Puedes leer la anterior entrega:

– ISO 27001:2013 – Análisis detallado de la nueva versión (parte 1 de 4)

5 Liderazgo.

Esta cláusula reúne los requisitos para garantizar que la puesta en marcha del SGSI efectivamente es un proceso estratégico y establece las directrices de gestión de alto nivel que deben motivar el funcionamiento del sistema.

5.1 Liderazgo y compromiso.

La alta dirección debe demostrar liderazgo y compromiso con el SGSI sobre todo de las siguientes formas:

1)    asegurando que los objetivos se establecen y son compatibles con la dirección estratégica de la organización.

2)    garantizando que sí que se integra el SGSI con los procesos de la organización y proporcionando los recursos necesarios.

3)    asegurando que el SGSI logra los resultados esperados.

Como podemos ver, en este apartado ya se empieza a ver uno de los cimientos del SGSI, que los resultados muestren que se alcanzan los objetivos.

5.2 Política.

En esta cláusula se formaliza ese compromiso de la Dirección obligando a documentar el segundo de los documentos que constituyen el SGSI, “la política de seguridad”.  En esta reordenación de la norma, la política cobra una vital importancia al ser ahora una subcláusula del Liderazgo y al explicitar de forma clara los contenidos mínimos que su redacción debe cubrir. Al menos, debe establecer directrices de gestión respecto a:

1)    ser adecuada al propósito de la organización.

2)    incluir objetivos o proporcionar un marco para establecerlos.

3)    incluir compromisos de satisfacer los requisitos aplicables y garantizar la mejora continua.

5.3 Roles de la organización, responsabilidades y autoridad.

La componente organizativa tampoco se descuida y todos los miembros activos que forman parte del funcionamiento del SGSI deben tener asignadas unas claras tareas y responsabilidades. Las tareas del SGSI se estratifican a diferentes niveles del organigrama y habrá personal más vinculado con la gestión del propio sistema y el soporte de los procesos propios como el control de la documentación, la mejora continua o la medición y otro personal más centrado en las tareas operativas de administración y operación de las medidas de seguridad que implantan controles del anexo A. Para todos ellos, en esta cláusula se determina que:

A)    Se deben asignar responsabilidades y autoridad para garantizar que el SGSI es conforme al estándar.

B)    Informar a la dirección del rendimiento del SGSI.

6. Planificación

Esta cláusula secuencia los pasos para la creación del SGSI en donde es una tarea clave y principal para la toma de decisiones el proceso de identificación y análisis del riesgo.

6.1. Acciones para dirigir los riesgos y oportunidades.

En la nueva redacción, la planificación del SGSI está condicionada por los objetivos propios de la Organización, los requisitos identificados en la cláusula 4 y el propio análisis de los riesgos. La organización debe planificar el SGSI para determinar los riesgos y oportunidades que le permita:

A)    asegurar que el SGSI logra los resultados.

B)    prevenir o reducir los efectos no deseados.

C)   lograr la mejora continua.

De nuevo vemos la importancia de lograr el cumplimiento de las metas como un factor determinante para valorar la salud del SGSI.

En relación al proceso de identificación y análisis del riesgo destacan los siguientes aspectos:

1)    Se deben identificar los riesgos estimando las posibles pérdidas potenciales de confidencialidad, integridad y disponibilidad dentro del alcance del SGSI.

2)    Identificar los propietarios de dichos riesgos. Esto es una importante novedad dado que en muchos casos, los riesgos del área TI pueden no tener ya como dueño al personal de tecnología si como impacto acumulado afecta a procesos de negocio. Es decir, si quien sufre las consecuencias ante determinada amenaza es un área de la organización, el dueño del riesgo será el responsable de dicha área aunque para su mitigación deba contar con la ayuda del área técnica que mejore la robustez u operatividad de un determinado servicio TI.

3)    Analizar las potenciales consecuencias en el caso de que los riesgos se materializaran ya determinan unas probabilidades realistas definiendo unos niveles de riesgo.

4)    Evaluar los riesgos identificados comparando los resultados obtenidos con los criterios de nivel de riesgo aceptable preestablecidos.

5)    Priorizar en un plan las acciones a realizar para reconducir la situación.

En relación al proceso de tratamiento del riesgo destacan los siguientes aspectos en relación al contenido del plan:

1)    Seleccionar la opción del riesgo más adecuada (Aceptar, reducir, evitar o transferir).

2)    Determinar que controles son necesarios según las opciones de riesgo establecidas.

3)    Comparar esos controles con los del anexo A para no olvidar ni omitir ninguno.

4)    Realizar una declaración de aplicabilidad

5)    Elaborar una planificación de implantación.

6)    Obtener de los propietarios del riesgo una aprobación formal de los niveles de riesgo residuales, es decir, contar con el visto bueno de todos aquellos responsables que podrían tener problemas de seguridad respecto del conjunto de acciones que se quieren poner en marcha para que las consideren “suficientes” o para que decidan incluir más mecanismos de protección.

6.2 Objetivos y planes para lograrlos.

Este apartado es otro de los cambios sustanciales de esta nueva versión. Se dedica una subcláusula entera a la formalización de objetivos. En este sentido, la organización deberá establecer objetivos según funciones y niveles de forma que sean coherentes con la política de seguridad, sean medibles, tengan en cuenta los requisitos y necesidades del SGSI así como los resultados del análisis de riesgos. Para estos objetivos se deberá determinar:

• que se tendrá que lograr
• que recursos serán necesarios
• quién será responsable del seguimiento del objetivo
• cuando se darán por logrados
• cómo se medirán los resultados.

Se refuerza un apartado de vital importancia y que actualmente en muchos casos no era adecuadamente tratado en muchos SGSI. El funcionamiento del SGSI debe estar guiado por un cuadro general de indicadores que verifican el estado de situación de los objetivos y nos indican su cumplimiento, su tendencia y los márgenes de reacción cuando las cosas no vayan bien.