Salta el contingut

Sistemes de gestió de compliment normatiu

Proposta didàctica

En aquest bloc treballem el segon resultat d'aprenentatge del mòdul: Dissenya sistemes de compliment normatiu basats en estàndards internacionals, aplica la gestió de riscos ISO 31000 i implementa un Sistema de Gestió de Seguretat de la Informació (SGSI) conforme a ISO 27001:2022.


Criteris d'avaluació del bloc

  • CA2.1 Recull les normatives principals aplicables a les organitzacions.

  • CA2.2 Aplica les recomanacions de la ISO 19600 / ISO 37301 per a organitzacions.

  • CA2.3 Realitza anàlisi de riscos seguint el marc ISO 31000.

  • CA2.4 Documenta el sistema de compliment normatiu de l'organització.


Continguts de referència

  1. ISO 19600:2014 / ISO 37301:2021: gestió de compliance
  2. ISO 31000:2018: gestió de riscos - principis, marc i procés
  3. ISO 27001:2022: Sistema de Gestió de Seguretat de la Informació (SGSI)
  4. Declaració d'Aplicabilitat (SoA) i Annex A (93 controls)
  5. Documentació del sistema: política, procediments, registres
  6. Auditories internes i certificació
  7. Cicle PDCA: Plan-Do-Check-Act

1. ISO 19600:2014 i ISO 37301:2021

Evolució de l'estàndard de compliance

La ISO 19600:2014 va ser la primera norma internacional que va establir directrius per als sistemes de gestió de compliance. El 2021 va ser substituïda per la ISO 37301:2021 (Compliance management systems — Requirements with guidance for use), que va elevar el document de guia no certificable a norma certificable amb requisits.

Diferències clau entre ISO 19600 i ISO 37301

Característica ISO 19600:2014 ISO 37301:2021
Tipus de document Guia (directrius) Norma (requisits)
Certificació No certificable Certificable
Estructura Pròpia Alta Structure (HLS)
Revisió Cada 5 anys Cada 5 anys
Compatibilitat ISO Parcial Total (compatible ISO 27001, 9001...)

Estructura de la ISO 37301:2021

La ISO 37301 segueix la High Level Structure (HLS), que és el marc comú a totes les normes ISO de sistemes de gestió des de 2015:

ISO 37301:2021 - Estructura HLS
├── Clàusula 4: Context de l'organització
│   ├── 4.1 Comprensió de l'organització i el seu context
│   ├── 4.2 Comprensió de les parts interessades
│   ├── 4.3 Abast del sistema de compliance
│   └── 4.4 Sistema de gestió de compliance
├── Clàusula 5: Lideratge
│   ├── 5.1 Lideratge i compromís (òrgan de govern)
│   ├── 5.2 Política de compliance
│   └── 5.3 Funcions, responsabilitats i autoritats
├── Clàusula 6: Planificació
│   ├── 6.1 Obligacions de compliance
│   ├── 6.2 Avaluació de riscos i oportunitats
│   └── 6.3 Objectius de compliance
├── Clàusula 7: Suport
│   ├── 7.1 Recursos
│   ├── 7.2 Competència
│   ├── 7.3 Conscienciació i formació
│   └── 7.4 Comunicació
├── Clàusula 8: Operació
│   ├── 8.1 Planificació i control operacional
│   ├── 8.2 Establiment de controls de compliance
│   ├── 8.3 Canal de denúncies
│   └── 8.4 Gestió d'incompliments
├── Clàusula 9: Avaluació del rendiment
│   ├── 9.1 Seguiment, mesura, anàlisi i avaluació
│   ├── 9.2 Auditoria interna
│   └── 9.3 Revisió per la direcció
└── Clàusula 10: Millora
    ├── 10.1 Incompliments i accions correctives
    └── 10.2 Millora contínua

Obligacions de compliance: identificació i registre

Un element fonamental de la ISO 37301 és la identificació sistemàtica de totes les obligacions de compliance aplicables. Aquestes obligacions inclouen:

