ISO 27001: El papel de la gerencia en un SGSI
Sistema de Gestión de Seguridad de la Información
Uno de los principales componentes para poder implementar un Sistema de Gestión de Seguridad de la Información según la norma ISO 27001 es la implicación de la alta dirección de la organización.
No estamos hablando de una expresión retórica, sino que tiene que asumirse desde un primer momento que el Sistema de Gestión de Seguridad de la Información afecta a la gestión del negocio y requiere que todas las decisiones y las acciones futuras solo las puede tomar la gerencia de la organización.
No podemos caer en el error de considerar que el Sistema de Gestión de Seguridad de la Información es una cuestión técnica o tecnológica desplaza a niveles inferiores de la organización, por lo que se deben gestionar los riesgos y los impactos del negocio de forma que la responsabilidad sea de la gerencia de la organización.
El término dirección de la organización debe estar contemplado siempre desde el punto de vista del alcance del Sistema de Gestión de Seguridad de la Información. Las tareas fundamentales del Sistema de Gestión de Seguridad de la Información que ISO27001 asignan a la dirección en que se detallan los siguientes puntos:
Compromiso con la dirección
La dirección de la organización debe comprometerse con el establecimiento, implementación, operación, monitorización, revisión, mantenimiento y mejora el Sistema de Gestión de Seguridad de la Información. Para ello, se pueden tomar las siguientes iniciativas:
- Establecer una política de seguridad de la información.
- Asegurar el establecimiento de objetivos y planes de Sistema de Gestión de Seguridad de la Información.
- Establecer roles y responsabilidades de seguridad de la información.
- Comunicar a la organización la importancia de lograr los objetivos de seguridad de la información y de cumplir con la política de seguridad.
- Asignar todos los recursos necesarios para llevar a cabo el SGSI.
- Decidir todos los criterios de aceptación de riesgos y sus correspondientes niveles.
- Comunicar a toda la organización la importancia de conseguir todos los objetivos de seguridad de la información y cumplir con la política de seguridad.
- Asignar los recursos suficientes para todas las fases del SGSI.
- Asegurar que se realizan todas las auditorías internas.
- Realizar revisiones periódicas del SGSI.
Asignación de recursos
Para que se desarrollen todas las actividades relacionadas con al Sistema de Gestión de Seguridad de la Información, es imprescindible asignar los recursos necesarios. Es responsabilidad de la dirección garantizar que cuentan con los suficientes recursos para:
- Establecer, implementar, operar, monitorizar, revisar y mantener el Sistema de Gestión de Seguridad de la Información.
- Poder garantizar que todos los procedimientos de seguridad de la información apoyan a los requerimientos de negocio.
- Identificar todos los requerimientos necesarios para cumplir con la legislación vigente.
- Aplicar de forma correcta todos los controles implementados.
- Realizar todas las revisiones cuando sea preciso.
- Mejorar la eficacia del Sistema de Gestión de Seguridad de la Información.
Formación y concienciación
La formación y la concienciación en Seguridad de la Información son elementos muy básicos a la hora de conseguir el éxito de un Sistema de Gestión de Seguridad de la Información basado en la norma ISO-27001. Por lo que la alta dirección debe asegurar que todo el personal de la empresa tiene sus responsabilidades asignadas y definidas en el SGSI. Por lo que se deberá:
- Determinar las competencias necesarias que debe tener cada persona de la organización en función de las tareas que vaya a desempeñar.
- Satisfacer las necesidades mediante planes de formación.
- Evaluar la eficacia de las acciones que ha realizado.
- Mantener todos los registros de estudios, formación, habilidades, experiencia y cualificación.
La gerencia de la organización tiene que asegurar que todo el personal relevante se encuentre concienciado con la importancia de sus actividades de Seguridad de la Información y de cómo contribuye a la consecución de los objetivos del Sistema de Gestión de Seguridad de la Información.
Revisión de Sistema de Gestión de Seguridad de la Información
A la gerencia de la empresa se le debe asignar la terea de que, al menos una vez al año, se debe revisar el Sistema de Gestión de Seguridad de la Información, para poder asegurar que continúe siendo adecuado y eficaz. Por lo que se deben recibir una serie de informaciones, que le pueden ayudar a tomar decisiones, entre las que podemos enumerar:
- Resultados de las auditorías y revisiones del SGSI.
- Observar todas las partes interesadas.
- Técnicas, productos o procedimientos que puedan ser útiles para mejorar el rendimiento y eficacia del SGSI.
- Informar sobre el estado de las diferentes acciones preventivas y correctivas.
- Vulnerabilidades o amenazas que no sean trasladadas adecuadamente en evaluaciones de riesgos anteriores.
- Los resultados de las mediciones de eficacia.
- El estado de las acciones iniciadas a raíz de las diferentes revisiones anteriores de la dirección de la organización.
- Cualquier cambio que puede afectar al Sistema de Gestión de Seguridad de la Información.
- Obtener recomendaciones de mejora.
Si nos basamos en todas las informaciones, la dirección tiene que revisar el Sistema de Gestión de Seguridad de la Información y tomas las decisiones oportunas y relativas a:
- Mejorar la eficacia del Sistema de Gestión de Seguridad de la Información.
- Actualización de la evaluación de riesgos y del plan de tratamiento de riesgos.
- Modificar los procedimientos y controles que afecten de la seguridad de la información. Obteniendo como respuesta cambios externos o internos en los requisitos de los negocios.
- Necesidad de recursos.
- Mejorar la forma de medir la efectividad de los controles.
Software para ISO 27001
El Software ISO27001 para los Sistemas de Gestión de Seguridad de la Información es una herramienta que cuenta con una serie de aplicaciones específicas para esta temática tales como evaluación de riesgos de seguridad de la información o aplicaciones de autodiagnóstico que dan la posibilidad de automatizar la implantación y mantenimiento de la norma ISO-27001 de forma eficaz en cualquier tipo de organización, independientemente de su sector o tamaño. Además, facilita a las organizaciones la implementación de un Sistema de Gestión de Seguridad de la Información de una forma fácil y sencilla, ya que ofrece las herramientas necesarias para llevarlo a cabo.