Cómo evitar suposiciones desastrosas con la cláusula 27001 de ISO 9

Muchos aprendizajes profesionales sólo son realmente útiles en el mundo empresarial. Pero hay un principio que me ayuda en todos los aspectos de mi vida, desde llevar a los niños a la escuela todas las mañanas hasta planificar las vacaciones de mis sueños después de Covid. Es esto:

  • La Asunción es la madre de todos los desastres.

Si simplemente hace suposiciones en lugar de verificar las cosas, no detectará problemas cuando aún sean pequeños y fáciles de solucionar. Sólo los verás cuando sea imposible pasarlos por alto y probablemente sean desastrosos.

Afortunadamente, hay una manera fácil a medida. No hagas suposiciones. Reemplázalos por otros prácticos, constructivos y estructurados. auditorías. Esto puede parecer aburrido y tedioso, pero siempre es esencial.

Por qué es importante la supervisión

Gracias a su capacidad de atención al detalle, en un puesto anterior uno de nuestros colegas:

  • Ayudó a su entonces cliente a evitar grandes daños financieros y de reputación.
  • Salvó la vida de muchas criaturas submarinas inocentes.
  • Se evitó un incidente internacional importante.

Estaba auditando una unidad de almacenamiento submarino antes de su instalación en el fondo del océano. Descubrió que un proveedor había utilizado el tipo de pintura equivocado. La pintura se descompondría rápidamente. Entonces la unidad de almacenamiento se deterioraría rápidamente. Entonces se abriría.

La unidad fue diseñada para contener de forma segura material radiactivo con fines de medición submarina.

Tú puedes imaginar el resto.

Todos asumieron que revisar la pintura era una pérdida de tiempo. ¿Cómo es posible que alguien se equivoque tanto en algo tan básico? De hecho, nuestro colega fue criticado por ser demasiado exigente. Pero, una vez más, la vida real demostró que la suposición es la madre de todos los desastres.

Supervisión en ISO 27001

Debido a que la auditoría es tan importante, la norma ISO 27001 la cubre con cierto detalle. Cláusula 9 de ISO 27001 te pide que pienses en cómo:

  • Mida y establezca objetivos para la eficacia de su SGSI (Cláusula 9.1)
  • Auditelo periódicamente para asegurarse de que esté alcanzando esos objetivos (Cláusula 9.2)
  • Mantenga informada a su alta dirección (Cláusula 9.3)

Esto le brinda una lista de verificación de supervisión de seguridad de la información muy útil, ya sea que esté o no conforme o certificado. Aunque necesitamos acercarnos a Cláusula 10.2 para un detalle final muy importante:

  • Considere realizar mejoras en su SGSI en función de lo que haya encontrado

Cláusula 9.1: Medición y establecimiento de objetivos para su SGSI

No vale la pena tener un SGSI no examinado. Pero para examinarlo adecuadamente, necesitas saber qué estás buscando, dónde estás buscando y quién lo está buscando. Cláusula 9.1 le pide que planifique:

  • ¿Qué partes de tu ISMS que necesitas Echarle un ojo
  • Cómo vas a monitorearlos, medirlos, analizarlos y evaluarlos
  • ¿Con qué frecuencia realizarás todos esos controles?
  • ¿Quién está haciendo la verificación?
  • Cómo informarán sus hallazgos

Asegúrate de documentarlo todo. Tener un conjunto único de directrices prácticas claras impedirá que la gente haga suposiciones. Sabemos adónde pueden llevar...

Cláusula 9.2: Auditoría de su SGSI

Ahora estás listo para tu real auditoría interna, tal como se especifica en la cláusula 9.2. Aquí es donde se revisa la pintura y se patean los neumáticos. Chuparse los dientes también es una opción.

Básicamente, estás comprobando que tu SGSI:

  • Cumple todos los objetivos que te has marcado
  • Está bien administrado y mantenido adecuadamente.

Una sola auditoría no bastará. Necesitas plan para auditorías periódicas. Cada nueva auditoría debe hacer referencia a las anteriores, para que esté seguro de que está detectando y respondiendo a cualquier problema. Por lo tanto, cada nueva auditoría debe documentarse e informarse de forma clara y coherente.

También es necesario responsabilizar a personas específicas de cada auditoría. Deben tener un alcance claro para cada auditoría. Y lo más importante es que deben ser objetivos. Elija auditores que cuestionen sus suposiciones, no que las confirmen.

Y cada auditoría debe ser un proceso positivo que agregue valor. Idealmente, los auditores buscan conformidades y tal vez trabajen con el auditado para encontrar posibles mejoras. Su auditor NO busca no conformidades. Simplemente sucede que a veces los detectan.

Cláusula 9.3: Mantener informada a la alta dirección

Suponer que la alta dirección sabe cómo van las cosas es siempre un error. Debe asegurarse de que comprendan, acepten y (cuando sea necesario) den forma a su SGSI. Después de todo, como Cláusula 5 notas, son en última instancia responsables de su SGSI.

¿Entonces cláusula 9.3 le pide que lleve a cabo revisiones de gestión periódicas y planificadas. Actualizará a la alta dirección sobre qué tan bien ISMS está protegiendo su organización, cubriendo:

  • Problemas específicos detectados y cómo los solucionaste
  • Rendimiento general frente a los objetivos que has establecido
  • Cualquier comentario o sugerencia de partes interesadas
  • Lo que te dicen tus auditores
  • Detalles de curso evaluación de riesgos y tratamiento
  • Mejoras que planeas hacer o has hecho

También debe recurrir a su visión general de su organización. Asegúrese de que compartan detalles de cualquier problema interno o externo que pueda afectar el alcance y funcionamiento de su SGSI. Y, por supuesto, los pondrás al día sobre las acciones que surjan de revisiones anteriores.

Ah, y hay una gran suposición que cuestionar. La gente suele asumir que la revisión del sistema de gestión debe realizarse en una reunión. ¿Pero dónde dice eso en la cláusula 9.2? Nuestra pista: no...

Una última suposición que queremos evitar

Así es como Cláusula 9 de ISO 27001 le ayuda a sustituir suposiciones vagas por auditorías prácticas, constructivas y estructuradas. Luego puede seguir la Cláusula 10.2 y actuar en consecuencia.

Con suerte, le hemos mostrado cómo funciona el proceso y le hemos dado algunos consejos útiles para ayudarle a vigilar sus propias medidas de seguridad de la información.

Pero eso parece exactamente lo que queremos evitar: ¡una suposición! Entonces, si esta publicación ha sido útil o inspiradora, háganos saber sin lugar a duda.

« Requisito 9.3: Revisión por la dirección

Req 10.1, 10.2 - Mejora para ISO 27001 »

Última edición: 7 de febrero de 2022
Autor

al robertson

Al es un escritor profesional y autor publicado que cubre una variedad de temas. Ha escrito una variedad de artículos sobre cumplimiento y especialmente sobre seguridad de la información y cómo la certificación ISO 27001 puede ayudar a las organizaciones a crecer.

Ver todas las publicaciones de Al Robertson

Artículos Relacionados

ISMS.online ahora es compatible con ISO 42001, el primer sistema de gestión de IA del mundo. Haga clic para saber más