Requisito 27001 de ISO 4.1: Comprender el contexto de la organización

¿Cuáles son los problemas internos y externos?

En realidad, ISO no ofrece mucha ayuda a la hora de explicar qué podría ser un problema interno o externo. Para una organización que es nueva en la gestión de la seguridad de la información, podría perder un tiempo valioso simplemente descifrando ese requisito.

Realmente depende de la cultura y la naturaleza de la organización, las personas involucradas, su punto de partida y el valor en riesgo. Como ejemplo, una pequeña organización bien gestionada con un propósito claro y pocas personas involucradas podría llegar a sus conclusiones sobre cuestiones internas y externas que afectan los resultados del SGSI en una taza de té de 10 minutos (especialmente con todos los ejemplos del Entrenador virtual).

Sin embargo, otras organizaciones pueden tardar más. Generalmente sugerimos que este sea un ejercicio rápido de tipo lluvia de ideas que evita el análisis excesivo inicialmente; es casi seguro que identificará más problemas internos y externos a medida que avance en los otros requisitos y estos se pueden agregar fácilmente a medida que la implementación de su sistema de gestión de seguridad de la información y El camino hacia una mejor garantía de la información continúa.

Cómo identificar problemas internos

Considere el acrónimo IPOPS a continuación para identificar los problemas internos que podrían afectar los resultados de un SGSI. Esto podría ser un ejercicio de pizarra, una sesión de notas post-it o simplemente capturar notas que subirá más tarde para demostrar su comprensión de los problemas. ¡Reúna a las personas adecuadas en una habitación o llame por teléfono y comience la conversación!

Mire la imagen para ver un ejemplo básico de lo que se podría hacer y que puede cargarse como parte de la evidencia, o redactarse con más detalle y probarse más con otras partes interesadas, según la naturaleza de la organización. Desde la perspectiva de los auditores externos UKAS ISO 27001, buscarán la confianza de que la organización ha comprendido los problemas que podrían afectar el resultado del SGSI (y los ha documentado) antes de utilizar esa evidencia para seguir adelante.

Esto luego ayudará a identificar las partes interesadas, establecer un alcance, documentar sus objetivos, crear un inventario de activos y realizar un análisis de riesgos de seguridad de la información antes de desarrollar políticas y controles adecuados de acuerdo con la declaración de aplicabilidad.

¡Todo es un flujo muy lógico y comienza aquí con este simple ejercicio!

Ejemplos de problemas internos

A continuación hemos brindado algunas ideas y ejemplos de áreas en las que puede encontrar problemas internos que afecten el resultado del SGSI, pero hay muchas cuestiones que podrían considerarse dependiendo de la organización, su sector, tamaño, alcance y naturaleza de los productos y servicios. etc.

Le sugerimos que sea práctico y se asegure de que no se convierta en un ejercicio de estrategia importante o en una tesis de tesis cuando no sea necesario. También se trata menos de dónde "agrupar" el problema interno, la idea de un análisis de cartera simple como este es ayudar al cerebro a desencadenar los problemas internos.

Por lo tanto, es menos importante si los coloca bajo personas, organización o en otro lugar (algunos también pueden ser problemas externos); lo importante es la identificación de los problemas internos o externos para que pueda construir un sistema de gestión de seguridad de la información que funcione para usted. !

También considerará la naturaleza de la organización que rodea a las personas, por ejemplo, la filosofía de hacer todo internamente, subcontratar, etc. Todos estos aspectos dan lugar a "problemas" que podrían afectar el SGSI.

Por ejemplo, es posible que usted pueda controlar al personal internamente mejor que los proveedores, pero podría haber un argumento para involucrar a los proveedores con sus procesos porque ofrecen los servicios que usted desea. Recuerde que sus objetivos comerciales son lo primero (esto está justo en el centro de la identificación de problemas), gestione el negocio de la manera que desee y asegúrese de que el SGSI proteja su valiosa información y la de sus partes interesadas.

