Las partes interesadas según ISO 27001
Una de las cuestiones más importantes, pero a la vez interesantes de la norma sobre gestión de la seguridad de la información, es el requisito de “entender las necesidades y expectativas de las partes interesadas”. Surge, por supuesto, la pregunta inmediata: ¿cuáles son esas partes interesadas según ISO 27001?
En realidad, identificar las partes interesadas según ISO 27001 no es algo tan complejo. Se trata más de atender al sentido común y seguir la ruta de los procesos para identificar quiénes se ven afectados por el sistema.
Empecemos definiendo lo que es una parte interesada, no solo para el sistema de gestión de seguridad de la información, sino para cualquier sistema de gestión basado en una norma ISO.
Para efectos de cualquier sistema de gestión basado en una norma ISO, se consideran partes interesadas todas las personas u organizaciones que, públicas o privadas, internas o externas, de alguna forma, aunque sea tangencial, pueden influir o impactar en el objetivo de nuestro sistema.
También se consideran partes interesadas todas las personas u organizaciones, que hemos mencionado en el párrafo anterior, que de cualquier forma pueden verse afectadas por las actividades que desempeñe la organización dentro de su sistema de gestión.
Para cada organización estas partes interesadas pueden ser diferentes. Pero podríamos pensar que las partes interesadas, según ISO 27001, en una organización típica, son, entre otras:
- Empleados.
- Accionistas, propietarios y alta dirección.
- Agencias gubernamentales con autoridad regulatoria.
- Clientes.
- Proveedores.
- Socios y contratistas.
Por supuesto, habrán de incluirse otras. Y para ello hay que saber identificar las partes interesadas según ISO 27001 con seguridad.
#ISO27001 requiere identificar las #PartesInteresadas en el sistema y sus necesidades. Hoy aprenderemos cómo hacerlo. Share on X¿Cómo identificar las partes interesadas según ISO 27001?
Como señalábamos, identificar las partes interesadas según ISO 27001 no es tan difícil si atendemos el sentido común y a la ruta de los procesos y la interrelación que se da entre ellos.
El sentido común nos dice que ISO 27001 plantea algunas exigencias o requisitos. Para su cumplimiento, diseñamos e implementamos procesos, que, a su vez, involucran procedimientos, actividades y tareas.
¿Quiénes están a cargo de esos procesos, procedimientos, actividades y tareas? Ahí tenemos una primera lista de partes interesadas. Pero con seguridad, esa lista no está aún completa.
Otra forma de identificar partes interesadas, según ISO 27001, es preguntando a los altos ejecutivos, así como a los jefes de departamento de la organización, sobre quiénes consideran ellos importantes para su labor, y de qué forma los afecta la seguridad de la información.
Finalmente, es muy probable que, en documentos como la política de negocios de la organización, la misión y la visión, o los planes de negocios, se encuentren otras partes interesadas. Pero, sobre todo, las hallaremos en los contratos que la organización ha suscrito con proveedores, contratistas, clientes…
¿Por qué es crucial identificar las partes interesadas según ISO 27001?
Lo es porque de una correcta y completa identificación se deriva un segundo paso que reviste igual o mayor importancia: la identificación de los requisitos de las partes interesadas. Los profesionales de la seguridad de la información necesitan diseñar procesos para satisfacer esos requisitos y esas necesidades.
Los accionistas y directores, por ejemplo, precisan asegurar sus inversiones y un buen retorno. Para los clientes, la confidencialidad es un factor de gran importancia. Las agencias gubernamentales, por otra parte, desean exactitud, cumplimiento, veracidad y confiabilidad.
Diplomado Implementador de Sistemas de Gestión de Seguridad de la Información con la ISO/IEC 27001:2013
La seguridad de la información es un tema de gran importancia para todas las organizaciones. Muchas de ellas, aunque no hayan implementado un sistema de gestión con ese objetivo, desarrollan acciones tendientes a garantizar la seguridad de su información.
La Escuela Europea de Excelencia ha dispuesto el Diplomado Implementador de Sistemas de Gestión de Seguridad de la Información con la ISO/IEC 27001:2013. Con este programa los profesionales adquieren los conocimientos, las herramientas y las competencias necesarias para implementar, mantener y auditar un sistema de gestión de seguridad de la información según la norma ISO 27001.
Este es un programa de cupos limitados, pero aún puede reservar una plaza inscribiéndose aquí.