Compártelo
La evaluación del desempeño del SGSI
RRHH TECNOLOGÍA

La evaluación del desempeño del SGSI

Seguimiento, medición, análisis y evaluación

La organización debe evaluar el desempeño de seguridad de información y la eficacia del Sistema de Gestión de Seguridad de la Información.

La organización determinará:

  1. Qué y cómo debe monitorizarse, incluyendo los controles y procesos de seguridad de la información.
  2. Qué métodos de seguimiento, medición, análisis y evaluación utilizará para garantizar la validez de los resultados.
  3. Cuándo se llevará a cabo, el seguimiento y medición.
  4. Qué medirá el seguimiento.
  5. Cuándo se analizarán y evaluarán los resultados del seguimiento y medición.
  6. Quién analizará y evaluará los resultados.

La organización conservará información documentada apropiada como evidencia de los resultados del monitoreo y medición. Una de las primeras consideraciones a tener en cuenta, es saber medir la eficacia y la eficiencia de un control y su aplicabilidad.

La organización deberá contemplar todas las áreas de control cuando implemente el proceso de monitorización, a partir de ahí determinará que apartados o controles son más relevantes y definirá los métodos de monitorización, medición, análisis y evaluación. Esta información debe ser retenida como información documentada del SGSI.

Auditoría interna

La organización debe llevar a cabo, a intervalos planificados, auditorías internas del SGSI para determinar si los objetivos de control, los controles, los procesos y los procedimientos de su SGSI:

  1. Están conformes con los requisitos de esta norma.
  2. Están conformes con la legislación o reglamentación pertinente.
  3. Están conformes con los requisitos de seguridad de la información identificados.
  4. Son implementados y mantenidos eficazmente.
  5. Se desempeñan como se esperaba.

Uno de los errores habituales que se localizan en las auditorías de certificación es que se establece por norma una única auditoría interna para la que se revisan todas las áreas del estándar con el objetivo de cumplir estrictamente con el requisito del estándar.

De este modo, se olvida el cumplimiento de considerar los resultados de las auditorías previas, de modo que, si en una auditoría se detectan desviaciones importantes en un área concreta.

Por este motivo, la programación de las auditorías debe ir acompañada con una definición de los criterios de auditoría, el alcance de la misma, su frecuencia y metodología. Se puede seguir las indicaciones del estándar ISO/IEC 19011, guía relevante para llevar a cabo auditorías de sistemas de gestión.

Se debe asegurar la objetividad e imparcialidad del proceso de auditoría de manera que los auditores no deban auditar su propio trabajo, deben ser competentes y tener conocimientos tanto del SGSI como de los principios de auditoría.

En relación a los resultados obtenidos y presentación de los informes de auditoría interna, la dirección responsable del área que haya sido auditada debe garantizar que se toman acciones sin demora injustificada, para eliminar las no conformidades que hayan podido ser detectadas en su ámbito, así como las causas origen del incumplimiento, con el objetivo de asegurar que las acciones correctivas son las más eficaces y evitar su repetición.

En este sentido, se deben establecer actividades de seguimiento que verifiquen que las acciones tomadas y el informe de los resultados de la verificación son satisfactorios.

Revisión por la dirección

La Dirección tiene la responsabilidad de revisar a intervalos planificados (al menos una vez al año) el SGSI de la organización. El objetivo es garantizar que el SGSI y las actividades del personal siguen siendo convenientes y adecuadas para una eficacia continua.

Entre los aspectos que se deben considerar para la revisión están:

  1. La evaluación de las oportunidades de mejora.
  2. La necesidad de efectuar cambios en el SGSI, incluyendo la política de seguridad de la información y los objetivos de seguridad de la información.

Los resultados de las revisiones deben documentarse claramente y deben mantenerse los registros, que habitualmente toman la forma de actas formales de revisión. La revisión por la Dirección es comparable a la revisión de seguimiento anual del negocio, donde se revisan las cifras importantes y se confirman y reconsideran ciertas planificaciones estratégicas de la organización, junto a la detección y dotación de recursos necesarios.

Del mismo modo, para la revisión por la Dirección del SGSI es necesario disponer, al menos, de información relevante respecto a los siguientes aspectos:

  1. Los resultados de auditorías del SGSI y las revisiones.
  2. La retroalimentación de las partes interesadas.
  3. Las técnicas, los productos o los procedimientos que podrían utilizarse en la organización para mejorar el desempeño y eficacia del SGSI.
  4. El estado de las acciones correctivas y preventivas.
  5. Las vulnerabilidades o amenazas no tratadas adecuadamente en la evaluación del riesgo previa.
  6. Los resultados de las mediciones de eficacia.
  7. Las acciones previas de seguimiento de revisiones por la Dirección.
  8. Cualquier cambio que puedan afectar el SGSI.
  9. Recomendaciones para la mejora.

