¿Cuáles son las necesidades y expectativas de las partes interesadas en un SGSI?
Necesidades y expectativas de las partes interesadas
Las partes interesadas son el conjunto de factores internos y externos que influyen en la organización.
Formalmente, la norma EN UNE ISO 9001: 2015 define como «partes interesadas» a todas las partes interesadas que de una forma u otra pueden verse afectadas por la actividad de la empresa o cuyas decisiones pueden afectar el sistema de gestión. de la calidad de la empresa o entidad de carácter público.
Más específicamente, nos estaríamos refiriendo a los propios clientes de la compañía; los empleados; los socios, propietarios o accionistas; proveedores; competidores, sindicatos y organismos reguladores; o incluso grupos de ciudadanos que pueden ejercer cierta presión. A través de factores internos, entendemos todos los elementos sobre los cuales la organización puede ejercer control, son inherentes a la propia empresa, su administración puede cambiarlos y adaptarse a las condiciones cambiantes. Si bien los factores externos generalmente son todos aquellos sobre los cuales la organización no tiene control, las reglas del juego son las mismas para todas las empresas y deben ser utilizadas por todas las empresas.
Los requisitos de las partes interesadas en ISO 27001 se incluyen en la cláusula 4.2 de la norma. Establece que la organización debe identificar y comprender los requisitos y expectativas de las partes interesadas del sistema de gestión de seguridad de la información, tanto internas como externas, que pueden afectar la capacidad del sistema para lograr los resultados esperados, o aquellos que puede influir en la dirección estratégica de la organización.
Por otro lado, la identificación de los requisitos de las partes interesadas en ISO 27001 está estrechamente relacionada con la cláusula 4.1 de Contexto con la definición del contexto interno y externo de la organización. Por lo tanto, es interesante descomponer este problema, tener una base sólida desde la cual construir un SGSI que realmente satisfaga las necesidades de las partes interesadas en ISO 27001.
¿Cuáles son las partes interesadas en ISO 270001?
Para comenzar el análisis de las necesidades y expectativas de las partes interesadas, tenemos que comenzar por identificar cuáles son las partes interesadas. Las definimos como aquellas personas, grupos u organizaciones que obtiene algún beneficio con la implementación de un sistema de seguridad de la información, o se ve afectada por su presencia, su ausencia o ineficacia.
A partir de la definición del contexto interno y externo de la organización, comenzamos a identificar a las partes interesadas: empleados, proveedores, clientes, accionistas, administradores, altos directivos, organismos reguladores, legisladores, sindicatos … Las partes interesadas en ISO 27001 no son siempre fácilmente identificables. Por poner un ejemplo, los competidores, e incluso los piratas informáticos, podrían verse potencialmente como partes interesadas en un SGSI.
Sin embargo, en lugar de crear políticas y controles únicos para todas las partes, las políticas relevantes deben considerarse en función de su poder, interés y capacidad en el sistema. Si tiene un alto poder y un alto interés es lo que se denomina jugador clave. Tienen una alta participación en el sistema. Es importante invertir más tiempo y recursos en estos jugadores claves que en otras partes interesadas que tengan mejor poder o interés. Las partes interesadas en algunos casos pueden afectar a la capacidad de la organización para logra los resultados previstos para el sistema.
Necesidades y expectativas de las partes interesadas en ISO 27001
Durante la implementación del sistema de gestión de la información, la organización debe haber realizado un análisis exhaustivo de su propio negocio.
El cliente confía en la seguridad de su información en la organización todos los días, si este sistema de seguridad de la información no es compatible con esta expectativa, no cumplirá su propósito y tiene muchas probabilidades de fallar. Es por eso que todas las expectativas o necesidades que tiene el cliente se deben de incluir en el sistema en forma de requisitos.
Estos requisitos los podemos definir a través por ejemplo de cuestionarios a estas partes interesadas para poder sacar información sobre estas expectativas, entrevistas personales, talleres de información, estudios de documentación…
La organización establecerá y propondrá una serie de medidas y acciones para poder cumplir con estos requisitos. En este sentido la empresa también tiene que asegurarse si estas expectativas o requisitos tienen que tener un seguimiento en el tiempo para ver si los seguimos cumpliendo o no. Además, puede ser que cuando la empresa vaya a planificar estas acciones ya no se encuentren en el punto de mira de nuestra parte interesada.
Diplomado de Seguridad de la Información ISO 27001
La información es uno de los activos más importantes de las organizaciones. Debemos proteger la información, pero también debemos ser conscientes de que es una tarea muy complicada cuando hablamos de la red. Por este motivo, debemos conocer todos los riesgos a los que nos enfrentamos y así, poder mitigarlos. En el Diplomado de Seguridad de la Información ISO 27001 aprenderá desde las bases de la norma hasta lo más específico.