Los requisitos de las partes interesadas en ISO 27001 aparecen en la cláusula 4.2 de la norma. En ella se señala que la organización debe identificar y comprender los requisitos de las partes interesadas en el sistema de gestión de seguridad de la información, tanto internas como externas, que puedan afectar la capacidad del sistema para alcanzar los resultados previstos, o aquellas que puedan influir en la dirección estratégica de la organización.
Además, la identificación de los requisitos de las partes interesadas en ISO 27001 está estrechamente vinculada a la definición del contexto interno y externo de la organización, tema abordado en la cláusula 4.1. de la norma. Sin embargo, tanto en un caso como en el otro, no se ofrece mucha orientación. Por ello, resulta de interés desglosar esta cuestión, para disponer de bases sólidas desde las que construir un SGSI que realmente satisfaga las necesidades de las partes interesadas en ISO 27001.
Cumplir las necesidades y expectativas de las partes interesadas en ISO 27001
Al implementar el sistema de gestión de seguridad de la información, la organización debe comprender primero su propio negocio. Por ello hablamos de la necesidad de establecer el contexto interno y externo solicitado en la cláusula 4.1., antes de abordar los requisitos de las partes interesadas en ISO 27001.
El ejemplo más recurrente está en los clientes que confían la seguridad de su información a la organización todos los días. Si el sistema de gestión de seguridad de la información no es compatible con esa expectativa, no cumplirá su propósito y casi seguro fallará. Y esa es la razón por la que las necesidades y expectativas de todas las partes interesadas han de definirse, al establecer ese sistema, en forma de requisitos.
¿Cuáles son las partes interesadas en ISO 270001?
Antes de identificar los requisitos, resulta fundamental conocer cuáles son esas partes interesadas en este caso. Podemos entender una parte interesada como aquella persona, grupo u organización que obtiene algún beneficio con la implementación de un sistema de seguridad de la información, o se ve afectada por su presencia, su ausencia o ineficacia.
Desde la definición del contexto interno y externo de la organización, empezamos a identificar partes interesadas: empleados, proveedores, clientes, accionistas, directores, miembros de la alta dirección, organismos reguladores, legisladores, sindicatos…
Las partes interesadas en ISO 27001 no siempre son las más obvias. Por ejemplo, los competidores, e incluso, los piratas informáticos, eventualmente podrían ser considerados partes interesadas en un SGSI.
Sin embargo, en lugar de crear políticas y controles de talla única para todas las partes, conviene considerar aquellas relevantes de acuerdo con su poder, interés, y capacidad en el sistema.
Por ello, cuando las partes ya se han logrado identificar, tema que abordamos en un artículo anterior, hemos de determinar el grado de interés y poder de las mismas. Si es parte interesada de alto interés y alto poder, es lo que llamamos un jugador clave. Estas partes interesadas tienen una alta participación en el sistema.
Los miembros de la alta dirección, los directores de área, proveedores críticos, algunos clientes, por ejemplo, pertenecen a esta categoría. Es fácil elaborar largas listas de partes interesadas, pero es importante no invertir tiempo y recursos en partes de menor poder y menor interés.
Una forma de determinar la relevancia de una parte interesada es responder a la siguiente pregunta: ¿esta parte interesada afecta a la capacidad de la organización para lograr los resultados previstos para el sistema?
Si la respuesta es sí, entonces los requisitos de esa parte interesada deben ser considerados con atención.
Las partes interesadas en #ISO27001 tienen requisitos que deben ser considerados en el SGSI. ¿Cómo conocer y entender estos requisitos? Share on X¿Cómo identificar los requisitos de las partes interesadas en ISO 27001?
Una vez hemos definido aquellas partes interesadas relevantes, hemos de conocer cuáles son sus requisitos para poder establecerlos y atenderlos. Para obtenerlos emplearemos:
- Cuestionarios: un conjunto de preguntas escritas relativas a sus necesidades y expectativas.
- Entrevistas: una serie de preguntas hechas personalmente a la parte interesada.
- Talleres o grupos : se reúnen miembros representativos de partes interesadas para tratar el tema.
- Observación: fijándonos en cómo actúan, qué recursos emplean…
- Estudio de la documentación: revisando documentos contractuales, legales u otros podemos conocer algunos compromisos u obligaciones adquiridas.
También es preciso determinar si los requisitos de estas partes interesadas deben ser revisados y actualizados a medida que se produzcan cambios en el contexto o planificados por la organización.
Diplomado de Seguridad de la Información ISO 27001
Identificar las partes interesadas y sus requisitos es siempre más fácil cuando se cuenta con la capacitación en ISO 27001 adecuada. El Diplomado de Seguridad de la Información ISO 2700 ofrece una amplia formación sobre la seguridad de la información, con un recorrido por todos los requisitos de la norma y los controles que conforman el anexo A.
¿Quieres ser uno de nuestros estudiantes? Antes, no dejes de consultar si puedes ser beneficiario de una de nuestras becas.