  • Obligatòries: lleis, reglaments, decisions judicials, llicències
  • Voluntàries però compromeses: estàndards ISO adoptats, codis sectorials subscrits
  • Ètiques i bones pràctiques: principis corporatius

El registre d'obligacions ha d'incloure, per a cadascuna: - Referència normativa exacta (article, apartat) - Requisit específic - Àmbit d'aplicació intern - Responsable del compliment - Data d'entrada en vigor i d'última revisió


2. ISO 31000:2018: gestió de riscos

Marc general

La ISO 31000:2018 (Risk management — Guidelines) estableix els principis, el marc i el procés per a la gestió de riscos aplicable a qualsevol tipus d'organització, independentment de la seva mida, activitat o sector. No és certificable, però és la referència metodològica per a les auditories de riscos.

Els vuit principis de la ISO 31000

Principi Descripció
Integrada La gestió de riscos és part de tots els processos
Estructurada i exhaustiva Enfocament sistemàtic i comprensiu
Adaptada Al context i objectius de l'organització
Inclusiva Implicació de les parts interessades
Dinàmica Capacitat d'adaptació als canvis
Millor informació disponible Decisions basades en dades actuals
Factors humans i culturals Reconeixement del component humà
Millora contínua Aprenentatge i adaptació constant

El procés de gestió de riscos

graph TD
    Comunicacio["Comunicació i\nConsulta\n(contínua)"]

    subgraph Proces["Procés de Gestió de Riscos"]
        Context["Establiment del context\n(intern, extern, del procés)"]
        Identificacio["Identificació de riscos\n¿Qué podria passar?"]
        Analisi["Anàlisi de riscos\n¿Com i per qué?"]
        Valoracio["Valoració de riscos\n¿Es acceptable?"]
        Tractament["Tractament de riscos\n¿Qué fem?"]
        Seguiment["Seguiment i revisió\n¿Funciona?"]
    end

    Context --> Identificacio
    Identificacio --> Analisi
    Analisi --> Valoracio
    Valoracio --> Tractament
    Tractament --> Seguiment
    Seguiment -->|"Revisió periòdica"| Context

    Comunicacio -.->|"Informa tot\nel procés"| Proces

Avaluació de riscos en ciberseguretat

Identificació de riscos

La identificació de riscos en ciberseguretat utilitza diverses tècniques:

  • STRIDE (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege)
  • ENISA Threat Landscape: catàleg actualitzat d'amenaces publicat anualment per ENISA
  • MITRE ATT&CK: marc de tàctiques i tècniques d'atac documentades
  • Anàlisi FMEA (Failure Mode and Effects Analysis): per a cada component crític
  • Entrevistes i tallers amb experts i responsables de processos

Anàlisi de riscos: matriu impacte-probabilitat

La forma més habitual d'analitzar riscos és la matriu de calor (heat map):

Impacte baix Impacte mig Impacte alt Impacte crític
Probabilitat molt alta Mig Alt Crític Crític
Probabilitat alta Baix Mig Alt Crític
Probabilitat mitja Baix Baix Mig Alt
Probabilitat baixa Mínim Baix Baix Mig

Escales de valoració recomanades:

Impacte: - Baix: afecta un procés menor, sense impacte significatiu - Mig: afecta processos rellevants, cost recuperació < 100.000€ - Alt: afecta processos crítics, dades personals, cost > 100.000€ - Crític: paralització de l'activitat, danys reputacionals greus, responsabilitats legals

Probabilitat: - Baixa: menys d'un cop cada 5 anys - Mitja: aproximadament un cop cada 1-5 anys - Alta: un cop per any o més - Molt alta: diverses vegades per any

Tractament de riscos: les quatre opcions

Per a cada risc identificat i valorat, l'organització ha de triar una estratègia de tractament:

Estratègia Descripció Quan s'aplica
Evitar Eliminar l'activitat que genera el risc Risc crític que no es pot mitigar a cost raonable
Mitigar Reduir la probabilitat i/o l'impacte La majoria de riscos operatius
Transferir Cedir el risc a un tercer (assegurança, outsourcing) Riscos financers o operatius específics
Acceptar Assumir el risc sense acció addicional Riscos mínims o baixos dins de l'apetit de risc

3. ISO 27001:2022: Sistema de Gestió de Seguretat de la Informació

Qué és la ISO 27001?

