RRHH TECNOLOGÍA
Compártelo
La evaluación del desempeño del SGSI

La evaluación del desempeño del SGSI

Seguimiento, medición, análisis y evaluación

La organización debe evaluar el desempeño de seguridad de información y la eficacia del Sistema de Gestión de Seguridad de la Información.

La organización determinará:

  1. Qué y cómo debe monitorizarse, incluyendo los controles y procesos de seguridad de la información.
  2. Qué métodos de seguimiento, medición, análisis y evaluación utilizará para garantizar la validez de los resultados.
  3. Cuándo se llevará a cabo, el seguimiento y medición.
  4. Qué medirá el seguimiento.
  5. Cuándo se analizarán y evaluarán los resultados del seguimiento y medición.
  6. Quién analizará y evaluará los resultados.

La organización conservará información documentada apropiada como evidencia de los resultados del monitoreo y medición. Una de las primeras consideraciones a tener en cuenta, es saber medir la eficacia y la eficiencia de un control y su aplicabilidad.

La organización deberá contemplar todas las áreas de control cuando implemente el proceso de monitorización, a partir de ahí determinará que apartados o controles son más relevantes y definirá los métodos de monitorización, medición, análisis y evaluación. Esta información debe ser retenida como información documentada del SGSI.

Auditoría interna

La organización debe llevar a cabo, a intervalos planificados, auditorías internas del SGSI para determinar si los objetivos de control, los controles, los procesos y los procedimientos de su SGSI:

  1. Están conformes con los requisitos de esta norma.
  2. Están conformes con la legislación o reglamentación pertinente.
  3. Están conformes con los requisitos de seguridad de la información identificados.
  4. Son implementados y mantenidos eficazmente.
  5. Se desempeñan como se esperaba.

Uno de los errores habituales que se localizan en las auditorías de certificación es que se establece por norma una única auditoría interna para la que se revisan todas las áreas del estándar con el objetivo de cumplir estrictamente con el requisito del estándar.

De este modo, se olvida el cumplimiento de considerar los resultados de las auditorías previas, de modo que, si en una auditoría se detectan desviaciones importantes en un área concreta.

Por este motivo, la programación de las auditorías debe ir acompañada con una definición de los criterios de auditoría, el alcance de la misma, su frecuencia y metodología. Se puede seguir las indicaciones del estándar ISO/IEC 19011, guía relevante para llevar a cabo auditorías de sistemas de gestión.

Se debe asegurar la objetividad e imparcialidad del proceso de auditoría de manera que los auditores no deban auditar su propio trabajo, deben ser competentes y tener conocimientos tanto del SGSI como de los principios de auditoría.

En relación a los resultados obtenidos y presentación de los informes de auditoría interna, la dirección responsable del área que haya sido auditada debe garantizar que se toman acciones sin demora injustificada, para eliminar las no conformidades que hayan podido ser detectadas en su ámbito, así como las causas origen del incumplimiento, con el objetivo de asegurar que las acciones correctivas son las más eficaces y evitar su repetición.

En este sentido, se deben establecer actividades de seguimiento que verifiquen que las acciones tomadas y el informe de los resultados de la verificación son satisfactorios.

Revisión por la dirección

La Dirección tiene la responsabilidad de revisar a intervalos planificados (al menos una vez al año) el SGSI de la organización. El objetivo es garantizar que el SGSI y las actividades del personal siguen siendo convenientes y adecuadas para una eficacia continua.

Entre los aspectos que se deben considerar para la revisión están:

  1. La evaluación de las oportunidades de mejora.
  2. La necesidad de efectuar cambios en el SGSI, incluyendo la política de seguridad de la información y los objetivos de seguridad de la información.

Los resultados de las revisiones deben documentarse claramente y deben mantenerse los registros, que habitualmente toman la forma de actas formales de revisión. La revisión por la Dirección es comparable a la revisión de seguimiento anual del negocio, donde se revisan las cifras importantes y se confirman y reconsideran ciertas planificaciones estratégicas de la organización, junto a la detección y dotación de recursos necesarios.

Del mismo modo, para la revisión por la Dirección del SGSI es necesario disponer, al menos, de información relevante respecto a los siguientes aspectos:

  1. Los resultados de auditorías del SGSI y las revisiones.
  2. La retroalimentación de las partes interesadas.
  3. Las técnicas, los productos o los procedimientos que podrían utilizarse en la organización para mejorar el desempeño y eficacia del SGSI.
  4. El estado de las acciones correctivas y preventivas.
  5. Las vulnerabilidades o amenazas no tratadas adecuadamente en la evaluación del riesgo previa.
  6. Los resultados de las mediciones de eficacia.
  7. Las acciones previas de seguimiento de revisiones por la Dirección.
  8. Cualquier cambio que puedan afectar el SGSI.
  9. Recomendaciones para la mejora.

Si la implantación de un SGSI es una labor que suele ir desde la intención y compromiso de las partes altas del organigrama hacia las personas situadas en la base del mismo, la revisión por parte de la Dirección debe disponer de información de la actividad relevante recolectada durante las operaciones del día a día por parte de todo el personal.

