Análisis del contexto organizacional en los SGSI
Introducción
La seguridad de la información se ha convertido en un pilar fundamental para lograr la estabilidad y
el éxito en las organizaciones del mundo. Las crecientes amenazas de ciberataques, fuga de datos
confidenciales y las interrupciones en los servicios han subrayado la necesidad imperante de
salvaguardar la integridad, confidencialidad y la disponibilidad de la información.
Esto destaca la importancia del Sistema de Gestión de Seguridad de la Información (SGSI) en el
marco de las operaciones organizacionales. El análisis del contexto organizacional desempeña un
papel fundamental en la determinación de la eficacia general de SGSI, ya que tiene una influencia
directa en los procesos de toma de decisiones estratégicas y la asignación de recursos dentro de
una organización (Daneshmandnia, 2023).
El establecimiento de un marco de gobernanza de la seguridad claramente articulado que esté
armonizado con los objetivos generales de la organización mejora significativamente la calidad de las
decisiones relacionadas con la seguridad, y va más allá de la mera implementación de medidas de
mitigación de riesgos y mecanismos de control. Realizar una evaluación exhaustiva del contexto
organizacional es imprescindible para lograr una gestión de riesgos eficaz, ya que esta evaluación
ayuda a identificar las posibles vulnerabilidades y garantiza que las políticas de seguridad estén
alineadas estratégicamente con los objetivos empresariales más amplios (Santos et al., 2022).
Contexto de la organización según la norma ISO/IEC 27001:2022
Una comprensión profunda del contexto de la organización es indispensable para la implementación
exitosa de un SGSI, tal como se describe en la norma ISO/IEC 27001:2022, que se alinea
estrechamente con las normas ISO 31000 que rigen la gestión de riesgos.
La fase inicial del desarrollo sistemático de un SGSI se basa fundamentalmente en la identificación y
determinación exhaustivas de los «desafíos» o «problemas» internos y externos a los que se
enfrenta actualmente la organización dentro de su marco operativo. Este paso crucial implica un
análisis y una evaluación de los diversos factores que pueden afectar negativamente al desempeño y
la postura de seguridad de la organización en relación con la gestión y la protección de la
información.
Esta norma fomenta un enfoque estructurado para cumplir los requisitos articulados en el capítulo
5.3, haciendo hincapié en la importancia de distinguir y reconocer los contextos internos y externos
que podrían influir en los objetivos de la organización y en su capacidad para lograr los resultados
deseados del SGSI(«El contexto de la Organización – ISO 27001 – Como cumplir el requisito», s. f.)
Contexto interno
De acuerdo con los estándares establecidos por la norma ISO/IEC 27001:2022, el término «contexto
interno» de una organización abarca una amplia gama de factores y circunstancias que tienen el
potencial de influir significativamente en la capacidad de la organización para alcanzar con éxito los
objetivos establecidos para su SGSI. Este contexto particular se describe detalladamente en la
cláusula 4.1 de la norma antes mencionada, y es fundamentalmente crucial para la implementación
efectiva y exitosa del marco del SGSI dentro de la organización (ESGinnova, 2022).
Los principales componentes que constituyen el contexto interno son la estructura organizacional,
que abarca la intrincada jerarquía y distribución de roles, responsabilidades y autoridad dentro de la
organización. Un conocimiento profundo de cómo se organiza sistemáticamente la empresa es
fundamental para identificar a las personas o grupos que tienen la responsabilidad de supervisar y
garantizar el cumplimiento de los protocolos de seguridad de la información.
Los objetivos generales y la dirección estratégica de la organización pueden tener un efecto profundo
en la manera en que se identifican, evalúan y administran los riesgos de seguridad de la información.
Es de suma importancia garantizar que el SGSI esté alineado de manera efectiva con los objetivos
estratégicos y la dirección operativa de la organización para facilitar un enfoque coherente de la
gestión de riesgos (Solutions, 2023).
Los recursos disponibles abarcan los recursos humanos, tecnológicos y financieros que la
organización tiene a su disposición para la implementación de las medidas de seguridad. La
disponibilidad, la calidad y la competencia de estos recursos influirán directamente en la capacidad
de la organización para implementar, administrar y mantener el SGSI de manera efectiva a lo largo
del tiempo.
La cultura que impregna la organización, incluidos sus valores fundamentales, creencias y normas
de comportamiento, puede tener un impacto significativo en la aceptación y la eficacia generales de
las políticas e iniciativas de seguridad de la información que se pongan en marcha. Una cultura
organizacional positiva puede aumentar la probabilidad de que los empleados cumplan con éxito las
políticas.
Por su parte, las políticas y los procedimientos operativos existentes actualmente en la organización
son fundamentales para comprender cómo se gestionan los riesgos en la actualidad y cómo se
implementan sistemáticamente las diversas medidas de seguridad para mitigarlos. Además, las
relaciones y los acuerdos con los proveedores, vendedores y socios pueden introducir riesgos de
seguridad que requieren una consideración cuidadosa en el contexto interno, especialmente en los
casos en que estas partes externas tienen acceso a información confidencial o privada que
pertenece a la organización (Escuela Europea de excelencia, 2024).
