involucrar a los directivos en la toma de decisiones sobre seguridad de la información.

Es el momento ideal para presentar alternativas estratégicas, exponer dificultades y obtener apoyo en la implementación de mejoras. Además, facilita la alineación del SGSI con los objetivos del negocio, garantizando que la seguridad de la información no sea vista como un obstáculo, sino como un habilitador del éxito organizacional.

En conclusión, una revisión del SGSI bien estructurada no solo ayuda a cumplir con ISO 27001, sino que también fortalece la gobernanza de la seguridad, mejora la toma de decisiones estratégicas y fomenta una cultura de seguridad en toda la organización.

Frecuencia y Consideraciones para la Revisión del SGSI

Uno de los aspectos fundamentales en la gestión del Sistema de Gestión de Seguridad de la Información (SGSI) es definir con qué periodicidad se deben llevar a cabo las revisiones de la alta dirección. La norma ISO 27001 establece un requisito mínimo de una revisión anual, aunque es recomendable realizarla con mayor frecuencia si se presentan cambios significativos que puedan afectar la seguridad de la información.

Sin embargo, la periodicidad ideal debe ser definida por cada organización según sus necesidades específicas y su contexto operativo. En algunos casos, un intervalo demasiado amplio entre revisiones puede derivar en una acumulación excesiva de tareas y en una mayor dificultad para identificar y corregir fallos en el SGSI a tiempo.

Recomendaciones para Definir la Frecuencia de Revisión

Para evitar que la revisión se convierta en un proceso excesivamente complejo y demandante, es recomendable adoptar un enfoque más ágil. Una buena práctica consiste en realizar revisiones parciales o focalizadas en ciertos objetivos al menos cada trimestre, lo que permite detectar posibles deficiencias de manera más temprana y optimizar la toma de decisiones.

Además, desde el punto de vista de la certificación, es importante recordar que durante la Fase 1 de la auditoría, se debe presentar evidencia de que las revisiones se han estado llevando a cabo regularmente. Por lo tanto, mantener una frecuencia adecuada también facilita el cumplimiento de este requisito normativo.

Consideraciones Prácticas para la Revisión del SGSI

Cada empresa puede adaptar el proceso de revisión del SGSI a sus propias necesidades y estructura organizativa. Sin embargo, existen algunas buenas prácticas que pueden ayudar a optimizar este proceso:

• Definir la frecuencia adecuada. Aunque el requisito mínimo es una revisión anual, se recomienda aumentar la frecuencia en función de los cambios en el entorno y la complejidad de la organización.
• Evitar combinar múltiples revisiones de gestión. Si bien puede parecer eficiente fusionar la revisión del SGSI con otras revisiones como las de ISO 9001 (Gestión de Calidad) o ISO 22301 (Continuidad del Negocio), esto puede restar enfoque a cada una de ellas. En su lugar, es preferible realizarlas de manera secuencial en el mismo día o en sesiones distintas.
• Documentar adecuadamente los resultados. En la mayoría de las organizaciones, unas simples actas de reunión pueden ser suficientes. No obstante, en empresas más grandes puede ser necesario un procedimiento formal con documentación estructurada sobre las decisiones tomadas.
• Comunicar los resultados. Es esencial que los hallazgos de la revisión sean compartidos con los empleados y terceros relevantes. Esto puede hacerse a través de correos electrónicos, reuniones internas o sesiones informativas.
• Asignar responsabilidades claras. La preparación de los informes y materiales necesarios para la revisión suele recaer en el Director de Seguridad de la Información o en el Coordinador de Continuidad del Negocio. Sin embargo, en empresas más grandes, esta tarea puede distribuirse entre varios jefes de departamento.
• Planificar con anticipación. Para asegurar que toda la información necesaria esté disponible, es fundamental anunciar y coordinar las revisiones con suficiente antelación.

Conclusión

El éxito de una revisión del SGSI no solo depende de su cumplimiento formal, sino de la eficacia con la que se utilice como herramienta de mejora continua. Mantener una frecuencia adecuada y estructurar correctamente el proceso de revisión permite fortalecer la seguridad de la información, anticiparse a riesgos emergentes y garantizar que el SGSI siga siendo efectivo y alineado con los objetivos de la organización.

No te detengas, sigue avanzando

Aquí tienes un propósito para este 2025 que debes considerar seriamente: si has querido mejorar tus habilidades en hacking, Ciberseguridad y programación ahora es definitivamente el momento de dar el siguiente paso. ¡Desarrolla tus habilidades aprovechando nuestros cursos a un precio increíble y avanza en tu carrera! El mundo necesita más hackers…

¿Quieres iniciarte en hacking y ciberseguridad pero no sabes por dónde empezar? Inicia leyendo nuestra guia gratuita: Cómo Iniciarse en Hacking y Ciberseguridad en 2025 que te lleva de 0 a 100. Desde los fundamentos más básicos, pasando por cursos, recursos y certificaciones hasta cómo obtener tu primer empleo.

Hemos creado una ruta de 0 a 100. Un plan de desarrollo que va desde las bases: cómo aprender hacking, qué aprender, en qué orden; pasando por las areas técnicas necesarias como Linux, Redes, Programación y los conocimientos necesarios en ciber seguridad, hacking, pentesting hasta la práctica y el inicio laboral: Crear tu propio laboratorio, certificaciones, adquirir experiencia e iniciarse laboralmente.

