ISO 27001 para directorios: los 93 controles traducidos a riesgo de negocio e impacto financiero

Los 93 controles del Anexo A de ISO 27001:2022, agrupados en 4 categorías (organizacionales, de personas, físicos y tecnológicos), fueron traducidos a lenguaje ejecutivo con tres componentes por control: el riesgo de negocio concreto si el control falla, el impacto financiero estimado con datos sectoriales de LATAM, y la pregunta que un miembro del directorio debería formular al equipo técnico para verificar eficacia operativa. El análisis de impacto financiero identificó los 10 controles con mayor exposición económica en caso de fallo: control de acceso privilegiado (A.8.2), cifrado en tránsito (A.8.24), gestión de vulnerabilidades técnicas (A.8.8), respaldo de información (A.8.13) y gestión de logs (A.8.15) lideran el ranking con impacto potencial combinado de entre USD 2,4 M y USD 11,8 M por incidente según sector. Se diseñó un cuestionario de 5 preguntas que todo directivo puede formular en cada reunión de directorio para supervisar el SGSI sin necesidad de conocimiento técnico, y un tablero de 12 indicadores de seguridad presentados en formato de semáforo ejecutivo.