RRHH
TECNOLOGÍA
¿Cómo es el soporte de un SGSI?
Recursos
La organización debe determinar y proporcionar los recursos necesarios para mejorar el establecimiento, implementación, mantenimiento y mejora continua del Sistema de Gestión de Seguridad de la Información.
Uno de los aspectos más importantes que la dirección debe perseguir es proporcionar dichos recursos. Para ello, se recogerá en la política de seguridad de la información dicho compromiso.
Para cada responsabilidad y función en el SGSI se debería tener en consideración lo siguiente:
- Las personas, las habilidades, la experiencia y las competencias.
- Los recursos necesarios para cada etapa del proceso de gestión del riesgo.
- Los procesos de la organización, los métodos y las herramientas a utilizar para gestionar el riesgo.
- Los procesos y procedimientos documentados.
- Los sistemas de gestión de la información y del conocimiento.
- Los programas de formación.
Competencia
La organización debe garantizar que todo el personal al que se le hayan asignado responsabilidades dentro del SGSI sea competente para llevar a cabo sus tareas. Para ello, deberá:
- Determinar la competencia necesaria.
- Asegurarse de que estas personas son competentes en la base en la educación, la formación o la experiencia.
- En su caso, tomar medidas para adquirir las competencias necesarias y evaluar la eficacia de las medidas adoptadas.
- Retener la información documentada apropiada como prueba de competencia.
Las acciones aplicables pueden incluir, por ejemplo: la oferta para formación, tutorías, la reasignación de los empleados actuales o la contratación de personas competentes.
Concienciación
La concienciación referida a la seguridad de la información es un pilar fundamental de la gestión de la seguridad. Las personas (internas o externas) que realizan trabajos bajo el control de la organización deberán tener en cuenta: La política de seguridad de la información.
Esta política se basa principalmente en que:
- Su contribución a la eficacia del Sistema de Gestión de Seguridad de la Información, incluyendo los beneficios de un mejor desempeño de seguridad de información.
- Las consecuencias de que no cumplan con los requisitos del Sistema de Gestión de Seguridad de la Información.
Tanto la concienciación como la formación deben ser registradas y medidas para poder evaluar su eficacia. Se deben crear y mantener los registros para proporcionar las evidencias de dicha formación.
En el caso de personal externo, se deben establecer los mecanismos para implantar y medir el control, de acuerdo al contrato existente y a la legislación laboral actual.
La organización debe determinar la necesidad de las comunicaciones internas y externas relacionadas con el Sistema de Gestión de Seguridad de la Información, incluyendo:
- Qué comunicar.
- Cuándo comunicar.
- A quién comunicar.
- Quién debe comunicar.
- Cómo se llevará a cabo la comunicación.
Establecimiento de los mecanismos internos de comunicación y de información
La organización debería establecer mecanismos internos de comunicación y de información con objeto de apoyar y fomentar la obligación de rendir cuentas y la propiedad del riesgo. Estos mecanismos deberían garantizar:
- La comunicación adecuada de los componentes clave del marco de trabajo de la gestión del riesgo, así como de todas las modificaciones posteriores.
- La existencia de informes internos adecuados sobre el marco de trabajo, su eficacia y sus resultados.
- La disponibilidad de información apropiada obtenida de la aplicación de la gestión del riesgo en los niveles y tiempos apropiados.
- La existencia de procesos para realizar consultas con las partes interesadas.
Cuando corresponda, estos mecanismos deberían incluir procesos para consolidar la información relativa al riesgo procedente de fuentes diferentes, y puede ser necesario considerar la sensibilidad de la información.
Establecimiento de los mecanismos externos de comunicación y de información
La organización debería desarrollar e implementar un plan para comunicarse con las partes interesadas externas.
Este plan debería implicar:
- La participación de las partes interesadas externas apropiadas, asegurándose un intercambio eficaz de información.
- El establecimiento de informes externos conformes con los requisitos legales, reglamentarios y de gobierno de la organización.
- La disponibilidad de retroalimentación y de informes sobre comunicación y consulta.
- La utilización de comunicaciones para generar confianza en la organización.
- La comunicación con las partes interesadas en caso de crisis o contingencias.
Información documentada
La información del Sistema de Gestión de Seguridad de la Información debe incluir:
- Información documentada requerida por la norma internacional.
- Información documentada determinada por la organización como necesaria para la efectividad del Sistema de Gestión de Seguridad de la Información.
El alcance de la información documentada para un Sistema de Gestión de Seguridad de la Información puede diferir de una organización a otra debido a:
- El tamaño de la organización y el tipo de actividades, procesos, productos y servicios.
- La complejidad de los procesos y sus interacciones.
- La competencia de las personas.
Al crear y actualizar la información documentada de la organización debe asegurarse de:
- La identificación y descripción (por ejemplo: un título, fecha, autor, o el número de referencia).
- El formato (por ejemplo: el idioma, la versión de software, gráficos).
- Los medios de comunicación (por ejemplo: papel, electrónico).
