Inicio Ethical Hacking Ciberseguridad ISO 27001 Blog

Cláusula 9: Evaluación de Desempeño - ISO 27001

iso27001

La Cláusula 9 asegura que el SGSI se mida, audite y revise para confirmar su eficacia y detectar oportunidades de mejora.

9.1 Monitoreo, medición, análisis y evaluación

La organización determina:
a) Qué necesita monitorearse y medirse (procesos y controles de seguridad).
b) Métodos para monitoreo, medición, análisis y evaluación que den resultados válidos, comparables y reproducibles.
c) Cuándo se realiza el monitoreo y la medición.
d) Quién los realiza.
e) Cuándo se analizan y evalúan los resultados.
f) Quién analiza y evalúa los resultados.

Se mantiene información documentada como evidencia. Además, se evalúa el desempeño de la seguridad de la información y la eficacia del SGSI.

9.2 Auditoría interna

9.2.1 Generalidades

Se realizan auditorías internas a intervalos planificados para proporcionar información sobre si el SGSI:
a) Cumple con:

  1. los propios requisitos de la organización, y

  2. los requisitos de ISO/IEC 27001;
    b) Está implementado y mantenido eficazmente.

9.2.2 Programa de auditoría interna

Se planifica, establece, implementa y mantiene un programa de auditoría(s) con frecuencia, métodos, responsabilidades, requisitos de planificación e informes.
Al establecerlo, se considera la importancia de procesos y resultados de auditorías previas.
La organización debe:
a) Definir criterios y alcance de cada auditoría.
b) Seleccionar auditores y realizar auditorías que aseguren objetividad e imparcialidad.
c) Asegurar que los resultados se informen a la gestión relevante.

Se mantiene información documentada del programa y de los resultados.

9.3 Revisión por la dirección

9.3.1 Generalidades

La alta dirección revisa el SGSI a intervalos planificados para asegurar su idoneidad, adecuación y eficacia continuas.

9.3.2 Entradas de la revisión por la dirección

La revisión considera:
a) Estado de acciones de revisiones previas.
b) Cambios en asuntos externos e internos relevantes.
c) Cambios en necesidades/expectativas de partes interesadas.
d) Retroalimentación sobre desempeño de la seguridad de la información, incluyendo tendencias en:

  1. No conformidades y acciones correctivas;

  2. Monitoreo y medición;

  3. Resultados de auditorías;

  4. Cumplimiento de objetivos de seguridad de la información.
    e) Retroalimentación de partes interesadas.
    f) Resultados de evaluación de riesgos y estado del plan de tratamiento.
    g) Oportunidades de mejora.

9.3.3 Resultados de la revisión por la dirección

Los resultados incluyen decisiones sobre oportunidades de mejora y necesidad de cambios en el SGSI.
Se conserva información documentada como evidencia.

Ejemplo breve (integrando 9.1–9.3)

  • 9.1: se definen KPIs/KRIs de acceso (p. ej., % de cuentas privilegiadas con MFA, tiempo de revocación de accesos) con método, frecuencia, responsables y análisis mensual.

  • 9.2: el programa de auditoría prioriza gestión de identidades y continuidad por criticidad y hallazgos previos; auditores independientes reportan a gerencia.

  • 9.3: la alta dirección revisa tendencias: caída de MFA al 92% tras onboarding masivo; decide asignar recursos y fijar objetivo trimestral del 98% con seguimiento quincenal.

Preguntas tipo examen:

1. En 9.1, los métodos de medición y análisis deben:

A. Ser cualitativos y no comparables
B. Variar cada ciclo para evitar sesgos
C. Producir resultados válidos, comparables y reproducibles
D. Basarse solo en encuestas de satisfacción

Explicación: 9.1 exige métodos que garanticen validez y comparabilidad para evaluar el desempeño.

Respuesta: C

2. El programa de auditoría interna (9.2.2) debe considerar:

A. Únicamente el calendario de TI
B. Importancia de procesos y resultados de auditorías previas
C. Preferencia del auditor externo
D. Disponibilidad del área legal

Explicación: 9.2.2 vincula la priorización con criticidad y historial de hallazgos.

Respuesta: B

3. Una salida esperada de 9.3.3 Resultados de la revisión por la dirección es:

A. El archivo del acta sin acciones
B. Decisiones sobre oportunidades de mejora y cambios necesarios en el SGSI
C. Cambiar todos los objetivos cada mes
D. Sustituir la auditoría interna por la revisión

Explicación: 9.3.3 pide decisiones concretas orientadas a mejora y ajustes del sistema.

Respuesta: B

Cierre

La Cláusula 9 cierra el circuito de control: medir con método, auditar con objetividad y revisar al máximo nivel para corregir rumbo y mejorar el SGSI de forma continua.

 

¿Quieres certificarte en ISO 27001 Foundation?

Si ya revisaste estas entradas con atención, puedes dar el paso al examen oficial con nuestro:

Kit Oficial ISO 27001 Foundation
https://academy.seguridadcero.com.pe/kit-oficial-iso-27001-foundation

¿Prefieres una formación integral con seguimiento para llegar con total seguridad?

Tengo una formación completa con acceso a clases, talleres, plantillas, simulacros y más.

Curso Oficial ISO 27001 Foundation
https://academy.seguridadcero.com.pe/curso-oficial-iso-27001-foundation

Nos vemos.

Fernando Conislla

Instructor Oficial ISO 27001 | Todos los niveles 

Categories

All Categories cyber cybersecurity forense hacking infosec iso27001 lcspc malware osint owasp phishing