Contexto organizacional para sistemas de gestión ISO 27001

Clase 6 de 22 • Curso de Certificación ISO 27001 para Empresas

Resumen

Comprender adecuadamente el contexto organizacional es una piedra angular para establecer un sistema de gestión de seguridad de la información eficaz según la norma ISO 27001. Este contexto implica conocer profundamente el entorno interno de la empresa y el ambiente externo que la rodea para identificar posibles factores negativos y alinear la seguridad con los objetivos del negocio.

¿Qué es el contexto según ISO 27001?

El contexto, desde la perspectiva de la norma ISO 27001, se refiere a la capacidad de la empresa para ubicar precisamente tanto factores internos como externos que puedan influir en la seguridad. Esto incluye:

Factores internos: cultura organizacional, recursos disponibles (personal, tecnología, inversiones), procesos con que opera la empresa.
Factores externos: regulaciones legales específicas según el tipo de actividad, competencia empresarial y evolución tecnológica (por ejemplo, migración a servicios en la nube).

Un contexto perfectamente delimitado facilita identificar riesgos de seguridad de manera efectiva.

¿Cómo crear un contexto organizacional práctico y efectivo?

Para configurar un contexto práctico y ajustado, ISO 27001 recomienda considerar estas áreas específicas:

Cultura organizacional e interna

La cultura empresarial marca la pauta, pues una buena comunicación interna facilita la implementación y progreso continuo del sistema de gestión. Además, se deben evaluar claramente recursos cruciales como grupos de trabajo, inversión tecnológica y de seguridad, así como los procesos operativos clave que definen cómo funciona la organización.

Condiciones externas relevantes

No todas las empresas enfrentan iguales exigencias en cuanto a seguridad. Por ejemplo, una entidad financiera tendrá requerimientos mucho más estrictos que una empresa en la industria alimentaria. Razón por la cual se deben tener en cuenta regulaciones legales aplicables y expectativas del mercado (como obtener certificaciones específicas).

Otra área relevante es la evolución tecnológica constante, especialmente al incorporar nuevas tecnologías o servicios como la infraestructura en la nube, ya que esto requiere adaptar y elevar el nivel de seguridad.

¿Quiénes son las partes interesadas del sistema de gestión?

Identificar claramente quiénes son las partes interesadas o stakeholders es crucial dentro del contexto de la ISO 27001. Esto implica responder efectivamente preguntas clave como:

¿Quién tiene interés en nuestro sistema de gestión de seguridad?
¿Qué necesita específicamente cada parte interesada?
¿Cuáles son sus expectativas respecto al sistema de gestión?

Por ejemplo, la alta dirección necesitará gestión efectiva de riesgos y prevención de incidentes de seguridad.

¿Qué considerar al definir el alcance del sistema de gestión?

El alcance del sistema de gestión define específicamente los procesos que entran bajo la vigilancia y control del sistema de gestión de la seguridad de la información.

Al definir el alcance, se aconseja:

No abarcar todos los procesos inicialmente, iniciando por los más críticos.
Incluir explícitamente personas, tecnologías y datos vinculados a esos procesos.
Documentar claramente cada proceso para cumplir con los estándares exigidos.

Aplicación práctica en Nutri Global

Tomando la empresa Nutri Global como referencia, se ilustran estos conceptos para facilitar su comprensión y aplicación práctica. En su caso, los procesos seleccionados son: - Gestión de proveedores y materias primas. - Investigación y desarrollo. - Comercio electrónico y experiencia digital.

Estos procesos destacan por su alto grado de criticidad y su potencial impacto en la imagen corporativa. Nutri Global también elaboró una matriz DOFA identificando claramente áreas clave como dependencias de proveedores internacionales y oportunidades en inteligencia artificial.

La adecuada delimitación del contexto según la ISO 27001 permite estructurar un sistema de gestión sólido y enfocado en los riesgos reales, garantizando así la seguridad efectiva y alineada a los objetivos estratégicos de la empresa. No olvides que un contexto claro y completo es fundamental para la eficacia y éxito a largo plazo de tu sistema de gestión de seguridad de la información.

