Requisito 27001 de ISO 7.4 – Comunicación

¿Qué implica la Cláusula 7.4?

Al igual que con otras partes del SGSI, existen oportunidades para unirse y demostrar el sistema de gestión de seguridad de la información, en particular sus requisitos de comunicación son una parte integrada y cohesiva de los procesos de comunicación, educación, capacitación y concientización de la organización.

Esta cláusula 7.4 también encaja con el Anexo A 7 para la seguridad de los recursos humanos, donde los requisitos en torno a la comunicación comienzan con el control de seguridad de los recursos humanos, pasan a los términos de seguridad de la información para los contratos laborales, los procesos disciplinarios y después de los cambios de rol o la salida. La integración más significativa para la seguridad de recursos humanos es con A 7.2.2, donde hay un control para la concientización, educación y capacitación sobre seguridad de la información.

ISO 27001 busca lo siguiente en esta cláusula:

• qué comunicar sobre el SGSI
• cuando eso se comunicará
• ¿Quién será parte en esa comunicación?
• quien hace la comunicacion
• cómo sucede todo eso, es decir, qué sistemas y procesos se utilizarán para demostrar que sucede y es efectivo

Específicamente, el control ISO 27001: 2013 A.7.2.2 requiere que: "Todos los empleados de la organización y, cuando corresponda, los contratistas deberán recibir educación y capacitación adecuadas y actualizaciones periódicas sobre las políticas y procedimientos de la organización, según sea relevante para su función laboral".

Ese control, junto con el requisito de la cláusula 7.4 de los principales requisitos de la norma ISO 27001 de demostrar "cómo" y cuán efectiva es la comunicación, junto con la necesidad de que la alta dirección proteja realmente su organización y no solo marque una casilla, significa que la comunicación es dinámica y segura. Se requiere comunicación para tener confianza en el cumplimiento.

¿A quiénes deben tener en cuenta en las comunicaciones si es probable que les interesen?

El punto de partida para esto debería ser el trabajo realizado en 4.2, observar a las partes interesadas y mirar hacia atrás para comprender sus necesidades y requisitos de comunicación, lo que obviamente se alinearía con su posición en el mapa de partes interesadas y los problemas y preocupaciones subyacentes que tendrían. tener sobre su desempeño. Como antes, una talla única no sirve para todos en términos de qué, por qué y cómo se llevan a cabo las comunicaciones. Por ejemplo, una parte interesada en "mantenerse satisfecho", como el Comisionado de Información del Reino Unido, para demostrar el cumplimiento de la Ley de Protección de Datos y el RGPD solo querrá saber dos cosas: a) está registrado como controlador o procesador de datos; y b) cuando haya experimentado algún incidente de seguridad que genere pérdidas o posibles consecuencias entre dentro de su ámbito de interés.

Es probable que otras partes interesadas que se mantengan satisfechas sean clientes poderosos, y también auditores externos de la norma ISO 27001, especialmente si se está considerando una certificación UKAS independiente o similar. Quieren tener confianza en que el SGSI está funcionando bien y tener esa seguridad de información periódica que proviene de las auditorías de vigilancia y tal vez el derecho de realizar una auditoría en el momento que elijan, además de mantenerse informados sobre cambios o incidentes importantes.

Los actores clave y las partes interesadas que mantienen informadas, como la alta dirección, el personal o los proveedores íntimamente involucrados que accedían a sus activos de información más valiosos, deben estar comprometidos y ser conscientes de mucho más sobre el sistema de gestión de seguridad de la información.