Luego se deben considerar todas las cuestiones relevantes para un análisis de riesgos más detallado más adelante; sin embargo, no todas las cuestiones son en realidad riesgos y algunas son más importantes que otras, por lo que se puede optar por priorizar las cuestiones más importantes. Por lo tanto, le sugerimos que evite el análisis de riesgos o cualquier consideración profunda de qué pasaría si en esta etapa y se concentre en identificar los problemas.

Información como activos que son cuestiones internas que afectan los resultados del SGSI.

¿Qué información se crea, maneja, almacena, gestiona y tiene valor real para la organización y sus partes interesadas (en línea con el análisis de partes interesadas que realizará en el punto 4.2 a continuación)? ¿Datos personales, ideas sensibles de los clientes y derechos de propiedad intelectual, información financiera, marca, bases de códigos, etc.?

Esto está justo en el corazón del SGSI, donde los activos de información son la base de todo lo demás: identificar estos activos desde el principio también facilita la gestión del inventario de activos de información para A8.1.

Luego considere posibles problemas relacionados con la información en sí, en particular la confidencialidad, la integridad y la disponibilidad, teniendo en cuenta las otras áreas siguientes a medida que avanza para generar ideas sobre dónde podrían encontrarse los problemas.

Cuestiones internas relacionadas con las personas que podrían afectar el resultado previsto del SGSI.
No sorprende que la seguridad de los recursos humanos sea una parte importante del SGSI; de hecho, el Anexo A 7 está dedicado a ello y es probable que todas las políticas, controles y gestión posteriores tengan en cuenta a las personas, tanto a los empleados internos como a los recursos externos como proveedores.

Por lo tanto, considere cualquier problema existente de:

• Reclutamiento: por ejemplo, desafíos en la contratación de personas competentes, rotación de personal alta o baja.
• inducción: por ejemplo, ¿reciben capacitación sobre seguridad de la información en este momento? ¿Está funcionando?
• en la gestión de la vida (por ejemplo, mantenerlos comprometidos y mostrar su cumplimiento de las políticas y controles), ¿el personal realmente considera que la seguridad de la información es atractiva y emocionante o es un desafío cultural lograr que alguien cierre su computadora portátil cuando va al baño?
• cambio de roles y salida – por ejemplo, ¿se lleva a cabo el acceso y la eliminación de activos y servicios de información?

Cuestiones internas de la organización que afectan los resultados del SGSI

¿Cuáles son los problemas que enfrenta la organización que podrían afectar el resultado del SGSI? Por ejemplo, el rápido crecimiento trae consigo problemas de personal y estructura que podrían afectar la comprensión y el conocimiento de las políticas, o que las cosas cambian tan rápidamente que no es fácil llegar a fondo con procesos detallados y consistentes.

¿Existen presiones del liderazgo de la organización y de la junta directiva o de los accionistas que causarán problemas (que pueden ser tanto positivos como negativos)? Las operaciones internacionales tendrán diferentes normas culturales para las personas involucradas.

Otro problema interno asociado con las personas y la organización podría ser el hecho de que no desea que muchos de ellos estén empleados o tiene dificultades para encontrar buenos empleados, por lo que confía en la subcontratación. Eso genera una necesidad de proveedores (y personal de los proveedores), por lo que es un tema que debe vincularse con el análisis de partes interesadas que realizará en el punto 4.2 a continuación.

Problemas internos de productos y servicios que podrían afectar los resultados del SGSI

¿Cuáles son los productos y servicios que ofrece la organización y qué tipo de problemas surgen en torno a los que podrían causar riesgo de información? Por ejemplo, si la organización es innovadora y la protección de los derechos de propiedad intelectual es importante para el liderazgo del producto, es una cuestión que debe considerarse en el SGSI.