La ISO/IEC 27001:2022 (Information security, cybersecurity and privacy protection — Information security management systems — Requirements) és la norma internacional certificable per a la implementació d'un Sistema de Gestió de Seguretat de la Informació (SGSI). La versió 2022 va introduir canvis significatius respecte a la versió de 2013, especialment en l'Annex A de controls.

Estructura de la ISO 27001:2022

La ISO 27001 segueix la mateixa HLS (High Level Structure) de la ISO 37301. Les clàusules principals del cos normatiu (4-10) estableixen els requisits obligatoris per a la certificació:

Clàusula 4 - Context: - Comprensió de les necessitats i expectatives de les parts interessades - Definició de l'abast del SGSI (quins sistemes, processos i ubicacions inclou)

Clàusula 5 - Lideratge: - Compromís de l'alta direcció (ha de ser demostrable, no únicament declaratiu) - Política de seguretat de la informació - Assignació de responsabilitats i autoritats

Clàusula 6 - Planificació: - Avaluació de riscos (amb metodologia documentada) - Tractament de riscos - Declaració d'Aplicabilitat (SoA) - Objectius de seguretat mesurables

Clàusula 7 - Suport: - Recursos (pressupost, personal, infraestructura) - Competència del personal - Conscienciació i formació - Documentació del sistema

Clàusula 8 - Operació: - Implementació dels plans de tractament de riscos - Gestió de la cadena de subministrament - Gestió d'incidents de seguretat

Clàusula 9 - Avaluació del rendiment: - Monitoratge, mesura i anàlisi - Auditoria interna (almenys anualment) - Revisió per la direcció

Clàusula 10 - Millora: - Tractament de no-conformitats i accions correctives - Millora contínua

El cicle PDCA en la ISO 27001

graph LR
    Plan["PLAN\n─────────\nAvaluar riscos\nDefinir controls\nEstablir objectius\nPlanificar recursos"]

    Do["DO\n─────────\nImplementar controls\nFormar el personal\nOperar el SGSI\nGestionar incidents"]

    Check["CHECK\n─────────\nMonitorar mètriques\nAuditoria interna\nRevisió de la direcció\nAnalitzar incidents"]

    Act["ACT\n─────────\nAccions correctives\nMillora contínua\nActualitzar riscos\nAjustar controls"]

    Plan -->|"Implementació"| Do
    Do -->|"Avaluació"| Check
    Check -->|"Ajustos"| Act
    Act -->|"Nova planificació"| Plan

La Declaració d'Aplicabilitat (SoA)

La Declaració d'Aplicabilitat (Statement of Applicability, SoA) és un document fonamental de la ISO 27001 que registra, per a cadascun dels 93 controls de l'Annex A:

Camp Descripció
Control Referència i nom del control ISO 27001
Aplicable Sí / No
Justificació d'inclusió Per qué s'inclou (risc, requisit legal, etc.)
Justificació d'exclusió Per qué s'exclou (amb argumentació)
Implementació Descripció de com s'implementa
Estat Implementat / En curs / Pendent

Requisit de certificació

La SoA és un document obligatori per a la certificació ISO 27001. L'auditor de certificació la revisa en detall per verificar que tots els controls aplicables estan implementats i que les exclusions estan degudament justificades.

