Resumen holístico de ISO 27001:2022: Lo que tenés que saber como auditor

La ISO 27001:2022 es como un mapa para armar un SGSI (Sistema de Gestión de Seguridad de la Información) que cuide la info de la organización como si fuera un tesoro.

Como auditor (Internal o Lead), tu trabajo es asegurarte de que el sistema funcione... que esté bien implementado y que mejore constantemente.

Pensá en el SGSI como un partido de fútbol: la dirección es el DT (Cláusula 5), los riesgos y controles son las jugadas (Cláusulas 6-8), y vos como auditor sos el árbitro que se asegura de que todo se juegue limpio (Cláusula 9). Como Lead Auditor, también sos el capitán del equipo de árbitros: liderás, resolvés problemas, y te asegurás de que el partido salga joya.

1. Fundamentos del SGSI: La base de todo

El SGSI es un sistema para proteger la info, y ISO 27001:2022 te da los requisitos para armarlo y mantenerlo.

Los conceptos básicos son:

• Confidencialidad, Integridad, Disponibilidad (CID): Esto es el corazón de la seguridad.
  

  • Confidencialidad: Solo los autorizados acceden (ej. pregunta sobre "inaccesible a no autorizados").

  • Integridad: La info no se altera (exactitud y completitud).

  • Disponibilidad: La info está cuando la necesitás (ej. pregunta sobre "accesible cuando sea necesaria").
    

• Objetivos del SGSI: Tienen que estar alineados con CID, pero también con las metas estratégicas de la organización y la política de seguridad. Sirven para medir cómo anda el sistema y los controles.
  

2. Estructura de ISO 27001:2022: Las cláusulas y el PHVA

El estándar sigue el ciclo PHVA (Planificar-Hacer-Verificar-Actuar), y las cláusulas 4 a 10 son el esqueleto del SGSI.

• Cláusula 4: Contexto

  • Definís el entorno (interno y externo, ej. PESTEL), las partes interesadas y el alcance del SGSI.

    • Ejemplo: Preguntas sobre el alcance (Cláusula 4.3) y las necesidades de las partes interesadas (Cláusula 4.2).
      

• Cláusula 5: Liderazgo

  • La alta dirección tiene que liderar: definir la política de seguridad (Cláusula 5.2) y mostrar compromiso (Cláusula 5.1).

    • Ejemplo: Preguntas sobre la política (es un documento estratégico, debe estar disponible) y la revisión por la dirección (Cláusula 9.3).
      

• Cláusula 6: Planificación

  • Acá entra la gestión de riesgos (Cláusula 6.1) y los objetivos (Cláusula 6.2).

    • Ejemplo: Preguntas sobre el proceso de riesgos (basado en ISO 31000) y los objetivos del SGSI.
      

• Cláusula 7: Soporte

  • Recursos, competencia, concienciación, comunicación y información documentada (manuales, procedimientos, registros).

    • Ejemplo: Qué incluye la información documentada? Todo! : Políticas, registros, etc.).
      

• Cláusula 8: Operación

  • Ejecutás lo planificado: implementás controles, tratás riesgos. Es decir, hago lo planificado, evalúo y trato riesgos...

    • Ejemplo: Ejecutar procesos, recolectar registros
      

• Cláusula 9: Evaluación

  • Verificar si el SGSI funciona bien. Monitoreás (Cláusula 9.1), hacés auditorías internas (Cláusula 9.2) y la dirección revisa (Cláusula 9.3). En resumen, mido, audito y la dirección revisa...

    • Ejemplo: verificar conformidad
      

• Cláusula 10: Mejora

  • Actuar para corregir problemas y mejorar el SGSI. Entonces, corrijo no conformidades y mejoro siempre.

    • Ejemplo: Tomando el PHVA, mejoramiento continuo.

3. Gestión de riesgos: El núcleo del SGSI

La gestión de riesgos es el eje de ISO 27001:2022

• Proceso de gestión de riesgos (basado en ISO 31000 y 27005):
  

  • Establecer contexto, identificar activos, amenazas y vulnerabilidades, evaluar riesgos (impacto y probabilidad), tratarlos.

    • Ejemplo: Enfoques de identificación (basado en eventos o activos/amenazas/vulnerabilidades) y opciones de tratamiento (evitar, asumir, modificar, compartir, retener).
      

  • Relación con controles: A mayor riesgo, más controles necesitás (Anexo A). La evaluación asegura que no gastes en controles innecesarios, ahorras "tiempo y dinero".
    

  • Actualización constante: Los riesgos cambian, así que hay que reevaluarlos y actualizar la SoA. No existe una definición sobre "cada cuánto tiempo" debería reevaluarlos, sin embargo, debe ser dinámico.

