top of page
Buscar

ISO27001:2022 ¿Qué es el análisis PESTEL y para qué sirve?

  • Foto del escritor: Claudio Magagnotti
    Claudio Magagnotti
  • 20 abr
  • 3 Min. de lectura

El PESTEL es una herramienta que usás para analizar el contexto externo de una organización, es decir, los factores de afuera que pueden afectarla.

En el caso de ISO 27001:2022, lo usás para cumplir con la Cláusula 4.1, que te pide entender las cuestiones externas que influyen en el SGSI (Sistema de Gestión de Seguridad de la Información). PESTEL te ayuda a identificar esas cuestiones para que el SGSI sea realista y esté alineado con el entorno.


PESTEL significa:

  • Político

  • Económico

  • Sociológico

  • Tecnológico

  • Legal

  • Ambiental (o Environmental, en inglés)

Es como si estuvieras mirando el "clima" afuera antes de salir a navegar por el río:


  • Político: ¿Hay tormenta política que me complique?

  • Económico: ¿Tengo guita para el combustible?

  • Sociológico: ¿La gente está de humor para navegar?

  • Tecnológico: ¿Mi GPS anda o hay interferencias?

  • Legal: ¿Hay alguna ley que me prohíba entrar al río?

  • Ambiental: ¿Hay tormenta o inundación?


Si sabés todo eso, navegás tranqui y evitás problemas. Lo mismo con el SGSI, PESTEL te ayuda a prepararte para el "clima" externo.



Desglose de cada factor del PESTEL


Veamos cada factor, qué significa, y un ejemplo relacionado con ISO 27001:2022


Factor

Qué significa

Ejemplo en ISO 27001 (página 27)

Político

Factores políticos o gubernamentales que afectan la organización (políticas, regulaciones, estabilidad).

Marchas, protestas, o cambios en políticas gubernamentales que puedan afectar operaciones (ej. restricciones de trabajo remoto).

Económico

Factores económicos que influyen (inflación, costos, incentivos, competencia).

Incentivos del gobierno para ciberseguridad o impacto de una crisis económica (ej. pandemia afectando ventas).

Sociológico

Factores sociales y culturales (comportamiento, cultura laboral, expectativas).

Productividad de los clientes o ambiente laboral interno (ej. empleados que no están acostumbrados a políticas de seguridad).

Tecnológico

Factores tecnológicos (innovaciones, tendencias, ciberamenazas).

Ataques cibernéticos crecientes o el uso de plataformas colaborativas para trabajo remoto (ej. Zoom, que trae nuevos riesgos).

Legal

Factores legales y regulatorios (leyes, normativas, cumplimiento).

Legislación de protección de datos (ej. GDPR) que exige medidas específicas para la info de clientes.

Ambiental

Factores ambientales (desastres naturales, ubicación física).

Desastres como incendios o inundaciones que puedan afectar los servidores físicos de la organización.




¿Cómo usar esta magia en ISO 27001:2022?


Se usa principalmente para cumplir con la Cláusula 4.1, que te pide entender el contexto externo de la organización. Esto es clave para:


  • Definir el alcance del SGSI (Cláusula 4.3): Si hay leyes estrictas (factor Legal) o riesgos tecnológicos altos (factor Tecnológico), el alcance tiene que incluir esos aspectos.

  • Identificar riesgos (Cláusula 6.1): Los factores PESTEL te ayudan a ver amenazas externas (ej. un factor Legal como una nueva ley de datos puede generar riesgos de incumplimiento).

  • Alinear el SGSI con el entorno: El SGSI tiene que ser práctico y adaptarse a lo que pasa afuera (ej. si hay un factor Ambiental como inundaciones, necesitás controles físicos para proteger servidores).


Ejemplo práctico: Una organización que usa PESTEL descubre que hay un factor Tecnológico (aumento de ciberataques) y un factor Legal (nueva ley de protección de datos). Esto lleva a incluir en el SGSI controles como A.8.31 (monitoreo de eventos) y A.5.14 (transferencia de información).



Pasos para aplicar PESTEL en el SGSI



  1. Juntá info externa: Mirá cada factor PESTEL y anotá cómo afecta a la organización.

    • Ejemplo: Legal: ¿Hay nuevas leyes de datos? Tecnológico: ¿Hay más ciberataques?

  2. Analizá el impacto: ¿Cómo influye cada factor en la seguridad de la info?

    • Ejemplo: Una ley de datos (Legal) exige cifrado; un aumento de ciberataques (Tecnológico) pide más monitoreo.

  3. Relacioná con el SGSI: Usá los factores para definir el alcance (Cláusula 4.3) y los riesgos (Cláusula 6.1).

    • Ejemplo: Si hay riesgo de inundaciones (Ambiental), incluí controles físicos (A.7.1).

  4. Documentá: Esto forma parte del contexto externo (Cláusula 4.1) y lo usás para justificar decisiones en el SGSI.





 
 
 

Comentarios

Obtuvo 0 de 5 estrellas.
Aún no hay calificaciones
Agrega una calificación
bottom of page