RRHH TECNOLOGÍA
Compártelo
La evaluación del desempeño del SGSI

La evaluación del desempeño del SGSI

Seguimiento, medición, análisis y evaluación

La organización debe evaluar el desempeño de seguridad de información y la eficacia del Sistema de Gestión de Seguridad de la Información.

La organización determinará:

  1. Qué y cómo debe monitorizarse, incluyendo los controles y procesos de seguridad de la información.
  2. Qué métodos de seguimiento, medición, análisis y evaluación utilizará para garantizar la validez de los resultados.
  3. Cuándo se llevará a cabo, el seguimiento y medición.
  4. Qué medirá el seguimiento.
  5. Cuándo se analizarán y evaluarán los resultados del seguimiento y medición.
  6. Quién analizará y evaluará los resultados.

La organización conservará información documentada apropiada como evidencia de los resultados del monitoreo y medición. Una de las primeras consideraciones a tener en cuenta, es saber medir la eficacia y la eficiencia de un control y su aplicabilidad.

La organización deberá contemplar todas las áreas de control cuando implemente el proceso de monitorización, a partir de ahí determinará que apartados o controles son más relevantes y definirá los métodos de monitorización, medición, análisis y evaluación. Esta información debe ser retenida como información documentada del SGSI.

Auditoría interna

La organización debe llevar a cabo, a intervalos planificados, auditorías internas del SGSI para determinar si los objetivos de control, los controles, los procesos y los procedimientos de su SGSI:

  1. Están conformes con los requisitos de esta norma.
  2. Están conformes con la legislación o reglamentación pertinente.
  3. Están conformes con los requisitos de seguridad de la información identificados.
  4. Son implementados y mantenidos eficazmente.
  5. Se desempeñan como se esperaba.

Uno de los errores habituales que se localizan en las auditorías de certificación es que se establece por norma una única auditoría interna para la que se revisan todas las áreas del estándar con el objetivo de cumplir estrictamente con el requisito del estándar.

De este modo, se olvida el cumplimiento de considerar los resultados de las auditorías previas, de modo que, si en una auditoría se detectan desviaciones importantes en un área concreta.

Por este motivo, la programación de las auditorías debe ir acompañada con una definición de los criterios de auditoría, el alcance de la misma, su frecuencia y metodología. Se puede seguir las indicaciones del estándar ISO/IEC 19011, guía relevante para llevar a cabo auditorías de sistemas de gestión.

Se debe asegurar la objetividad e imparcialidad del proceso de auditoría de manera que los auditores no deban auditar su propio trabajo, deben ser competentes y tener conocimientos tanto del SGSI como de los principios de auditoría.

En relación a los resultados obtenidos y presentación de los informes de auditoría interna, la dirección responsable del área que haya sido auditada debe garantizar que se toman acciones sin demora injustificada, para eliminar las no conformidades que hayan podido ser detectadas en su ámbito, así como las causas origen del incumplimiento, con el objetivo de asegurar que las acciones correctivas son las más eficaces y evitar su repetición.

En este sentido, se deben establecer actividades de seguimiento que verifiquen que las acciones tomadas y el informe de los resultados de la verificación son satisfactorios.

Revisión por la dirección

La Dirección tiene la responsabilidad de revisar a intervalos planificados (al menos una vez al año) el SGSI de la organización. El objetivo es garantizar que el SGSI y las actividades del personal siguen siendo convenientes y adecuadas para una eficacia continua.

Entre los aspectos que se deben considerar para la revisión están:

  1. La evaluación de las oportunidades de mejora.
  2. La necesidad de efectuar cambios en el SGSI, incluyendo la política de seguridad de la información y los objetivos de seguridad de la información.

Los resultados de las revisiones deben documentarse claramente y deben mantenerse los registros, que habitualmente toman la forma de actas formales de revisión. La revisión por la Dirección es comparable a la revisión de seguimiento anual del negocio, donde se revisan las cifras importantes y se confirman y reconsideran ciertas planificaciones estratégicas de la organización, junto a la detección y dotación de recursos necesarios.

Del mismo modo, para la revisión por la Dirección del SGSI es necesario disponer, al menos, de información relevante respecto a los siguientes aspectos:

  1. Los resultados de auditorías del SGSI y las revisiones.
  2. La retroalimentación de las partes interesadas.
  3. Las técnicas, los productos o los procedimientos que podrían utilizarse en la organización para mejorar el desempeño y eficacia del SGSI.
  4. El estado de las acciones correctivas y preventivas.
  5. Las vulnerabilidades o amenazas no tratadas adecuadamente en la evaluación del riesgo previa.
  6. Los resultados de las mediciones de eficacia.
  7. Las acciones previas de seguimiento de revisiones por la Dirección.
  8. Cualquier cambio que puedan afectar el SGSI.
  9. Recomendaciones para la mejora.

Si la implantación de un SGSI es una labor que suele ir desde la intención y compromiso de las partes altas del organigrama hacia las personas situadas en la base del mismo, la revisión por parte de la Dirección debe disponer de información de la actividad relevante recolectada durante las operaciones del día a día por parte de todo el personal.

