7. Soporte

Esta cláusula establece qué medios serán necesarios en la puesta en marcha del SGSI. En este sentido además de identificar las necesidades materiales se insiste también en la importancia de las personas y de sus capacidades técnicas siendo necesaria la formación y la concienciación para garantizar que son las adecuadas.

Además se especifican los requisitos generales que debe garantizar el sistema en relación a la documentación que forma parte del mismo y al proceso de gestión respecto a los cambios o actualizaciones necesarios para ir manteniéndolo vigente.

7.1 Recursos.

Cómo es obvio, una decisión estratégica de este calado debe contar con los recursos necesarios para lograr el buen funcionamiento del SGSI. Los ajustes presupuestarios podrán influir en las posibles inversiones a realizar y condicionarán el “apetito de riesgo” de la organización pero en cualquier caso, siempre hay unos mínimos que habrá que asumir como son la dedicación del personal que vigila y opera el SGSI.

 7.2 Competencias.

En relación al factor humano, el equipo de personas que de soporte al SGSI debe tener un adecuado nivel de conocimiento o disponer de los recursos para hacer que los logren. Además debe quedar evidencia de este proceso de capacitación.

 7.3 Concienciación.

El personal que trabaja dentro del alcance del SGSI también debe ser consciente de la política de seguridad, de su contribución a la efectividad del sistema y de sus implicaciones en la resolución de no conformidades.

 7.4 Comunicación.

Este apartado formaliza las vías de comunicación dentro del SGSI y determina que deberán identificarse las necesidades internas y externas en materia de comunicación sobre la seguridad de la información estableciendo:

A)    que debe comunicar.

B)    cuando debe hacerse.

C)   a quien debe hacerse.

D)    quien comunicará.

E)     como la comunicación será transportada o que medios se utilizarán.

Estos aspectos son extremadamente relevantes cuando ocurren incidentes de seguridad donde la agilidad de los procesos de notificación puede minimizar el tiempo de respuesta y reducir los posibles daños.

 7.5 Documentación.

En esta subcláusula se definen los requisitos generales para el control de la documentación del sistema. Cabe destacar que en esta versión se introduce como novedad que sea el criterio de la propia organización el que establezca sus propias  necesidades de documentación siempre que ello garantice la efectividad del sistema. En cualquier caso, hay unos mínimos formalizados que son exigidos por las propias cláusulas del estándar que tendrán que estar formalizados. Los factores que pueden condicionar el nivel de documentación podrían ser:

a)    su tamaño, tipo de actividades, productos y servicios.

b)    la complejidad de sus procesos y sus interacciones.

c)    la competencia de las personas.

En líneas generales, el proceso de gestión de documentación no cambia mucho respecto a los requisitos anteriores. Se tiene que la documentación:

A)    se identifica y describe.

B)    identifica el formato y el medio.

C)   es revisada para mantenerla en vigor y actualizada.

La documentación requerida por el SGSI deberá estar controlada para asegurar:

A)    está accesible y adecuada para su uso cuándo y dónde sea necesario.

B)    está adecuadamente protegida.

C)   se controlan los cambios.

D)    se garantizan los periodos de retención y conservación.

Además deberá definirse como se gestiona el ciclo de vida de la documentación: creación, distribución, acceso, uso, almacenamiento y destrucción. La documentación de origen externo que se determine necesaria para la planificación y operación del SGSI deberá también ser identificada, apropiada y controlada.

8. Operación.

Esta cláusula determina cómo se garantiza el funcionamiento del SGSI una vez ha completado su fase de construcción y entra en los diferentes ciclos PDCA en años sucesivos.

8.1. Planificación operativa y control.

Para ello, en esta subcláusula se determina que la organización deberá planificar, implementar y controlar los procesos necesarios para garantizar los requisitos e implementar las acciones necesarias para la gestión del riesgo (6.1). La organización deberá implementar los planes para alcanzar los objetivos de seguridad propuestos (6.2).

La organización mantendrá registro para tener la necesaria confianza de que los procesos del SGSI siguen siendo bien gestionados según lo planificado o debe modificar controles planificados y revisar las consecuencias de los cambios no intencionados para mitigar cualquier efecto adverso cuando sea necesario.

La organización deberá asegurar que los procesos externalizados están definidos y controlados.

8.2. Análisis del riesgo.

El análisis de riesgos es un proceso recurrente que debe ajustar las decisiones de la organización o plantear cambiar el “apetito de riesgo” según se vayan logrando resultados que manifiesten el control de los riesgos que se están ya gestionando. Para ello, debe realizarse el proceso de identificación del riesgo a intervalos planificados o cuando se planteen u ocurran cambios significativos, tomando acciones según los criterios de aceptación del riesgo (6.1.2.a)

8.3. Tratamiento del riesgo.

La organización estará implantando el plan de tratamiento del riesgo. Conforme se logren ciertos hitos, se irán modificando los criterios de aceptación del riesgo y eso provocará que año tras año los planes se vayan también actualizando para reflejar la nueva toma de decisiones. Por tanto, la gestión de la seguridad implica la ejecución continuada del plan de tratamiento que año tras año se debe también revisar.