Inicio Ethical Hacking Ciberseguridad ISO 27001 Blog

Cláusula 5 Liderazgo - ISO 27001

iso27001

La Cláusula 5 responde a algo simple: ¿la alta dirección realmente conduce el SGSI? La norma no busca un “sí” formal, sino un liderazgo que marca rumbo, integra la seguridad al negocio y mejora de forma continua.

5.1 Liderazgo y compromiso

La alta dirección demuestra que el SGSI no es un apéndice de TI sino parte de la estrategia. ¿Cómo?

  • Alinea política y objetivos de seguridad con la dirección estratégica.

  • Integra los requisitos del SGSI en los procesos (proyectos, compras, RR. HH., finanzas, operaciones).

  • Asegura recursos (personas, tiempo, presupuesto, tecnología).

  • Comunica la importancia de la seguridad y del propio SGSI.

  • Se hace responsable por los resultados esperados del sistema.

  • Dirige y apoya a las personas para contribuir a la eficacia.

  • Promueve la mejora continua.

  • Apoya a otros líderes para que ejerzan su rol en seguridad.

5.2 Política

La política de seguridad de la información es el norte del SGSI. Debe:

  • Ser apropiada al propósito de la organización.

  • Incluir objetivos o dar el marco para definirlos.

  • Comprometerse a cumplir requisitos aplicables (legales, regulatorios, contractuales).

  • Comprometerse con la mejora continua del SGSI.

  • Estar disponible como información documentada, comunicada internamente y accesible a partes interesadas cuando corresponda.

5.3 Roles organizacionales, responsabilidades y autoridades

La dirección asegura que las personas saben qué les toca en seguridad. En particular, debe quedar asignado quién:

  • Asegura que el SGSI cumple con ISO/IEC 27001.

  • Informa a la alta dirección sobre el desempeño del SGSI.

 

Mini-historia para aterrizarlo

Una empresa que entra a un mercado regulado decide fortalecer su SGSI.

5.1: la dirección integra el SGSI en la planificación anual, asigna presupuesto y pide avances trimestrales.

5.2: publica una política que guía objetivos y cumplimiento.

5.3: designa responsables (conformidad y reportes a dirección) y comunica los roles a toda la compañía.

Preguntas tipo examen

 

1. En 5.1 Liderazgo y compromiso, la alta dirección debe:

A. Delegar seguridad solo en TI
B. Reducir documentación al mínimo
C. Elegir herramientas sin gestión de riesgos
D. Integrar el SGSI en procesos del negocio y responsabilizarse por sus resultados

Explicación: 5.1 trata de estrategia, integración, recursos, comunicación y mejora.
Respuesta: D

La política de 5.2 debe:

A. Ser extensa y técnica
B. Publicarse solo para auditores
C. Limitarse a riesgos tecnológicos
D. Ser apropiada, incluir compromisos de cumplimiento y mejora, y comunicarse

Explicación: la política es el norte del SGSI: clara, aplicable y conocida.
Respuesta: D

Cierre

El liderazgo es el multiplicador del SGSI: fija rumbo, integra seguridad al negocio, da política clara y roles que hacen que el sistema funcione y mejore.

 

Fernando Conislla
Instructor Oficial ISO 27001 | Todos los niveles

Categories

All Categories cyber cybersecurity forense hacking infosec iso27001 malware osint owasp phishing