5.1 Liderazgo y Compromiso.
Requisito.
La alta dirección demuestra liderazgo y compromiso con respecto al SGSI.
Explicación.
El liderazgo y el compromiso son esenciales para un SGSI eficaz.
- La Alta Dirección se define como una persona o grupo de personas que dirige y controla la organización del SGSI al nivel más alto, es decir, la alta dirección tiene la responsabilidad total por el SGSI; la organización que implementa y opera el SGSI puede ser una unidad de negocios dentro de una organización más grande, en este caso, la alta dirección es la persona o grupo de personas que dirige y controla esa unidad de negocio.
- La Alta Dirección puede delegar autoridad en la organización y proporcionar recursos para ejecutar realmente las actividades relacionadas con seguridad de la información y el SGSI pero aún conserva la responsabilidad general.
- La Alta Dirección también participa en la revisión del SGSI (responsabilidad declarada en la cláusula 9 de la ISO IEC 27001:2022) y promueve la mejora continua responsabilidad declarada en la cláusula 10 de la ISO IEC 27001:2022.
Guía.
La Alta Dirección debe demostrar liderazgo y mostrar compromiso al:
- Asegurando que se establece la política y los objetivos de seguridad de la información y que estos sean compatibles con la dirección estratégica de la organización.
- Asegurando la integración de los requisitos del sistema de gestión de la seguridad de la información en los procesos de la organización.
Por ejemplo, una organización que ha designado propietarios de procesos puede delegar la responsabilidad de implementar los requisitos aplicables a estas personas o grupo de personas, sin embargo, la responsabilidad final recae sobre la alta dirección.
El apoyo de la dirección también puede ser necesario para superar la resistencia organizacional a los cambios en procesos y controles implementados.
- Asegurar la disponibilidad de recursos para un SGSI eficaz son necesarios para el establecimiento, mantenimiento y mejora, así como para la implementación de los controles.
Los recursos necesarios para el SGSI incluyen:
- Recursos financieros.
- Personal.
- Instalaciones.
- Infraestructura técnica.
Los recursos necesarios dependen del contexto de la organización, como el tamaño, la complejidad y requisitos internos y externos. La revisión por la dirección debe proporcionar información que indica si los recursos son adecuados para la organización.
- Comunicar la necesidad de gestión de la seguridad de la información en la organización y la necesidad de cumplir los requisitos del SGSI, esto se puede hacer dando ejemplos prácticos que ilustran cuál es la necesidad real en el contexto de la organización y comunicar los requisitos de seguridad de la información.
- Asegurar que el SGSI logre el(los) resultados previstos apoyando la implementación de todos los procesos de gestión de la seguridad de la información, y en particular solicitando y revisando informes sobre el estado y la eficacia del SGSI, Tales informes pueden derivarse de mediciones, revisiones de la dirección e informes de auditoría (cláusula 9), La alta dirección también puede establecer objetivos de desempeño para el personal clave involucrado con el SGSI.
- Dirigir y Apoyar a las personas de la organización que están involucradas directamente con la seguridad de la información y el SGSI, la retroalimentación de la alta dirección puede incluir cómo se alinean las actividades planificadas con las necesidades estratégicas para la organización y también para priorizar diferentes actividades en el SGSI.
- Hacer una valoración de las necesidades de recursos durante las revisiones por la dirección y establecer los objetivos para la mejora continua y para hacer seguimiento a la eficacia de las actividades planificadas.
- Apoyar a las personas a las cuales se les han asignado roles y responsabilidades relacionadas con la gestión de la seguridad de la información, de manera que estén motivadas y estén en capacidad de dirigir y apoyar actividades de seguridad de la información dentro de su área.
En los casos en que la organización que implementa y opera un SGSI es parte de una organización más grande el liderazgo y el compromiso pueden mejorarse mediante el compromiso con la persona o grupo de personas que controla y dirige la organización más grande. Si entienden lo que implica implementar un SGSI, pueden proporcionar apoyo a la alta dirección dentro del alcance del SGSI y ayudarles a proporcionar liderazgo y demostrar compromiso con el SGSI.
Por ejemplo, si partes interesadas fuera del alcance del SGSI participan en la toma de decisiones relativas a los objetivos, riesgos y criterios de seguridad de la información, y se mantienen al tanto de los resultados producidos por el SGSI, sus decisiones con respecto a la asignación de recursos se pueden alinear con los requisitos del SGSI.