Tras un periodo de funcionamiento mínimo necesario del SGSI, se dispondrá de registros de actividad suficientes que se comunicarán y resumirán en sentido ascendente para que los más relevantes lleguen a la Dirección de la organización, y esta disponga de la mejor visión para generar resultados en la revisión, que deben incluir decisiones y acciones relacionadas con:

  1. La mejora de la eficacia del SGSI.
  2. La actualización de la evaluación del riesgo y del plan del tratamiento del riesgo.
  3. La modificación de los procedimientos y controles que afectan la seguridad de la información, cuando sea necesario, para responder a los eventos internos o externos que puedan impactar sobre el SGSI, incluyendo los cambios a:
    1. Los requisitos del negocio.
    2. Los requisitos de seguridad.
    3. Los procesos del negocio que afectan los requisitos del negocio existentes.
    4. Los requisitos reglamentarios o legales.
    5. Las obligaciones contractuales.
    6. Los niveles del riesgo y/o los criterios de aceptación de los riesgos.
  4. Las necesidades de recursos.
  5. La mejora de cómo está siendo medida la eficacia de los controles.
ENTRA EN CEUPE E INFÓRMATE SOBRE NUESTROS MÁSTERS DE TECNOLOGÍA Y SISTEMAS Y NUESTROS CURSOS DE ESPECIALIZACIÓN Y EXPERTOS SI TE INTERESA DESARROLLAR TUS CAPACIDADES EN EL CAMPO DE LOS SISTEMAS DE LA TECNOLOGÍA.
Artículo Anterior ¿Cómo determinar la tasa de descuento?
Artículo Siguiente ¿Qué hace una escuela inteligente?
Compártelo
 

Comentarios

No hay comentarios por el momento. Se el primero en enviar un comentario.
Invitado
Jueves, 28 Octubre 2021
            

Síguenos

LinkedIn Youtube Twitter Instagram Facebook

Suscríbete a nuestro Magazine

Recibe Artículos, Conferencias
y Master Class

(*) He leído y acepto la Politica de Privacidad

Masterclass Tecnología

Tecnología

Caso Práctico - Protocolo MQTT

Tecnología

Brokers MQTT

Tecnología

Session Hijacking

Recibe tu
Pase Anual de
Conferencias
#conferenciaceupe
INSCRÍBETE

Noticias más populares

CEUPE Ecuador y el CIEEPI firman convenio de colaboración académica
CEUPE – Ecuador firma el pasado 26 de mayo de 2021 en Quito, Ecuador, el convenio de cooperación académica interinstitucional con el CIEEPI - Colegio de Ingenieros Eléctricos y Electrónicos de Pichinc...
Objetivos y beneficios de la externalización logística
👉Frente a la elevada competencia en el mercado y la tendencia a reducir costes y recortar gastos, los empresarios se centran en su actividad principal y subcontratan la gestión de actividades secundar...
Métodos de análisis de la inversión
El análisis de la inversión forma parte de la teoría de la inversión. La inversión como proceso de aumento del capital del inversor requiere comprender y evaluar la viabilidad de invertir en un proyec...
5 pasos para iniciar en el marketing de afiliación
El marketing de afiliación permite ganar dinero en línea, incluso si no se cuenta con un blog o un sitio web. Después de unos simples pasos se puede comenzar a trabajar e inmediatamente ganar las prim...

EMPRESAS

¿Cómo cambiar la estructura organizativa de una empresa?
Con frecuencia, la decisión de cambiar la estructura organizativa de una empresa es tomada por sus directivos. La primera etapa antes de iniciar la ad...
¿Cómo configurar la ventaja competitiva en la estrategia empresarial?
Con frecuencia, la ventaja competitiva se interpreta como algún tipo de superioridad de la empresa sobre sus competidores. Pero la ventaja competitiva...
¿Qué habilidades debe tener un analista de negocio?
A fin de aportar valor a las empresas con éxito, un analista de negocios debe poseer habilidades duras y blandas por igual. Habilidades blandas en el ...
¿Qué es un proyecto actual y un proyecto de desarrollo?
La gestión de proyectos se ha vuelto últimamente muy recurrente y tiene una explicación. Aunque la actividad actual de la empresa se basa en un proces...

MARKETING

Los mejores métodos de gestión de ventas
El proceso de selección de los mejores métodos para la gestión de las ventas se realiza de acuerdo con las características concretas de cada empresa. ...
Clasificación y modos de recopilar bases de datos de retargeting
Es importante tener en cuenta que el retargeting no consiste únicamente en mostrar anuncios a aquellos que han estado en tu sitio web, aunque la confi...

CIENCIAS

Síguenos

LinkedIn Youtube Twitter Instagram Facebook

Masterclass Tecnología

Tecnología

Caso Práctico - Protocolo MQTT

Tecnología

Brokers MQTT

Tecnología

Session Hijacking

Recibe tu
Pase Anual de
Conferencias
#conferenciaceupe
INSCRÍBETE

Conferencias más vistas

Thumbail
Thumbail
Thumbail
Thumbail
Thumbail

LOGÍSTICA

RRHH

TURISMO

PSICOLOGÍA

TECNOLOGÍA

FINANZAS