Recursos.
La organización debe determinar y proporcionar los recursos necesarios para el establecimiento, implementación, mantenimiento y mejora continua del sistema de gestión de la seguridad de la información.
Dentro del enfoque de procesos, la norma ISO/IEC 27001:2022, requiere que se cumpla con las necesidades de recursos para mantener la gestión de la Seguridad a lo largo de todo el ciclo de vida, desde su planificación hasta la revisión y mejora del sistema.
Para ello se deberán disponer de medios como:
* Inversión económica: Queda claro que la seguridad no nos va a salir gratis, es por ello que se requerirá un cierto nivel de inversión acorde con la evaluación de riesgos y los criterios para asumir o minimizar los distintos niveles de riesgo.
* Instalaciones: El lugar e instalaciones de una organización deben estar preparados para ofrecer niveles de seguridad proporcionales al riesgo al que está expuesta una organización.
* Equipos: En ciertos casos deberemos de contar con equipos específicos para proporcionar sistemas de defensa o detección de intrusiones en nuestros sistemas de información y así mejorar los niveles de seguridad.
* Personas: Dentro de una organización podremos definir responsabilidades para todos los empleados en relación a la seguridad de la información pero este no será su objetivo principal sino un medio por el cual podrán desempeñar mejor sus funciones contando con la ayuda de la seguridad de la información para conseguir sus objetivos comerciales.
En este escenario podremos contar con personas para que asuman responsabilidades para cuidar de la seguridad de la información como su cometido y función principal. En este caso estamos hablando de personas o recursos humanos ligados exclusivamente a las tareas del SGSI.