| 25 años generando CONFIANZA
En el artículo de hoy, seguiremos explicando los puntos más importantes del borrador norma ISO DIS 22301. Hoy nos centramos en el punto 9 de la norma, que hace referencia a la evaluación del desempeño. Este punto de la norma, está a su vez divido en tres bloques, seguimiento, medición, análisis y evaluación, otro de auditoría interna y otro de revisión por parte de la dirección.
Toda aquella organización que esté interesada en la implantación de un Sistema de Gestión de Seguridad de la Información se verá en la obligación de evaluar tanto el desempeño de la seguridad de la información, así como la eficacia que posea el sistema de gestión que se vaya a implantar en la misma para dicho fin.
ISO DIS 22301Antes de comenzar, debemos decir que en el borrador de la norma ISO DIS 22301 se especifica la estructura y los requisitos que se está estableciendo que tenga un Sistema de Gestión de Continuidad de Negocio.
La continuidad de negocio, como su nombre indica, está presente en todo tipo de negocios, ya sea de manera directa o indirecta. Hace apenas una semana desde que, a través de medios de comunicación y redes sociales, la humanidad recibió la nefasta noticia de que Notre Dame de París estaba en llamas. Aún siguen impresionando las imágenes de la joya del arte gótico ardiendo sin que ya nadie pudiera hacer nada por salvarla.
No cabe duda de que la planificación es uno de los aspectos clave de cara a establecer un Sistema de Gestión de Continuidad de Negocio. La gerencia de la organización juega un papel clave dentro de este ámbito, ya que desde una posición estratégica como la que ocupan es desde donde mejor se puede plantear este aspecto.
El más que afamado Reglamento General de Protección de Datos (RGPD), de aplicación común para todos los Estados miembros de la Unión Europea, afecta a aquellas organizaciones que tratan datos personales. Esto ha provocado que en prácticamente todas las empresas se haya tenido que hacer un gran esfuerzo por la adaptación del tratamiento de los datos de carácter personal que manejan. Este proceso, aun en plena efervescencia, se podría simplificar gracias a la implantación de un Sistema de Gestión de Seguridad de la Información según la certificación ISO 27001.
Según ISO DIS 22301, las organizaciones deberán de contar con recursos necesarios para el establecimiento, implementación, mantenimiento y mejora continua de un Sistema de Gestión de Continuidad de Negocio.
Según ISO 27001, la implantación de un Sistema de Gestión de Seguridad de la información aporta a las compañías un conjunto de políticas de seguridad, procedimientos y otros mecanismos necesarios para controlar y establecer todas las reglas de seguridad de la información de una organización.
Tras su publicación el 12 de marzo de 2018, la ISO 45001 trae cambios muy importantes, aunque uno de los más destacados es la integración del bienestar del personal de una organización a través de su Sistema de Gestión de Seguridad y Salud en el Trabajo. Lógicamente, en lo referente al bienestar de los trabajadores dentro de un Sistema de Gestión Integrado, la ISO 45001 es la norma a seguir.
En la era del conocimiento, una organización que desee tanto liderar el mercado en el que participa como aprovechar las oportunidades que brinda su entorno y establecer relaciones de confianza con las partes interesadas, tiene que ser consciente de que debe encargarse de sus necesidades, objetivos y sus requisitos de seguridad de la información que representa su know how del negocio. Para ello, debe utilizar las mejores prácticas disponibles en el mercado, y la ISO 27001 satisface este aspecto.
