En cualquier sistema de gestión debe haber estímulo y liderazgo desde los niveles superiores de la dirección, aunque las personas implicadas no estén profundamente involucradas en la rutina diaria. En una organización pequeña, el Director General puede desempeñar un papel muy activo, pero si la empresa es grande y diversa, es casi imposible que una sola persona se implique a fondo en todas las actividades. Aun así, los líderes de la empresa no deben aislarse de los procedimientos y debe verse que se interesan y se someten al mismo nivel de compromiso que esperan del personal. Pueden explicar al equipo los riesgos para la reputación, el rendimiento y similares de una mala gestión de la seguridad de la información y participar con entusiasmo en los debates.
Liderazgo desde arriba
Al principio, el papel del responsable es adquirir conocimientos sobre el tema, preferiblemente con la ayuda de empleados internos y también de expertos externos, como un organismo de acreditación. Tienen que saber qué significará la aplicación y las implicaciones de la norma para su empresa y ser capaces de comunicarlo a los demás. También deben comprender cómo se identifican y gestionan los procesos y riesgos actuales.
En el caso de la gestión de la seguridad de la información, habrá que empezar por obtener una copia de la norma correspondiente (ISO 27001 y las directrices o complementos relacionados). A continuación, hay que formar un equipo para llevar adelante el desarrollo. Al crear el equipo, es importante incluir a todos los sectores del personal y las operaciones.
Por su propia naturaleza, la seguridad de la información requerirá mucha aportación y control operativo por parte de los especialistas en TI y tecnología de la organización. Ellos serán los más capacitados para identificar las áreas de riesgo y proponer posibles medidas de protección y soluciones. En caso de ciberataque, también serán ellos quienes se encarguen de reconstruir los sistemas y restablecer la normalidad. Hay que pedir al equipo técnico que diseñe un sistema de copias de seguridad que aumente la seguridad haciendo copias de seguridad de los datos en un sistema aislado fuera de línea que no sea propenso a ransomware y amenazas similares.
Es probable que vean al resto del personal como el eslabón débil de la cadena de seguridad de los datos y, hasta cierto punto, puede que tengan razón. Sin embargo, el resto del personal tiene sus propias habilidades y son igualmente importantes para el éxito de la empresa, por lo que pueden necesitar orientación adicional sobre cómo reconocer y manejar las presuntas amenazas cibernéticas.
Participación del personal a todos los niveles
Aunque el equipo técnico será el encargado de construir la estructura, es esencial que comprenda las prácticas de trabajo y las necesidades de otros departamentos y del personal. Un sistema tan seguro como Fort Knox, pero que no permite al personal actuar, es más bien un obstáculo para el éxito de la empresa. También es importante que el sistema esté estructurado de forma que siga las directrices de la norma ISO, ya que de lo contrario podría no considerarse apto para la certificación.
Los responsables y el personal de control de calidad querrán asegurarse de que el SGSI se integra con otros sistemas de gestión que estén funcionando en la organización. Los sistemas que se integran entre sí garantizan una organización más eficaz y, por lo general, permiten reducir el tiempo y los costes de las auditorías, ya que los distintos sistemas pueden evaluarse simultáneamente.
Las partes de una organización más orientadas al cliente y al proveedor son áreas en las que la red de información de una organización puede interactuar con la de otra. Estas áreas pueden ser eslabones débiles si una de las organizaciones se toma menos en serio la gestión de la información. Los empleados que trabajan en estas áreas suelen estar bajo presión para cumplir objetivos, y la combinación de una rutina diaria acelerada y los vínculos con otras organizaciones es un área que debe gestionarse adecuadamente.
Garantizar la adecuación del sistema
Al construir el sistema, hay que tener en cuenta su futura gestión y perfeccionamiento. Esto puede significar que nuevas plataformas de software podrían ser beneficiosas pero, en cualquier caso, documentar y decidir los procesos relevantes debe hacerse de forma efectiva en este punto. Todos los miembros del equipo deben cooperar en este punto y podrían beneficiarse de la formación y del trabajo conjunto con el organismo de certificación para garantizar que el sistema se ajusta a su finalidad.
El siguiente paso, empezar a implantar el sistema, puede ser el más difícil, ya que probablemente implique algunos cambios en las prácticas de trabajo. Por este motivo, es necesario revisar y evaluar constantemente los procesos y prácticas y, cuando se detecten problemas, todas las partes deben decidir la mejor manera de resolverlos. Cuando el sistema lleve funcionando un tiempo razonable y se haya realizado al menos una auditoría interna, será el momento de plantearse solicitar la certificación.
Para guiarle en el camino hacia el cumplimiento de la norma ISO 27001, acceda a la autoevaluación de DNV para conocer su grado de preparación (incluya el enlace aquí...).
Es probable que su relación comercial con el organismo de certificación/registrador se prolongue durante muchos años, ya que hay que mantener la certificación. Para tener un sistema de gestión eficiente, la mejora continua es clave. DNV le ayudará a obtener el máximo valor a través del proceso de certificación con un enfoque de asociación, auditoría basada en el riesgo y herramientas digitales que impulsan la eficiencia y la mejora.
