Las personas en el SGSI. Implicación por parte de todos/as
Un Sistema de Gestión de la Seguridad de la Información, basado en ISO 27001, tiene un enfoque sistemático a la gestión de la información sensible de la organización, de manera que siga siendo segura. Abarca personas, procesos y sistemas.
El desarrollo e implicación de las personas son aspectos clave para la consecución de los objetivos de la empresa.
La formación, toma de conciencia y competencia del personal son responsabilidades de la alta dirección.
Todas las personas que forman parte de una organización han de tener claro qué hacer para colaborar en el logro de los objetivos de la empresa. Parece fácil de identificar y lograr, pero cuando hablamos de seguridad de la información es algo más complicado.
Que esto esté claro es responsabilidad de la Dirección, el estándar lo expresa claramente en la cláusula 5. El área de Recursos Humanos es la encargada de especificar las descripciones de los puestos de trabajo relativos a las áreas que correspondan, por tanto es la encargada de documentar y describir claramente las responsabilidades en materia de seguridad en la organización.
Normalmente, esto suele ser un problema de los SGSI, ISO-27001, pues las personas suelen entender que la seguridad depende de un área concreta o de sistemas, y no es habitual encontrarlo como una responsabilidad de todos los miembros de la empresa.
No obstante, hay casos en que dicho tema se encuentra a un nivel de madurez adecuado, suele ser en industrias con fuerte regulación sobre esto, como por ejemplo la industria financiera.
La nota importante a sacar de todo esto es que las personas deben saber cuáles son sus responsabilidades para el alcance de los objetivos en materia de seguridad de la información.
Otro tema a tratar respecto a los SGSI, ISO27001, es que las personas son resistentes a los cambios, suele ser otra dificultad a la hora de implantar un Sistema de Gestión de la Seguridad de la Información.
Es necesario identificar los agentes del cambio que serán útiles para transformar la política de seguridad definida en algo tangible y los objetivos en algo alcanzable y evidente.
La resistencia al cambio debe ser trabajado por la Dirección de la empresa, ésta debe marcar el camino, ofrecer los recursos y apoyar las iniciativas que posibiliten establecer el programa de seguridad que lleve a la realidad la política de seguridad de la información.
La Plataforma Tecnológica ISOTools camina con la organización hacia el éxito del SGSI implantado a partir del estándar ISO 27001, dejando atrás los obstáculos encontrados.
