skip to Main Content
demostrar la provisión de recursos en ISO 27001

Cómo demostrar la provisión de recursos en ISO 27001

demostrar la provisión de recursos en ISO 27001Provisión de recursos en ISO 27001

La norma ISO 27001 pide a la Alta Dirección de la organización, proporcionar, donde y cuando sea necesario, los recursos para implementar y mantener el Sistema de Gestión de Gestión de Seguridad de la información. Pero ¿cómo demostrar la provisión de recursos en ISO 27001 y cuáles son esos recursos?

Aunque tal provisión puede representar un serio obstáculo para muchas organizaciones, sorprende lo escueto del tratamiento que de él hace la norma, ya que solo dedica una cláusula de dos líneas para atender tan importante tema.

Sin embargo, con la lectura juiciosa de la norma, podemos verificar que el asunto es tratado en diversos capítulos a lo largo de todo el texto del estándar. En el cumplimiento de nuestro objetivo pedagógico e formativo, extractamos un compendio de los apartes de la norma en los que se hace alusión a la provisión de los recursos en ISO 27001. Iniciemos precisando cuáles son esos recursos para demostrar la provisión de recursos en ISO 27001:

 

Demostrar la provisión de recursos en ISO 27001 – ¿Cuáles son?

La cláusula 7.1 de la norma define los recursos necesarios para la implementación del Sistema y para asegurar la mejora continua. Los recursos – que son muchos -, pueden ser agrupados en cuatro. Veamos:

  • Capital: por supuesto se refiere al dinero o a la disponibilidad financiera para afrontar situaciones críticas imprevistas, que no para la adquisición de equipos o adecuación de infraestructura, que ya están contempladas en otros grupos.
  • Instalaciones: hace referencia a los edificios y estructuras físicas acondicionadas para soportar los niveles de seguridad, acordes con los riesgos a los que está expuesta la información de la organización.
  • Equipos: maquinaría y equipos, incluido el software, necesarios para almacenar, procesar, distribuir, tratar o modificar la información, en las condiciones de seguridad exigidas por el sistema.
  • Personas: el recurso humano lo debemos considerar desde dos puntos de vista: el del número de personas necesarias, pero también el de las habilidades, experiencias y conocimientos que estas personas pueden aportar a la implementación, sostenibilidad y mejora del sistema.

Demostrar la provisión de recursos en ISO 27001 – Garantizar la provisión

La cláusula 5.3 de la norma, requiere que se designen las personas necesarias para el diseño, planificación y puesta en práctica del Sistema. Es claro que, a estas personas, también corresponde determinar la exigencia de recursos y la verificación de la provisión de ellos, por parte de la Alta Dirección.

Esta planificación de recursos está presente en muchas fases del ciclo del Sistema, para diferentes propósitos y en diversos momentos. Es necesario contar con la intervención de varias personas, para garantizar el seguimiento de todas las actividades que verifiquen la adecuada asignación de recursos. Podemos considerar tres estrategias para lograr el objetivo:

  • Hacer que todos los planes individuales estén disponibles por parte de las personas responsables del seguimiento y la verificación de los recursos.
  • Asegurarse de que toda la información relativa para demostrar la provisión de recursos en ISO 27001 esté agrupada en un plan general de recursos.
  • Compilar la información sobre recursos, en grupos, según el tipo de recurso.

Cualquier estrategia que se decida utilizar, atenderá a factores como el tamaño de la organización, el número de recursos o la diversidad de planes de asignación que existan.

¿Qué podemos concluir? Dos cosas: que la norma ISO 27001 si hace una mención generosa de los recursos necesarios para la implementación del Sistema y su continuo mejoramiento. Sin embargo, en ninguna parte del estándar, se establece un procedimiento para verificar y demostrar la provisión de los recursos.

Es claro que se trata de una necesidad esencial. Pero hasta que no se determine lo contrario, asegurar los recursos es responsabilidad de la Alta Dirección y verificar y comprobar corresponde a los encargados del Sistema.

ISOTools Excellence

Con la plataforma tecnológica de ISOTools Excellence puede realizar una implementación automatizada la norma ISO 27001 sobre la seguridad de la información en su organización, encontrando información sobre la certificación de la norma que agiliza la puesta en marcha, y optimiza y gestiona el mantenimiento del Sistema de Gestión de la Seguridad de la Información.

¿Desea saber más?

Entradas relacionadas

Plan De Respuesta A Emergencias
6 Puntos clave para probar su plan de respuesta a emergencias

Hemos hablado de la importancia del plan de respuesta a emergencias, de las características que este documento debe…

Ver más
Back To Top