Sistemes de gestió de compliment normatiu
Proposta didàctica
En aquest bloc treballem el segon resultat d'aprenentatge del mòdul: Dissenya sistemes de compliment normatiu basats en estàndards internacionals, aplica la gestió de riscos ISO 31000 i implementa un Sistema de Gestió de Seguretat de la Informació (SGSI) conforme a ISO 27001:2022.
Criteris d'avaluació del bloc
-
CA2.1 Recull les normatives principals aplicables a les organitzacions.
-
CA2.2 Aplica les recomanacions de la ISO 19600 / ISO 37301 per a organitzacions.
-
CA2.3 Realitza anàlisi de riscos seguint el marc ISO 31000.
-
CA2.4 Documenta el sistema de compliment normatiu de l'organització.
Continguts de referència
- ISO 19600:2014 / ISO 37301:2021: gestió de compliance
- ISO 31000:2018: gestió de riscos - principis, marc i procés
- ISO 27001:2022: Sistema de Gestió de Seguretat de la Informació (SGSI)
- Declaració d'Aplicabilitat (SoA) i Annex A (93 controls)
- Documentació del sistema: política, procediments, registres
- Auditories internes i certificació
- Cicle PDCA: Plan-Do-Check-Act
1. ISO 19600:2014 i ISO 37301:2021
Evolució de l'estàndard de compliance
La ISO 19600:2014 va ser la primera norma internacional que va establir directrius per als sistemes de gestió de compliance. El 2021 va ser substituïda per la ISO 37301:2021 (Compliance management systems — Requirements with guidance for use), que va elevar el document de guia no certificable a norma certificable amb requisits.
Diferències clau entre ISO 19600 i ISO 37301
| Característica | ISO 19600:2014 | ISO 37301:2021 |
|---|---|---|
| Tipus de document | Guia (directrius) | Norma (requisits) |
| Certificació | No certificable | Certificable |
| Estructura | Pròpia | Alta Structure (HLS) |
| Revisió | Cada 5 anys | Cada 5 anys |
| Compatibilitat ISO | Parcial | Total (compatible ISO 27001, 9001...) |
Estructura de la ISO 37301:2021
La ISO 37301 segueix la High Level Structure (HLS), que és el marc comú a totes les normes ISO de sistemes de gestió des de 2015:
ISO 37301:2021 - Estructura HLS
│
├── Clàusula 4: Context de l'organització
│ ├── 4.1 Comprensió de l'organització i el seu context
│ ├── 4.2 Comprensió de les parts interessades
│ ├── 4.3 Abast del sistema de compliance
│ └── 4.4 Sistema de gestió de compliance
│
├── Clàusula 5: Lideratge
│ ├── 5.1 Lideratge i compromís (òrgan de govern)
│ ├── 5.2 Política de compliance
│ └── 5.3 Funcions, responsabilitats i autoritats
│
├── Clàusula 6: Planificació
│ ├── 6.1 Obligacions de compliance
│ ├── 6.2 Avaluació de riscos i oportunitats
│ └── 6.3 Objectius de compliance
│
├── Clàusula 7: Suport
│ ├── 7.1 Recursos
│ ├── 7.2 Competència
│ ├── 7.3 Conscienciació i formació
│ └── 7.4 Comunicació
│
├── Clàusula 8: Operació
│ ├── 8.1 Planificació i control operacional
│ ├── 8.2 Establiment de controls de compliance
│ ├── 8.3 Canal de denúncies
│ └── 8.4 Gestió d'incompliments
│
├── Clàusula 9: Avaluació del rendiment
│ ├── 9.1 Seguiment, mesura, anàlisi i avaluació
│ ├── 9.2 Auditoria interna
│ └── 9.3 Revisió per la direcció
│
└── Clàusula 10: Millora
├── 10.1 Incompliments i accions correctives
└── 10.2 Millora contínua
Obligacions de compliance: identificació i registre
Un element fonamental de la ISO 37301 és la identificació sistemàtica de totes les obligacions de compliance aplicables. Aquestes obligacions inclouen:
- Obligatòries: lleis, reglaments, decisions judicials, llicències
- Voluntàries però compromeses: estàndards ISO adoptats, codis sectorials subscrits
- Ètiques i bones pràctiques: principis corporatius
El registre d'obligacions ha d'incloure, per a cadascuna: - Referència normativa exacta (article, apartat) - Requisit específic - Àmbit d'aplicació intern - Responsable del compliment - Data d'entrada en vigor i d'última revisió
2. ISO 31000:2018: gestió de riscos
Marc general
La ISO 31000:2018 (Risk management — Guidelines) estableix els principis, el marc i el procés per a la gestió de riscos aplicable a qualsevol tipus d'organització, independentment de la seva mida, activitat o sector. No és certificable, però és la referència metodològica per a les auditories de riscos.