Hacker de 0 a 100 desde las bases hasta conseguir empleo

Este es un mega post. Una guía con más de 400 artículos que te llevaran por el camino del hacker. Esta guía es gratuita y esta creada gracias al esfuerzo y al trabajo combinado de Alvaro Chirou y mío (Laprovittera Carlos).

Creamos esta guía: Cómo Iniciarse en Hacking y Ciberseguridad en 2025 y curso: Cómo iniciarse en Hacking y Ciberseguridad para que puedas iniciarte en este mundo. Puedes arrancar ahora, GRATIS, solo necesitas un PC, conexión a internet y paciencia (Ser hacker NO ES un camino de la noche a la mañana).

El Hacking y la ciberseguridad es una carrera divertida, emocionante y gratificante que te recompensará y desafiará por igual. Sin embargo, para quienes buscan adentrarse en este campo en auge y en constante evolución, puede resultar difícil saber por dónde empezar. ¡Ahí es donde entra en juego nuestra guía en ciberseguridad!

Esta es la hoja de ruta hacia el trabajo de ciberseguridad de tus sueños. Te ayudará a entender qué conocimientos, habilidades y certificados son necesarios para alcanzar tus metas profesionales y tener una carrera próspera. Si quieres ser consultor de ciberseguridad, analista de malware, evaluador de penetración, analista de SOC o cualquier otro puesto de ciberseguridad, esta guía es lo que necesitas.

Esta guía va a tener una actualización constante durante todo el año. Para no hacer de esta guía un post maratónicamente largo voy a dividirlo en varios capítulos que van desde como iniciar en hacking y ciberseguridad, pasando por conocimientos básicos como Redes, Linux, Programación, Hasta como obtener certificaciones y trabajo. Cada capítulo contiene links a otros posts en donde desarrollo mejor cada tema y a webs externas que complementan este material.

Lo que vas a aprender en esta guía de Hacking y Ciberseguridad

Esta es la guía completa de Cómo Iniciarse en Hacking y Ciberseguridad en 2025:

• La mejor forma de Aprender Hacking y Ciberseguridad en 2025
• Lo que tienes que saber antes de empezar tu vida de hacker
• Habilidades y Competencias que debe tener un Hacker Profesional
• El Camino del Hacker – Las 3 etapas de una carrera exitosa
• Inicia tu carrera como Hacker – GENERAL CYBER SECURITY
• Qué es Realmente el Hacking y Cómo Puedo Trabajar Legalmente
• Tipos de Hackers y Teams
• Cómo Iniciarse en Hacking y Redes en 2025
• Hardware para Hacking de Redes
• Cómo Iniciarse en Hacking y Linux en 2025
• Cómo Iniciarse en Hacking y Programación en 2025
• Python para hackers en 2025
• Cómo Aprender Inglés para Hackers: Guía Definitiva 2025
• Arma tu PC ideal para Hacking en 2025
• Cómo crear un Laboratorio de Hacking en 2025
• Las 500 Mejores Herramientas para Hackers
• Cómo obtener Práctica como Hacker en 2025
• Cómo Iniciarse en CTF en 2025 y Aprender a Hackear practicando
• Mas de 100 Webs de CTF para Practicar hacking en 2025
• Cómo Obtener tus Primeras Certificaciones en 2025
• Las 10 Mejores Certificaciones de Hacking en 2025
• IA y Hacking en 2025
• OSINT en 2025 Guía Definitiva
• Hardware para Hackers en 2025
• Guia Definitiva de Flipper Zero
• Cómo Iniciarse como Pentester en 2025
• Iniciarse como Pentester en 2025 – Reconocimiento y Enumeración
• Cómo Identificar Sistemas Vulnerables y Recopilar información
• Explotación de Vulnerabilidades con Metasploit
• Post Explotación, Pivoting y Movimiento Lateral
• Reporte del Pentest, Remediación y Seguimiento
• Inicia en hacking y ciberseguridad como analista SOC en 2025
• Cómo Conseguir Trabajo de Hacker en 2025
• Como Iniciarse en Bug Bounty en 2025
• Cómo Aumentar tu Salario Pasando de Hacker Jr a Sr
• Cómo Avanzar en tu Carrera de Hacker y llegar a ser CISO
• SIGUE APRENDIENDO EN NUESTRO BLOG
  

Aprende con nuestros más de 100 cursos que tenemos disponibles para vos

Todos los Cursos

¿Te gustaría enterarte de cuando lanzamos descuentos y nuevos cursos?

Sobre los autores

Álvaro Chirou

Yo soy Álvaro Chirou, tengo más de 20 Años de experiencia trabajando en Tecnología, eh dado disertaciones en eventos internacionales como OWASP, tengo más de 2.000.000 estudiantes en Udemy y 100 formaciones profesionales impartidas en la misma. Puedes seguirme en mis redes:

• Facebook
• Twitter
• LinkedIn
• Telegram
• TikTok
• YouTube
• Instagram

Laprovittera Carlos

Soy Laprovittera Carlos. Con más de 20 años de experiencia en IT brindo Educación y Consultoría en Seguridad de la Información para profesionales, bancos y empresas. Puedes seguirme en mis redes:

• LinkedIn
• Twitter
• Telegram
• Instagram

Compartimos estos recursos para ayudar a la comunidad de hacking y ciberseguridad. COMPARTE y Siéntete libre de agregar más sugerencias en los comentarios a continuación, respondemos todos y cada uno de los comentarios.