Si la organización depende de grandes propiedades físicas, por ejemplo como fabricante, eso probablemente traerá más problemas de seguridad física, mientras que un pequeño proveedor de software en la nube podría centrarse mucho más en cuestiones como la protección de los derechos de propiedad intelectual contra los piratas informáticos digitales y los problemas relacionados con la dependencia del éxito y la rentabilidad de sus productos. Garantía de proveedores de hosting, etc.

Sistemas y Procesos como cuestiones internas que afectan el resultado previsto del SGSI

La gente suele pensar en computadoras y tecnología digital cuando se usa la palabra "sistema". Sin embargo, los sistemas manuales y en papel también son áreas clave para que surjan problemas, así que recuerde considerarlos también.

Cada una de las áreas mencionadas anteriormente tendrá sistemas y procesos involucrados, que podrían estar implícitos (siempre lo hemos hecho de esa manera y nunca lo hemos documentado) o podrían estar envueltos en una masa de documentación que nadie podría seguir... .Después de considerar las áreas IPOP anteriores, piense en los problemas internos de los sistemas y procesos que las rodean; por ejemplo, si contrata personal con regularidad pero no tiene un proceso y sistemas formales que demuestren la evaluación y el control desde una perspectiva de seguridad de la información, tiene un problema (sobre todo porque el Anexo A7 de la norma ISO 27001).

Un problema es que podrías contratar personas que se convertirán en tu enemigo interno, ya sea por ignorancia de la seguridad de la información o porque son saboteadores y nunca lo consideraste. Lo mismo ocurre con todos los sistemas y procesos de la organización que están dentro del alcance del aseguramiento de la información: ¿qué tipo de problemas surgen cuando la confidencialidad, la integridad o la disponibilidad de la información podrían estar en peligro?

Cómo identificar los problemas externos

Uno de los viejos favoritos para el análisis externo es PESTLE (Político, Económico, Sociológico, Tecnológico, Legal y Ambiental) y tiene mérito para su uso en este ejercicio, nuevamente debe mantenerse práctico y enfocado a cuestiones que afectan los resultados del SGSI en lugar de ser un análisis externo. profundo trabajo estratégico. Este ejercicio generalmente necesita mucha menos explicación y sin duda le resultará bastante fácil de realizar y considerar desde una perspectiva de seguridad de la información.

Una vez más, evite el análisis excesivo y el intento de forzar el ajuste de las cosas en cubos por el simple hecho de hacerlo: algo se activará o no y siempre podrá volver a ello más adelante. Los problemas internos que afectan el resultado del SGSI también desencadenarán problemas externos; por ejemplo, si la organización decide que no hará todo internamente y necesita proveedores, entonces entran en juego los problemas externos con esos proveedores y sus aspectos relacionados con PESTLE.

Cuestiones políticas externas

¿Qué cuestiones políticas podrían afectar a la organización y afectar los resultados? Los ejemplos podrían incluir Brexit y cambios de políticas específicos en un sector que impacten la inversión o el crecimiento y que podrían conducir a diferentes formas de trabajar y diferentes enfoques para la gestión de la información.

La política (y los poderosos actores de las redes sociales que abusan de los datos personales) provocaron el RGPD, lo que provocó cambios regulatorios, lo que aumentó la presión sobre los clientes, quienes a su vez están obligando a los proveedores a implementar sistemas de gestión de seguridad de la información ISO 27001 certificados de forma independiente para ayudarlos a administrar su suministro general. riesgo de cadena.

Ese es un ejemplo de un problema que abarca muchos aspectos de PESTLE y es un problema externo al que se enfrentan casi todas las organizaciones.

Cuestiones económicas externas

¿Cómo afecta la economía de su mercado y la cadena de suministro a la organización? ¿Esto genera más o menos problemas con proveedores, clientes, qué rincones de seguridad de la información podrían recortarse en el ámbito de la reducción de costos y conducir a un mayor riesgo o amenaza (y por supuesto también oportunidades)?

