Solicitar presupuesto
Home Recursos Blog Febrero 2021

ISO 27001 - No conformidades en la cláusula 7

24 febrero 2021
En este blog examinaremos las no conformidades que suelen encontrarse en la cláusula 7 "soporte". Los hallazgos son consistentes siempre que surgen y suelen tener las mismas causas de origen, los ilustraremos dando ejemplos.

Cláusula 7.2 Competencia

Esta cláusula puede resumirse de la siguiente manera: averigüe qué competencias necesita su organización para el desempeño de la seguridad de la información, asegúrese de que su personal tiene dichas competencias y guarde pruebas de su competencia.
Es importante señalar que esto no significa que se necesiten expertos en seguridad de la información: el apartado a. dice "determinar la competencia necesaria de la(s) persona(s) que realice(n) trabajos bajo su [SGSI] control que afecten a su desempeño en materia de seguridad de la información".

Esto significa que las personas que están dentro del ámbito de certificación deben ser competentes en sus puestos de trabajo respecto a la seguridad de la información. Por ejemplo, las personas del departamento de informática deben conocer las implicaciones de sus actividades en la seguridad de la información, mientras que un agente de un centro de llamadas debe estar debidamente formado para validar la identidad de los clientes.

También significa que la cláusula 7.3 "Concienciación" está estrechamente relacionada, porque todos las personas incluidas en el ámbito de aplicación tienen un papel en la seguridad de la información, a través del conocimiento de las políticas y procedimientos de seguridad de la información.

Para cumplir la norma, la organización debe decidir cuáles son las competencias requeridas, algunas de las cuales son simplemente que el personal conozca y siga las políticas de seguridad. Aunque la norma no exige que se documenten las competencias requeridas, es recomendable hacerlo.

Un hallazgo común es que la organización no ha determinado las competencias necesarias. Esto suele deberse a que no se ha hecho y/o se ha confundido con el listado de las competencias existentes del personal.

Una vez más, hay que determinar las competencias que se necesitan, si se tienen, según el apartado b.
El apartado d. establece que debe haber pruebas documentadas de la competencia y esto suele ser fuente de no conformidades recurrentes.

Los registros de formación incompletos o inadecuados, los currículos no actualizados, la falta de certificados de cualificación profesional o la no realización de la formación inicial son ejemplos típicos. Nuestros auditores encuentran estas no conformidades al buscar fuentes documentadas y al entrevistar al personal.

Es importante señalar que la experiencia es tan importante como las cualificaciones y la formación, aunque es más difícil de documentar: los currículos, las evaluaciones anuales del rendimiento y otros registros relacionados con el trabajo, como las tutorías, pueden servir como pruebas objetivas.

Cláusula 7.3 Concienciación

Casi todas las organizaciones que auditamos definen algún tipo de programa de concienciación o comunicaciones periódicas para garantizar que el personal es consciente de la política de seguridad de la información, su papel en el SGSI y las implicaciones del incumplimiento. A menudo esto se basa en los elementos de seguridad de los programas de iniciación de los nuevos empleados.

Casi todas las no conformidades surgen durante las entrevistas con el personal. Hacemos esas tres preguntas al personal del cliente: su conocimiento de la política de seguridad, su papel en el SGSI y la importancia de la misma, y a veces el personal simplemente no lo sabe. A veces no saben dónde encontrar la política y a veces simplemente no la recuerdan.

Este tipo de hallzago no es casualidad, sino que sugiere que las actividades de concienciación no son efectivas, lo que en sí mismo presenta un riesgo de seguridad para la organización.

Cláusula 7.5 Información documentada

Como auditores nos encontramos con que las organizaciones suelen tener dificultades para seguir sus propias políticas de creación y actualización de información documentada. En parte, esto se debe a los volúmenes de datos que se procesan y al ritmo de negocio.  El apartado 7.5.2 establece los requisitos obligatorios para la creación y actualización de la información documentada y, a continuación, el apartado 7.5.3 habla de los controles de seguridad de la misma.

Las no conformidades típicas incluyen etiquetas de clasificación incorrectas o inexistentes, incoherencias en los nombres, versiones o fechas, referencias desfasadas a documentos obsoletos, falta de documentos y documentos incompletos. En algunos casos, los registros de activos y de riesgos están desfasados, o se han actualizado pero no se han actualizado los números de fecha y de versión.

La falta de una política de conservación de la información o el incumplimiento del PIR (por ejemplo, hemos encontrado documentos antiguos en deshuso en servidores de archivos o correos electrónicos que se remontan a muchos años atrás) también son causas de no conformidad.

En mi próximo blog analizaremos la Cláusula 9 - Evaluación del desempeño. No nos dentendremos en la cláusula 8 porque ésta requiere que la organizacione hayan implementado las actividades de la cláusula 6.