El contexto de la organización según ISO 27001 aparece en la cláusula 4.1 de la norma. Es la misma solicitud que aparece en el mismo lugar de todos los estándares ISO que utilizan la estructura de Alto Nivel.
Sin embargo, definir el contexto de la organización según ISO 27001 es una tarea un poco más compleja que la equivalente realizada en otras áreas. Y lo es más si se ajusta a la actualización 2022 del estándar de Gestión de Seguridad de la Información.
La primera recomendación para definir el contexto de la organización según ISO 27001 es comprenderlo y su importancia.
¿Qué es el contexto de la organización según ISO 27001 y por qué es importante?
El contexto de la organización, o contexto organización lo conforman todos los elementos, circunstancias, eventos, condiciones, asuntos que tienen la capacidad para influir de forma positiva o negativa en el logro de los objetivos del Sistema de Gestión, en este caso de Seguridad de la Información.
Los factores o cuestiones que conforman el contexto organizacional pueden ser internos y externos y así se deben definir, clasificar y documentar. Definir el contexto de la organización según ISO 27001 es importante porque es un requisito de la norma (cláusula 4.1). Pero hay otras razones para hacerlo:
- Permite obtener un panorama cierto sobre los aspectos positivos, para potenciar, y los negativos para evitar.
- Es una primera aproximación a las fuentes de riesgos y de oportunidades.
- Facilita la definición de objetivos y del alcance del Sistema.
- Optimizar tareas posteriores dentro de la implementación del Sistema, como asignación de recursos o definición de indicadores de rendimiento.
- Facilita la alineación del Sistema y sus objetivos, con la estrategia de negocios de la organización.
¿Cómo definir el contexto de la organización según ISO 27001?
Una buena idea para definir el contexto de la organización según ISO 27001 es tomar las orientaciones al respecto contenidas en ISO 31000 – Gestión de Riesgos – e ISO 22301 – Continuidad del Negocio -.
Siguiendo estas orientaciones, se clasifican las cuestiones o factores en dos categorías:
1. Cuestiones internas relevantes para el contexto
Las cuestiones internas, en su mayoría, están presentes dentro de las instalaciones de la organización. Sin embargo, es preciso aclarar que una cuestión interna puede estar fuera. El criterio determinante es la capacidad de control que tenga la organización.
Las cuestiones internas son aquellas sobre las que la organización tiene control directo y absoluto. Por definición, la mayoría de ellas están dentro de la misma organización. Algunos ejemplos son:
- Disponibilidad de recursos: la Gestión de Seguridad de la Información demanda recursos físicos, humanos, tecnológicos y financieros. La Gestión de Riesgos opera de acuerdo con la disponibilidad de recursos. Recursos limitados o abundantes son una cuestión interna relevante para la Gestión.
- Capacitación y formación: las brechas de formación son un factor recurrente cuando se define el contexto de la organización según ISO 27001. Las deficiencias pueden estar relacionadas con temas tecnológicos puntuales, o con conocimientos o competencias sobre ISO 27001 y sus requisitos.
- Procesos y procedimientos: el funcionamiento de los procesos, las interacciones que se producen entre ellos y la forma en que se ejecutan, pueden generar brechas de Seguridad de la Información o, por el contrario, ser una fortaleza para el Sistema.
- Relaciones contractuales: las relaciones que la organización establece con contratistas, proveedores, consultores u otros terceros con acceso a información confidencial o privilegiada, pueden representar un riesgo para la Seguridad de la Información. Es preciso adoptar controles eficaces, que inician con cláusulas pertinentes en los contratos.
- Cultura y concientización: su presencia es un activo de alto valor para la Gestión de Seguridad de la Información. Su ausencia se convierte en una fuente de riesgos.
- Estructura de la organización: la estructura de la organización marca el flujo de operaciones y de trabajo. Paralelo al rumbo que establece el flujo se transmite la información. Esto determina la solidez y eficacia de la estructura o su vulnerabilidad.
2. Cuestiones externas relevantes para el contexto
Los factores externos que son relevantes para la organización y para su capacidad para garantizar la Seguridad de la Información, son aquellos sobre los que la organización no tiene control, pero, además, son comunes a otras organizaciones de la misma industria o de la misma región. Algunos, son recurrentes para todas las organizaciones del mundo. Algunos ejemplos son:
- Marco regulatorio: el primer lugar en donde buscar cuestiones externas está en el conglomerado de normas, leyes, decretos, regulaciones o requisitos. Dentro de ellos sobresale el RGPD, para el caso de las organizaciones que operan en la Unión Europea.
- Innovación tecnológica: el avance vertiginoso de la tecnología hace que las políticas, los controles y los objetivos pierdan vigencia.
- Solicitudes y expectativas de las partes interesadas: proveedores, clientes, usuarios, inversores, pueden tener solicitudes, formas de hacer las cosas o problemas internos de seguridad, que afectan a la organización y a la integridad y seguridad de su información.
- Condiciones sociales, políticas o económicas: la inestabilidad en cualquiera de estos campos impacta la capacidad para alcanzar los objetivos de Seguridad de la Información.
Definir el contexto de la organización según ISO 27001 será más fácil para las organizaciones que digitalizan sus Sistemas de Gestión. Además de optimizar el tiempo y los recursos, la Transformación Digital facilita el uso de herramientas de análisis estructurado como el marco 7 S – Estrategia, Estructura, Sistemas, Valores Compartidos, Habilidades, Estilo y Personal – o PEST – Problemas Políticos, Económicos, Sociales y Tecnológicos -.
¿Cómo documentar el contexto de la organización según ISO 27001?
La norma no solicita documentar el resultado y mucho menos hacerlo por separado: interno y externo. Pero no vendría mal hacerlo. La definición del contexto no es estática. El contexto puede cambiar y es importante revisarlo de forma periódica. Para ello, resulta muy útil contar con un documento que conserve el contexto definido con anterioridad.
Algunos asuntos importantes para documentar, como anexos, son los resultados de evaluaciones de riesgos, el análisis de competencia de los empleados, un inventario de obligaciones regulatorias y de cumplimiento, aspectos contractuales que se relacionen con Seguridad de la Información, modelo y técnicas utilizados para definir el contexto (no obligatorio), entre otros.
Diplomado de Seguridad de la Información ISO/IEC 27001
Uno de los valores más interesantes que aporta el Diplomado de Seguridad de la Información ISO/IEC 27001 es que sus contenidos han sido actualizados de acuerdo con la revisión publicada en 2022.
El programa forma profesionales expertos en Gestión de Seguridad de la Información, pero también auditores certificados de Sistemas de Gestión basados en el estándar ISO 27001.
Este Diplomado está cubierto por el programa de becas de la Escuela Europea de Excelencia. Tú puedes ser uno de los beneficiarios.