Como experto en ISO 27001:2022, resumo a continuación los 5 errores a evitar al actualizar los Sistemas de Gestión de Seguridad de la Información (SGSI) al nuevo estándar:
No realizar una evaluación de riesgos actualizada: una de las principales novedades introducidas en la norma ISO 27001:2022 se refiere a la evaluación de riesgos, que debe ser más detallada y basada en evidencias concretas. Por lo tanto, es importante evitar el error de no actualizar la evaluación de riesgos para identificar nuevas amenazas y vulnerabilidades, que pueden tener un impacto significativo en la seguridad de la información que maneja la organización.
Anular nuevas pautas para establecer objetivos de seguridad: el nuevo estándar ISO 27001: 2022 introduce un mayor énfasis en el establecimiento de objetivos de seguridad específicos y medibles, en línea con la metodología SMART. Por lo tanto, es importante evitar el error de ignorar estas nuevas directrices y definir objetivos de seguridad genéricos o no medibles.
No involucrar adecuadamente a los stakeholders: otra novedad de la norma ISO 27001:2022 se refiere a la importancia de involucrar a los stakeholders en la implementación y mejora continua del SGSI. Por lo tanto, es importante evitar el error de no involucrar adecuadamente a los diversos actores involucrados (por ejemplo, empleados, proveedores, clientes) en el proceso de actualización del SGSI.
No actualizar las políticas y procedimientos internos: la nueva norma ISO 27001:2022 exige una mayor atención a las políticas y procedimientos internos, los cuales deben ser claros, completos y de fácil acceso para todos los miembros de la organización. Por lo tanto, es importante evitar el error de no actualizar las políticas y procedimientos internos para reflejar los nuevos lineamientos de la norma.
No monitorear continuamente la efectividad del SGSI: finalmente, la nueva norma ISO 27001:2022 pone mayor énfasis en la necesidad de monitorear continuamente la efectividad del SGSI, también a través de la implementación de indicadores clave de desempeño (KPI). Por lo tanto, es importante evitar el error de no monitorear adecuadamente la efectividad del SGSI y no tomar medidas correctivas cuando sea necesario.