ISMS Copilot
Glosario

¿Qué es la revisión por la dirección en ISO 27001?

Descripción general

La revisión por la dirección es una evaluación obligatoria realizada por la alta dirección para valorar la idoneidad, adecuación y eficacia continuas de su SGSI. Requerida por la cláusula 9.3 de ISO 27001:2022, garantiza que el liderazgo mantenga la supervisión e impulse mejoras estratégicas en la seguridad de la información.

Esta no es una reunión a nivel operativo; es una revisión formal realizada por ejecutivos y tomadores de decisiones que pueden asignar recursos y tomar decisiones estratégicas sobre su SGSI.

La revisión por la dirección en la práctica

La norma ISO 27001:2022 exige que la alta dirección revise el SGSI a intervalos planificados (normalmente anual o semestralmente) para garantizar que siga siendo apropiado para las necesidades de la organización y logre los resultados previstos.

La revisión examina si su SGSI es:

  • Idóneo: Alineado con el contexto, la estrategia y los objetivos de negocio de su organización

  • Adecuado: Con recursos y alcance suficientes para proteger los activos de información

  • Eficaz: Logra los objetivos de seguridad de la información y controla los riesgos

Las revisiones por la dirección deben documentarse con registros conservados que muestren las entradas consideradas, las decisiones tomadas y las acciones emprendidas.

Entradas obligatorias (Cláusula 9.3)

Su revisión por la dirección debe considerar:

Estado de las acciones de revisiones anteriores

Hacer un seguimiento de la finalización de las decisiones y los puntos de acción de la última revisión por la dirección.

Cambios en las cuestiones externas e internas

Revisar las actualizaciones del análisis de contexto de la Cláusula 4.1 (factores externos como nuevas regulaciones, ciberamenazas) y la Cláusula 4.2 (cambios internos como fusiones, nuevos sistemas).

Retroalimentación sobre el desempeño de la seguridad de la información

Examine:

  • Tendencias en no conformidades y acciones correctivas

  • Resultados de seguimiento y medición

  • Cumplimiento de los objetivos de seguridad de la información

  • Desempeño de los controles

Retroalimentación de las partes interesadas

Incluya las inquietudes de seguridad de los clientes, los comentarios de los reguladores, los requisitos de los socios y los informes de seguridad de los empleados.

Resultados de la evaluación de riesgos y estado del plan de tratamiento de riesgos

Revisar los riesgos nuevos o modificados, la eficacia de los tratamientos de riesgos y el progreso en la implementación de controles.

Oportunidades de mejora continua

Identificar áreas donde el SGSI pueda mejorarse en función de las lecciones aprendidas, las tecnologías emergentes o las mejores prácticas.

Omitir cualquier entrada requerida puede dar lugar a una no conformidad durante las auditorías de certificación. Asegúrese de que todas las entradas de la Cláusula 9.3 estén documentadas y sean consideradas.

Salidas obligatorias

Las salidas de la revisión por la dirección deben incluir decisiones y acciones relacionadas con:

  • Oportunidades de mejora continua: Iniciativas estratégicas para mejorar el SGSI

  • Necesidad de cambios en el SGSI: Actualizaciones del alcance, las políticas, los objetivos o los controles

  • Necesidades de recursos: Presupuesto, personal, herramientas o capacitación requerida

Ejemplo de salida: "Aprobar un presupuesto de 50.000 € para implementar la autenticación multifactor (MFA) en todos los sistemas para el tercer trimestre con el fin de abordar el aumento de los riesgos de phishing".

Quiénes participan

ISO 27001:2022 requiere que la "alta dirección" realice la revisión. Esto suele incluir a:

  • CEO, COO o ejecutivos equivalentes

  • CISO o Responsable de Seguridad de la Información (presenta los hallazgos)

  • Responsables de departamentos relevantes (TI, Legal, Cumplimiento, RR. HH.)

  • Propietarios de riesgos para activos críticos

Delegue la preparación al equipo del SGSI, pero asegúrese de que asistan los verdaderos tomadores de decisiones. La revisión pierde valor si los ejecutivos no están presentes para tomar decisiones sobre recursos y estrategia.

Las organizaciones pequeñas suelen tener al implementador del SGSI dentro de la alta dirección, por lo que la misma persona puede realizar la revisión por la dirección. ISO 27001 no prohíbe esto, pero crea un riesgo de segregación de funciones. Registre el riesgo en su registro de riesgos, documente la decisión de aceptarlo o tratarlo, y defina acciones de mitigación (por ejemplo, delegación futura de la propiedad de los controles, aportaciones externas o comprobaciones independientes periódicas).

Frecuencia y cronograma

Si bien ISO 27001:2022 requiere revisiones a "intervalos planificados", las mejores prácticas recomiendan:

  • Revisiones anuales como mínimo

  • Revisiones semestrales para organizaciones maduras o de alto riesgo

  • Revisiones adicionales tras incidentes importantes o cambios organizativos significativos

  • Programación previa a las auditorías de certificación para abordar cualquier brecha

Requisitos de documentación

La cláusula 9.3 requiere que conserve información documentada como evidencia de las revisiones por la dirección. Sus registros deben incluir:

  • Agenda de la reunión que demuestre que se cubrieron todas las entradas requeridas

  • Lista de asistencia que confirme la participación de la alta dirección

  • Resumen de las entradas presentadas (métricas, hallazgos de auditoría, cambios en los riesgos)

  • Decisiones tomadas y acciones asignadas con propietarios y plazos

  • Evidencia del seguimiento de las acciones anteriores

Utilice ISMS Copilot para generar agendas de revisión por la dirección, preparar resúmenes de entradas a partir de sus datos de SGSI o redactar planes de acción basados en las decisiones de la revisión.

Errores comunes a evitar

  • Delegar la revisión a mandos intermedios en lugar de a la alta dirección

  • Tratarla como una formalidad sin una discusión significativa

  • Omitir entradas obligatorias de la Cláusula 9.3

  • No documentar las decisiones y acciones

  • No realizar un seguimiento de los puntos de acción de revisiones anteriores

Términos relacionados

¿Te fue útil?