SGSI: Comprensión de la organización y de su contexto
SGSI
El análisis del contexto es uno de los nuevos requerimientos de la nueva Norma ISO 9001:2015, esto implica que la organización debe determinar las cuestiones internas y externas, que afectan de forma directa o indirecta en la planificación estratégica y en los objetivos en nuestro sistema de gestión de calidad y en los resultados esperados en el sistema de gestión de seguridad de la información.
El contexto dicho de otra forma es el entorno interno y externo que rodea a la organización. Se debe definir qué elementos hay que evaluar sus incidencias y como se refleja en el sistema de gestión de calidad, con respecto a los objetivos y metas del SGSI, procesos y procedimientos, tamaño de la organización, mercado, clientes… Esto también implica identificar los riesgos y oportunidades relacionadas con el contexto del negocio.
Contexto interno
En primer lugar, la organización debe establecer los límites y la aplicabilidad del Sistema de Gestión de Seguridad de la Información para determinar su ámbito de aplicación.
El marco interno es el entorno interno en el que se basa la organización para lograr sus objetivos del SGSI. El proceso de gestión de riesgos debe estar alineado con la cultura, los procesos, la estructura y la planificación estratégica de la organización. El contexto interno es lo que en el seno de la organización puede afectar la forma en que una organización gestiona su seguridad.
El objetivo que tiene este análisis interno es el siguiente:
- Ayudar a reconocer a las organizaciones todas las oportunidades que les permiten alcanzar sus objetivos en términos de estrategia, trabajo o negocio, y esto afecta la continuidad del compromiso de la organización.
- En el mismo contexto de los objetivos de la organización se realiza la gestión de los riesgos.
- Los objetivos de la organización tienen que tener en cuenta procesos o actividades de la organización.
Este análisis puede incluir la información con respecto a:
- La situación política, las funciones y la obligación de rendir cuentas en función a los requisitos legales aplicables, l
- La planificación estratégica, objetivos, iniciativas, metas o programas establecidos.
- Competencias adquiridas en función a los recursos, tiempo, experiencia, procesos, sistemas, tecnologías.
- Cultura de la organización.
- Sistemas de comunicación e información, toma de decisiones formales o informales.
- Normas o directrices de la empresa
- Relaciones contractuales con las partes interesadas o trabajadores.
Contexto externo del SGSI
El contexto externo es el entorno en el que la organización busca para alcanzar sus objetivos del SGSI. Es importante comprender el contexto externo para garantizar que los objetivos y las preocupaciones de las partes interesadas externas se tengan en cuenta al desarrollar criterios de riesgo.
Aunque las organizaciones normalmente no pueden controlar sus entornos, es importante que sean conscientes de los cambios que se produzcan, porque los cambios finalmente afectan a sus decisiones y acciones diarias.
El análisis del contexto externo del SGSI puede incluir, aunque sin limitarse a ello en:
- Adaptación al medio: la alta dirección debe anticiparse a los cambios venideros para poder reaccionar lo antes posible.
- El gobierno, a través de las regulaciones gubernamentales juegan un papel muy importante. Por ejemplo, en las regulaciones sobre producto, embalaje o envío.
- Economía: Las organizaciones deben controlar la economía y aprender a reaccionar ante ella. Los factores económicos afectan la forma en que comercializar los productos.
- Competencia con otras empresas del mismo sector. Se puede elegir buscar mercados en los que no exista competencia.
- Opinión pública: Tanto las opiniones positivas como negativas en redes sociales pueden influir en la imagen de la compañía.
Además, el entorno externo se puede dividir en dos partes como son:
- Directamente interactivo: De impacto inmediato y en primera persona. Las fuerzas directamente interactivas incluyen las partes interesadas como: propietarios, clientes, proveedores, competidores, empleados y sindicatos.
- Indirectamente interactivo. No tiene efecto inmediato. Estas fuerzas tienen influencias socioculturales, políticas y legales, tecnológicas, económicas y globales. Estas no tienen por qué afectar a todas las organizaciones por igual, puede ser que a una les afecte más que a otras.
Partes interesadas:
Para realizar el análisis, la organización debe identificar las partes interesadas relevantes y sus requisitos para el sistema de gestión de seguridad de la información. Estos requisitos, junto con la declaración de aplicabilidad, nos aportará una visión completa del marco de trabajo y su justificación.
Como ejemplo podemos incluir a los clientes como partes interesada y sus necesidades, expectativas o requisitos sería cumplir con los requisitos de seguridad de la información. Otra parte interesada pueden ser nuestros proveedores, en este caso sus necesidades, expectativas o requisito sería por ejemplo cumplir con los requisitos de seguridad que nos impone.
Software ISO 27001
En este artículo solo hemos mencionado una de las cláusulas de la norma ISO 27001. Son muchas otras las que se deben tener en cuenta y con esta misma ya hemos apreciado que es de vital importancia tener nuestro sistema de gestión perfectamente organizado, planificado y con la información esencialmente documentada. Un software de gestión como el de ISOTools Excellence, le permitirá cumplir con todos los requisitos teniendo bajo control todo su sistema de gestión con un solo software.