Como poner en práctica el liderazgo del SGSI.
- Implicar a todos los empleados.
La seguridad es, en última instancia, la responsabilidad de todos los empleados dentro de una organización; sin embargo, queda demostrado por la experiencia, que un plan de seguridad de la información implantado con éxito está asociado a un liderazgo efectivo de la alta gerencia que demuestra una actitud ejemplar y comprometida.
Defender la importancia de la seguridad de la información requiere:
-
- Compromiso: “A mayor jerarquía mayor exigencia» que demuestre la incorporación de los valores éticos y de compromiso con la seguridad desde el más alto nivel
- Políticas: una política y una dirección bien diseñadas.
- Enfoque basado en el riesgo: Asegurarse de que todos sepan la importancia del enfoque basado en el proceso y el pensamiento basado en el riesgo.
El resultado debería ser una organización donde la seguridad de la información quede arraigada como parte de su cultura.
-
- Asegurando que los recursos para el SGSI estén disponibles.
- Garantizando que se comunica correctamente a todos la importancia del SGSI.
- Estableciendo objetivos sobre la seguridad de la información.
Los objetivos de la seguridad deben ser el resultado de un plan de seguridad de la información basado en las políticas de seguridad y el análisis de riesgos para la seguridad de la información
- Realizar la revisión del SGSI.
Con estos requisitos sobre las responsabilidades del liderazgo vemos que la planificación, el establecimiento de objetivos y la revisión sobre el nivel de cumplimiento son ahora temas considerablemente más importantes al ser una responsabilidad directa de la dirección o liderazgo de la organización
- Promoviendo la mejora.
El compromiso con la mejora continua deberá quedar reflejado en las políticas de seguridad de la información.
- Gestionar todos los recursos para garantizar que el sistema pueda cumplir los requisitos del SGSI.
Se trata de que la dirección debe procurar tanto los medios necesarios como la capacitación requerida para desempeñar las distintas funciones sobre la seguridad de la información.
