La organización debe determinar los contextos externos e internos que son relevantes para su propósito y que afectan su capacidad de lograr el resultado deseado por su Sistema de Gestión de Seguridad de la Información.
Antes de iniciar el diseño y la implementación del marco de trabajo de la gestión del riesgo, es importante evaluar y entender el contexto externo y el contexto interno de la organización, dado que ambos pueden influir significativamente en el diseño del marco de trabajo.
Contexto interno
El contexto interno es el entorno interno en que la organización se soporta para conseguir sus objetivos. El proceso de gestión del riesgo debería alinearse con la cultura, los procesos, la estructura y la estrategia de la organización.
El contexto interno lo constituye todo aquello que en el seno de la organización puede influir en la manera en la que una organización gestiona su seguridad.
Este contexto se debería establecer, ya que:
- La gestión del riesgo se realiza en el contexto de los objetivos de la organización.
- Los objetivos y los criterios de un proyecto, de un proceso o de una actividad específicos, se deberían considerar a la vista de los objetivos de la organización en su conjunto.
- Algunas organizaciones no reconocen todas las oportunidades que les permiten conseguir sus objetivos en materia de estrategia, de proyecto o de negocio, y esto afecta a la continuidad del compromiso, la credibilidad, la confianza y los valores de la organización.
Puede incluir:
- El gobierno, la estructura de la organización, las funciones y la obligación de rendir cuentas.
- Las políticas, los objetivos y las estrategias que se establecen para conseguirlo.
- Las capacidades, entendidas en términos de recursos y conocimientos (por ejemplo: capital, tiempo, personas, procesos, sistemas y tecnologías).
- Los sistemas de información, los flujos de información y los procesos de toma de decisiones (tanto formales como informales).
- Las relaciones, las percepciones y los valores de las partes interesadas internas.
- La cultura de la organización.
- Las normas, las directrices y los modelos adoptados por la organización.
- La forma y amplitud de las relaciones contractuales.
Contexto externo
El contexto externo es el entorno externo en que la organización busca conseguir sus objetivos. La comprensión del contexto externo es importante para asegurarse que los objetivos e inquietudes de las partes interesadas externas se tienen en cuenta cuando se desarrollan los criterios de riesgo.
El contexto externo se basa en el contexto a escala de la organización, pero con detalles específicos de requisitos legales y reglamentarios, con las percepciones de las partes interesadas y con otros aspectos de riesgos específicos del alcance del proceso de gestión del riesgo.
La evaluación del contexto externo de la organización puede incluir, aunque sin limitarse a ello:
- El entorno social y cultural, político, legal, reglamentario, financiero, tecnológico, económico, natural y competitivo, a nivel internacional, nacional, regional o local.
- Los factores y las tendencias que tienen impacto sobre los objetivos de la organización.
- Las relaciones con las partes interesadas, sus percepciones y sus valores.