El Sistema de Gestión de la Seguridad de la Información conforme ISO 27001 y su relación con otros sistemas de la organización

El Sistema de Gestión de la Seguridad de la Información conforme ISO 27001 y su relación con otros sistemas de la organización

Parte I

Introducción

La información y los datos son uno de los principales activos de las organizaciones. Si atendemos a la cada vez mayor digitalización de las empresas, la rápida incursión del teletrabajo y la constante evolución de las tecnologías de la información, sitúan a la información en un escenario de mayor riesgo frente amenazas tecnológicas, como malware, ataques de intrusión, fraudes informáticos o secuestros de la información (Ransomaware), entre otros. De este modo garantizar la seguridad de la información para el correcto desarrollo del negocio se convierte en uno de los principales objetivos de las organizaciones.

El establecimiento e implementación de un Sistema de Seguridad de la Información según la norma ISO 27001 otorga confianza a las partes interesadas, preservando la confidencialidad, integridad y disponibilidad de la información mediante un proceso de identificación y valoración de riesgos y la adopción de controles y procedimientos necesarios tratarlos.

Integración de la norma ISO 27001 con otras normas ISO

Las facilidades para la integración de las normas ISO son evidentes gracias al empleo de la estructura de alto nivel, texto esencial idéntico y términos y definiciones esenciales comunes aplicables a todos los sistemas de gestión en base al Anexo SL. Este anexo fue desarrollado en 2012 con el objetivo de unificar conceptos y compatibilizar la gestión de los distintos sistemas, y con ello paliar la dificultad que le suponía a las organizaciones disponer de más de una estándar ISO (9001, 14001, 45001, 22301,…) implantado y certificado.

La estructura de alto nivel distribuye las cláusulas en 10 secciones, conforme al enfoque de mejora continua o ciclo PDCA (del inglés Plan-Do-Check-Act), de modo que resulten en una secuencia lógica respecto a los requisitos de los sistemas de gestión y propios. Aunque la estructura de referencia no se puede modificar, permite añadir sub-cláusulas y texto específico conforme cada estándar.

El disponer de esta estructura común nos permite integrar gran parte de la documentación, estableciendo procedimientos transversales como pueden ser entre otros los siguientes:

.- Comunicaciones
.- Gestión de la información documentada
.- Gestión de objetivos
.- Seguimiento y medición
.- Procedimiento de auditorías internas
.- Gestión de no conformidades y acciones correctivas
.- Revisión por la dirección

Algunos de los puntos clave a integrar gracias a esta estructura son:

  • Contexto de la organización y partes interesadas. Acciones para tratar riesgos y oportunidades.
    Como punto de partida y referencia del sistema de gestión, la cláusula 4 pretende conocer la situación y el entorno de la organización y cómo afecta a la consecución de sus intereses estratégicos. Como parte de la respuesta a esta pregunta, la organización debe identificar las cuestiones internas y externas que pueden influir en los resultados esperados, así como a todas las partes interesadas y sus necesidades. Este punto es importante analizarlo en conjunto, porque, aunque los factores positivos o negativos que afecten sean distintos por cada estándar, el contexto y las partes con las que se relaciona la organización es el mismo.
  • Liderazgo. Roles, responsabilidades y autoridades.
    Aunque por cada sistema podamos encontrarnos distintos roles y responsabilidades, también serán varios los que posean un carácter transversal a ambos. La integración de este punto nos permite no duplicar responsabilidades y agilizar los procesos.
    La dirección debe integrar los requisitos del sistema de gestión en los procesos de negocio de la organización, asegurar que el sistema de gestión logra los resultados previstos y asignar los recursos necesarios. La alta dirección es también responsable de comunicar la importancia del sistema de gestión y aumentar la toma de conciencia y la participación de los empleados.

Ventajas de implantar un sistema de gestión de seguridad de la información en base a un sistema de calidad

Un caso muy frecuente entre las empresas y organizaciones comprometidas con el cumplimiento de las normas ISO, es disponer de un Sistema de Gestión de Calidad conforme la norma ISO 9001 ya implantado.

Si se desea implementar ahora un sistema de Seguridad de la información conforme ISO 27001, acorde a lo visto en el punto anterior, el mejor enfoque es la integración de ambos sistemas.

Si partimos de la importancia de que el sistema de gestión de la seguridad de la información debe formar parte y estar integrado con los procesos de la organización y con la estructura de gestión global, y que la seguridad de la información se ha de considerar durante el diseño de procesos, de los sistemas de información y de los controles. Disponer de un sistema de calidad favorece y facilita la comprensión de la organización, gracias al estar basado en el enfoque a procesos, ya nos proporciona una definición y gestión de los procesos de la organización y sus interacciones. Por lo que esta implementación conjunta favorece que el sistema de gestión de la seguridad de la información se ajuste a las necesidades de la organización.

Las ventajas de la integración son:

.- Ahorro de gran cantidad de tiempo en la implementación
.- Disminución del esfuerzo de mantenimiento de los sistemas
.- Integrar comités y no duplicar responsabilidades

Además de la estructura común, podemos afinar la correlación entre la norma ISO 9001 e ISO 27001. Bien podemos considerar algunos puntos de desarrollo de la ISO 9001 con respecto a los controles del anexo A de la ISO 27001.
Suele ser también interesante tratar conjuntamente los siguientes puntos, entre otros:

  • Gestión de los recursos humanos. Desarrollar un procedimiento interno de RRHH donde se considere tanto los requisitos del anexo A.7 (Seguridad en los recursos humanos), junto con el desarrollo que se hace en ISO 9001 de la clausula 7, donde se contempla la provisión de personas, su competencia y concienciación tanto respecto al los sistemas de gestión como al desarrollo de sus tareas en relación con los procesos de la organización.
  • Gestión de proveedores. Tanto la subclausula 8.4 de la ISO 9001 como el Anexo A. 15 de la ISO 27001, nos requiere realizar un control y evaluación de proveedores, así como de los productos o servicios prestados.
  • Gestión de cambios. Considerando tanto los requisitos de la cláusula 6.3 de la norma de calidad como el anexo A.12.1.2, se deben controlar todos aquellos cambios afecten a la organización, sus procesos de negocio, instalaciones o activos.
  • Requisitos legales. Podemos dar cumplimiento a la necesidad de identificación de requisitos legales y reglamentarios de la ISO 9001 en el desarrollo del anexo A.18.1.1 de la ISO 27001.

Milagros Martínez

Equipo GRC