TECNOLOGÍA
Compártelo
Comprender la organización y su contexto: ISO/IEC 27001

Comprender la organización y su contexto: ISO/IEC 27001

La organización debe determinar los contextos externos e internos que son relevantes para su propósito y que afectan su capacidad de lograr el resultado deseado por su Sistema de Gestión de Seguridad de la Información.

Antes de iniciar el diseño y la implementación del marco de trabajo de la gestión del riesgo, es importante evaluar y entender el contexto externo y el contexto interno de la organización, dado que ambos pueden influir significativamente en el diseño del marco de trabajo.

Contexto interno

El contexto interno es el entorno interno en que la organización se soporta para conseguir sus objetivos. El proceso de gestión del riesgo debería alinearse con la cultura, los procesos, la estructura y la estrategia de la organización. El contexto interno lo constituye todo aquello que en el seno de la organización puede influir en la manera en la que una organización gestiona su seguridad.

Este contexto se debería establecer, ya que:

  1. La gestión del riesgo se realiza en el contexto de los objetivos de la organización.
  2. Los objetivos y los criterios de un proyecto, de un proceso o de una actividad específicos, se deberían considerar a la vista de los objetivos de la organización en su conjunto.
  3. Algunas organizaciones no reconocen todas las oportunidades que les permiten conseguir sus objetivos en materia de estrategia, de proyecto o de negocio, y esto afecta a la continuidad del compromiso, la credibilidad, la confianza y los valores de la organización.

Puede incluir:

  1. El gobierno, la estructura de la organización, las funciones y la obligación de rendir cuentas.
  2. Las políticas, los objetivos y las estrategias que se establecen para conseguirlo.
  3. Las capacidades, entendidas en términos de recursos y conocimientos (por ejemplo: capital, tiempo, personas, procesos, sistemas y tecnologías).
  4. Los sistemas de información, los flujos de información y los procesos de toma de decisiones (tanto formales como informales).
  5. Las relaciones, las percepciones y los valores de las partes interesadas internas.
  6. La cultura de la organización.
  7. Las normas, las directrices y los modelos adoptados por la organización.
  8. La forma y amplitud de las relaciones contractuales.

Contexto externo

El contexto externo es el entorno externo en que la organización busca conseguir sus objetivos. La comprensión del contexto externo es importante para asegurarse que los objetivos e inquietudes de las partes interesadas externas se tienen en cuenta cuando se desarrollan los criterios de riesgo. El contexto externo se basa en el contexto a escala de la organización, pero con detalles específicos de requisitos legales y reglamentarios, con las percepciones de las partes interesadas y con otros aspectos de riesgos específicos del alcance del proceso de gestión del riesgo.

La evaluación del contexto externo de la organización puede incluir, aunque sin limitarse a ello:

  1. El entorno social y cultural, político, legal, reglamentario, financiero, tecnológico, económico, natural y competitivo, a nivel internacional, nacional, regional o local.
  2. Los factores y las tendencias que tienen impacto sobre los objetivos de la organización.
  3. Las relaciones con las partes interesadas, sus percepciones y sus valores.

Comprender las necesidades y expectativas de las partes interesadas

La enorme importancia de las partes interesadas, que pueden incluir los accionistas, autoridades, incluso el Gobierno, a través de los requisitos legales y reglamentarios, son reconocidos en una cláusula independiente que especifica que todas las partes interesadas deben estar en la lista, junto con todos sus requerimientos.

Para ello la organización debe determinar:

  1. Las partes interesadas que son relevantes para el Sistema de Gestión de Seguridad de la Información.
  2. Los requisitos de estas partes interesadas pertinentes a la seguridad informática. Estos requisitos, alineados con la declaración de aplicabilidad, darán una visión completa del marco de control aplicado y su justificación.

Si la empresa dispone de un gran número de clientes (como podría ser una empresa de TV por cable), puede agruparlos bajo la denominación de clientes.

Mostramos la siguiente tabla a modo de ejemplo:

Partes interesadas (cláusula 4.2)

Necesidades/expectativas/requisitos

Clientes

Cumplir con los requisitos de seguridad de la información.

Proveedores

Cumplir con los requisitos de seguridad de la información que nos imponen.

Estado: coyuntura social, económica y política

Cumplir con todos los requisitos legales actualmente en vigor.

Empleados de la organización

Proteger y salvaguardar su información apropiadamente.

Cumplimiento de la legislación vigente para no poner en riesgo la organización.

Inversores de la organización

Evitar que los inversores pierdan confianza en la organización por pérdidas de imagen ante incidentes, sanciones, etc.

Compañías de seguros

Disminuir el riesgo.

Vecinos

Evitar incidentes del entorno o ambientales.

La propia organización (CISO, Comité Dirección)

Controlar los daños que supongan problemas serios para la organización.