Els vuit principis de la ISO 31000
| Principi | Descripció |
|---|---|
| Integrada | La gestió de riscos és part de tots els processos |
| Estructurada i exhaustiva | Enfocament sistemàtic i comprensiu |
| Adaptada | Al context i objectius de l'organització |
| Inclusiva | Implicació de les parts interessades |
| Dinàmica | Capacitat d'adaptació als canvis |
| Millor informació disponible | Decisions basades en dades actuals |
| Factors humans i culturals | Reconeixement del component humà |
| Millora contínua | Aprenentatge i adaptació constant |
El procés de gestió de riscos
graph TD
Comunicacio["Comunicació i\nConsulta\n(contínua)"]
subgraph Proces["Procés de Gestió de Riscos"]
Context["Establiment del context\n(intern, extern, del procés)"]
Identificacio["Identificació de riscos\n¿Qué podria passar?"]
Analisi["Anàlisi de riscos\n¿Com i per qué?"]
Valoracio["Valoració de riscos\n¿Es acceptable?"]
Tractament["Tractament de riscos\n¿Qué fem?"]
Seguiment["Seguiment i revisió\n¿Funciona?"]
end
Context --> Identificacio
Identificacio --> Analisi
Analisi --> Valoracio
Valoracio --> Tractament
Tractament --> Seguiment
Seguiment -->|"Revisió periòdica"| Context
Comunicacio -.->|"Informa tot\nel procés"| Proces
Avaluació de riscos en ciberseguretat
Identificació de riscos
La identificació de riscos en ciberseguretat utilitza diverses tècniques:
- STRIDE (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege)
- ENISA Threat Landscape: catàleg actualitzat d'amenaces publicat anualment per ENISA
- MITRE ATT&CK: marc de tàctiques i tècniques d'atac documentades
- Anàlisi FMEA (Failure Mode and Effects Analysis): per a cada component crític
- Entrevistes i tallers amb experts i responsables de processos
Anàlisi de riscos: matriu impacte-probabilitat
La forma més habitual d'analitzar riscos és la matriu de calor (heat map):
| Impacte baix | Impacte mig | Impacte alt | Impacte crític | |
|---|---|---|---|---|
| Probabilitat molt alta | Mig | Alt | Crític | Crític |
| Probabilitat alta | Baix | Mig | Alt | Crític |
| Probabilitat mitja | Baix | Baix | Mig | Alt |
| Probabilitat baixa | Mínim | Baix | Baix | Mig |
Escales de valoració recomanades:
Impacte: - Baix: afecta un procés menor, sense impacte significatiu - Mig: afecta processos rellevants, cost recuperació < 100.000€ - Alt: afecta processos crítics, dades personals, cost > 100.000€ - Crític: paralització de l'activitat, danys reputacionals greus, responsabilitats legals
Probabilitat: - Baixa: menys d'un cop cada 5 anys - Mitja: aproximadament un cop cada 1-5 anys - Alta: un cop per any o més - Molt alta: diverses vegades per any
Tractament de riscos: les quatre opcions
Per a cada risc identificat i valorat, l'organització ha de triar una estratègia de tractament:
| Estratègia | Descripció | Quan s'aplica |
|---|---|---|
| Evitar | Eliminar l'activitat que genera el risc | Risc crític que no es pot mitigar a cost raonable |
| Mitigar | Reduir la probabilitat i/o l'impacte | La majoria de riscos operatius |
| Transferir | Cedir el risc a un tercer (assegurança, outsourcing) | Riscos financers o operatius específics |
| Acceptar | Assumir el risc sense acció addicional | Riscos mínims o baixos dins de l'apetit de risc |
3. ISO 27001:2022: Sistema de Gestió de Seguretat de la Informació
Qué és la ISO 27001?
