La norma internacional ISO 27001:2022, es un estándar internacional que proporciona un marco para la gestión de la Seguridad de la Información. Su Sección 9.1 de la norma ISO/IEC 27001:2022, titulada “Seguimiento, medición, análisis y evaluación”, forma parte del capítulo 9 sobre Evaluación del desempeño.
¿Qué exige la sección 9.1?
Esta sección establece que la organización debe determinar y llevar a cabo el seguimiento, medición, análisis y evaluación necesarios para:
- Evaluar el rendimiento y la eficacia del Sistema de Gestión de Seguridad de la Información (SGSI).
- Asegurar la mejora continua y el cumplimiento de los objetivos de seguridad de la información.
¿Por qué es crucial y cómo contribuye?
1. Permite medir la eficacia del SGSI
No se puede mejorar lo que no se mide. Esta sección obliga a las organizaciones a establecer indicadores objetivos para saber si los controles y procesos están funcionando correctamente.
2. Sustenta la toma de decisiones informadas
Gracias al seguimiento y análisis, la dirección puede basar sus decisiones en datos reales, no en suposiciones. Esto es clave para asignar recursos, priorizar acciones y gestionar riesgos.
3. Facilita la mejora continua
Al evaluar resultados y detectar desviaciones, se pueden identificar oportunidades de mejora. Esto asegura que el SGSI no se estanque y se adapte a nuevas amenazas, tecnologías o cambios organizativos.
4. Demuestra cumplimiento ante auditorías
Disponer de evidencias claras de medición y evaluación permite demostrar el cumplimiento con la norma ISO 27001, lo que es esencial para pasar auditorías externas y mantener la certificación.
5. Anticipa problemas antes de que sean críticos
El seguimiento regular ayuda a detectar fallos o ineficiencias antes de que se conviertan en brechas de seguridad. Es un mecanismo preventivo que protege los activos de información.
¿Cómo contribuye al SGSI?
| Contribución | Explicación |
| Objetividad | Aporta datos fiables para evaluar el rendimiento. |
| Transparencia | Proporciona visibilidad del estado de la seguridad de la información |
| Optimización | Permite ajustar procesos y controles para que sean más eficaces. |
| Dirección Estratégica | Orienta las decisiones hacia las áreas de mayor impacto. |
| Integración | Se alinea con otras áreas como gestión de riesgos (Sección 6) y mejora (Sección 10). |
Si necesita más información sobre como hacer el seguimiento, el análisis, la medición y evaluación según la norma ISO 27001, no dude en ponerse en contacto con nosotros.