ISO 27001 y la organización de la seguridad de la información en una PYME
ISO 27001
ISO 27001 busca conseguir una estrategia de buenas prácticas para la seguridad de la información consistente y eficiente, pero para ello es imprescindible contar con un total compromiso de la dirección.
Actualmente, es vital para una PYME o cualquier otro tipo de empresa proteger la información y sus sistemas de comunicación para garantizar el cumplimiento legal y salvaguardar los activos y la propiedad intelectual.
Por todo esto, la seguridad de la información en la empresa requiere una efectiva organización en su totalidad.
Para organizar la seguridad de la información en una PYME es necesario revisar hacia qué procesos clave se enfoca el alcance del SGSI, cómo crear una política de seguridad, cómo organizar estructuralmente la empresa y cómo afrontar las relaciones con terceras partes imprescindibles para el desarrollo de una PYME.
Establecimiento del alcance del SGSI
El alcance es el ámbito de la organización que se somete al SGSI. Lo ideal es establecer un alcance de alto nivel que sea conciso y no deje dudas sobre las actividades de la empresa que están integradas en el SGSI de ISO-27001.
La definición del alcance se puede llevar a cabo dentro de la política de seguridad o en un documento exclusivo para luego desarrollar una descripción más detallada del mismo y las características de la empresa que han conducido a dicha definición.
Esta definición debe considerar:
- El desarrollo de negocio de la empresa.
- Cómo es la estructura organizativa.
- La ubicación física.
- Los activos por los cuales se desarrollan todas las características del negocio.
No es la mejor opción definir un alcance global, que acoja toda la organización, lo mejor es diseñar un SGSI con un alcance reducido para posteriormente ampliarlo. La cuestión es identificar en qué parte de la organización la seguridad puede aportar un mayor valor añadido, es decir dónde se concentran la mayor parte de las actividades relacionadas con la gestión de la seguridad de la información.
Definición de la Política de la Seguridad
Este es el primer paso para definir un SGSI. Este documento definirá el motivo de la implantación del SGSI, quién y cómo se promueve y qué objetivos se pretenden conseguir con su aplicación.
La política de seguridad debe ser coherente con las características del negocio, la estructura de la organización, su emplazamiento, sus activos y tecnología. Y, por otro lado, las consideraciones se deberían hacer en función de las dimensiones de confidencialidad, disponibilidad e integridad de la información.
La política siempre ha de ser aprobada por la dirección de la empresa y revisada cuando sea necesario en función de los cambios que sufra la empresa. Debe tener un carácter de alto nivel, para que a partir de ella se desarrollen los procedimientos, procesos y normativas que sustentan la seguridad de la empresa, y se debe difundir y publicar para que la conozcan todos los empleados.
Asignación del Responsable de Seguridad
La persona encargada de este rol se ocupa de gestionar y mantener el SGSI. Su principal función es mantener el proceso de mejora continua y, en cuanto a los procesos de gestión, debe encargarse de planificar las auditorías internas y llevar la gestión de los incidentes de seguridad. Además, debe pertenecer o apoyar al comité de seguridad.
Creación del Comité de Seguridad
Este comité es un foro de gestión. Se encargan de mantener la política de seguridad y de revisar y aprobar la valoración y los riesgos de la empresa. Debe aprobar el nivel de riesgo aceptable y el riesgo residual que queda tras la aplicación del plan de tratamiento de riesgos.
El comité está formado por algunos componentes de la dirección de la empresa y, deben reunirse periódicamente para valorar resultados de auditorías internas, gestionar incidentes…
Acuerdos con Terceras Partes
Si el negocio necesita de la participación de terceras partes, se deben identificar los riesgos de la información que la empresa deja a esta tercera parte. En función de esto, se actuará de un modo u otro para reducir el riesgo. No se debería autorizar este acceso hasta que no se implanten los controles identificados.
Todos los requisitos de seguridad deben quedar firmados en el contrato con la tercera parte.
La Plataforma Tecnológica ISOTools está preparada para seguir cada una de estas indicaciones en la implantación de un SGSI, y llevar a cabo una gestión eficaz y eficiente del mismo.