ISO 27001: Responsabilidades de la alta dirección
Sistema de Gestión de Seguridad de la Información
La norma ISO 27001 establece que la gerencia tiene que requerir a sus trabajadores, subcontratas y terceros la necesidad de aplicar la Seguridad de la Información según establece la política de seguridad y los procedimientos del Sistema de Gestión de Seguridad de la Información.
Las responsabilidades que la alta dirección debe requerir a sus trabajadores, subcontratas y a terceras personas son:
- Que dispongan de un resumen apropiado de las responsabilidades y los roles que ejercer en la seguridad de la información, para poder garantizar el acceso a la información sensible.
- Tienen que estar provisto de una guía en la que se especifiquen las expectativas de seguridad en la empresa.
- Deben estar motivados para poder cumplir con las políticas de seguridad de la empresa.
- Tienen que contar con un alto nivel de conocimientos en seguridad dentro de su responsabilidad o rol.
- Debe estar conformes a los términos y condiciones de su empleo, que estén incluidos en la política de Seguridad de la Información de la empresa y los métodos apropiados de trabajo.
- No pueden dejar de actualizar sus habilidades y obtener calificaciones adecuadas durante el tiempo que permanezcan en la organización.
Si los trabajadores, subcontratas o terceros no se encuentran al tanto de sus responsabilidades en Seguridad de la Información, como nos dice la norma ISO27001, se pueden generar daños considerables dentro de la empresa. Contar con personal motivado es mucho más confiable, ya que se generan muchos menos incidentes de Seguridad de la Información.
Realizar una mala gestión de la Seguridad de la Información puede generar que el personal se sienta infravalorado y esto supone que se genere un impacto negativo sobre la seguridad de la empresa. Por ejemplo, esto puede generar que la seguridad de la información sea descuidada y se generen más incidentes en los activos de información de la organización.
Conocimiento y educación en Seguridad de la Información
Según establece la norma ISO-27001, todos los trabajadores de la empresa tienen que recibir capacitación que se adecue a su empleo. Además, deben estar al tanto de todas las actualizaciones de la política de seguridad y los procedimientos del Sistema de Gestión de Seguridad de la Información.
La capacitación incrementa el conocimiento de los trabajadores. En un principio se debe comenzar a inducir de forma secuencial el proceso designado para que así puedan comprender la política de seguridad de la empresa y los objetivos marcados por ésta antes de tener acceso a la información sensible.
La capacitación tiene que reunir todos los requisitos de seguridad, responsabilidad legal y controles del negocio, además se deben realizar prácticas para que los trabajadores vean como se realiza un correcto uso de la información.
El conocimiento sobre Seguridad de la Información, según la ISO 27001, debe estar de acuerdo con el papel que realiza la persona en la organización, la responsabilidad que tenga y las habilidades de las que disponga, ya que todo esto puede ayudar a mejorar la seguridad de la información disminuyendo las amenazas. Si conocen que tipos de amenazas pueden ocurrir es mucho más fácil que puedan informar al consejo de seguridad superior utilizando los caminos destinados para ello.
Si los empleados reciben entrenamiento se refuerza su conocimiento facilitando que dichos individuos puedan reconocer la seguridad de la información, los problemas y las causas, generando una respuesta rápida y eficaz.
La norma ISO27001 establece que los trabajadores deben conocer a la perfección como abrir un proceso formal para reportar un incidente de seguridad.
Dicho proceso de apertura no puede comenzar sin que se verifique que realmente ha sucedido una amenaza.
Una vez conocemos si el proceso es correcto, se debe llevar a cabo el tratamiento por parte de los empleados destinados a realizar aperturas de seguridad. El proceso formal debe generar una respuesta en la que se tenga en consideración la naturaleza, la gravedad y el impacto sobre el negocio del incidente de seguridad. Esto ayuda a que la organización conozca si son incidentes reincidentes y puedan tomar las medidas oportunas. Si el trabajador no realiza el proceso correctamente puede ser retirado de sus labores y eliminar los derechos de acceso a la información.
El proceso disciplinario puede ser un impedimento para prevenir que los trabajadores violen la política de seguridad y los procedimientos de la organización.
Responsabilidades de finalización de empleo
La norma ISO-27001 nos dice que deben existir personas responsables de finalizar el empleo de un trabajador, si llega a darse el caso de que sea necesario.
Para poder comunicar la finalización de las taras de un trabajador se debe realizar un informe en el que se incluyan los requisitos de seguridad, las responsabilidades legales, las responsabilidades que se encentran dentro de cualquier acuerdo de confidencialidad y los términos y condiciones por un periodo definido después de que termine el contrato del trabajador.
Las responsabilidades y las tereas que son válidas después de que finalice el empleo se deben encontrar reflejadas en el contrato del trabajador.
Todos los cambios que realicen, en cuanto a las responsabilidades del trabajador, deben encontrarse detalladas en el contrato.
En una organización, recursos humanos es verdaderamente el departamento responsable de poner fin al trabajo de un empleado en la organización y debe trabajar de forma conjunta con el superviso de la persona que tiene que manejar los aspectos de seguridad en los procedimientos relevantes. Si todo esto sucede en una subcontrata de la organización, el proceso de responsabilidad de finalización se puede tomar por cuenta de la agencia responsable del contratista y si es otro usuario diferente, esto tiene que ser llevado por la propia organización.
Es necesario informar tanto a los trabajadores, las subcontratas y a los usuarios de los cambios de personal que se den en la organización.
Software ISO 27001
El Software ISOTools Excellence para ISO 27001 para la Seguridad de la Información se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes: disponibilidad, integridad y confidencialidad.