Las cosas que necesitarían consideración aquí incluyen:

• Qué significa la seguridad de la información para la organización y sus beneficios, así como las consecuencias.
• Conciencia de los términos clave del lenguaje y ejemplos de buena y mala confidencialidad, integridad y disponibilidad que sean significativos para ellos.
• Las políticas y controles de seguridad de la información de la organización que afectan su trabajo y a quienes trabajan a su alrededor.
• Qué hacer ante un incidente, evento o debilidad que sean los primeros en identificar
• Qué hacer cuando algo ha sucedido en otra parte de la organización y necesitan tomar medidas para permanecer protegidos
• Actualizaciones generales y comunicaciones dinámicas que son relevantes para su rol (más allá de políticas y controles)

Garantizar la comunicación y el cumplimiento para lograr el éxito de ISO 27001

Si bien un auditor externo que realiza la certificación ISO 27001 buscará cuidadosamente evidencia de las comunicaciones anteriores, el problema comercial más importante es que las partes interesadas no estén al tanto o no cumplan con las comunicaciones. Esto podría conducir rápidamente a un incidente grave de seguridad de la información y pérdidas importantes, especialmente si se trata de datos personales donde se están considerando multas según el RGPD y daños importantes a la reputación.

Es probable que la mayoría de las organizaciones ya tengan canales de comunicación; trabajo presencial, jornadas de equipo, correo electrónico, intranet y otros medios para involucrar al personal. Recomendamos que se consideren todos y cada uno de estos hábitos si esos hábitos están bien desarrollados en el personal y si responden a ellos. Sin embargo, cuando ya recibe demasiados correos electrónicos o se queda dormido en teleconferencias de equipo, ¿las interesantes comunicaciones ISMS llegarán al lugar y brindarán el resultado que necesita?

El desafío para la mayoría de las organizaciones es la incapacidad de evidenciar de manera rentable que se ha producido comunicación y que el cumplimiento está garantizado en toda la cadena de suministro interna y externa de las partes interesadas clave. Las auditorías internas de conformidad con la cláusula 9.2 son de gran ayuda en ese sentido, sin embargo, generalmente son poco frecuentes y muy costosas para cualquier otra cosa que no sean auditorías de tamaño de muestra y generalmente no siguen el ritmo de los rápidos cambios en los riesgos de seguridad de la información y especialmente en los problemas de seguridad cibernética.

Los auditores ahora están observando mucho más de cerca estas áreas de comunicación dadas las crecientes consecuencias del fracaso. Los clientes y accionistas inteligentes también están prestando mucha más atención más allá del certificado ISO, más allá de la declaración de aplicabilidad y el alcance, a los requisitos para un seguimiento más dinámico de las actualizaciones de seguridad de la información y la garantía de cumplimiento. El cumplimiento basado en las personas se está acercando mucho más a la tecnología y el monitoreo de sistemas digitales que ya se ven en servicios como firewalls y antivirus en tiempo real.

Cómo ISMS.online ayuda con la comunicación ISMS

En esencia, ISMS.online es una plataforma de comunicaciones y colaboración, por lo que tiene una buena ventaja sobre los antiguos sistemas de grabación estática que solían ser populares para los sistemas de estilo ISMS y Gobernanza, Regulación y Cumplimiento (GRC). También distribuye información por correo electrónico a los usuarios finales, lo cual es excelente para actualizaciones y concientización simples, por lo que encaja en esa forma de comunicación basada en hábitos. Cualquier cosa necesaria para un trabajo de cumplimiento más detallado, como evidencia del compromiso de hacer algo, por ejemplo, leer una política, devuelve a los usuarios a la plataforma donde el rastro de auditoría forense y la evidencia sorprenden a los auditores y ahorran enormes cantidades de tiempo a los administradores del SGSI, quienes a su vez pueden comunicarse con devolver la confianza a la alta dirección.

La plataforma sirve muy bien a los diferentes grupos de partes interesadas con su facilidad de uso y espacios de trabajo enfocados, todos auditables y basados ​​en evidencia de acuerdo con los requisitos del estándar.

Lograr confianza en la comunicación para clientes poderosos, altos directivos y auditores externos.

Desarrollado específicamente en estrecha colaboración con los usuarios finales, una parte importante del conjunto de características En ISMS.online se encuentra el servicio Paquete de políticas que permite a los administradores de ISMS demostrar el cumplimiento de las políticas y controles para todos los que están dentro del alcance. Ese servicio innovador, junto con el informe general de ISMS (más adelante) y las características generales de colaboración de grupos, ofrece muchos beneficios de ahorro de costos, reducción de riesgos y otros beneficios.