Bastian Maurico Landskron Silva

student•

justo a tiempo Gracias Platzi

Emil Enmanuel Pieter Mora

student•

El diseño de un documento Word para un SGSI debe incluir secciones claras y estructuradas. Comienza con una introducción que explique el propósito del SGSI y su alineación con la norma ISO/IEC 27001. A continuación, detalla el contexto organizacional, incluyendo misión, visión, matriz DOFA y partes interesadas. Luego, define el alcance del sistema de gestión y los procesos críticos involucrados. Incluye políticas de seguridad de la información, procedimientos de gestión de riesgos y un plan de auditoría interna.

Asegúrate de que el documento esté bien organizado y que cada sección esté claramente etiquetada para facilitar la navegación.

Emil Enmanuel Pieter Mora

student•

Para realizar un Sistema de Gestión de Seguridad de la Información (SGSI) según la norma ISO/IEC 27001, sigue estos pasos clave:

Construir el contexto: Define el entorno interno y externo, incluyendo misión, visión, cultura organizacional y regulaciones legales.
Identificar stakeholders: Determina quiénes son las partes interesadas y sus expectativas respecto al SGSI.
Definir el alcance: Selecciona los procesos críticos a incluir en el SGSI basándote en su criticidad.
Análisis de riesgos: Evalúa y gestiona los riesgos para la seguridad de la información.
Implementar controles: Establece medidas para mitigar riesgos y cumplir con los requisitos normativos.
Auditorías internas: Realiza revisiones periódicas para asegurar la eficacia del SGSI.
Preparación para la certificación: Asegúrate de que todos los aspectos del SGSI estén alineados con la norma antes de la auditoría externa.

Esto te permitirá avanzar en la implementación exitosa del SGSI.

Alexis Arnal

student•

Alguno pudo duplicar la plantilla de Notion? No consigo como hacerlo

Emil Enmanuel Pieter Mora

student•

El Sistema de Gestión de Seguridad de la Información (SGSI) sirve para gestionar de manera efectiva la seguridad de la información en una organización. Permite identificar y evaluar riesgos, definir controles adecuados, y asegurar el cumplimiento de normativas como la ISO/IEC 27001. Un SGSI ayuda a proteger la información crítica, mejorar la confianza de los stakeholders y prepara a la organización para auditorías y certificaciones, alineando la seguridad con los objetivos del negocio.

Emil Enmanuel Pieter Mora

student•

La matriz DOFA (o FODA) es una herramienta de análisis que permite identificar las Debilidades, Oportunidades, Fortalezas y Amenazas de una organización. Se utiliza para evaluar el contexto interno y externo de la empresa, facilitando la toma de decisiones estratégicas. Al analizar estos elementos, las empresas pueden alinear su Sistema de Gestión de Seguridad de la Información (SGSI) con los objetivos del negocio, tal como se mencionó en el contexto del curso sobre ISO 27001.

Jhonny Pineda

student•

Actualmente en la org en la que me encuentro, creo que nunca he escuchado hablar de la implementación que se tuvo de la ISO 27001, de hecho, creería que no esta, y lo unico que hacen es implementar herramientas de seguridad que les puede ayudar a prevenier varias cosas y mitigar obsolescencia, pero no creo que lleven una estructura basada en la resolución que LA iso 27001 nos brinda, tener este enfoque en las org puede ser una base fundamental para prevenir cualquier riesgo informatico.

Diego Londoño Martínez

student•

Los procesos son un medio para conocer una empresa, es donde surge el término, alcance del sistema de gestión (Se debe incluir en el contexto).

Diego Ademir Duarte Santana

Team Platzi•

exactly

Jorge Luis Salguero Ramirez

student•

Súper GRACIAS por el RECURSO!!

Sebastián Camus

student•

Por favor permitan que la plantilla se pueda clonar

Guido Enzo Boccaletti

student•

La norma ISO 27001 básicamente ayuda a las empresas a proteger su información. Si hacemos un correcto funcionamiento primero se debe entender el contexto organizacional, es decir, cómo es la empresa por dentro y qué factores externos la afectan. Esto incluye analizar su misión, recursos, procesos, leyes que debe cumplir y la tecnología que usa. Luego, se define qué parte de la empresa estará incluida en el sistema de seguridad. El ejemplo de "Nutriglobal" muestra cómo hacerlo paso a paso. Tener un buen análisis del contexto es clave para que el sistema funcione bien y esté alineado con los objetivos del negocio.

ANDRÉS FELIPE GARCÍA BARAHONA

student•

Buen curso, requeríamos esta actualización.