7.1 Recursos
La implementación de un SGSI para necesariamente por disponer de los recursos necesarios para que el sistema de gestión pueda llevarse a cabo según lo planeado
Sin embargo, la norma no dedica demasiados esfuerzos en los requerimientos para este punto donde se nos pone como requisito:
Citando la norma:
"La organización debe determinar y proporcionar los recursos necesarios para el establecimiento, implementación, mantenimiento y mejora continua del sistema de gestión de la Seguridad de la información"
Sin embargo, la norma a lo largo de toda su redacción deja claro que la responsabilidad de la organización y en concreto de la dirección es la de garantizar en todo momento la disponibilidad de los recursos para llevar a cabo las tareas y cumplir con los objetivos de la seguridad de la información
Veamos
Dentro del enfoque de procesos la norma ISO 27001 requiere que se cumplan con las necesidades de recursos para mantener la gestión de la Seguridad a lo largo de todo el ciclo de vida, desde su planificación hasta la revisión y mejora del sistema
Para ello se deberán disponer de medios como:
- Inversión económica:
Queda claro que la seguridad no nos va a salir gratis, es por ello que se requerirá un cierto nivel de inversión acorde con la evaluación de riesgos y los criterios para asumir o minimizar los distintos niveles de riesgo - Instalaciones:
El lugar e instalaciones de una organización deben estar preparados para ofrecer niveles de seguridad proporcionales al riesgo al que está expuesta una organización. - Equipos:
En ciertos casos deberemos de contar con equipos específicos para proporcionar sistemas de defensa o detección de intrusiones en nuestros sistemas de información y así mejorar los niveles de seguridad - Personas:
Dentro de una organización podremos definir responsabilidades para todos los empleados en relación a la seguridad de la información pero este no será su objetivo principal sino un medio por el cual podrán desempeñas mejor sus funciones contando con la ayuda de la seguridad de la información para conseguir sus objetivos comerciales
En este escenario podremos contar con personas para que asuman responsabilidades para cuidar de la seguridad de la información como su cometido y función principal. EN este caso estamos hablando de personas o recursos humanos ligados exclusivamente a las tareas del SGSI
7.2 Competencia.
Los requisitos de la norma para determinar la competencia del personal para llevar a cabo las tareas del SGSI se centran en
- Determinar la competencia necesaria del personal para llevar a cabo el trabajo que afecta al SGSI
- Asegurar que las personan sean competentes sobre la base de la educación, capacitación o experiencia adecuadas
- Demostrar mediante la información documentada que sea necesaria la competencia del personal en materia de Seguridad de la Información
Para garantizar el cumplimiento de estos requisitos podríamos utilizar una matriz de habilidades o requisitos mínimos de cualificación en el módulo de Recursos Humanos para administrar y realizar un seguimiento de los requisitos anteriormente expuestos
Una vez establecido, es importante mantener la matriz de requisitos de cualificación y, actualice la información cuando se haya realizado alguna capacitación o formación, agregue nuevos requisitos de habilidades si es necesario y siempre esté vigilante a cualquier incumplimiento
CASO PRACTICO:
Tenga en cuenta que la acreditación de la competencia no solo se relaciona con los títulos académicos. Siempre que se documente de manera adecuada, podemos tener en cuenta la experiencia pasada y otras diversas formas de adquisición de conocimientos como las formaciones internas etc.
La necesidad de competencia no solo se aplica al personal interno sino que cuando necesite cubrir cualquier responsabilidad o función por un contratista externo por ejemplo, deberá tener las mismas consideraciones y documentar completamente cómo cumplen los requisitos del SGSI.
Uno de los medios más utilizados es la realización de capacitaciones tanto internas como externas
En este punto resulta de lo más conveniente asegurarse de que la capacitación que recibida, ya sea interna o externa, cumple con los objetivos propuestos.
Determinar la competencia del personal significa también que después de las capacitaciones se establezca algún protocolo para evaluar si las personas después de un ciclo formativo han mejorado realmente su capacitación y han mejorado en el desempeño de sus tareas
Parte de la gestión del proceso de capacitación (y del proceso de comunicación interna) debe hacer que el personal esté al tanto de su papel en la empresa y cómo contribuyen a cumplir los requisitos de la seguridad de la Información
- Proporcionar capacitación o tomar medidas para asegurar que se logre la competencia
- Necesita monitorear regularmente (usted decide) los niveles de competencia y decidir dónde están las brechas.
- A continuación, debe planificar qué va a hacer con respecto a esas brechas.
