Saltar al tema
¿Qué es un Interesado?
En su forma más simple, una parte interesada es una parte interesada: alguien, un grupo o una entidad con interés en su SGSI (o quizás la propia organización).
Debería poder identificar fácilmente a muchas de sus partes interesadas después de haber completado los problemas internos y externos que afectan los resultados previstos del sistema de gestión de seguridad de la información.
Estos incluirán personal, proveedores, clientes, accionistas, directores, prospectos, miembros de juntas directivas, competidores, legisladores y reguladores, sindicatos, etc.
Las partes interesadas tampoco siempre son las más obvias; por ejemplo, los piratas informáticos y las partes maliciosas relacionadas pueden necesitar consideración, al igual que los medios de comunicación y otros, dependiendo de la naturaleza de su negocio y los problemas que enfrenta.
Sin embargo, en lugar de crear una gama de políticas y controles únicos para todas las partes interesadas, es mejor observar a esas partes interesadas en términos de su poder, interés y apoyo; en términos simples, se trata de su capacidad para afectar su acercamiento al SGSI.
Luego, podrá desarrollar enfoques adecuados para demostrar que tiene cubiertas sus necesidades (y, por supuesto, las suyas, donde también es un posible saboteador).
Por ejemplo, si tuviera un cliente que le exigiera invertir en ISO 27001 y crear un SGSI ISO 27001 certificado de forma independiente, ¿lo haría si fuera un actor muy pequeño y no influyente? Probablemente lo pensaría de nuevo si ese cliente fuera uno de los muchos que quisiera ganar, o un jugador grande y poderoso por derecho propio.
¿Pensaría en el cifrado si no fuera un requisito regulatorio para GDPR? Los legisladores y reguladores (autoridades de supervisión) son una poderosa parte interesada para "mantener satisfecho" que debe considerar y demostrar que tiene sus intereses atendidos.
Herramienta de gestión de partes interesadas
En ISMS.online hemos creado una herramienta de partes interesadas para ayudar a los usuarios a agregar y segmentar rápidamente a las partes interesadas y luego priorizar los enfoques en torno a ellas.
La herramienta también viene con un 'banco' de partes interesadas que se pueden agregar rápidamente al mapa. También generarán ideas para otras partes interesadas y ayudarán a identificar de dónde podrían evolucionar los riesgos.
Compruébelo usted mismo reservando una demostración de la plataforma hoy.
Reserve una demostración de la plataforma¿Quiénes son los Interesados para mantener satisfechos?
Si una parte interesada tiene mucho poder y poco interés, debería pensar en ese individuo o grupo como una parte interesada que "se mantiene satisfecho". Pregúntese, ¿qué hará en su SGSI con políticas y controles para mantenerlos satisfechos?
En esta área de alto poder y bajo interés, es posible que vea organizaciones como legisladores y reguladores, grupos de clientes muy poderosos, accionistas, etc. También puede haber auditores externos y otros organismos industriales que pueden afectar el éxito de su negocio.
Su interés es bastante bajo en el día a día, pero su poder para afectar sus objetivos comerciales es alto, por lo que es necesario mantenerlos satisfechos, generalmente a distancia, y tener un certificado ISO 27001 certificado de forma independiente ayuda de alguna manera a satisfacer sus necesidades.
Las partes interesadas muy poderosas en la garantía de la información, como los reguladores, también pueden prescribir formas específicas de trabajar; el RGPD y la Ley de Protección de Datos son ejemplos muy actuales.
Considerar las necesidades de otras partes interesadas para un SGSI ISO 27001 exitoso
Si una parte interesada tiene tanto interés como gran poder, la consideraríamos un actor clave. Estas partes interesadas deberían participar activamente. Su equipo directivo superior, jefes de departamento clave, proveedores críticos boutique, etc. probablemente entrarán en esta categoría. De hecho, es posible que algunos de sus clientes importantes íntimamente comprometidos estén en esta categoría. Es posible que les interese mucho cómo trabaja usted día a día, ya que también les afecta a ellos.
Es fácil crear largas listas de partes interesadas a considerar, pero tenga cuidado de no dedicar demasiado tiempo a las que tienen menor poder. Aquellos con menor poder y mayor interés necesitan mantenerse informados, pero es posible que no necesiten que se les consulte sobre lo que cubre su SGSI; es posible que simplemente necesite decírselo, de lo contrario, ¡podrían consumir mucho tiempo y presupuesto de inversión!
Además, tenga cuidado de no simplemente dejar a las partes interesadas que no le agradan en los grupos de menor poder; vimos que esto sucedió en una empresa. Pagaron por ello más tarde porque la parte interesada era en realidad bastante poderosa y retrasó el logro de sus objetivos porque no se priorizaron sus requisitos.
La combinación de este trabajo de partes interesadas y partes interesadas con los problemas internos y externos que ha identificado en 4.1 ayuda a comprender mejor de dónde podrían surgir las amenazas y oportunidades en su sistema de gestión de seguridad de la información.
Eso, junto con el alcance de su SGSI (4.3), conduce a un enfoque mucho más lógico y dirigido por el negocio para la evaluación de riesgos en 6.1 y a una seguridad de la información mucho mayor con políticas y controles que su personal y las partes interesadas valorarán y adoptarán.
En ISMS.online proporcionamos una plantilla y una herramienta con un 'banco de partes interesadas' para ayudarle a cumplir fácilmente los requisitos de la cláusula 27001 de la norma ISO 4.2. El programa opcional Virtual Coach también viene con asesoramiento en vídeo sobre cómo cumplir con los requisitos.
Te guiaremos en cada paso del camino.
Nuestra herramienta integrada lo lleva desde la configuración hasta la certificación con una tasa de éxito del 100 %.
Reserve una demostración