4. Controles del Anexo A: Proteger la info

El Anexo A de ISO 27001:2022 tiene 93 controles, agrupados en 4 dominios: Organizacionales, Personas, Físicos, Tecnológicos. 

Dentro de los contoles obligatorios podemos mencionar:

5. Auditorías: El foco del Lead Auditor

Si estás actuando en el equipo como "Lead Auditor", tu rol es más estratégico que el "Internal Auditor".

• Programa de auditoría

  • Definís objetivos, alcance, riesgos (ej. falta de cooperación del auditado).

  • Asignás equipos, seleccionás métodos, y mantenés registros.

    • Ejemplo: Preguntas sobre el propósito del programa (verificar conformidad) y su gestión (manejar riesgos, asignar equipos).
      

• Planificación (Cláusula 6):

  • Armás un plan con objetivos, alcance, criterios, cronograma.

  • Considerás riesgos y confidencialidad.

    • Ejemplo: Preguntas sobre el plan de auditoría y reuniones de apertura/cierre
      

• Ejecución:

  • Recolectás evidencia (observación, entrevistas, registros).

  • Manejás quilombos (ej. auditado que no colabora).

    • Ejemplo: Preguntas sobre entrevistas, evidencia objetiva, y manejo de situaciones difíciles.
      

• Reporte y seguimiento:

  • El informe incluye hallazgos y conclusiones.

  • No conformidades se redactan con evidencia, referencia y conclusión.

  • Seguimiento: Verificás acciones correctivas.

    • Ejemplo: Preguntas sobre informes, no conformidades, y seguimiento.

6. Implementación del SGSI: Pasos clave

¿Cómo se arma un SGSI?

El orden a tener en cuenta en la implementación impleca preparar un SOA (Statement of Application), luego definir alcance, definir la política, valorar los riesgos y por último seleccionar controles.

Sin embargo, existen algunos pasos visibles anteriores:

• Caso de Negocio (esto permite justificar el SGSI).

• Diagnóstico (análisis GAP para ver brechas).

• Enfoque PHVA (implementar y mejorar).

Existe documentación clave y obligatoria que sería:

• Alcance del SGSi

• Política de Seguridad de la Información Objetivos de Seguridad de la Información

• Análisis y Evaluación de Riesgos

• Plan de tratamiento del Riesgo

• Declaración de Aplicabilidad (SoA - Statement of Applicability)

Además de ellos, también se consideran obligatorios algunos controles específicos como:

• Política de clasificación de la información Control 5.12

• Política de control de accesos Control 5.15 y 8.1

• Política sobre uso aceptable de los activos informáticos Control 5.10

• Procedimientos operativos de seguridad informática Control 5.34 - Seguridad en operaciones

• Política de gestión de accesos (usuarios, privilegios) Controles 5.15 y A.8.2

• Política sobre criptografía y gestión de claves Control 8.24 - Uso de criptografía

• Política de seguridad física y ambiental Controles 7.x - Seguridad física

• Política y procedimiento para seguridad de recursos humanos (concienciación, contratación y desvinculación empleados) Control 6 - Seguridad personas

• Procedimiento gestión de incidentes de seguridad Control 5.26 - Gestión incidentes

• Procedimientos para continuidad del negocio Control 5.29 - Continuidad negocio y recuperación ante desastres

Y por último podemos mencionar los registros mínimos obligatorios:

• Registro de formación y concienciación en seguridad.

• Registros de incidentes de seguridad

• Registros de auditorías internas

• Registro de revisión de gestión del SGSI

• Registros de resultados de auditorías internas

• Registro de no conformidades y acciones correctivas

7. Normas relacionadas

Varias normas complementan ISO 27001:2022:

• ISO 27002:2022: Guía para implementar controles del Anexo A.

• ISO 27003:2017: Guía para diseñar e implementar el SGSI.

• ISO 27005: Gestión de riesgos específica para seguridad de la información.

• ISO 31000:2018: Principios generales de gestión de riesgos.

• ISO 19011:2018: Guía para auditorías.

Visión holística: Todo conectado

Bueno ahora repasamos todo lo importante, podemos conectar todo, entonces podemos deducir que la ISO 27001:2022 es como armar un rompecabezas:

1. Empezás con el contexto (Cláusula 4): Sabés dónde estás parado (PESTEL, partes interesadas, alcance).
   

2. La dirección lidera (Cláusula 5): Define la política y se compromete.
   

3. Planificás (Cláusula 6): Identificás riesgos, definís objetivos, y elegís controles.
   

4. Hacés (Cláusula 8): Implementás los controles (Anexo A).
   

5. Verificás (Cláusula 9): Monitoreás, auditás, y la dirección revisa.
   

6. Mejorás (Cláusula 10): Corregís y seguís creciendo.