La ISO/IEC 27001:2022 (Information security, cybersecurity and privacy protection — Information security management systems — Requirements) és la norma internacional certificable per a la implementació d'un Sistema de Gestió de Seguretat de la Informació (SGSI). La versió 2022 va introduir canvis significatius respecte a la versió de 2013, especialment en l'Annex A de controls.
Estructura de la ISO 27001:2022
La ISO 27001 segueix la mateixa HLS (High Level Structure) de la ISO 37301. Les clàusules principals del cos normatiu (4-10) estableixen els requisits obligatoris per a la certificació:
Clàusula 4 - Context: - Comprensió de les necessitats i expectatives de les parts interessades - Definició de l'abast del SGSI (quins sistemes, processos i ubicacions inclou)
Clàusula 5 - Lideratge: - Compromís de l'alta direcció (ha de ser demostrable, no únicament declaratiu) - Política de seguretat de la informació - Assignació de responsabilitats i autoritats
Clàusula 6 - Planificació: - Avaluació de riscos (amb metodologia documentada) - Tractament de riscos - Declaració d'Aplicabilitat (SoA) - Objectius de seguretat mesurables
Clàusula 7 - Suport: - Recursos (pressupost, personal, infraestructura) - Competència del personal - Conscienciació i formació - Documentació del sistema
Clàusula 8 - Operació: - Implementació dels plans de tractament de riscos - Gestió de la cadena de subministrament - Gestió d'incidents de seguretat
Clàusula 9 - Avaluació del rendiment: - Monitoratge, mesura i anàlisi - Auditoria interna (almenys anualment) - Revisió per la direcció
Clàusula 10 - Millora: - Tractament de no-conformitats i accions correctives - Millora contínua
El cicle PDCA en la ISO 27001
graph LR
Plan["PLAN\n─────────\nAvaluar riscos\nDefinir controls\nEstablir objectius\nPlanificar recursos"]
Do["DO\n─────────\nImplementar controls\nFormar el personal\nOperar el SGSI\nGestionar incidents"]
Check["CHECK\n─────────\nMonitorar mètriques\nAuditoria interna\nRevisió de la direcció\nAnalitzar incidents"]
Act["ACT\n─────────\nAccions correctives\nMillora contínua\nActualitzar riscos\nAjustar controls"]
Plan -->|"Implementació"| Do
Do -->|"Avaluació"| Check
Check -->|"Ajustos"| Act
Act -->|"Nova planificació"| Plan
La Declaració d'Aplicabilitat (SoA)
La Declaració d'Aplicabilitat (Statement of Applicability, SoA) és un document fonamental de la ISO 27001 que registra, per a cadascun dels 93 controls de l'Annex A:
| Camp | Descripció |
|---|---|
| Control | Referència i nom del control ISO 27001 |
| Aplicable | Sí / No |
| Justificació d'inclusió | Per qué s'inclou (risc, requisit legal, etc.) |
| Justificació d'exclusió | Per qué s'exclou (amb argumentació) |
| Implementació | Descripció de com s'implementa |
| Estat | Implementat / En curs / Pendent |
Requisit de certificació
La SoA és un document obligatori per a la certificació ISO 27001. L'auditor de certificació la revisa en detall per verificar que tots els controls aplicables estan implementats i que les exclusions estan degudament justificades.
