RRHH TECNOLOGÍA
Compártelo
La evaluación del desempeño del SGSI

La evaluación del desempeño del SGSI

Seguimiento, medición, análisis y evaluación

La organización debe evaluar el desempeño de seguridad de información y la eficacia del Sistema de Gestión de Seguridad de la Información.

La organización determinará:

  1. Qué y cómo debe monitorizarse, incluyendo los controles y procesos de seguridad de la información.
  2. Qué métodos de seguimiento, medición, análisis y evaluación utilizará para garantizar la validez de los resultados.
  3. Cuándo se llevará a cabo, el seguimiento y medición.
  4. Qué medirá el seguimiento.
  5. Cuándo se analizarán y evaluarán los resultados del seguimiento y medición.
  6. Quién analizará y evaluará los resultados.

La organización conservará información documentada apropiada como evidencia de los resultados del monitoreo y medición. Una de las primeras consideraciones a tener en cuenta, es saber medir la eficacia y la eficiencia de un control y su aplicabilidad.

La organización deberá contemplar todas las áreas de control cuando implemente el proceso de monitorización, a partir de ahí determinará que apartados o controles son más relevantes y definirá los métodos de monitorización, medición, análisis y evaluación. Esta información debe ser retenida como información documentada del SGSI.

Auditoría interna

La organización debe llevar a cabo, a intervalos planificados, auditorías internas del SGSI para determinar si los objetivos de control, los controles, los procesos y los procedimientos de su SGSI:

  1. Están conformes con los requisitos de esta norma.
  2. Están conformes con la legislación o reglamentación pertinente.
  3. Están conformes con los requisitos de seguridad de la información identificados.
  4. Son implementados y mantenidos eficazmente.
  5. Se desempeñan como se esperaba.

Uno de los errores habituales que se localizan en las auditorías de certificación es que se establece por norma una única auditoría interna para la que se revisan todas las áreas del estándar con el objetivo de cumplir estrictamente con el requisito del estándar.

De este modo, se olvida el cumplimiento de considerar los resultados de las auditorías previas, de modo que, si en una auditoría se detectan desviaciones importantes en un área concreta.

Por este motivo, la programación de las auditorías debe ir acompañada con una definición de los criterios de auditoría, el alcance de la misma, su frecuencia y metodología. Se puede seguir las indicaciones del estándar ISO/IEC 19011, guía relevante para llevar a cabo auditorías de sistemas de gestión.

Se debe asegurar la objetividad e imparcialidad del proceso de auditoría de manera que los auditores no deban auditar su propio trabajo, deben ser competentes y tener conocimientos tanto del SGSI como de los principios de auditoría.

En relación a los resultados obtenidos y presentación de los informes de auditoría interna, la dirección responsable del área que haya sido auditada debe garantizar que se toman acciones sin demora injustificada, para eliminar las no conformidades que hayan podido ser detectadas en su ámbito, así como las causas origen del incumplimiento, con el objetivo de asegurar que las acciones correctivas son las más eficaces y evitar su repetición.

En este sentido, se deben establecer actividades de seguimiento que verifiquen que las acciones tomadas y el informe de los resultados de la verificación son satisfactorios.

Revisión por la dirección

La Dirección tiene la responsabilidad de revisar a intervalos planificados (al menos una vez al año) el SGSI de la organización. El objetivo es garantizar que el SGSI y las actividades del personal siguen siendo convenientes y adecuadas para una eficacia continua.

Entre los aspectos que se deben considerar para la revisión están:

  1. La evaluación de las oportunidades de mejora.
  2. La necesidad de efectuar cambios en el SGSI, incluyendo la política de seguridad de la información y los objetivos de seguridad de la información.

Los resultados de las revisiones deben documentarse claramente y deben mantenerse los registros, que habitualmente toman la forma de actas formales de revisión. La revisión por la Dirección es comparable a la revisión de seguimiento anual del negocio, donde se revisan las cifras importantes y se confirman y reconsideran ciertas planificaciones estratégicas de la organización, junto a la detección y dotación de recursos necesarios.

Del mismo modo, para la revisión por la Dirección del SGSI es necesario disponer, al menos, de información relevante respecto a los siguientes aspectos:

  1. Los resultados de auditorías del SGSI y las revisiones.
  2. La retroalimentación de las partes interesadas.
  3. Las técnicas, los productos o los procedimientos que podrían utilizarse en la organización para mejorar el desempeño y eficacia del SGSI.
  4. El estado de las acciones correctivas y preventivas.
  5. Las vulnerabilidades o amenazas no tratadas adecuadamente en la evaluación del riesgo previa.
  6. Los resultados de las mediciones de eficacia.
  7. Las acciones previas de seguimiento de revisiones por la Dirección.
  8. Cualquier cambio que puedan afectar el SGSI.
  9. Recomendaciones para la mejora.

