Inicio Ethical Hacking Ciberseguridad ISO 27001 Blog

Cláusula 8: Operación - ISO 27001

iso27001

La Cláusula 8 convierte la planificación en ejecución operativa: controlar procesos, reevaluar riesgos cuando cambian las condiciones e implementar el tratamiento de riesgos tal como fue definido.

8.1 Planificación y control operacional

La organización planifica, implementa y controla los procesos necesarios para cumplir los requisitos y poner en práctica las acciones definidas en la Cláusula 6, mediante:

  • Establecimiento de criterios para los procesos.

  • Control de los procesos conforme a esos criterios.

La información documentada debe estar disponible en la medida necesaria para confiar en que los procesos se ejecutaron según lo planificado.

Además, se deben controlar los cambios planificados y revisar las consecuencias de cambios no intencionados, mitigando efectos adversos cuando sea necesario.

Los procesos, productos o servicios proporcionados externamente y relevantes para el SGSI deben estar controlados (por ejemplo, proveedores cloud, SOC, centros de datos, MSP).

8.2 Evaluación del riesgo de seguridad de la información

Se realizan evaluaciones del riesgo a intervalos planificados o cuando se propongan/produzcan cambios significativos, conforme a los criterios establecidos en 6.1.2 a).
Se mantiene información documentada sobre los resultados de dichas evaluaciones.

8.3 Tratamiento del riesgo de seguridad de la información

Se implementa el plan de tratamiento del riesgo definido previamente (6.1.3).
Se mantiene información documentada sobre los resultados del tratamiento (estado de implementación, riesgos residuales, evidencias clave).

Ejemplo breve (de la planificación a la operación)

  • 8.1: se establecen criterios operativos para gestión de identidades (alta/baja, revisiones de acceso trimestrales), se controlan cambios del IdP y se gobierna al proveedor de correo cloud con acuerdos de seguridad y reportes.

  • 8.2: antes de habilitar SSO para una nueva app crítica, se ejecuta una reevaluación de riesgo (cambio significativo) según los criterios de 6.1.2.

  • 8.3: se despliega MFA para cuentas con privilegios según el plan; se registran resultados (porcentaje de activación, incidencias) y riesgos residuales aceptados.

Preguntas tipo examen

1. 8.1 Planificación y control operacional requiere, entre otros:

A. Definir controles sin criterios de proceso
B. Establecer criterios para procesos, controlarlos, gestionar cambios y controlar servicios externos relevantes
C. Auditorías internas mensuales obligatorias
D. Aceptar todos los cambios no intencionados

Explicación: 8.1 busca ejecución conforme a criterios, control de cambios y gobierno de lo externo.

Respuesta: B

2. En 8.2 Evaluación del riesgo, la organización debe:

A. Evaluar riesgos una sola vez al año, sin excepción
B. Evaluar solo cuando ocurra un incidente
C. Evaluar a intervalos planificados y también ante cambios significativos, siguiendo criterios de 6.1.2 a)
D. Delegar la evaluación al proveedor cloud

Explicación: 8.2 vincula periodicidad planificada y cambios significativos con los criterios definidos.

Respuesta: C:

8.3 Tratamiento del riesgo de seguridad de la información implica:

A. Redactar un plan y archivarlo
B. Implementar el plan de tratamiento y mantener información documentada sobre resultados
C. Aplicar únicamente controles del Anexo A
D. Aceptar todos los riesgos residuales por defecto

Explicación: 8.3 exige ejecución real del plan y evidencia de resultados/estado.

Respuesta: B

Cierre

La Cláusula 8 asegura que el SGSI opere según criterios, se adapte a cambios y materialice el tratamiento del riesgo con trazabilidad. Es el puente entre plan y resultado.

 

¿Quieres certificarte en ISO 27001 Foundation?

Si ya revisaste estas entradas con atención, puedes dar el paso al examen oficial con nuestro:

Kit Oficial ISO 27001 Foundation
https://academy.seguridadcero.com.pe/kit-oficial-iso-27001-foundation

¿Prefieres una formación integral con seguimiento para llegar con total seguridad?

Tengo una formación completa con acceso a clases, talleres, plantillas, simulacros y más.

Curso Oficial ISO 27001 Foundation
https://academy.seguridadcero.com.pe/curso-oficial-iso-27001-foundation

Nos vemos.

Fernando Conislla

Instructor Oficial ISO 27001 | Todos los niveles 

Categories

All Categories cyber cybersecurity forense hacking infosec iso27001 lcspc malware osint owasp phishing