- La revisión y aprobación de la idoneidad y suficiencia.
Los documentos requeridos por el Sistema de Gestión de Seguridad de la Información, y por esta norma internacional, deben ser controlados para asegurar:
- Que está disponible y adecuado para su uso, donde y cuando sea necesario.
- Que esté protegido adecuadamente (por ejemplo: de la pérdida de confidencialidad, uso indebido, o la pérdida de la integridad).
Para el control de la información documentada, la organización debe responder a las siguientes actividades, según corresponda:
- La distribución, acceso, recuperación y uso.
- Almacenamiento y conservación, incluyendo la preservación de la legibilidad.
- El control de cambios (control de versiones, por ejemplo).
- La retención y disposición.
El acceso implica una decisión sobre el permiso, ya sea sólo de ver la información documentada, o el permiso y la autoridad para ver y cambiar la información documentada, etc
Listado de documentos
Hay que recordar que en esta norma se ha eliminado la obligatoriedad de mantener un listado de documentos obligatorios (aunque sigue siendo altamente recomendable), aunque en el cuerpo del estándar se hace referencia a distintos requisitos documentales. Por otro lado, se elimina la separación entre documentos y registros, siendo denominados simplemente información documentada.
Estos son los documentos (adicionalmente a los “registros”) que necesita si se quiere cumplir con la norma ISO 27001:
- Alcance del SGSI (cláusula 4.3), incluyendo los puntos 4.1 y 4.2.
- Los requisitos legales, reglamentarios y contractuales (cláusulas 4.2 y A.18.1.1).
- Política y objetivos de seguridad de la información (cláusula 5.2 y 6.2).
- Procesos para la evaluación de riesgos y el tratamiento de riesgos (cláusula 6.1.2 y 6.1.3).
- Declaración de Aplicabilidad (cláusula 6.1.3 d).
- Procesos operacionales (cláusula 8.1).
Tenga en cuenta que los documentos del Anexo A son obligatorios si hay riesgos que tratar, requisitos legales o contractuales, o normativas internas o externas que exigirían la aplicación.
Estos son los registros obligatorios:
- Comunicación de la política (cláusula 5.2).
- Comunicación de responsabilidades y autoridades (cláusula 5.3).
- Planificación de acciones y objetivos (cláusulas 6.1 y 6.2).
- Los registros de capacitación, las habilidades, la experiencia y las cualificaciones (cláusula 7.2).
- Registros de concienciación (cláusula 7.3).
- Necesidades de comunicación (cláusula 7.4).
- Informe de evaluación de riesgos (apartado 8.2).
- Los resultados del monitoreo y la medición (cláusula 9.1).
- Programa de auditoría interna (cláusula 9.2).
- Los resultados de las auditorías internas (apartado 9.2).
- Los resultados de la revisión por la Dirección (cláusula 9.3).
- Los resultados de las acciones correctivas (cláusula 10.1).
Existen numerosos documentos que podrían ser requeridos si son necesarios para garantizar la efectividad del SGSI (cláusula 7.5.1b):
- Procedimiento para control de documentos (cláusula 7.5).
- Controles para gestión de registros (cláusula 7.5).
- Procedimiento para auditoría interna (cláusula 9.2).
- Procedimiento para medidas correctivas (cláusula 10.1).
- Política tras tu propio dispositivo (Bring your own device - BYOD) (punto A.6.2.1).
- Política sobre dispositivos móviles y teletrabajo (cláusula A.6.2.1).
- Política de clasificación de la información (cláusulas A.8.2.1, A.8.2.2 y A.8.2.3).
- Política de claves (cláusulas A.9.2.1, A.9.2.2, A.9.2.4, A.9.3.1 y A.9.4.3).
- Política de eliminación y destrucción (cláusulas A.8.3.2 y A.11.2.7).
- Procedimientos para trabajo en áreas seguras (cláusula A.11.1.5).
- Política de pantalla y escritorio limpio (cláusula A.11.2.9).
- Política de gestión de cambio (cláusulas A.12.1.2 y A.14.2.4).
- Política de creación de copias de seguridad (cláusula A.12.3.1).
- Registro sobre actividades de los usuarios, excepciones y eventos de seguridad (cláusula A.12.4.1 y A.12.4.3).
Los documentos y registros pueden estar en cualquier formato, o tipo de medio, y deben asegurar que las acciones son trazables a las decisiones de la dirección y a las políticas, y asegurar que son reproducibles los resultados registrados.
La extensión de la documentación de SGSI puede diferir de una organización a otra debido al tamaño de la organización y el tipo de sus actividades, además del alcance y complejidad de los requisitos de seguridad y el sistema que está siendo gestionado.
En general, la documentación del SGSI puede ser estructurada como una pirámide de cuatro niveles, donde la política y los manuales están en la parte más alta, se desciende a través de guías y procedimientos y, finalmente, se obtienen instrucciones detalladas y los registros del sistema.
Comentarios