Annex A de la ISO 27001:2022: els 93 controls

La versió 2022 de la ISO 27001 va reorganitzar els 114 controls de la versió anterior en 93 controls distribuïts en 4 temes (en lloc dels 14 dominis de la versió 2013):

Tema Nombre de controls Exemples
5. Controls organitzatius 37 controls Polítiques de seguretat, gestió d'actius, recursos humans
6. Controls de persones 8 controls Formació, teletreeball, notificació d'incidents
7. Controls físics 14 controls Seguretat física, gestió de suports
8. Controls tecnològics 34 controls Gestió de vulnerabilitats, xifrat, controls d'accés

Nous controls en ISO 27001:2022:

  • 5.7: Threat intelligence
  • 5.23: Seguretat de la informació per a l'ús de serveis en el núvol
  • 5.30: Preparació TIC per a la continuïtat del negoci
  • 7.4: Monitoratge de la seguretat física
  • 8.9: Gestió de la configuració
  • 8.10: Eliminació d'informació
  • 8.11: Emmascarament de dades
  • 8.12: Prevenció de fuita de dades (DLP)
  • 8.16: Activitats de monitoratge
  • 8.23: Filtratge web
  • 8.28: Codificació segura

4. Documentació del sistema de gestió

Jerarquia documental del SGSI

Un sistema de gestió ben documentat segueix una jerarquia piramidal:

        ┌─────────────────────────────┐
        │   POLÍTICA DE SEGURETAT     │  Nivell 1: Política
        │   (aprovada per direcció)   │
        └────────────┬────────────────┘
        ┌────────────┴────────────────┐
        │        PROCEDIMENTS         │  Nivell 2: Procediments
        │  (com es fan les coses)     │
        └────────────┬────────────────┘
        ┌────────────┴────────────────┐
        │    INSTRUCCIONS DE TREBALL  │  Nivell 3: Instruccions
        │    (passos detallats)       │
        └────────────┬────────────────┘
        ┌────────────┴────────────────┐
        │          REGISTRES          │  Nivell 4: Evidències
        │   (evidències del compliment)│
        └─────────────────────────────┘

Política de seguretat de la informació

La política de seguretat és el document de màxim nivell del SGSI. Ha de:

  • Ser aprovada per l'alta direcció
  • Estar disponible per a totes les parts interessades
  • Revisionar-se periòdicament (almenys anualment)
  • Incloure l'abast i els objectius de seguretat
  • Definir el compromís de millora contínua

Contingut mínim recomanat:

  1. Declaració de compromís de la direcció
  2. Abast del SGSI
  3. Objectius generals de seguretat
  4. Marc de responsabilitats
  5. Principis de gestió de riscos
  6. Requisits de conformitat
  7. Mecanismes de revisió i actualització

Procediments operatius de seguretat

Els procediments documenten com es realitzen les activitats de seguretat. Exemples de procediments típics:

Procediment Contingut
Gestió d'accesos Sol·licitud, aprovació, revisió i revocació d'accessos
Gestió de pegats Avaluació, aprovació, aplicació i verificació de pegats
Resposta a incidents Detecció, classificació, contenció, resolució, documentació
Còpies de seguretat Freqüència, mètode, verificació, restauració
Destrucció d'informació Classificació, mètodes de destrucció per tipus de suport
Gestió de vulnerabilitats Escaneig, priorització, tractament, verificació

Registres del sistema

Els registres constitueixen l'evidència que el sistema funciona com s'ha dissenyat. Han de ser:

  • Llegibles: accessibles i comprensibles quan es necessiten
  • Identificables: associats al procés i activitat corresponents
  • Recuperables: localitzables i recuperables fàcilment
  • Protegits: contra alteració, deteriorament o pèrdua
  • Retinguts: durant el temps establert per la política de retenció

5. Auditories internes i certificació ISO 27001

Auditories internes

La clàusula 9.2 de la ISO 27001 exigeix que l'organització realitzi auditories internes a intervals planificats per determinar si el SGSI:

  • Compleix els requisits propis de l'organització
  • Compleix els requisits de la norma ISO 27001
  • Està implementat i mantingut de manera eficaç

Etapes d'una auditoria interna:

  1. Planificació: definir abast, criteris, equip auditor i calendari
  2. Preparació: revisió de documents, elaboració de llista de verificació (checklist)
  3. Execució: entrevistes, observació, revisió d'evidències
  4. Informe: documentació de troballes, no-conformitats i observacions
  5. Seguiment: verificació de l'eficàcia de les accions correctives

Procés de certificació

La certificació ISO 27001 es realitza en dues fases per un organisme de certificació acreditat:

