ISO 27001

ISO 27001 ha sido recientemente objeto de revisión, hemos hablado en semana anteriores de distintos aspectos. Hoy trataremos el soporte.

La cláusula relacionada con el soporte especifica los medios requeridos para la puesta en marcha del Sistema de Gestión de la Seguridad de la Información. Además de identificar las necesidades materiales, se insiste en la relevancia de las personas y sus respectivas capacidades técnicas, por lo que resulta necesaria la concienciación y formación para garantizar que son apropiadas.

Se establecen los requisitos comunes para garantizar el sistema en relación a la documentación que forma parte del mismo y al procedimiento de gestión con respecto a las actualizaciones o cambios necesarios para su mantenimiento.

Recursos

Una decisión estratégica debe contar con los recursos correspondientes para el logro de un buen funcionamiento del SGSI. Los ajustes presupuestarios pueden influir en las inversiones a realizar. Siempre habrá unos mínimos de riesgos que haya que asumir.

Competencias

El equipo de personas, en relación al factor humano, que de soporte al SGSI debe disponer de recursos o poseer un apropiado nivel de conocimiento para hacer que se logren. Debe quedar constancia de este proceso de capacitación.

Concienciación

El personal debe ser consciente de su aportación a la efectividad del sistema, de su participación en la solución de no conformidades y de la política de seguridad.

Comunicación

Formaliza las vías de comunicación en un SGSI y determina la identificación de necesidades internas y externas en materia de comunicación sobre la seguridad de la información:

• Qué debe comunicar, cuándo, a quién…

La comunicación es importante cuando ocurren incidentes. La agilidad de los procesos minimizaría el tiempo de respuesta y se reducirían los daños ocasionados.

Documentación

Se definen los requisitos para el control de documentación del sistema. Es el criterio de la propia organización la que especifica sus propias necesidades de documentación para la garantía de la efectividad del sistema.

De todas formas, existen unos mínimos exigidos por las cláusulas del estándar. Los factores condicionantes del nivel de documentación pueden ser:

• Tamaño, tipo de actividades, servicios y productos
• Complejidad de procesos e interacciones
• Competencia personal

El proceso de gestión de la documentación no varía en comparación a los requisitos previos. La documentación:

• Se describe e identifica
• Identifica el medio y el formato
• Es revisada para mantener su actualización y vigor

La documentación exigida por el SGSI debe estar controlada para garantizar:

• Sea accesible para su empleo cuándo y dónde sea necesario
• Esté protegida
• Se controlen los cambios
• Se aseguren los periodos de conservación y retención

Debe definirse también la gestión del ciclo de vida de la documentación:

• Creación
• Distribución
• Acceso
• Uso
• Almacenamiento
• Destrucción

Se hace necesario identificar y controlar toda aquella documentación de origen externo requerida para la operación y planificación del SGSI.

ISOTools colabora con las organizaciones en el proceso de implementación de un Sistema de Gestión de la Seguridad de la Información basado en ISO-27001 mediante su automatización, gestión y control.