ISO 27001

ISO 27001, es una norma que ha sufrido cambios y se ha creado una nueva versión de ella.

Estos cambios han sido por un lado, estructurales, siendo algunos de ellos la incorporación del empleo del Anexo SL de ISO/IEC o que los conceptos de términos se relacionan con la norma ISO 27000.

Por otro lado, los aspectos específicos como las metodologías de gestión del riesgo y análisis, o la medición se relacionan con las normas que ya existen de la serie ISO-27000.

En este artículo, nos vamos a centrar en la cláusula 4 y 5 de la nueva versión de la ISO 27001:2013.

La cláusula 4 se centra en señalar cuáles van a ser los clientes del Sistema de Gestión de Seguridad de la Información (SGSI).

La empresa se va a centrar en identificar cuáles van a ser las necesidades de seguridad y qué requisitos garantizar. Esto es explicado en los subapartados siguientes:

4.1. Comprender la empresa y su contexto: es fundamental comprender el SGSI y el entorno.

4.2. Comprender las necesidades y expectativas de las partes interesadas: es de vital importancia indicar quién son las partes internas interesadas y cuáles son sus necesidades en relación con la seguridad.

4.3 Establecer el alcance del SGSI: con lo indicado en las anteriores cláusulas se creará un primer documento que forma el SGSI, donde se indicarán los límites del mismo que debe estar expresado en términos de:

• Asuntos internos y externos considerados en 4.1
• Requisitos identificados de esas necesidades.
• Interfaces y dependencias entre las actividades realizada por la organización y las que son llevadas a cabo por otras empresas.

La cláusula 5 se centra en reunir las exigencias para asegurar el funcionamiento del SGSI. Al igual que la cláusula 4, está compuesta por varios subapartados los cuales son:

5.1. Liderazgo y compromiso: estos dos valores deben de ser verificados por la alta dirección de la siguiente forma:

• Garantizando que los objetivos se determinan y son compatibles con la estrategia de la empresa.
• Asegurando la integración del SGSI con los procesos de la empresa y dando los recursos que son necesarios.
• Garantizando que el SGSI alcanza los resultados esperados.

5.2 Política: en esta parte, se formaliza el compromiso de la alta dirección, por lo que se crea el segundo documento del SGSI “la política de seguridad”. Este documento debe establecer directrices de gestión en relación a:

• Debe de ser coherente a la finalidad de la empresa.
• Incluir objetivos o dar un marco para determinarlos.
• Incluir compromisos de satisfacción de los requisitos aplicables y asegurar la mejora continua.

5.3 Roles de la organización, responsabilidades y autoridad: todas las personas implicadas en la puesta en marcha del SGSI deben de tener otorgadas unas responsabilidades y tareas claras.

Las tareas del SGSI se estratifican a distintos niveles del organigrama, donde una parte del personal estará más unificado con la gestión del sistema y el soporte de los procesos como la mejora continua, la medición o la documentación. Por otra parte, existirá personal más vinculado a las tareas operativas de administración y operación de las medidas de seguridad que implantan controles del anexo A. Para estos, se les asignarán responsabilidades y autoridad para asegurar que el SGSI es conforme al estándar y se les informará a la dirección del rendimiento de dicho sistema.

ISOTools, es una Plataforma Tecnológica, que ayuda a las organizaciones a implantar, sistematizar y evaluar el estándar ISO27001.