Annex A de la ISO 27001:2022: els 93 controls
La versió 2022 de la ISO 27001 va reorganitzar els 114 controls de la versió anterior en 93 controls distribuïts en 4 temes (en lloc dels 14 dominis de la versió 2013):
| Tema | Nombre de controls | Exemples |
|---|---|---|
| 5. Controls organitzatius | 37 controls | Polítiques de seguretat, gestió d'actius, recursos humans |
| 6. Controls de persones | 8 controls | Formació, teletreeball, notificació d'incidents |
| 7. Controls físics | 14 controls | Seguretat física, gestió de suports |
| 8. Controls tecnològics | 34 controls | Gestió de vulnerabilitats, xifrat, controls d'accés |
Nous controls en ISO 27001:2022:
- 5.7: Threat intelligence
- 5.23: Seguretat de la informació per a l'ús de serveis en el núvol
- 5.30: Preparació TIC per a la continuïtat del negoci
- 7.4: Monitoratge de la seguretat física
- 8.9: Gestió de la configuració
- 8.10: Eliminació d'informació
- 8.11: Emmascarament de dades
- 8.12: Prevenció de fuita de dades (DLP)
- 8.16: Activitats de monitoratge
- 8.23: Filtratge web
- 8.28: Codificació segura
4. Documentació del sistema de gestió
Jerarquia documental del SGSI
Un sistema de gestió ben documentat segueix una jerarquia piramidal:
┌─────────────────────────────┐
│ POLÍTICA DE SEGURETAT │ Nivell 1: Política
│ (aprovada per direcció) │
└────────────┬────────────────┘
│
┌────────────┴────────────────┐
│ PROCEDIMENTS │ Nivell 2: Procediments
│ (com es fan les coses) │
└────────────┬────────────────┘
│
┌────────────┴────────────────┐
│ INSTRUCCIONS DE TREBALL │ Nivell 3: Instruccions
│ (passos detallats) │
└────────────┬────────────────┘
│
┌────────────┴────────────────┐
│ REGISTRES │ Nivell 4: Evidències
│ (evidències del compliment)│
└─────────────────────────────┘
Política de seguretat de la informació
La política de seguretat és el document de màxim nivell del SGSI. Ha de:
- Ser aprovada per l'alta direcció
- Estar disponible per a totes les parts interessades
- Revisionar-se periòdicament (almenys anualment)
- Incloure l'abast i els objectius de seguretat
- Definir el compromís de millora contínua
Contingut mínim recomanat:
- Declaració de compromís de la direcció
- Abast del SGSI
- Objectius generals de seguretat
- Marc de responsabilitats
- Principis de gestió de riscos
- Requisits de conformitat
- Mecanismes de revisió i actualització
Procediments operatius de seguretat
Els procediments documenten com es realitzen les activitats de seguretat. Exemples de procediments típics:
| Procediment | Contingut |
|---|---|
| Gestió d'accesos | Sol·licitud, aprovació, revisió i revocació d'accessos |
| Gestió de pegats | Avaluació, aprovació, aplicació i verificació de pegats |
| Resposta a incidents | Detecció, classificació, contenció, resolució, documentació |
| Còpies de seguretat | Freqüència, mètode, verificació, restauració |
| Destrucció d'informació | Classificació, mètodes de destrucció per tipus de suport |
| Gestió de vulnerabilitats | Escaneig, priorització, tractament, verificació |
Registres del sistema
Els registres constitueixen l'evidència que el sistema funciona com s'ha dissenyat. Han de ser:
- Llegibles: accessibles i comprensibles quan es necessiten
- Identificables: associats al procés i activitat corresponents
- Recuperables: localitzables i recuperables fàcilment
- Protegits: contra alteració, deteriorament o pèrdua
- Retinguts: durant el temps establert per la política de retenció
5. Auditories internes i certificació ISO 27001
Auditories internes
La clàusula 9.2 de la ISO 27001 exigeix que l'organització realitzi auditories internes a intervals planificats per determinar si el SGSI:
- Compleix els requisits propis de l'organització
- Compleix els requisits de la norma ISO 27001
- Està implementat i mantingut de manera eficaç
Etapes d'una auditoria interna:
- Planificació: definir abast, criteris, equip auditor i calendari
- Preparació: revisió de documents, elaboració de llista de verificació (checklist)
- Execució: entrevistes, observació, revisió d'evidències
- Informe: documentació de troballes, no-conformitats i observacions
- Seguiment: verificació de l'eficàcia de les accions correctives
Procés de certificació
La certificació ISO 27001 es realitza en dues fases per un organisme de certificació acreditat:
Fase 1 (Revisió documental)
├── L'auditor revisa la documentació del SGSI
├── Verifica que la SoA és completa
├── Identifica possibles gaps
└── Emet informe de preparació
Fase 2 (Auditoria in situ)
├── Visita a les instal·lacions
├── Entrevistes amb el personal
├── Verificació d'evidències
├── Identificació de no-conformitats
└── Decisió de certificació
Certificació (3 anys)
├── Vigilància anual (auditoria parcial)
├── Vigilància anual (auditoria parcial)
└── Recertificació (auditoria completa)
Anàlisi de bretxes (Gap Analysis)
Abans d'iniciar una implementació ISO 27001, és recomanable realitzar una anàlisi de bretxes que compari l'estat actual de l'organització respecte als requisits de la norma:
Miniactivitat: Gap Analysis ISO 27001
Realitzeu una anàlisi de bretxes simplificada per a l'empresa fictícia "LogiCat Transports SL", una empresa de logística amb 200 empleats i un sistema informàtic que gestiona dades de clients i rutes.
