ISO 27001: Contexto, Alcance y Política
ISO 27001
La norma ISO 27001 es una herramienta clave que facilita el establecimiento, la implementación, el mantenimiento y la mejora de la seguridad de uno de los activos más valiosos que posee la organización, que es la información. Lo hace mediante un conjunto de procesos que toman como base los riesgos a los que se enfrenta cada una de las organizaciones en todas las actividades diarias.
Durante este artículo queremos hablar sobre el contexto, el alcance, la política y la importancia que ocupa la eficacia y la mejora del papel de los roles y la correcta definición de las diferentes responsabilidades. Le recomendamos la lectura de La norma ISO 27001 versión 2013.
Contexto y alcance en la ISO 27001
De manera inicial se puede pensar que el Sistema de Gestión de Seguridad de la Información solo es asumible por las organizaciones de grande dimensiones, son precisamente las pymes las que más pueden beneficiare ya que les aporta un conjunto de conocimientos y herramientas que, de otra forma, saldrían fuera de sus posibilidades.
La norma ISO 27001 es adecuada para implementarse en cualquier organización, sin importar las dimensiones, el mercado o la actividad.
Uno de los objetivos clave de un Sistema de Gestión de Seguridad de la información es favorecer el desempeño de la organización y, para ello, debe estar en consonancia y alineada con los objetivos de negocio.
Debemos conocer el contexto de la empresa y valorar aquellas cuestiones, tanto internas como externas, que pueden en alguna medida favorecer o perjudicar la labor de conseguir las metas marcadas.
Como cuestiones internas podemos identificar los recursos financieros o el personal y sus competencias, para poner dos ejemplos. Por otro lado, algunas cuestiones externas pueden ser los aspectos culturales o socioeconómicos.
Todo esto permite que más allá de contar con una herramienta de gestión de la seguridad de la información, obtenga una imagen general de la posición que ocupa y de todo aquello que lo rodea y que le afecta en mayor o menor medida y a lo que afecta de igual forma.
No podemos olvidarnos del papel que ocupan las partes interesadas y sus necesidades. Estos son los personajes que se mueven en el escenario anterior y que marcan los posibles objetivos que se quieren conseguir.
Es necesario definir el alcance del sistema, ya que es la clave que determina el ámbito de la organización que trabaja bajo los requisitos de la norma ISO 27001.
La política de la norma ISO 27001
La política de seguridad de la información es un documento muy importante que permite reflejar los objetivos que la organización se ha marcado en materia de seguridad de la información y establece las principales líneas de actuación que tiene que permitir proteger todos los datos frente a las pérdidas, garantizando la integridad, confidencialidad y disponibilidad.
Con esto la organización adquiere un compromiso que comunicará, tanto a nivel interno como a nivel de las partes interesadas externas, ya que contribuyen a la mejora de la imagen de la organización y permite una diferencia en la competencia.
La política de la norma ISO 27001, es uno de los pilares del Sistema de Gestión de Seguridad de la Información.
La importancia de los roles y la responsabilidad de ISO 27001
Saber que tiene que hacer cada uno de los procesos o actividades es la clave para que se lleven a cabo de forma eficiente.
De esta manera, la identificación adecuada de los diferentes roles y responsabilidades se convierte en un pilar importante que permite que todos los procesos u objetivos que se planifiquen en papel no queden ahí debido a que nadie sabe quién tiene que llevarlos a cabo, a quién tiene que aportar los resultados e incidencias, etc.
En este momento es indudable la importancia que ocupa el liderazgo, tanto de la dirección como, si existieran, de los mandos intermedios.
La norma ISO 27001 busca y promueve un liderazgo marcado por la capacidad de dirigir al resto de los trabajadores, a todos los niveles, para conseguir las metas y los objetivos marcados mediante la utilización de la motivación y no de la imposición, se promueve de forma efectiva la implicación de las demás personas de la organización en la consecución de los objetivos y avanzando hacía la mejora continua.
Software ISO 27001
El estándar internacional ISO 27001 2013, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un SGSI de una forma rápida y sencilla, además el Software ISOTools Excellence para la norma ISO 27001 2013 presta solución a todas estas cuestiones que se plantean a la hora de implementar un SGSI en una empresa.
