Análisis DAFO ISO 27001. Contexto y partes interesadas

De acuerdo a las últimas versiones de las normas ISO de sistemas de gestión ISO y conforme a la estructura de alto nivel Anexo SL las organizaciones deben conocerse, comprender su contexto (tanto interno como externo) pertinente para su propósito y su dirección estratégica, y que afecta a su capacidad para lograr los resultados previstos de su sistema de gestión (artículo 4.1 de la ISO 9001:2015 e ISO 27001:2013).

Asimismo, deben comprender las necesidades y expectativas de sus partes interesadas (clientes, personas, propiedad, proveedores y entorno social) (artículo 4.2 de la ISO 9001:2015 e ISO 27001:2013).

Una de la forma de abordar estos requisitos puede ser realizar un análisis DAFO, es decir, un análisis de la situación real en que se encuentra una organización, analizando sus características internas (debilidades y fortalezas) y su situación externa (amenazas y oportunidades) en una matriz cuadrada, siendo:

  • Las debilidades sus áreas de mejora internas que, una vez identificadas y desarrollando una adecuada estrategia, pueden y deben eliminarse.
  • Las fortalezas sus puntos fuertes que le permiten generar una ventaja competitiva.
  • Las amenazas, las situaciones negativas en su entorno externo.
  • Las oportunidades, los factores positivos que se generan en el entorno y que, una vez identificados, pueden ser aprovechados.

A partir de los datos introducidos en los cuatro aspectos del análisis DAFO, se pueden establecer las estrategias más convenientes para la organización, siendo éstas cuatro:

  • Estrategia ofensiva o de crecimiento. Se obtiene relacionando las fortalezas y las oportunidades.
  • Estrategia defensiva o reactiva. Se obtiene relacionando fortalezas y amenazas.
  • Estrategia adaptativa o de reorientación. Se obtiene relacionando debilidades y oportunidades.
  • Estrategia de supervivencia: Se obtiene relacionando debilidades y amenazas.

Es un error común confundir estrategias con acciones: Las estrategias no son concretas y pueden incluir una o más acciones.

Haga click, si desea información de los sistemas de gestión de la ciberseguridad-seguridad de la información ISO 27001.