Norma ISO 27001 2013: Puntos clave para contratar a un profesional la seguridad
Norma ISO 27001 2013
Además de los procedimientos y la tecnología adecuada, se deben contar con buenos profesionales para contar con una diferencia competitiva en la implantación y operación del Sistema de Gestión de Seguridad de la Información según la norma ISO 27001 2013.
En el campo de la seguridad de la información debe contar con un buen profesional para su empresa. A pesar de que la empresa haya invertido mucho tiempo y dinero en ofrecerles conocimientos y habilidades, existen algunos atributos comunes que se encuentran innatos en los profesionales que destacan de la multitud. Durante este artículo queremos hablar un poco de ellos.
Competencia según la norma ISO 27001 2013
Según vamos a avanzado en el marco principal de la gestión de la seguridad de la información, la norma ISO 27001 2013 tiene cláusulas que facilitan el inicio en cuanto a la utilización de las competencias para conseguir los resultados deseados de seguridad. La norma ISO 27001 2013 tiene una cláusula 7.2, la cual requiere que la empresa defina las competencias necesarias para la gestión de la seguridad de la información. Sin embargo, aunque esta cláusula puede ser un buen requisito para un Sistema de Gestión de Seguridad de la Información propuesto por empresas de cualquier tipo o tamaño, no ayuda mucho en la implantación, a lo sumo ayuda a definir los roles de seguridad.
¿Qué competencias se deben tener en cuenta?
Se tiene que definir la competencia como un grupo de cuatro aspectos:
- El conocimiento, lo que sabe sobre un tema específico.
- Habilidades, lo que debe llevar a cabo con base en el conocimiento que tiene o debido a una aptitud natural.
- Experiencia, lo que ha aprendido durante el tiempo o el número de ejecuciones de una actividad específica.
- Actitud, el comportamiento que refleja el estado de ánimo o la disposición hacia algo o alguien.
Un paso común que se debe seguir a la hora de seleccionar a un profesional para la implementación y mantenimiento del Sistema de Gestión de Seguridad de la Información según la norma ISO 27001 2013, es buscar conocimientos técnicos, habilidades y experiencias. Los perfiles establecidos por certificaciones como la ISO 27001 2013, pueden ayudar a detectar a los candidatos más prometedores o al menos definir un conjunto de conocimientos técnicos y habilidades con las que debe contar un profesional y le facilita la adaptación de las necesidades de su empresa. En concreto, para el papel de Jefe de Información Oficial de Seguridad, se puede ver en el siguiente artículo ¿Cómo hacer que funcione el proyecto de la norma ISO 27001?
Para que una empresa pueda incrementar sus posibilidades de encontrar un candidato adecuado, o para que un profesional de la seguridad pueda incrementar su visibilidad y mostrar cómo puede añadir valor a un negocio, existen seis características que se deben considerar como fundamentales:
- Enfoque de negocios y la comprensión: un profesional de seguridad tiene que ser capaz de pensar y demostrar cuales son las soluciones de seguridad que pueden generar un valor añadido al negocio. Para esto, el profesional debe conocer la industria, el entorno del mercado y los requisitos legales que le influyen.
- Visión sistémica: un profesional de seguridad tiene que ser capaz de ver todas las necesidades de seguridad general de una empresa, cómo puede converger y cómo los cambios de un solo punto pueden afectar a la seguridad general de la organización.
- Empatía: un profesional de seguridad tiene que ser capaz de ponerse en los zapatos de los demás usuarios y pensar cuáles son sus necesidades. El profesional debe ser capaz de identificar todos los riesgos y encontrar soluciones para los problemas que han sido identificados.
- Aprendizaje constante: un profesional de la seguridad siempre tiene que aprender nuevas ideas y tecnologías para ayudar a los usuarios a tomar decisiones de riesgos oportunas. El profesional debe tener en cuenta su desarrollo profesional como un negocio personal.
- Negociación y habilidades de comunicación: un profesional de seguridad tiene que ser capaz de transmitir la idea correcta sobre cómo la seguridad puede agregar valor a la tarea de una persona. La idea de seguridad es una utopía, por lo que se debe buscar el compromiso entre la seguridad y la facilidad de uso.
- Declaración de la ética: usted puede pensar que esto es un requisito previo para cualquier puesto de trabajo y tiene usted razón. El punto es que dice que usted es una persona ética es fácil, por lo que debe ser capaz de elaborar y presentar una declaración ética sólida para mostrar de forma clara sus creencias y la forma en la que están juntos.
Las competencias técnicas son el lugar lógico para comenzar a la hora de seleccionar un profesional de seguridad, o para convertirse en uno que las empresas buscan para trabajar, pero estos son sólo una parte de lo que hace un gran profesional de la seguridad de la información según la norma ISO 27001 2013.
Software ISO 27001
El Software ISOTools Excellence ISO 27001 para Riesgos y Seguridad de la Información, está capacitado para responder a numerosos controles para el tratamiento de la información gracias a las aplicaciones que contiene y que son totalmente configurables según los requerimientos de cada organización.