Per a cadascun dels dominis temàtics de la ISO 27001:2022, valoreu l'estat actual de l'empresa (0-3): - 0: No existeix cap control o política - 1: Existeix de manera informal o parcial - 2: Existeix formalment però no s'audita - 3: Existeix, és formal i s'audita regularment
| Clàusula ISO 27001 | Estat actual (0-3) | Gap identificat | Prioritat |
|---|---|---|---|
| 4. Context | |||
| 5. Lideratge | |||
| 6. Planificació i riscos | |||
| 7. Suport (recursos, formació) | |||
| 8. Operació | |||
| 9. Avaluació | |||
| 10. Millora | |||
| Annex A - Controls organitzatius | |||
| Annex A - Controls de persones | |||
| Annex A - Controls físics | |||
| Annex A - Controls tecnològics |
Elaboreu un pla de remediació prioritzant els tres gaps més crítics, amb accions concretes, responsables i terminis.
6. Integració de sistemes de gestió
Compatibilitat de les normes ISO
Un dels grans avantatges de l'High Level Structure (HLS) és que permet integrar múltiples sistemes de gestió en un Sistema de Gestió Integrat (SGI):
| Norma | Àmbit | Estructura HLS |
|---|---|---|
| ISO 27001:2022 | Seguretat de la informació | Sí |
| ISO 37301:2021 | Compliance | Sí |
| ISO 9001:2015 | Qualitat | Sí |
| ISO 14001:2015 | Medi ambient | Sí |
| ISO 45001:2018 | Seguretat i salut laboral | Sí |
| ISO 22301:2019 | Continuïtat de negoci | Sí |
Un SGI permet: - Reduir la documentació duplicada - Optimitzar auditories (auditories conjuntes) - Coherència entre polítiques i procediments - Eficiència de recursos en el manteniment
Relació entre ISO 27001 i RGPD
La ISO 27001 i el RGPD no son equivalents ni substituïbles l'un per l'altre, però es complementen significativament:
| ISO 27001 | RGPD | Relació |
|---|---|---|
| Seguretat de la informació en general | Protecció de dades personals | La ISO 27001 inclou les dades personals com a actiu |
| Anàlisi de riscos per a tots els actius | DPIA per a dades personals de risc alt | Metodologies compatibles |
| Control 5.34: Privadesa i protecció de dades | Art. 5 RGPD | Alineació directa |
| Gestió d'incidents de seguretat | Notificació de violations de dades (72h) | Procediment compartit |
| Certificació possible | No hi ha certificació RGPD | Complementarietat |
Bones pràctiques d'implementació
Per a la majoria d'organitzacions, la seqüència recomanada és:
- Primer: Implementar un SGSI basat en ISO 27001 (cobreix la seguretat global)
- Simultàniament: Assegurar el compliment del RGPD (específic per a dades personals)
- Posteriorment: Considerar ISO 37301 per a un programa formal de compliance
Resum del bloc
Els sistemes de gestió de compliment normatiu (ISO 37301, ISO 31000, ISO 27001) proporcionen metodologies provades i internacionalment reconegudes per sistematitzar, documentar i certificar el nivell de seguretat i compliment d'una organització. La clau del seu èxit no és la documentació per si mateixa, sinó que els controls implementats siguin eficaços i la gestió sigui contínua i adaptativa als canvis de l'entorn normatiu i tecnològic.