Cómo identificar los requisitos de las partes interesadas en ISO 27001 Sistema de Seguridad de la Información
Identificar los requisitos de las partes interesadas en ISO 27001, es tan importante, que la misma norma insta a las organizaciones a definir estos requisitos en forma perentoria. Son varias las necesidades de información necesarias para lograr tal objetivo. Veamos con exactitud, cuáles son esas necesidades y cuál es la forma apropiada para recaudar esa información.
¿Cuáles son los requisitos de las partes interesadas en ISO 27001?
A la luz de la norma ISO 27001 la palabra “requisitos” adquiere una connotación diferente a la que marca el uso cotidiano de ella. Los requisitos son información precisa acerca de lo que las partes interesadas deben hacer o el comportamiento que deben asumir dentro del sistema. De esta forma se definen las necesidades y las expectativas de cada una de las partes interesadas, facilitando implementar los procesos que satisfagan en forma apropiada esas necesidades.
Algunos requisitos de las partes interesadas en ISO 27001, están definidos claramente en la norma. Estos son los más fáciles de identificar, así como aquellos que se definen como consecuencia de requisitos legales, estipulados en regulaciones locales e internacionales acerca de seguridad de la información.
La importancia de los requisitos de las partes interesadas en ISO 27001
Los requisitos influyen en todos los aspectos del Sistema General de Seguridad de la Información. El alcance general del sistema, así como los objetivos específicos de seguridad y los mecanismos para evaluar el rendimiento implican la definición clara y acertada de los requisitos de las partes interesadas en ISO 27001.
De una adecuada definición de requisitos, depende implementar controles eficaces y obtener el más alto rendimiento del sistema. De ahí la importancia de los requisitos.
¿Cómo identificar los requisitos de las partes interesadas en ISO 27001?
Como hemos anotado, la identificación de los requisitos requiere recopilar información útil para conocer las necesidades y las expectativas de las partes interesadas. Existen varios métodos para recaudar esa información. Veamos los que mayor eficiencia nos pueden brindar:
- Cuestionarios: Resultan muy eficientes, y demandan poca disponibilidad de tiempo. La responsabilidad se delega en las partes interesadas, que pueden responder la encuesta o el cuestionario, sin la presión del evaluador sobre ellos.
- Entrevistas: Aunque suelen ser traumáticas para el curso de las labores cotidianas, el entrevistador puede apartarse del guion cuando lo considere necesario, y ahondar en algún aspecto que aparezca de improviso durante la charla.
- Foros, Debates, Talleres: Pueden ser interdisciplinarios y ayudan a resolver conflictos entre las partes, que no es posible identificar con los cuestionarios o las entrevistas.
- Notas: Ellas se derivan de la simple observación de los procesos y el acontecer diario.
- Documentos varios: Son relevantes aquellos en los que se determinan requerimientos legales, reglamentarios internos o derivados de alguna obligación contractual. En muchos de ellos, de hecho, ya vienen determinados algunos de los requisitos de las partes interesadas, que pretendemos identificar.
¿Cómo elegir el método adecuado de identificación de los requisitos?
Ya conocemos los métodos para recaudar la información que nos permitirá identificar los requisitos de las partes interesadas en ISO 27001. ¿Podemos hacer uso de todos ellos?… No siempre es recomendable. Podríamos incurrir en trabajo inútil o en el hallazgo de puntos de intereses encontrados que pueden ser difíciles de dirimir. Veamos algunas recomendaciones, útiles a la hora de elegir el método de identificación de los requisitos:
- Si detectamos la necesidad de encontrar intereses y requisitos diferentes, que potencialmente puedan encontrase enfrentados, es conveniente hacer uso del método que utiliza debates, foros o talleres.
- Pero si requerimos encontrar información clara y definida, y deseamos obtener informes estadísticos, con base en las opiniones de un alto número de empleados, clientes, proveedores o miembros de la alta dirección de la organización, los cuestionarios son la mejor forma de lograr el objetivo.
- Las notas obtenidas como fruto de un trabajo de observación, aportan una visión clara del entorno operativo. Ellas siempre serán necesarias, aunque utilicemos otros métodos para recopilar información.
Utilizar los métodos apropiados para recaudar información e identificar claramente los requisitos de las partes interesadas en ISO 27001, hará que el Sistema suministre los resultados deseados, a muy bajos costes y minimizando los riesgos inherentes al tratamiento de la información.
Software ISOTools Excellence
ISOTools Excellence ayuda a las organizaciones a la implementación de la norma ISO 27001, desde su plataforma tecnológica podrá encontrar información acerca de la ejecución de manera automatizada que optimiza y agiliza el proceso de puesta en marcha y gestiona el mantenimiento del Sistema de Gestión de la Seguridad de la Información.
¿Desea saber más?
Entradas relacionadas
9 abril, 2018
Circular 3335 Al finalizar el año 2017 se publicó la circular 3335. La normativa de seguridad laboral entró…
28 diciembre, 2017
Algunas cosas se pueden comprar sin hacer mayores preguntas. Un software para gestionar el Sistema de Cumplimiento no…
27 diciembre, 2017
Hemos hablado de la importancia del plan de respuesta a emergencias, de las características que este documento debe…
26 diciembre, 2017
La automatización del control de documentos es una necesidad apremiante para muchas organizaciones que, a diario, reciben y…