Algunos ejemplos podrían ser mano de obra más barata, menos capacitación y menos tiempo para hacer el trabajo, o la incapacidad de costear sistemas tecnológicos decentes que ayudarían a mejorar las operaciones porque los fondos deben priorizarse en otra parte (Consejo: consulte nuestro documento técnico sobre el planificador de casos de negocios para obtener orientación sobre el retorno). sobre la inversión procedente de la seguridad de la información).

Cuestiones sociológicas externas.

¿Cómo está cambiando la sociedad o la demografía de su audiencia y afectando su negocio? Por ejemplo, los ciudadanos siempre conectados ofrecen oportunidades y amenazas, y una generación de personal que a veces tiene más o menos consideración por los datos también trae consigo aspectos positivos y negativos.

Cuestiones externas tecnológicas

¿Cómo crea problemas el ritmo cada vez mayor del cambio tecnológico para los resultados del SGSI? ¿Cambios diarios en los sistemas operativos que se parchean versus (digamos) una vez al año en el pasado? Esto lleva a la necesidad de una gestión mucho más dinámica que muchas organizaciones luchan por mantener y que, si no se gestiona, aumenta la amenaza de una vulneración cibernética y las pérdidas se vuelven más probables.

¿Dónde la inteligencia artificial, el aprendizaje automático, la nube y cualquier otra palabra tecnológica de moda crean problemas para su organización externamente?

Cuestiones legislativas externas

Una de las áreas de falla más comunes en ISO 27001 es la incapacidad de resaltar de manera efectiva el conocimiento y luego gestionar la legislación de aplicación y las cuestiones regulatorias. Esta parte de PESTLE es un excelente punto de partida para el Anexo A18 sobre cumplimiento: si su auditor sabe más que usted sobre la legislación y la regulación que afectan a su organización (y por lo tanto al SGSI), no quedará impresionado.

Va mucho más allá de la protección de datos, el RGPD, el monitoreo de computadoras, los derechos humanos y las leyes de propiedad intelectual, así que considere seriamente esta área para cualquier información dentro de su alcance. No necesariamente necesitará un abogado, pero demostrar que ha considerado la legislación aplicable que afecta a la organización hará que el tratamiento de riesgos, la creación de políticas y controles también sea más centrado y relevante.

Puede ser que su apetito de riesgo por algo sea bastante alto, pero si una legislación o regulación aplicable establece el estándar, entonces necesitará desarrollar políticas y controles para cumplir con eso en lugar de simplemente lo que podría pensar que está bien.

Cuestiones ambientales externas

PESTLE generalmente trata el medio ambiente como el problema ecológico, sin embargo, también puede ser su "medio ambiente" más amplio. Consideraciones simples en torno al medio ambiente podrían significar que su objetivo es utilizar menos papel y viajar menos. Genial, ¿cuáles son los problemas para el SGSI a partir de esto?

Por ejemplo, desarrollar el SGSI podría ser una oportunidad para cambiar las prácticas en torno a la impresión o desarrollar políticas de trabajo móvil, etc. Estas son un par de ideas sencillas que surgen cuando se piensa en cuestiones medioambientales sobre el papel y los viajes.

Las cuestiones más amplias del "ambiente" podrían ser las cosas que suceden entre sus competidores y fuerzas más amplias (piense en ello). Porteadores 5 fuerzas (como un ejemplo simple): ¿qué problemas ambientales externos están sucediendo allí que podrían afectar los resultados de su SGSI?

Usted sabe que el poder de negociación de sus clientes está aumentando en torno a la seguridad de la información. Sin embargo, si todos sus competidores están obteniendo la certificación ISO 27001 de forma independiente y usted solo está pensando en el cumplimiento de las casillas de verificación/agitación de la mano, entonces ese es un problema externo que querrá considerar con más profundidad para ser competitivo y mucho menos seguro y confiable.