 
Determinar el alcance del Sistema de Gestión de Seguridad de la Información

La organización debe establecer los límites y la aplicabilidad del Sistema de Gestión de Seguridad de la Información para determinar su ámbito de aplicación.

Al determinar este ámbito, la organización debe considerar:

  1. Los problemas externos e internos.
  2. Los requisitos.
  3. Las interfaces y las dependencias entre las actividades llevadas a cabo por la organización y las que son realizadas por otras organizaciones.

El ámbito de aplicación debe estar disponible como información documentada.

Sistema de Gestión de la Seguridad de la Información

La organización debe establecer, implementar, mantener y mejorar de manera continua un Sistema de Gestión de Seguridad de la Información de conformidad con los requisitos de esta norma internacional, la ISO/IEC 27001.

Se debe demostrar la implementación de procesos inter-relacionados que demuestren que el SGSI existe, está operativo y es vigente para el contexto y los objetivos de la organización.

ENTRA EN CEUPE E INFÓRMATE SOBRE NUESTROS MÁSTERS DE TECNOLOGÍA Y SISTEMAS Y NUESTROS CURSOS DE ESPECIALIZACIÓN Y EXPERTOS SI TE INTERESA DESARROLLAR TUS CAPACIDADES EN EL CAMPO DE LOS SISTEMAS DE LA TECNOLOGÍA.

Artículo Anterior Tipos de dirección de una estrategia comercial
Artículo Siguiente Los conflictos y sus soluciones en las IM
Compártelo
 

Comentarios

No hay comentarios por el momento. Se el primero en enviar un comentario.
Invitado
Martes, 19 Octubre 2021
            

Síguenos

LinkedIn Youtube Twitter Instagram Facebook

Suscríbete a nuestro Magazine

Recibe Artículos, Conferencias
y Master Class

(*) He leído y acepto la Politica de Privacidad

Masterclass Tecnología

Tecnología

Caso Práctico - Protocolo MQTT

Tecnología

Brokers MQTT

Tecnología

Session Hijacking

Recibe tu
Pase Anual de
Conferencias
#conferenciaceupe
INSCRÍBETE

Noticias más populares

CEUPE Ecuador y el CIEEPI firman convenio de colaboración académica
CEUPE – Ecuador firma el pasado 26 de mayo de 2021 en Quito, Ecuador, el convenio de cooperación académica interinstitucional con el CIEEPI - Colegio de Ingenieros Eléctricos y Electrónicos de Pichinc...
Objetivos y beneficios de la externalización logística
👉Frente a la elevada competencia en el mercado y la tendencia a reducir costes y recortar gastos, los empresarios se centran en su actividad principal y subcontratan la gestión de actividades secundar...
Métodos de análisis de la inversión
El análisis de la inversión forma parte de la teoría de la inversión. La inversión como proceso de aumento del capital del inversor requiere comprender y evaluar la viabilidad de invertir en un proyec...
5 pasos para iniciar en el marketing de afiliación
El marketing de afiliación permite ganar dinero en línea, incluso si no se cuenta con un blog o un sitio web. Después de unos simples pasos se puede comenzar a trabajar e inmediatamente ganar las prim...

EMPRESAS

¿Cómo cambiar la estructura organizativa de una empresa?
Con frecuencia, la decisión de cambiar la estructura organizativa de una empresa es tomada por sus directivos. La primera etapa antes de iniciar la ad...
¿Cómo configurar la ventaja competitiva en la estrategia empresarial?
Con frecuencia, la ventaja competitiva se interpreta como algún tipo de superioridad de la empresa sobre sus competidores. Pero la ventaja competitiva...
¿Qué habilidades debe tener un analista de negocio?
A fin de aportar valor a las empresas con éxito, un analista de negocios debe poseer habilidades duras y blandas por igual. Habilidades blandas en el ...
¿Qué es un proyecto actual y un proyecto de desarrollo?
La gestión de proyectos se ha vuelto últimamente muy recurrente y tiene una explicación. Aunque la actividad actual de la empresa se basa en un proces...

MARKETING

Clasificación y modos de recopilar bases de datos de retargeting
Es importante tener en cuenta que el retargeting no consiste únicamente en mostrar anuncios a aquellos que han estado en tu sitio web, aunque la confi...
¿Qué es la capacidad del mercado?
Se trata de un indicador que aproxima la capacidad de un mercado para consumir un tipo de producto. Definición de la capacidad del mercado En general,...

CIENCIAS

Síguenos

LinkedIn Youtube Twitter Instagram Facebook

Masterclass Tecnología

Tecnología

Caso Práctico - Protocolo MQTT

Tecnología

Brokers MQTT

Tecnología

Session Hijacking

Recibe tu
Pase Anual de
Conferencias
#conferenciaceupe
INSCRÍBETE

Conferencias más vistas

Thumbail
Thumbail
Thumbail
Thumbail
Thumbail

LOGÍSTICA

RRHH

TURISMO

PSICOLOGÍA

TECNOLOGÍA

FINANZAS