domingo, 13 de marzo de 2022

ISO 27001: EL PAPEL DE LA ALTA DIRECCIÓN EN UN SGSI

La implicación de la alta gerencia de la organización es uno de los principales componentes para poder implementar un Sistema de Gestión de Seguridad de la Información (SGSI) según la norma ISO 27001.

Desde un primer momento, tenemos que asumir que el Sistema de Gestión de Seguridad de la Información afecta a la gestión del negocio y requiere que todas las acciones futuras y las decisiones que se tomen solo las puedan desarrollar la alta dirección de la organización.

No podemos considerar que el Sistema de Gestión de Seguridad de la Información o SGSI sea una cuestión meramente tecnológica o técnica de los niveles inferiores de la empresa sino todo lo contrario, la gerencia debe tener la responsabilidad de gestionar los riesgos y los impactos del negocio.

Desde el punto de vista del alcance del Sistema de Gestión de Seguridad de la Información, el término dirección de la organización debe estar contemplado siempre. Las tareas fundamentales del Sistema de Gestión de Seguridad de la Información que ISO 27001 asignan a la dirección en que se detallan los siguientes elementos:

Compromiso con la dirección

La alta dirección de la entidad debe comprometerse con la implementación, establecimiento, operación, monitorización, mantenimiento, revisión y mejora del Sistema de Gestión de Seguridad de la Información. Para ello, se pueden llevar a cabo las siguientes iniciativas:
  • Desarrollar una política de seguridad de la información.
  • Garantizar el cumplimiento de planes y objetivos de Sistema de Gestión de Seguridad de la Información.
  • Constituir roles y responsabilidades de seguridad de la información.
  • Informar a la empresa la importancia de alcanzar los objetivos de seguridad de la información y de cumplir con la política de seguridad.
  • Designar todos los recursos necesarios para llevar a cabo el SGSI.
  • Determinar todos los criterios de aceptación de riesgos y sus correspondientes niveles.
  • Asignar los recursos suficientes para todas las fases del SGSI.
  • Garantizar que se realizan todas las auditorías internas.
  • Llevar a cabo revisiones periódicas del SGSI.
Asignación de recursos

Para que se realicen todas las actividades vinculadas con el Sistema de Gestión de la Seguridad de la Información, es fundamental designar los recursos necesarios. Es tarea de la alta dirección la de garantizar que cuentan con los suficientes medios para:
  • Operar, establecer, implementar, monitorizar, revisar y mantener el Sistema de Gestión de Seguridad de la Información.
  • Poder asegurar que todos los procedimientos de seguridad de la información apoyan a los requerimientos de negocio.
  • Detallar todos los requerimientos necesarios para cumplir con la legislación vigente.
  • Suministrar todos los controles implementados de una forma correcta.
  • Desarrollar todas las revisiones cuando sea necesario.
  • Mejorar la eficiencia del Sistema de Gestión de Seguridad de la Información.
Formación y concienciación

Para conseguir el éxito de un Sistema de Gestión de Seguridad de la Información basado en la norma ISO-27001 es fundamental contar con dos elementos muy básicos como son la formación y la concienciación en Seguridad de la Información.

Por ello, la alta gerencia de la organización debe garantizar que todos los empleados tengan sus responsabilidades asignadas y definidas en el SGSI. Por lo que se deberá:
  • Decidir las competencias necesarias que debe tener cada trabajador de la empresa en función de las tareas que vaya a desempeñar.
  • Complacer las necesidades mediante planes de formación.
  • Analizar y evaluar la eficiencia de las acciones que ha desarrollado.
  • Conservar todos los registros de estudios, formación, habilidades, experiencia y cualificación.
La alta dirección tiene que garantizar que todos los empleados relevantes se involucren y se conciencien de la importancia de las actividades relacionadas con la seguridad de la información y el grado de contribución a la consecución de los objetivos del Sistema de Gestión de Seguridad de la Información.
Los directivos deben garantizar que los empleados se involucren en el Sistema de Gestión de Seguridad de la Información -SGSI 
Revisión de Sistema de Gestión de Seguridad de la Información

La tarea que se le debe a signar a la alta dirección de la organización es que, al menos una vez al año, revise el Sistema de Gestión de Seguridad de la Información, para poder garantizar que continúa siendo eficaz, eficiente y adecuado. Para ello, la gerencia debe recibir una serie de información para ayudarle en esa toma de decisiones y entre ellas destacamos las siguientes:
  • Amenazas o vulnerabilidades que no sean trasladadas adecuadamente en evaluaciones de riesgos anteriores.
  • Los resultados de las mediciones de eficacia.
  • Resultados de las auditorías y revisiones del SGSI.
  • Controlar todas las partes interesadas.
  • Productos, técnicas o procedimientos que puedan ser útiles para mejorar el rendimiento y eficiencia del SGSI.
  • Comunicar el estado de las distintas acciones preventivas y correctivas.
  • El estado de las acciones iniciadas a raíz de las diversas revisiones anteriores de la dirección de la organización.
  • Cualquier cambio que puede afectar al Sistema de Gestión de Seguridad de la Información.
  • Obtener recomendaciones de mejora.
Por otra parte, si nos centramos en todas las informaciones, la gerencia tiene que revisar el Sistema de Gestión de Seguridad de la Información y tomar las decisiones relativas y oportunas a:
  • Enriquecer y desarrollar la eficiencia del Sistema de Gestión de Seguridad de la Información.
  • Actualización del plan de tratamiento de riesgos y de la evaluación de riesgos.
  • Cambiar los controles y procedimientos que afecten a la seguridad de la información. De esta forma, obtendremos como respuesta cambios internos o externos en los requisitos de los negocios.
  • Necesidad de recursos.
  • Mejorar la forma de medir la eficacia de los controles.
Sistema de Gestión de Seguridad de la Información

Los Sistemas de Gestión de Seguridad de la Información pueden gestionarse a través de herramientas tecnológicas con una serie de aplicaciones específicas para esta temática tales como evaluación de riesgos de seguridad de la información o aplicaciones de autodiagnóstico que dan la posibilidad de automatizar la implantación y mantenimiento de la norma ISO-27001.

Tomado de: https://www.isotools.org/