Alinear la seguridad de la información con la dirección estratégica en ISO 27001 es un requisito de la norma, y como tal, se debe alcanzar la conformidad con él. Y es así porque representa una gran oportunidad para alcanzar la sostenibilidad del sistema de gestión de la seguridad de la información en el tiempo. Sin embargo no se habla mucho de este requisito.
La alineación del sistema con la dirección estratégica en ISO 27001 es un reto en el que las organizaciones deben invertir tiempo y recursos y exige un enfoque de conjunto. Después de todo, las acciones y proyectos resultantes se ejecutan junto con los proyectos de seguridad existentes.
¿Qué es la dirección estratégica en ISO 27001?
Una de las razones por las que no se presta la atención debida a este punto es que no existe una noción unificada y clara sobre lo que significa “dirección estratégica”. Pero podemos considerar una definición muy básica y muy extendida: la de Michael Porter, director del Instituto para la Estrategia y la Competitividad de la Escuela de Negocios de Harvard. El profesor Porter dice que la dirección estratégica es “la formula amplia de cómo va a competir una empresa, cuáles deberían ser sus objetivos y qué políticas serán necesarias para llevar a cabo estos objetivos”.
En otras palabras, podemos decir que la dirección estratégica conjuga la estrategia comercial y los objetivos comerciales. Por lo general, la primera se define y se comunica desde la alta dirección y los segundos son interpretados y ejecutados por cada uno de los directores de área.
Por ejemplo, una organización puede perseguir como objetivos aumentar la cuota de mercado global en un 10 % y reducir costes un 15 %. La dirección estratégica podría incluir en este sentido incrementar el número de oficinas de ventas en el extranjero, mejorar las capacidades de colaboración con una fuerza de ventas a terceros, o pasar a un software basado en la nube para reducir costes de TI.
En cualquier caso, los profesionales de seguridad de la información necesitan comprender claramente el enfoque y las tácticas que utiliza la organización para ejecutar la estrategia y alinear la seguridad de la información en esa dirección.
¿Cómo alinear la seguridad de la información con la dirección estratégica en ISO 27001?
No existe un modelo único que garantice el éxito en la alineación del sistema con la dirección estratégica en ISO 27001. Lo que sí es preciso es identificar y ejecutar una serie de acciones variadas pero interrelacionadas para lograr la alineación y mantenerla en el tiempo.
Algunas de estas acciones que mejor suelen adaptarse a diferentes culturas corporativas y entornos empresariales se encuentran en las siguientes 6 áreas:
1.Alta dirección
Un primer paso importante para lograr este reto es que la alta dirección dé la importancia que merece el sistema de seguridad de la información. Esto se puede conseguir destacando los beneficios del sistema y de que esté bien coordinado con la estrategia de la organización.
2.Cultura
Es conveniente generar una cultura organizacional que respire las estrategias y objetivos de la organización. De este modo, los empleados, gerentes y profesionales de TI toman decisiones alineadas sobre la seguridad de la información y los riesgos a los que está expuesta.
3.Planificación
Las actividades de planificación estratégica y táctica de la organización en seguridad de la información ofrecen una gran oportunidad para la alineación del sistema con los requerimientos reales del negocio. Por ejemplo, una estrategia clave es aprovechar los principios de la arquitectura empresarial en las prácticas de planificación de seguridad.
El SGSI debe estar alineado con la dirección estratégica en #ISO27001. ¿Qué significa esto y cómo puede conseguirse? Share on X4.Procesos
Adoptar un enfoque basado en procesos estratégicos, tal y como lo indica ISO 27001 para el programa de gestión de la seguridad es otro elemento a considerar. En este sentido, es necesario establecer la capacidad de evaluar, desarrollar e implementar soluciones de seguridad según lo requiera la organización, en lugar de aplicar una base de control de talla única.
5.Tecnología
El éxito de una estrategia de alineación, como la que mencionamos, depende de que los controles de seguridad estén técnicamente integrados con los servicios de TI.
6.Relaciones
Es importante establecer y mantener relaciones efectivas con otros roles y con todos los empleados de la organización. La alineación necesita de la cooperación y el apoyo de personas influyentes clave, que toman decisiones, y de las partes interesadas.
El resultado final, es que se logra la conformidad con el estándar, y también que la seguridad de la información se convierte en una parte importante para la toma de decisiones estratégicas.
Diplomado de Seguridad de la Información ISO 27001
Que la seguridad de la información se encuentre alineada con la dirección estratégica en ISO 27001, precisa de altos conocimientos y capacidades, en especial acerca de la gestión de la seguridad de la información y lo que ISO 27001 dice sobre ella.
Para lograr esos conocimientos y competencias, la Escuela Europea de Excelencia propone el Diplomado de Seguridad de la Información ISO 27001 en el que participan docentes expertos de diferentes nacionalidades.
Y recuerda que ahora nuestros diplomados están incentivados con el sistema de Becas Excellence. Descubre si puedes ser uno de sus beneficiarios aquí.