Fase 1 (Revisió documental)
├── L'auditor revisa la documentació del SGSI
├── Verifica que la SoA és completa
├── Identifica possibles gaps
└── Emet informe de preparació

Fase 2 (Auditoria in situ)
├── Visita a les instal·lacions
├── Entrevistes amb el personal
├── Verificació d'evidències
├── Identificació de no-conformitats
└── Decisió de certificació

Certificació (3 anys)
├── Vigilància anual (auditoria parcial)
├── Vigilància anual (auditoria parcial)
└── Recertificació (auditoria completa)

Anàlisi de bretxes (Gap Analysis)

Abans d'iniciar una implementació ISO 27001, és recomanable realitzar una anàlisi de bretxes que compari l'estat actual de l'organització respecte als requisits de la norma:

Miniactivitat: Gap Analysis ISO 27001

Realitzeu una anàlisi de bretxes simplificada per a l'empresa fictícia "LogiCat Transports SL", una empresa de logística amb 200 empleats i un sistema informàtic que gestiona dades de clients i rutes.

Per a cadascun dels dominis temàtics de la ISO 27001:2022, valoreu l'estat actual de l'empresa (0-3): - 0: No existeix cap control o política - 1: Existeix de manera informal o parcial - 2: Existeix formalment però no s'audita - 3: Existeix, és formal i s'audita regularment

Clàusula ISO 27001 Estat actual (0-3) Gap identificat Prioritat
4. Context
5. Lideratge
6. Planificació i riscos
7. Suport (recursos, formació)
8. Operació
9. Avaluació
10. Millora
Annex A - Controls organitzatius
Annex A - Controls de persones
Annex A - Controls físics
Annex A - Controls tecnològics

Elaboreu un pla de remediació prioritzant els tres gaps més crítics, amb accions concretes, responsables i terminis.


6. Integració de sistemes de gestió

Compatibilitat de les normes ISO

Un dels grans avantatges de l'High Level Structure (HLS) és que permet integrar múltiples sistemes de gestió en un Sistema de Gestió Integrat (SGI):

Norma Àmbit Estructura HLS
ISO 27001:2022 Seguretat de la informació
ISO 37301:2021 Compliance
ISO 9001:2015 Qualitat
ISO 14001:2015 Medi ambient
ISO 45001:2018 Seguretat i salut laboral
ISO 22301:2019 Continuïtat de negoci

Un SGI permet: - Reduir la documentació duplicada - Optimitzar auditories (auditories conjuntes) - Coherència entre polítiques i procediments - Eficiència de recursos en el manteniment

Relació entre ISO 27001 i RGPD

La ISO 27001 i el RGPD no son equivalents ni substituïbles l'un per l'altre, però es complementen significativament:

ISO 27001 RGPD Relació
Seguretat de la informació en general Protecció de dades personals La ISO 27001 inclou les dades personals com a actiu
Anàlisi de riscos per a tots els actius DPIA per a dades personals de risc alt Metodologies compatibles
Control 5.34: Privadesa i protecció de dades Art. 5 RGPD Alineació directa
Gestió d'incidents de seguretat Notificació de violations de dades (72h) Procediment compartit
Certificació possible No hi ha certificació RGPD Complementarietat

Bones pràctiques d'implementació

Per a la majoria d'organitzacions, la seqüència recomanada és:

  1. Primer: Implementar un SGSI basat en ISO 27001 (cobreix la seguretat global)
  2. Simultàniament: Assegurar el compliment del RGPD (específic per a dades personals)
  3. Posteriorment: Considerar ISO 37301 per a un programa formal de compliance

Resum del bloc

Els sistemes de gestió de compliment normatiu (ISO 37301, ISO 31000, ISO 27001) proporcionen metodologies provades i internacionalment reconegudes per sistematitzar, documentar i certificar el nivell de seguretat i compliment d'una organització. La clau del seu èxit no és la documentació per si mateixa, sinó que els controls implementats siguin eficaços i la gestió sigui contínua i adaptativa als canvis de l'entorn normatiu i tecnològic.


Recursos addicionals