ISO 27001 – La gerencia y su papel en la Gestión de la Seguridad de la Información
ISO 27001 se traduce en un SGSI imprescindible en toda organización. El compromiso de la gerencia es fundamental para el nacimiento del mismo. Este apoyo y seguimiento es indispensable para llegar a la implantación final.
Por otro lado, existirá un comité de seguridad que evaluará el estado del SGSI y tomará las decisiones adecuadas, todo bajo el conocimiento de la alta dirección.
Sin esto se llegará al incumplimiento de la norma y el fracaso está cerca.
ISO-27001 establece el compromiso que debe acatar la alta dirección, siendo:
- Establecer la política del SGSI.
- Garantizar que se crean objetivos y planes relativos al SGSI.
- Establecer roles y responsabilidades.
- Comunicar a la empresa la relevancia de alcanzar los objetivos de seguridad de la información, acatar la política creada y la necesidad de una mejora continua.
- Suministrar recursos para el desarrollo, implementación, operación, monitoreo, revisión, mantenimiento y mejora del SGSI.
- Decidir los criterios para aceptar el riesgo y los niveles para ello.
- Garantizar que se ejecuten las auditorías internas del SGSI.
- Llevar a cabo revisiones gerenciales del sistema aportado por ISO27001.
Es responsabilidad también de la gerencia la revisión del SGSI.
La alta dirección tiene que revisar el sistema a intervalos previamente planificados, para asegurar su continua idoneidad, conveniencia y efectividad. Aquí se incluyen oportunidades de mejora y la necesidad de aportar cambios en el SGSI. Se trata de revisiones que deben estar documentadas y registradas.
La revisión gerencial debe estar alimentada de resultados de auditorías, retroalimentación de las partes interesadas, técnicas de mejora del desempeño y efectividad del SGSI, acciones correctivas, amenazas no tratadas de forma correcta, acciones de seguimiento, cambios que afecten al sistema y recomendaciones para una mejora.
La dirección debe dar unos resultados de estas revisiones que incluyan toda decisión y acción relacionada con: mejorar la efectividad del SGSI implantado con ISO 27001, actualización de la evaluación del riesgo y el plan de tratamiento de riesgos, modificación de procedimientos y controles que afectan a la seguridad de la información, necesidades de recursos y mejora de la efectividad de la medida de los controles.
La Plataforma Tecnológica ISOTools con la automatización del SGSI ayuda a la alta dirección de una organización a cumplir con su compromiso y a llevar a cabo una revisión exhaustiva sin dejar ningún aspecto importante atrás.