Análisis de no conformidades en ISO 27001 - Cláusula 5
El liderazgo es fundamental para operar un sistema de gestión exitoso en todas las normas que incorporan la estructura del Anexo SL. Dichas normas requieren que la gerencia establezca políticas y asigne recursos. Esto no es diferente de lo que la gerencia debería hacer por la organización en general. Es de interés general que la gerencia conozca bien los requisitos de la Cláusula 5.
La cláusula 5 es donde la gerencia demuestra su compromiso con el sistema de gestión de seguridad de la información (SGSI), incluso si han delegado su gestión. Demostrar es la palabra clave: el 8% de las No conformidades (NC) en la Cláusula 5 surgen porque nuestros auditores no confiaban en el compromiso de la gerencia con el SGSI.
Esto generalmente se debe a que la política del SGSI no es aprobada por la gerencia, no estuvieron disponibles para entrevistas, o peor aún, cuando fueron entrevistados sabían poco sobre el SGSI.
El auditor deberá entrevistar a la gerencia (o responsables de nivel apropiado) y descubri si están comprometida con la seguridad de la información.
Deberá asegurarse de que todo esté alineado para la entrevista con la alta dirección: el 14% de las NC se debieron a que la política del SGSI no era compatible con la estrategia de la organización, lo que podría sugerir una falta de participación de la alta dirección. Vale la pena considerar lo que normalmente ve el auditor en esas circunstancias.
Las cláusulas 5.1ay 5.2a requieren que la política se ajuste a la organización. Habiendo revisado ya la organización según la Cláusula 4, el auditor tendrá un buen conocimiento de la organización, lo que hace y por qué lo hace. El auditor requerirá que la gerencia describa la dirección estratégica de la organización. Será obvio para nuestro auditor si la política de seguridad de la información no respalda el propósito general de la organización.
Los objetivos de seguridad de la información no aparecen hasta la Cláusula 6.2, pero se espera que la gerencia los conozca. Esto, a su vez, implica que la gerencia debe conocer la evaluación de riesgos y sus tratamientos. De esta manera, deberían poder discutir los objetivos con autoridad.
La cláusula 5.1d debe ser fácil de demostrar para la gerencia: Las comunicaciones internas y con el proveedor sobre la importancia de la seguridad de la información es una forma de mostrar al auditor cómo cumple con el requisito. Sin embargo, tenemos momentos incómodos en los que la gerencia simplemente no sabe nada, generalmente porque lo han delegado todo en el responsable del SGSI.
5.2 Política
Hay algunas inclusiones obligatorias en la política que se enumeran en 5.2b, c y d. Sin embargo, el 25% de las NC de la cláusula 5 se producen porque esos requisitos no figuran en la política.
5.3 Roles, responsabilidades y autoridades en la organización
La falta de asignación de roles y responsabilidades para la seguridad de la información frecuentemente causa NC. Por lo general, descubrimos esto al revisar la documentación y entrevistar a las personas. Esto a veces se atribuye a que la política no se comunica, lo que también es una causa de NC. Es importante no confundir la seguridad de la información con la gestión del SGSI. Lo habitual es que, al igual que en seguridad y salud, todos sean responsables de la seguridad de la información, mientras que no todo el mundo participará en la gestión del SGSI.
A veces, la falta de compromiso de liderazgo se manifiesta en una cláusula diferente, pero se atribuye directamente a un fallo en la Cláusula 5. La falta de acción después de la revisión por la dirección en la Cláusula 9 puede ser una NC contra la Cláusula 5.1c - asegurando que los recursos estén disponibles, o 5.1e - asegurando que el sistema de gestión logre los resultados previstos.
En mi próximo blog, analizaré las razones más comunes por las que surgen no conformidades en la Cláusula 6.1.
Autor: Tim Pinnell, NQA Information Security Assurance Manager