Contexto externo
El contexto externo abarca una amplia gama de factores y circunstancias que existen fuera de la
propia organización, y estos elementos pueden influir significativamente en su capacidad para
alcanzar con éxito los objetivos asociados con el SGSI. Es imperativo que las organizaciones tengan
en cuenta las leyes y reglamentos pertinentes a su sector específico, además de los diversos
estatutos de protección de datos y normas de seguridad de la información que están obligadas a
cumplir para garantizar el cumplimiento y mitigar los riesgos legales (Herrera, 2024).
Las condiciones económicas imperantes, que pueden abarcar aspectos como las tasas de inflación,
la dinámica de crecimiento del mercado y el nivel de competencia dentro de la industria, que
desempeñan un papel fundamental a la hora de determinar cómo una organización asigna sus
recursos y gestiona los riesgos de seguridad asociados que surgen de estos factores económicos.
Diversas tendencias sociales, culturales y demográficas tienen el potencial de moldear las
expectativas de las partes interesadas, influyendo así en la manera en que la organización se
relaciona con estos diversos grupos y adapta sus comunicaciones y servicios para satisfacer sus
necesidades cambiantes (ESGinnova, 2022).
El rápido ritmo de los avances tecnológicos y las innovaciones que se producen en el panorama del
mercado puede presentar simultáneamente oportunidades de crecimiento y riesgos para la
seguridad; por lo tanto, las organizaciones deben permanecer atentas e informadas sobre las
tecnologías emergentes que podrían tener implicaciones significativas para su SGSI.
Las relaciones con las partes interesadas implican la identificación y la comprensión de las diversas
necesidades y expectativas de clientes, proveedores, socios y organismos reguladores, ya que estas
relaciones son fundamentales para la implementación exitosa del SGSI, dado que pueden afectar
profundamente la reputación de la organización y el nivel de confianza que las partes interesadas
depositan en ella.
El proceso de identificar los riesgos externos que podrían socavar la seguridad de la información, así
como reconocer las oportunidades que pueden surgir de los cambios en el panorama ambiental, es
esencial para la planificación estratégica y el desarrollo continuo del SGSI, garantizando que la
organización no solo proteja su información, sino que también aproveche las condiciones favorables
para el crecimiento(Escuela Europea de excelencia, 2024).
Conclusiones y reflexiones finales
Una comprensión integral de los contextos internos y externos es esencial para administrar de
manera efectiva los riesgos de seguridad de la información, ya que incorpora las reglas, las pautas y
los modelos adoptados por la organización y define la naturaleza y el alcance de las relaciones
contractuales que son parte integral del marco operativo de la organización.
Es muy importante reconocer hasta qué punto los factores internos y externos pueden afectar la
seguridad de la información y la eficacia general de la organización, particularmente a la luz de las
diversas y dinámicas influencias de los diversos agentes que caracterizan el entorno operativo de la
organización, que pueden incluir la gobernanza, la cultura organizacional y las relaciones
contractuales, entre otros.
Referencias bibliográficas
Daneshmandnia, A. (2023). Exploring Information Security Processes Effectiveness in Educational Institutions: Impacts of Organizational Factors). 2023 IEEE Asia-Pacific Conference on Computer Science and Data Engineering (CSDE), 1-6. https://doi.org/10.1109/CSDE59766.2023.10487771
El contexto de la Organización—ISO 27001—Cómo cumplir el requisito. (s. f.). Norma ISO 27001. Recuperado 19 de agosto de 2024, de https://www.normaiso27001.es/fase-2-analisis-del-contexto-de-la-organizacion-y-determinacion-del-alcance/
Escuela Europea de excelencia. (2024). Cómo definir el contexto de la organización según ISO 27001 (actualizado a ISO 27001:2022). https://www.escuelaeuropeaexcelencia.com/2024/07/como-definir-el-contexto-de-la-organizacion-segun-iso-27001-actualizado-a-iso270012022/
ESGinnova. (2022). Contexto de la organización de la nueva ISO/IEC 27001:2022. https://www.pmg-ssi.com/2022/12/contexto-de-laorganizacion-de-la-nueva-iso-iec-270012022/
Herrera, H. (2024). Comprender el Alcance y el Contexto de la Organización: Primer Paso hacia una Implementación Exitosa de ISO 27001:2022. https://www.hectorherrera.net/2024/06/comprender-el-alcance-y-el-contexto-de.html
Santos, J., Reis, L., & Landum, M. (2022). Risk Management in an Organizational Context. ITEMA 2024. VIa Conferencia Científica Internacional sobre Avances Recientes en Tecnología de la Información, Turismo, Economía, Gestión y Agricultura, Eslovenia. https://doi.org/10.31410/ITEMA.2022.117
Solutions, G. (2023, marzo 20). ¿Qué es la norma ISO 27001 y para qué sirve? GlobalSuite Solutions.
https://www.globalsuitesolutions.com/es/que-es-la-norma-iso-27001-y-para-que-sirve/