La importancia de la capacitación
Es de reconocer que los niveles de capacitación en ISO 27001 o sistemas de gestión de la seguridad de la información en las empresas son generalmente muy mejorables actualmente. Además las posibilidades de dedicar una persona en exclusiva al mantenimiento y gestión del SGSI están al alcance de pocas organizaciones. Es por ello, que cada vez cobra mayor fuerza la consultoría en ISO 27001 realizada por una empresa externa ya que muchas veces nos aporta no solo la formación necesaria para nuestros cuadros intermedios sino que además nos mantiene actualizado en los cambios normativos y requisitos de la norma.
7.3 Concienciación.
Este punto del capítulo 7 se refiere básicamente a que las personas que gestionan el SGSI deben conocer todo lo relacionado con las políticas y los controles que se llevan a cabo en él.
En principio debemos hacernos estas preguntas para saber cómo hemos de abordar este punto
Las personas con responsabilidades en la seguridad de la información
- ¿Han leído y entendido la política de seguridad de la información de la organización?
- ¿Entienden la importancia de mantener y mejorar continuamente un SGSI?
- ¿Entienden las implicaciones de no mantener el SGSI y cumplir los requisitos de la norma ISO 27001?
Pero como todo en un sistema de gestión hay que no solo hacerlo sino también estar preparados para demostrarlo en una auditoria de certificación. Veamos más en profundidad como afrontar el cumplimiento de este requisito
Los puntos concretos a tener en cuenta podrían ser:
- 1 .- Establezca un programa de formación y sensibilización o concienciación
- 2 .-Programe distintas actividades de sensibilización
- 3.- Utilice todos los medios de comunicación a su alcance, incluyendo charlas presenciales, videoconferencias online, formaciones online adaptadas al ritmo y tiempos de los empleados, otros
- 4 .-Mantenga informados a todos de las actualizaciones en temas de seguridad tomando en cuenta lo aprendido en los incidentes de seguridad de la información,
- 5.- Asegúrese de repartir con periodicidad las formaciones y comunicaciones de seguridad para asegurarse que incluyen a todos los empleados y a las nuevas incorporaciones Incluya a los contratistas que sea necesario para garantizar que todos los que realizan trabajos que pueden comprometer la seguridad de la información estén incluidos.
Desde nuestro punto de vista, la concientización está tan estrechamente relacionada con la competencia, si bien, hay algunos puntos que marcan la diferencia entre la capacitación y la sensibilización:
- Los empleados de las organizaciones deben ser conscientes de las funciones que se relacionan con el SGSI y cómo su función afecta directamente a estas: nada demasiado misterioso hasta ahora.
Pero vamos a llevarlo un poco más lejos.
- El empleado debe comprender por qué es mejor conocer y poner en práctica sus responsabilidades en la seguridad de la información, además de conocer las posibles consecuencias de no cumplir con los requisitos del SGSI.
No es que todos los empleados deban poder contar la palabra por palabra de la política de seguridad de la información, siempre que el personal entienda sus responsabilidades y cómo encaja su función dentro de la organización.
7.4 La comunicación
La cláusula establece que “la organización debe determinar la necesidad de comunicaciones internas y externas relevantes para el SGSI, lo que incluye”:
- Qué comunicar;
- Cuándo comunicar;
- Con quien comunicarse;
- Quién se comunicará; y
- Los procesos por los cuales se efectuará la comunicación.
Un posible procedimiento que describa las diferentes formas de comunicación, es decir, reuniones formales o informales, lo que esperamos que se analice (puede usar las plantillas de agenda como una guía para las reuniones más formalizadas) y quiénes deberían ser las comunicaciones podría ser el camino para cumplir con este requisito
Una forma sencilla de realizar esta tarea seria mantener una reunión periódica para ponernos al día a la cual podemos añadir un informa que se asocie al perfil de los empleados como una habilidad. Así podemos acometer a la vez la comunicación que ayuda tanto la competencia como la concienciación del personal... ¡Bien!
7.5 información documentada
Requisitos para la Información documentada.
Finalmente, están los requisitos para la "información documentada". La nueva norma se refiere a "información documentada" en lugar de "documentos y registros" y requiere que se conserven como evidencia de competencia
Este requisito se relaciona con la creación y actualización de información documentada y con su control. Aunque ya no hay una lista de documentos obligatoria establecida en una sola clausula nos encontramos que la nueva revisión ISO 27001:2013 pone el énfasis en el contenido en lugar del título del documento. Ahora bien, podemos llevarnos a engaño si pensamos que no se requiere documentación en la nueva norma. Tenga en cuenta que los requisitos para la información documentada se presentan en cada la cláusula a la que hacen referencia. No están resumidos en una cláusula propia, como lo están en ISO / IEC 27001: 2005.