• producción de políticas y controles una vez, pero permite la distribución a grupos específicos fácilmente (por ejemplo, por departamento, ubicación, función, producto, etc.)
• la capacidad de ver las políticas leídas y cumplidas dinámicamente en cualquier momento
• la capacidad de detectar y abordar áreas de posible incumplimiento de forma rápida y sencilla, centrando la atención en los riesgos más altos y sin perder tiempo de auditoría u otros recursos limitados.
• la capacidad de demostrar a los auditores externos, a los clientes finales poderosos y a la alta dirección que tienen el control de todo el SGSI, desde la identificación del activo de información, su evaluación de riesgos, los controles que se le aplican y las audiencias a las que se aplican las políticas. todos los aspectos clave para cumplir con los requisitos del SGSI para ISO 27001

Para los usuarios más avanzados que desean ver la relación entre los activos de información, los riesgos, los controles y la comunicación de las políticas a los usuarios mediante paquetes de políticas, el informe general de ISMS hace precisamente eso. Muestra confianza de extremo a extremo y ayuda a aislar rápidamente brechas, problemas o desperdicios más allá de la poderosa declaración de aplicabilidad que se requiere para la cláusula 27001 de ISO 6.1.3.

Comunicaciones de seguridad de la información al personal, proveedores y otras partes interesadas que deben participar y demostrar cumplimiento de la norma ISO 27001.

Es fantástico que los potentes sistemas de gestión de seguridad de la información funcionen bien para que la gestión y los administradores del SGSI cumplan sus objetivos. El Soluciones SGSI También tiene que funcionar bien para aquellos usuarios ocasionales que necesitan comprender y cumplir con sus políticas, estar al tanto de lo que sucede, participar en discusiones, plantear incidentes y responder a tareas. Eso es exactamente lo que ofrece ISMS.online, la capacidad de mantener a estas importantes partes interesadas cumpliendo y participando en un modelo de acceso dinámico pero ocasional.

El personal puede leer y cumplir con sus políticas de seguridad de la información (y otras) en una experiencia de lectura similar a la de un Kindle, sin ningún ruido de las partes especializadas del SGSI. Pueden mostrar fácilmente su progreso en la lectura y su cumplimiento a medida que completan el trabajo. Esto también actualiza dinámicamente la consola de administración anterior. Cuando se actualiza una política, el administrador puede simplemente enviarla a todos los lectores y llamar su atención.

Además del servicio Policy Pack, ISMS en línea ofrece varias formas de garantizar la comunicación y la participación del personal, incluidos los grupos de comunicación de ISMS, que son excelentes para transmitir actualizaciones, participar en debates, asignar tareas mediante notificaciones por correo electrónico y mostrar la evidencia de ello. a los auditores, así como retener el conocimiento para los nuevos empleados y otras personas que necesiten participar en el futuro. Esos requisitos no son tan fáciles con algunos de los productos de mensajería y comunicaciones más tradicionales del mercado o solo con el correo electrónico. Más allá de los servicios principales de grupos y paquetes de políticas, muchas otras características de la plataforma también hacen que todo el proceso de comunicación sea una experiencia más rica e integrada.

Obtenga la certificación hasta 5 veces más rápido con ISMS.online

El cumplimiento no tiene por qué ser complicado: ISMS.online está diseñado para ayudarle a obtener la certificación ISO 27001 de forma rápida y asequible sin necesidad de formación.
Hemos optimizado el proceso ISO 27001 con nuestro Método de Resultados Garantizados, un 80% de Headstart, su propio Entrenador Virtual 24 horas al día, 7 días a la semana, fácil incorporación y soporte de expertos.

Reserve una demostración de la plataforma para ver cómo ISMS.online puede ayudar a su empresa