A continuación se exponen cada uno de los requisitos con una breve reseña de lo que debería contener para optar con garantías a pasar una auditoría, y con algún punto adicional como es el primero de alcance que no debe ser obviado.
1 Alcance
Punto de partida de los sistemas de gestión, debe quedar reflejado de forma clara y exacta qué procesos o qué partes del negocio de la organización queremos certificar o aplicar el SGSI.
Es un requisito que debe estar documentado para su revisión.
En él se debe incluir los procesos a certificar, y también como complemento, las exclusiones o apartados que no deseamos sean auditados.
Cuanta mayor sea la aclaración, mayor facilidad encontrará el auditor para efectuar su labor.
4 Contexto de la
organización
Deben tenerse claros qué problemas pudieran ocasionarse en la organización derivado de la actividad o de los mercados o países donde opere, tanto relativos a la propia organización como a problemas que surjan que pudieran ser ajenos a ella.
Algunos deben referirse a las partes interesadas, como por ejemplo requisitos legales derivados de la ejecución de un contrato.
Por otra parte, la actividad y los procesos de la organización determinan también la política de seguridad, objetivos y el estudio de los riesgos así como sus posibles consecuencias en caso de materialización.
Parece claro este aspecto, no siendo aplicables los mismos riesgos y amenazas a unos sistemas SCADA que a una pyme de envío de paquetería.
5 Liderazgo
Algunos de los puntos clave que afectan a la dirección son:
- Provisión de recursos para su implementación
- Comunicación de la importancia de la seguridad de la información en los procesos de la organización.
- Definiendo responsabilidades y asignándolas, comunicándolas apropiadamente.
6 Planificación
Los objetivos del SGSI deben ser definidos de forma clara en función del contexto y actividad de la organización.
Para ello se deben implementar planes concretos, con unas metas y objetivos prefijados (todos ellos realizables), asignando el personal y otros recursos necesarios para la puesta en marcha.
La migración de las plataformas existentes en la organización a una estructura SaaS pudiera ser un buen ejemplo en el que sin una planificación de plazos concreta respecto del hardware, software y personal involucrado en la implantación podría ser un cúmulo de despropósitos y retrasos en la entrega o implantación.
7 Soporte
Alineado con las responsabilidades de la alta dirección, es un aspecto que permite sostener las actuaciones en cuanto a seguridad se refiere. Muy relacionado con los recursos a suministrar para el éxito de las operaciones.
El soporte debe ser tanto hardware, como software y de personal (en muchos casos se obvia el conocimiento del mismo y suele resultar punto clave para la implementación satisfactoria de soluciones complejas).
La documentación de los procesos de trabajo e instrucciones de seguridad es otro punto fuerte a revisar para la integración y conocimiento de la seguridad en todos los niveles de la organización (plan de comunicación empresarial).
8 Operaciones
Los procesos de asignación de permisos en el sistema deben mantener siempre la independencia respecto de los perfiles que autorizan los accesos (Directores de departamento o área) de los perfiles que implementan esa solución en el sistema de información (Técnicos TI).
9 Evaluaciones del
desempeño
Herramientas de medición del estado del SGSI, verificando que se cumplen los objetivos previstos. Pueden ser por ejemplo auditorías internas o externas, reuniones por dirección para la mejora de los procesos y de la aplicación de seguridad en los mismos o revisiones planificadas para que técnicos efectúen comprobaciones minuciosas respecto de los parámetros establecidos.
La gestión de incidentes, reclamaciones o la participación mediante buzones de sugerencias son otros inputs a tener en cuenta para estas evaluaciones.
La monitorización del sistema también es una muy buena fuente de conflictos y diferencias entre lo que "debería ser" y lo que al final sucedió.
10 Mejora
Muy relacionado con el punto anterior, tras la ejecución de las auditorías, se efectúan planes de mejora para subsanar dichas deficiencias. Como novedad, la versión ISO 27001:2013 suprime el concepto de acción preventiva.
La razón de la misma es que se focaliza y gana en importancia las evaluaciones de riesgos y los planes de gestión del riesgo. Si se efectúan verificaciones y estudios sobre los riesgos que aplican a los generadores o grupos electrógenos (por poner un ejemplo), ya se puede considerar como una acción preventiva ( en el supuesto caso de que se vean acciones de mejora y derivado de la evaluación de riesgos se pongan planes en marcha para su optimización).
Por último, y no menos importante, se encuentra la declaración de aplicabilidad (Statement of Applicability) que junto con el establecimiento de un plan de evaluación y gestión del riesgo, son algunos de los requisitos fundamentales de la norma ISO 27001:2013.
En ella se deben incluir (o excluir justificadamente) los riesgos que no aplican a la organización, bien por no efectuarse en la misma, bien porque los riesgos son asumidos o por cualquier otra causa justificada, así como los riesgos a tratar por su probabilidad de ocurrencia. Estos riesgos se trazan con los controles incluidos en el Anexo A de la norma, que ampliaremos en siguientes post.
Espero que les haya servido.
Saludos a todos.
No hay comentarios:
Publicar un comentario