ISO 27001 versión 2013 ¿Cómo alinear la seguridad de la información con la dirección estratégica?
ISO 27001 versión 2013
Existe un requisito de la norma ISO 27001 versión 2013 que muy rara vez se menciona, y sin embargo, es probable que sea crucial para el largo plazo de un Sistema de Gestión de Seguridad de la Información en una empresa. Los objetivos del Sistema de Gestión de Seguridad de la Información deben ser “compatibles con la dirección estratégica de la empresa”.
La estrategia de la empresa y la dirección estratégica
Existen muchas definiciones de la estrategia de negocio, y parece que la definición de Michael Porter es una de los más populares. Define la estrategia como:
“Una amplia fórmula de cómo un negocio va a competir, cuáles deben ser sus objetivos y qué políticas serán necesarios para llevar a cabo esos objetivos”.
Para la dirección estratégica a largo plazo, no existen gurús que han definido lo que esto significa, pero la mayoría de las fuentes dicen que la dirección estratégica significa especificar los objetivos, el desarrollo de políticas y planes para conseguir estos objetivos, y la provisión de recursos para conseguir esto. Algunas fuentes dicen que simplemente la dirección estratégica que trata de establecer la visión de empresa, la estrategia y la táctica, lo que significa que la visión se establece el objetivo general que debe lograrse. La estrategia define cómo se hace esto, y las tácticas son las actividades concretas que deben llevarse a cabo.
Por lo tanto, ¿Cómo puede ayudar a la seguridad de la información de la empresa apoyar los planes para conseguir los objetivos estratégicos, y proporcionar recursos para la consecución de su estrategia de negocio?
Esto se puede conseguir con diferentes iniciativas: los profesionales de la seguridad de la información hacia la alta dirección, y desde la alta dirección hacia los profesionales de seguridad de la información.
Definición de los beneficios empresariales de la seguridad de la información
Los profesionales de seguridad de la información deben encontrar una razón por la que la alta dirección tiene que preocuparse por su SGSI, y para ello tienen que centrarse en los beneficios del negocio, ya que estos beneficios son suficientemente atractivos para la alta dirección para que puedan dar suficiente prioridad a las actividades de seguridad de la información.
Hay cuatro posibles beneficios:
- El cumplimiento de la legislación y las obligaciones contractuales
- Las ventajas de comercialización
- Reducción de costes
- Mejorar la organización interna
La toma de decisiones estratégicas sobre la seguridad de la información
La alta dirección tiene que tomar algunas decisiones cruciales sobre cómo adaptase a la seguridad de la información en una organización, es decir, tiene que decidir entre las siguientes ventajas y desventajas:
- Creatividad frente a la utilización de controles de procedimiento para asegurar la información
- Necesidad de confianza entre los empleados frente al control de arriba hacia abajo
- La facilidad de hacer negocios para los interesados frente a un aumento de la exposición a las amenazas
- Reputación de la organización frente a los beneficios
Las organizaciones que cuentan con mayor éxito son porque los gerentes están realizando las siguientes actividades:
- La participación activa en la toma de decisiones estratégicas
- La consideración de conducir las implicaciones de seguridad mediante las funciones del negocio
- Empujar cambios en el comportamiento del usuario
- Asegurar una gestión eficiente
La norma ISO 27001 versión 2013 requiere algunas actividades que se deben realizar de forma directa por la alta dirección. Además, la alta dirección tendrá que aprobar el presupuesto para la implementación de la seguridad de la información y de mantenimiento, y aprobará los riesgos residuales.
El ciclo virtuoso
Los profesionales de seguridad informática sugieren que la alta dirección obtenga ciertos beneficios empresariales. Se interesan más y empiezan a tomar decisiones cruciales, esto a su vez crea nuevas ideas de prestaciones de la seguridad de la información y el ciclo se repite una y otra vez.
La alta dirección de una organización de venta al por menor decide que necesita para aumentar la cuota de mercado mediante una tienda on-line, por lo que se sugiere que la certificación ISO 27001 versión 2013 pueda ayudar a reducir el riesgo de posibles ataques de piratas informáticos y también aumentará la confianza de compradores potenciales.
La alta dirección debe decidir cuáles son los riesgos que sea aceptables y lo mucho que tienen que apretarse los procesos existentes para que sean seguros.
Para documentar todo esto según la norma ISO 27001 versión 2013, estas iniciativas deben reflejarse en la política de seguridad de la información y los objetivos de seguridad. La política de seguridad de la información debe reflejar el hecho de que llegará a ser cada vez más importante para su negocio en general, y que todos los demás procesos de la organización tendrán que ser más orientado hacia las ventas.
Software ISO 27001
El estándar internacional ISO 27001 2013, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un Sistema de Gestión de Seguridad de la Información de una forma rápida y sencilla, además el Software ISOTools Excellence para la norma 27001 2013 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa.