*Artículo 1 de la serie “Implementando ISO 27001:2013”
En todo proceso de implementación de un Sistema de Gestión de Seguridad de la Información con miras a una certificación, es necesario cubrir los requerimientos obligatorios que exige el estándar ISO 27001. El primer requerimiento obligatorio está en la cláusula 4.1 “Entender la organización y su contexto”.
El estándar ISO/IEC 27001:2013, en su clausula 4.1, establece que se deben identificar aquellos elementos internos y externos que son relevantes para el propósito de la organización y que afecta la habilidad de lograr los objetivos de su Sistema de Gestión de Seguridad de la Información.
Considerando el requerimiento, la pregunta es: ¿Cómo delimitar cuáles son esos elementos?
La respuesta está dentro del mismo requisito, con referencia al estándar ISO 31000, donde se definen los requerimientos que se deben considerar para la identificación del contexto interno y externo ya sea en la versión 2009, en su clausula 5.3, o en la versión 2018 en su clausula 5.4.1. La cual establece lo siguiente:
El análisis del contexto interno de la organización puede incluir (pero no limitarse a):
- La visión, la misión y los valores.
- La gobernanza, la estructura de la organización, los roles y la rendición de cuentas.
- La estrategia, los objetivos y las políticas.
- La cultura de la organización.
- Las normas, las directrices y los modelos adoptados por la organización.
- Las capacidades, entendidas en términos de recursos y conocimiento (por ejemplo, capital, tiempo, personas, propiedad intelectual, procesos, sistemas y tecnologías).
- Los datos, los sistemas de información y los flujos de información.
- Las relaciones con partes interesadas internas, teniendo en cuenta sus percepciones y valores.
- Las relaciones contractuales y los compromisos.
- Las interdependencias e interconexiones.
El análisis del contexto externo de la organización puede incluir (pero no limitarse a):
- Los factores sociales, culturales, políticos, legales, reglamentarios, financieros, tecnológicos, económicos y ambientales ya sea a nivel internacional, nacional, regional o local.
- Los impulsores clave y las tendencias que afectan a los objetivos de la organización.
- Las relaciones, percepciones, valores, necesidades y expectativas de las partes interesadas externas.
Es importante aclarar que cuando ISO 31000 se refiere a los elementos del contexto, utiliza la frase “puede incluir” lo que nos da cierta flexibilidad para la integración de esos elementos en nuestro documento del contexto de la organización, incluyendo aquellos que realmente consideremos de valor para poder conocer el contexto de seguridad de la información de la organización con la que estamos trabajando.
Para poder recolectar la información del contexto interno debemos realizar las siguientes actividades:
- Solicitar al responsable del proyecto los requisitos iniciales de información para tener el conocimiento de la organización, algunos documentos que se pueden solicitar son:
- Estrategia del negocio y de TI.
- Misión, visión y objetivos del negocio.
- Organigrama a un tercer nivel.
- Lista del marco normativo.
- Inventario de proveedores.
- Arquitectura de TI.
- Lista de procesos de negocio.
- Navegar en la página WEB de la organización para conocer su cultura y enfoque de negocio.
- Solicitar reuniones conmel personal con el conocimiento de la estrategia del negocio y que permitan identificar los elementos clave del modelo de negocio:
- Segmentos del mercado a los que oferta los productos.
- Propuesta de valor ofrecida (¿Qué ofrece? ¿Cómo se ofrece?).
- Canales a través de los cuales acceden a los segmentos del mercado.
- Relación con los clientes (atención a clientes, mercadotecnia,contacto con clientes).
- Asociaciones clave (partners, socios de negocio).
- Actividades clave.
- Recursos Clave (tecnología, talento humano, etc.).
- Expectativas de los clientes y socios de negocio.
- Solicitar reuniones con el área legal para identificar los requisitos regulatorios y contractuales aplicables a la organización.
- Solicitar entrevistas con personal con conocimiento general del negocio que nos permita identificar el mapa sistémico de la empresa, incluyendo:
- Proceso de entrada.
- Procesos de salida.
- Procesos clave.
- Procesos de apoyo.
- Procesos de evaluación.
- Procesos de rediseño.
- Procesos de estrategia.
- Solicitar entrevistas con el personal de TI y Seguridad de Información para tener claro el funcionamiento y la estructura de las áreas, así como las principales tecnologías y soluciones que utilizan.
Una vez recolectada toda la información solo nos queda realizar el análisis y la integración en el documento del contexto, indicando claramente si pertenece al contexto interno o externo de la organización, y listo acabas de terminar tu primer documento obligatorio para la certificación del Sistema de Gestión de Seguridad de Información de tu Cliente.
Si requiere más información, o una consultoría, en Cybolt contamos con personal especializado para ayudar a las empresas a cumplir en forma y en los tiempos programados sus objetivos planteados.