El contexto del SGSI.
La organización debe determinar las cuestiones externas e internas que son pertinentes para su propósito y que afectan a su capacidad para lograr los resultados previstos de su sistema de gestión de la seguridad de la información.
Explicado de otra forma, el contexto organizacional consiste en considerar las expectativas y necesidades de todas las partes interesadas.
NOTA: La determinación de estas cuestiones se refiere al establecimiento del contexto externo e interno de la organización considerando el apartado 5.3 de la Norma ISO 31000.
Se trata de identificar en qué medida los aspectos internos y externos podrían afectar al propósito de la organización y a su capacidad para lograr los resultados esperados del SGSI. En otras palabras, los problemas que puedan afectar a la Seguridad de la Información por la influencia de los agentes externos e internos en los que está inmersa la actividad de la organización.
Se trata de identificar la influencia en la Seguridad de la Información determinada por:
- Como se gestiona y gobierna su organización
- El conocimiento y las capacidades de la organización
- La cultura de la organización
- Las relaciones contractuales
- Como influyen las condiciones ambientales
- Las tendencias del mercado y de las condiciones regulatorias
- Los avances tecnológicos
- Las relaciones con proveedores externos
Determinar todas estas influencias equivale a realizar un proceso de Análisis y evaluación de riesgos. Para ello aconsejamos realizar los siguientes pasos:
Comunicación y consulta: Conocer el punto de vista y las perspectivas de todas las partes interesadas tanto externas como internas puede ser una herramienta que nos ayude a identificar causas, riesgos potenciales y aspectos desconocidos sobre la efectividad de las medidas para la seguridad de la información.
Por otro lado, la realización de un plan de comunicación en fase temprana nos ayudara a:
- Obtener un respaldo seguro y el apoyo necesario para los planes de tratamiento de riesgos
- Identificar riesgos aportados por distintas áreas de experiencia
- Integrar y comprender los intereses de todas las partes
- Mejorar la comunicación con las partes internas y externas
• Contexto Externo: Es el entorno externo en el que la organización busca alcanzar sus objetivos.
• Contexto Interno: Es el entorno interno, en el que la organización busca alcanzar sus objetivos.