Contexto, Alcance y Política en la ISO 27001:2014

Share on facebook
Share on google
Share on twitter
Share on linkedin

Definir el contexto y el alcance y establecer una política alineada con la decisión estratégica de la empresa, son claves en la Norma ISO 27001:2014.

«La Norma ISO 27001:2014 es una herramienta clave que permite establecer, implementar, mantener y mejorar la seguridad de uno de los activos más valiosos que posee la empresa, la información, a través de un conjunto de procesos que toman como base los riesgos a los que se enfrenta cada una de las empresas en todas sus actividades diarias.

En este artículo, voy a tomar como referencia el libro “ISO 27001:2014 Protegiendo su activo más valioso: la información” para hablar brevemente sobre el contexto, el alcance, la política y una última referencia a la importancia que ocupa para su eficacia y mejora el papel de los roles y la correcta definición de las distintas responsabilidades.

Contexto y Alcance en la ISO 27001:2014

Aunque de forma inicial se podría pensar que un sistema de gestión solamente es asumible por aquellas empresas de grandes dimensiones, son precisamente las pymes las que más pueden beneficiarse ya que les aporta un conjunto de conocimientos y herramientas que, de otra manera, saldrían fuera de sus posibilidades.

«La Norma ISO 27001:2014 es adecuada para implantarse en cualquier empresa, sin importar dimensiones, mercado o actividad.»

Además, el Sistema de Gestión de la Seguridad de la Información pone un especial cuidado y tiene como uno de los objetivos clave favorecer el desempeño de su empresa y, para ello, debe estar en consonancia y alineada con sus objetivos de negocio.

De esta forma, debemos conocer el contexto de la organización valorando aquellas cuestiones, tanto internas como externas, que pueden en alguna medida favorecer o perjudicar la labor de lograr las metas marcadas.

Como cuestiones internas podemos identificar los recursos financieros o el personal y sus competencias, por poner dos ejemplos. Por otro lado, algunas cuestiones externas pueden ser los aspectos culturales o socioeconómicos.

Todo ello permitirá que más allá de contar con una herramienta de gestión de la seguridad de la información, adquiera una imagen global de la posición que ocupa y de todo aquello que la rodea y que le afecta en mayor o menor medida y a lo que afecta de igual forma.

Pero en esta imagen no podemos olvidar el papel que ocupan las partes interesadas y sus necesidades y expectativas. Ellos son los personajes que se mueven en el anterior escenario y que marcan los posibles objetivos a seguir.

Por último en este punto, definir el alcance del sistema es clave ya que va a determinar el ámbito de la empresa que trabajará bajo los requisitos de la Norma ISO 27001:2014.

La Política en la Norma ISO 27001

La Política de seguridad de la información es un documento clave que permite reflejar, de forma clara y en términos generales, los objetivos que la empresa se ha marcado en materia de seguridad de la información de que dispone y establece las principales líneas de actuación que van a permitir proteger todos estos datos frente a pérdidas, garantizando su integridad, confidencialidad y disponibilidad.

Este compromiso que la empresa adquiere y que es comunicado, tanto a nivel interno como a las partes interesadas externas, aporta seguridad, contribuye a una mejora de la imagen de la empresa y permite una diferenciación con la competencia.

Por lo que, más allá de un documento estático, es uno de los pilares del sistema de gestión de seguridad de la información según la ISO 27001:2014.

Un último apunte, la importancia de los roles y responsabilidades en la Norma ISO 27001

Saber quién tiene que hacer cada uno de los procesos o actividades es clave para que estas se realicen de forma eficaz.

De esta forma, la identificación adecuada de los distintos roles y responsabilidades se convierte en otro pilar que va a permitir que todas aquellos procesos u objetivos que se planifiquen en papel no queden ahí debido a que nadie sabe quién tiene que realizarlos, en que tiempo, a quién tienen que aportar los resultados e incidencias, etc.

En este punto es indudable la importancia que ocupa el liderazgo, tanto de la dirección como, si existieran, de los mandos intermedios.

Y es que la Norma ISO 27001:2014 busca y promueve un liderazgo marcado por su capacidad para dirigir al resto de los empleados, a todos los niveles, para alcanzar las metas y objetivos marcados a través del uso de la motivación y no de la imposición, promoviendo de forma efectiva la implicación de todas las personas de la empresa en la consecución de sus objetivos y avanzando en la mejora continua«.

Fuente: http://www.sbqconsultores.es

Conozca de primera mano como nuestras soluciones tecnológicas pueden apoyar eficazmente los modelos de mejora y excelencia de su empresa.