ISO 27001: Documentar las funciones y las responsabilidades

ISO 27001

Los profesionales de la seguridad de la información que son nuevos en cuanto a la implementación de la norma ISO 27001 muy a menudo tienden a pensar que la norma requiere de una definición muy centralizada y detallada de las funciones y de las responsabilidades. Aunque esto no es cierto del todo.

No se debe malinterpretar la asignación y comunicación de los roles y responsabilidades, ya que así es como los trabajadores de la organización sabrán que se espera de ellos, cual es el impacto que generan en la seguridad de la información y cómo pueden contribuir. Sin embargo, la norma ISO 27001 permite que lo haga de una forma mucho más natural para su negocio, y que no introduce sobrecarga adicional.

¿Qué requiere la norma ISO 27001?

La alta dirección es la encargada de asignar las responsabilidades y la autoridad basándose en dos aspectos fundamentales:

• En primer lugar se encuentran las responsabilidades necesarias para asegurar que el Sistema de Gestión de Seguridad de la Información cumple con todos los requisitos de la norma ISO 27001.
• Y en segundo lugar son las responsabilidades para monitorear el desempeño del Sistema de Gestión de Seguridad de la Información e informar a la alta dirección.

Las responsabilidades para la aplicación de todos los controles deben documentarse mediante un plan de tratamiento de riesgos.

Además, la norma ISO 27001 menciona responsabilidades en diferentes lugares, sin embargo no define cómo estas responsabilidades deben documentarse. Esto básicamente significa que eres libre para definirlas en cualquier forma que considere apropiado.

Las opciones para las responsabilidades de alto nivel

Las responsabilidades y autoridades de alto nivel se pueden dar a una o más personas de la organización, en función de lo que es la más adecuada.

En organizaciones grandes que cuenten con un Sistema de Gestión de Seguridad de la Información, puede ser mucho más práctico contar con una persona responsable de implantar los requisitos y otra para la presentación de informes. Se debe contar con una persona para asegurar la aplicación de todos los requisitos y presentación de informes para un segmento del Sistema de Gestión de Seguridad de la Información, la seguridad de recursos humanos y otra persona encargada de la gestión de incidentes.

Documentar las funciones y las responsabilidades

Se deben documentar todos los roles y las responsabilidades de seguridad de la información en general en las descripciones de trabajo, como parte del organigrama o en la política de Seguridad de la Información.

Debe documentar las funciones y las responsabilidades mas detalladas en las distintas políticas, procedimientos, planes y otros documentos que se desarrollan como parte de la implantación de la norma ISO 27001 de seguridad específicas.

En la práctica, en el nivel de la empresa inferior, roles y responsabilidades de seguridad serán asignados como tarea regulares. Estas tareas se deben dar a las personas que probablemente ya estén haciendo ellos, sólo que ahora estas funciones y responsabilidades serán más formales. Respecto a la supervisión e información que debe hacerse mediante los canales regulares, el superior directo de los trabajadores particulares se encargará de su seguimiento y presentación de informes sobre los resultados.

No hay necesidad de tener un documento que defina de forma centralizada todos los roles de seguridad detalladas. El documento no sería práctico debido a la redundancia, si en algún momento cambia algún papel o responsabilidad en un determinado procedimiento, tendrá que cambiar este documento central. Tarde o temprano, se producirá una discrepancia.

La documentación del Sistema de Gestión de Seguridad de la Información

La creación de documentos sólo con el propósito de mostrársela al auditor de certificación no tiene sentido, ya que debe crear documentos que le ayuden a hacer su trabajo. La documentación de la norma ISO 27001 debe ser su herramienta para mejorar sus actividades de seguridad, por lo tanto cuando se definen las funciones y responsabilidades que debe escribir de una forma que es fácil de entender y escribirlas en un lugar que es lógico encontrar.

Software ISO 27001

El Software ISOTools Excellence para la norma ISO 27001, se encuentra capacitado para responder a numerosos controles para el tratamiento de la información gracias a las aplicaciones que contiene y que son totalmente configurables según los requerimientos de cada organización. Además, este software permite la automatización del Sistema de Gestión de Seguridad de la Información.