Tras un periodo de funcionamiento mínimo necesario del SGSI, se dispondrá de registros de actividad suficientes que se comunicarán y resumirán en sentido ascendente para que los más relevantes lleguen a la Dirección de la organización, y esta disponga de la mejor visión para generar resultados en la revisión, que deben incluir decisiones y acciones relacionadas con:

  1. La mejora de la eficacia del SGSI.
  2. La actualización de la evaluación del riesgo y del plan del tratamiento del riesgo.
  3. La modificación de los procedimientos y controles que afectan la seguridad de la información, cuando sea necesario, para responder a los eventos internos o externos que puedan impactar sobre el SGSI, incluyendo los cambios a:
    1. Los requisitos del negocio.
    2. Los requisitos de seguridad.
    3. Los procesos del negocio que afectan los requisitos del negocio existentes.
    4. Los requisitos reglamentarios o legales.
    5. Las obligaciones contractuales.
    6. Los niveles del riesgo y/o los criterios de aceptación de los riesgos.
  4. Las necesidades de recursos.
  5. La mejora de cómo está siendo medida la eficacia de los controles.
ENTRA EN CEUPE E INFÓRMATE SOBRE NUESTROS MÁSTERS DE TECNOLOGÍA Y SISTEMAS Y NUESTROS CURSOS DE ESPECIALIZACIÓN Y EXPERTOS SI TE INTERESA DESARROLLAR TUS CAPACIDADES EN EL CAMPO DE LOS SISTEMAS DE LA TECNOLOGÍA.
Artículo Anterior ¿Cómo determinar la tasa de descuento?
Artículo Siguiente ¿Qué hace una escuela inteligente?
Compártelo
 

Comentarios

No hay comentarios por el momento. Se el primero en enviar un comentario.
Invitado
Viernes, 30 Julio 2021
            

Síguenos

LinkedIn Youtube Twitter Instagram Facebook

Suscríbete a nuestro Magazine

Recibe Artículos, Conferencias
y Master Class

(*) He leído y acepto la Politica de Privacidad

Masterclass Tecnología

Tecnología

¿Qué es IOT

Tecnología

Seguridad en IOT

Tecnología

Caso Práctico - Protocolo MQTT

Recibe tu
Pase Anual de
Conferencias
#conferenciaceupe
INSCRÍBETE

Noticias más populares

CEUPE Ecuador y el CIEEPI firman convenio de colaboración académica
CEUPE – Ecuador firma el pasado 26 de mayo de 2021 en Quito, Ecuador, el convenio de cooperación académica interinstitucional con el CIEEPI - Colegio de Ingenieros Eléctricos y Electrónicos de Pichinc...
Objetivos y beneficios de la externalización logística
👉Frente a la elevada competencia en el mercado y la tendencia a reducir costes y recortar gastos, los empresarios se centran en su actividad principal y subcontratan la gestión de actividades secundar...
Métodos de análisis de la inversión
El análisis de la inversión forma parte de la teoría de la inversión. La inversión como proceso de aumento del capital del inversor requiere comprender y evaluar la viabilidad de invertir en un proyec...
5 pasos para iniciar en el marketing de afiliación
El marketing de afiliación permite ganar dinero en línea, incluso si no se cuenta con un blog o un sitio web. Después de unos simples pasos se puede comenzar a trabajar e inmediatamente ganar las prim...

EMPRESAS

9 Directrices para construir la estructura organizativa de la empresa✅
El desarrollo de una estructura organizativa eficaz de la empresa es un proceso lógico y al mismo tiempo creativo. Eso es, su creación requiere un enf...
¿Qué es una estrategia de desarrollo empresarial?🤔
La estrategia de desarrollo empresarial es más que un modelo de negocio de éxito que te permite operar de forma estable y sobrevivir en tu nicho. Una ...
Etapas de la negociación 🤝
La negociación es principalmente es un proceso de intercambio de opiniones de entre dos o más personas, que se lleva a cobo con el fin de lograr un re...

MARKETING

Principales funciones del marketing📈
Las funciones del marketing son definidas por los especialistas como el proceso científico de estudio del mercado y de las herramientas que pueden inf...
Proceso para la fijación de precios💲
En un sistema de mercado libre, es muy importante determinar correctamente el coste de los bienes o servicios, que en la mayoría de los casos no está ...

CIENCIAS

Síguenos

LinkedIn Youtube Twitter Instagram Facebook

Masterclass Tecnología

Tecnología

¿Qué es IOT

Tecnología

Seguridad en IOT

Tecnología

Caso Práctico - Protocolo MQTT

Recibe tu
Pase Anual de
Conferencias
#conferenciaceupe
INSCRÍBETE

Conferencias más vistas

Thumbail
Thumbail
Thumbail
Thumbail
Thumbail

LOGÍSTICA

RRHH

TURISMO

PSICOLOGÍA

TECNOLOGÍA

FINANZAS