Si la implantación de un SGSI es una labor que suele ir desde la intención y compromiso de las partes altas del organigrama hacia las personas situadas en la base del mismo, la revisión por parte de la Dirección debe disponer de información de la actividad relevante recolectada durante las operaciones del día a día por parte de todo el personal.

Tras un periodo de funcionamiento mínimo necesario del SGSI, se dispondrá de registros de actividad suficientes que se comunicarán y resumirán en sentido ascendente para que los más relevantes lleguen a la Dirección de la organización, y esta disponga de la mejor visión para generar resultados en la revisión, que deben incluir decisiones y acciones relacionadas con:

  1. La mejora de la eficacia del SGSI.
  2. La actualización de la evaluación del riesgo y del plan del tratamiento del riesgo.
  3. La modificación de los procedimientos y controles que afectan la seguridad de la información, cuando sea necesario, para responder a los eventos internos o externos que puedan impactar sobre el SGSI, incluyendo los cambios a:
    1. Los requisitos del negocio.
    2. Los requisitos de seguridad.
    3. Los procesos del negocio que afectan los requisitos del negocio existentes.
    4. Los requisitos reglamentarios o legales.
    5. Las obligaciones contractuales.
    6. Los niveles del riesgo y/o los criterios de aceptación de los riesgos.
  4. Las necesidades de recursos.
  5. La mejora de cómo está siendo medida la eficacia de los controles.
ENTRA EN CEUPE E INFÓRMATE SOBRE NUESTROS MÁSTERS DE TECNOLOGÍA Y SISTEMAS Y NUESTROS CURSOS DE ESPECIALIZACIÓN Y EXPERTOS SI TE INTERESA DESARROLLAR TUS CAPACIDADES EN EL CAMPO DE LOS SISTEMAS DE LA TECNOLOGÍA.
Máster en
Ciberseguridad

RRHH TECNOLOGÍA

Modalidad
Modalidad
ONLINE
Duración
Duración
12 meses
Evaluación
Evaluación
Continua con casos prácticos
Financiación
Financiación
Pago en cuotas sin intereses
La Universidad de Alcalá aprueba 15 Títulos Propio...
CEUPE formó parte de la Feria Expo Postgrados 2018...
Compártelo
 

Comentarios

No hay comentarios por el momento. Se el primero en enviar un comentario.
Invitado
Jueves, 10 Octubre 2024

Suscríbete a nuestro Magazine

Recibe Artículos, Conferencias
y Master Class

(*) He leído y acepto la Politica de Privacidad

Síguenos

LinkedIn Youtube Twitter Instagram Facebook

Masterclass Tecnología

Tecnología

Librerías

Tecnología

Introducción a las APIs

Tecnología

Intérprete de Python

Noticias más populares

CEUPE Destaca en el Ranking Innovatec como una de las Escuelas de Negocios Más Innovadoras El Centro Europeo de Postgrado (CEUPE), escuela de negocios internacional y referente en formación online, ha...
Cada año, el Ranking Top100 Líderes Innovadores destaca a cien personalidades que han demostrado un compromiso decidido con la innovación en su trayectoria profesional, personal y empresarial. Fundado...
En el mundo actual, la educación en línea ha experimentado un crecimiento significativo, y esto ha llevado a un aumento en la demanda de programas educativos en línea, especialmente en el ámbito de lo...
👉Frente a la elevada competencia en el mercado y la tendencia a reducir costes y recortar gastos, los empresarios se centran en su actividad principal y subcontratan la gestión de actividades secundar...

EMPRESAS

Si estás pensando en estudiar criminología, lo más probable es que te preguntes: "¿Y después, dónde puedo trabajar?". Es normal que tengas esa duda, p...
CEUPE - European Business School ha sido reconocido en el TOP 20 de los mejores centros formativos para estudiar un MBA online en España en 2024, segú...
El MBA sigue estando ahí, como una de las credenciales más valoradas en el mundo empresarial, pero seguro que te has preguntado más de una vez si real...
El cumplimiento normativo es básicamente un conjunto de reglas que cualquier negocio debe seguir, y no, no es solo para las grandes multinacionales. C...

MARKETING

En el competitivo mundo empresarial, comprender los límites del mercado es esencial para poder diseñar estrategias efectivas y maximizar las oportunid...
Ser un líder político en el siglo XXI es mucho más complicado de lo que era hace unas décadas. Ya no es tener carisma o prometer cambios, ahora los de...

Síguenos

LinkedIn Youtube Twitter Instagram Facebook

Masterclass Tecnología

Tecnología

Librerías

Tecnología

Introducción a las APIs

Tecnología

Intérprete de Python