Inicio Ethical Hacking Ciberseguridad ISO 27001 Blog

Cláusula 6 Planificación - ISO 27001

iso27001

La Cláusula 6 define cómo planificar el SGSI para que logre sus resultados: identificar riesgos y oportunidades, evaluar y tratar los riesgos, fijar objetivos medibles y gestionar cambios de forma controlada.

6.1 Acciones para abordar riesgos y oportunidades

6.1.1 Generalidades

Al planificar el SGSI, la organización considera los asuntos de 4.1 y los requisitos de 4.2 para determinar riesgos y oportunidades que permitan:

a) asegurar que el SGSI alcance sus resultados esperados,
b) prevenir o reducir efectos no deseados, y
c) lograr la mejora continua.

Se planifican acciones para abordar esos riesgos y oportunidades, definiendo cómo integrarlas en los procesos del SGSI y cómo evaluar su eficacia.

6.1.2 Evaluación del riesgo de seguridad de la información

La organización define y aplica un proceso de evaluación del riesgo que:

  • Establece criterios de riesgo (incluye criterios de aceptación del riesgo y criterios para realizar evaluaciones).

  • Asegura que las evaluaciones repetidas produzcan resultados consistentes, válidos y comparables.

  • Identifica riesgos asociados a pérdida de confidencialidad, integridad y disponibilidad dentro del alcance, e identifica propietarios de los riesgos.

  • Analiza riesgos (consecuencias, probabilidad y nivel de riesgo).

  • Evalúa riesgos comparándolos con los criterios y prioriza para tratamiento.

  • Mantiene información documentada sobre el proceso.

El resultado esperado es una priorización clara de riesgos conforme a criterios acordados.

6.1.3 Tratamiento del riesgo de seguridad de la información

La organización define y aplica un proceso de tratamiento para:

  • Seleccionar opciones de tratamiento considerando los resultados de la evaluación de riesgos.

  • Determinar todos los controles necesarios para implementar las opciones elegidas (pueden diseñarse internamente o tomarse de cualquier fuente).

  • Comparar los controles determinados con los del Anexo A y verificar que no se hayan omitido controles necesarios.

  • Producir la Declaración de Aplicabilidad (SoA) con:

    • Controles necesarios (de 6.1.3 b y c),

    • Justificación para su inclusión,

    • Estado de implementación, y

    • Justificación de exclusiones del Anexo A.

  • Formular un plan de tratamiento.

  • Obtener aprobación de los propietarios de los riesgos y aceptación de los riesgos residuales.

  • Mantener información documentada del proceso.

Este enfoque se alinea con ISO 31000.

6.2 Objetivos de seguridad de la información y planificación para lograrlos

Se establecen objetivos en funciones y niveles relevantes que:

  • sean consistentes con la política,

  • sean medibles (si es factible),

  • consideren los requisitos aplicables y los resultados de evaluación y tratamiento del riesgo,

  • sean monitorizados, comunicados, actualizados cuando corresponda y documentados.

Para planificar su logro se determina: qué se hará, recursos requeridos, responsables, plazos y cómo se evaluarán los resultados.

6.3 Planificación de cambios

Cuando se determinen cambios en el SGSI, estos se realizan de manera planificada, evitando alteraciones no controladas que afecten el desempeño del sistema.

Ejemplo breve (1 riesgo → 1 control → 1 objetivo)

  • Riesgo (6.1.2): acceso no autorizado a panel administrativo por robo de contraseñas.

  • Tratamiento (6.1.3): reducir el riesgo mediante autenticación multifactor (MFA) para cuentas con privilegios; comparación con Anexo A para confirmar cobertura; SoA con control “aplicado” y sin exclusiones; plan de despliegue y verificación.

  • Objetivo (6.2): “Alcanzar ≥95% de cuentas con MFA activo en Q2”; con recursos, responsable y criterio de evaluación definidos.

Preguntas tipo examen

1. La clausula 6.1.2 Evaluación del riesgo exige, entre otros, que la organización:

A. Elija controles del Anexo A sin analizar riesgos
B. Defina criterios de riesgo, identifique, analice y evalúe riesgos, y priorice su tratamiento
C. Use siempre la misma matriz que otra empresa
D. Centre la evaluación solo en disponibilidad

Explicación: 6.1.2 establece criterios, identificación, análisis, evaluación y priorización consistentes.

Respuesta: B

2. En 6.1.3 Tratamiento del riesgo, la Declaración de Aplicabilidad (SoA) debe incluir:

A. Controles necesarios, justificación, estado de implementación y exclusiones del Anexo A
B. Solo los controles implementados
C. Objetivos y KPIs
D. Proveedores aprobados

Explicación: La SoA evidencia qué controles se aplican, por qué, su estado y las exclusiones justificadas.

Respuesta: A

Cierre

La Cláusula 6 transforma la intención del SGSI en plan y ejecución: define cómo evaluar y tratar el riesgo, qué objetivos perseguir y cómo controlar cambios para sostener la mejora continua.

 

Fernando Conislla
Instructor Oficial ISO 27001 | Todos los niveles

Categories

All Categories cyber cybersecurity forense hacking infosec iso27001 malware osint owasp phishing