Si la implantación de un SGSI es una labor que suele ir desde la intención y compromiso de las partes altas del organigrama hacia las personas situadas en la base del mismo, la revisión por parte de la Dirección debe disponer de información de la actividad relevante recolectada durante las operaciones del día a día por parte de todo el personal.

Tras un periodo de funcionamiento mínimo necesario del SGSI, se dispondrá de registros de actividad suficientes que se comunicarán y resumirán en sentido ascendente para que los más relevantes lleguen a la Dirección de la organización, y esta disponga de la mejor visión para generar resultados en la revisión, que deben incluir decisiones y acciones relacionadas con:

  1. La mejora de la eficacia del SGSI.
  2. La actualización de la evaluación del riesgo y del plan del tratamiento del riesgo.
  3. La modificación de los procedimientos y controles que afectan la seguridad de la información, cuando sea necesario, para responder a los eventos internos o externos que puedan impactar sobre el SGSI, incluyendo los cambios a:
    1. Los requisitos del negocio.
    2. Los requisitos de seguridad.
    3. Los procesos del negocio que afectan los requisitos del negocio existentes.
    4. Los requisitos reglamentarios o legales.
    5. Las obligaciones contractuales.
    6. Los niveles del riesgo y/o los criterios de aceptación de los riesgos.
  4. Las necesidades de recursos.
  5. La mejora de cómo está siendo medida la eficacia de los controles.
ENTRA EN CEUPE E INFÓRMATE SOBRE NUESTROS MÁSTERS DE TECNOLOGÍA Y SISTEMAS Y NUESTROS CURSOS DE ESPECIALIZACIÓN Y EXPERTOS SI TE INTERESA DESARROLLAR TUS CAPACIDADES EN EL CAMPO DE LOS SISTEMAS DE LA TECNOLOGÍA.
Artículo Anterior ¿Cómo determinar la tasa de descuento?
Artículo Siguiente ¿Qué hace una escuela inteligente?
Compártelo
 

Comentarios

No hay comentarios por el momento. Se el primero en enviar un comentario.
Invitado
Jueves, 15 Abril 2021
            

Síguenos

LinkedIn Youtube Twitter Instagram Facebook

Suscríbete a nuestro Magazine

Recibe Artículos, Conferencias
y Master Class

(*) He leído y acepto la Politica de Privacidad

Masterclass Tecnología

Tecnología

Cloud computing

Tecnología

Arquitectura de la Información

Tecnología

Compras electronicas

Recibe tu
Pase Anual de
Conferencias
#conferenciaceupe
INSCRÍBETE

Noticias más populares

¿Qué es la Gestión de proyectos? 📝
Un proyecto es un emprendimiento de duración limitada (referido a una actividad) que tiene como objetivo crear un producto, bien o servicio único, o producir un resultado innovador. ...
Desafíos de la seguridad del IoT🔐
Es preciso que antes de introducir nuevos elementos del IoT en una red, las empresas se aseguren de que encajan en una estrategia de seguridad integral. Es importante recordar que es imposible asegura...
¿Qué es la vigilancia medioambiental?♻️
El concepto de 👉vigilancia medioambiental👈 es polifacético e involucra varios niveles. De forma general, se trata de observaciones sistemáticamente repetidas a lo largo del tiempo de diversos elemento...
¿Qué es el aprendizaje colaborativo?📚
El ▷aprendizaje colaborativo◁ es un método de enseñanza con muchas variantes. Sin embargo, independientemente del enfoque específico, hay varias características a las que corresponde un aprendizaje co...

EMPRESAS

Proceso empresarial centrado en el cliente👩
La clave principal para la eficacia del sistema de procesos empresariales y su mejora es la comprensión por parte de los empleados de que cualquier tr...
¿Qué es la Gestión de proyectos? 📝
Un proyecto es un emprendimiento de duración limitada (referido a una actividad) que tiene como objetivo crear un producto, bien o servicio único, o p...
¿Qué tan importante es la innovación empresarial?💼
La 👉innovación supone una novedad en una organización: conocimientos nuevos, ideas nuevas. Y, sobre todo, son nuevos productos y servicios o nuevos pr...
Análisis de la función directiva💼
El 👉análisis de las funciones de gestión se basa en el análisis de su eficacia, con lo que se puede diseñar la estructura de gestión más eficaz. ...

MARKETING

¿Cómo gestionar la estructura organizativa de marketing?
La gestión de marketing consiste en el análisis, la planificación, la ejecución y el seguimiento de las actividades encaminadas a establecer, reforzar...
Objetivos de planificación en marketing🛒
Uno de los ᐉprincipales objetivos del marketing es el establecimiento de la máxima coherencia y proporcionalidad posibles en las actividades de la emp...

CIENCIAS

Síguenos

LinkedIn Youtube Twitter Instagram Facebook

Masterclass Tecnología

Tecnología

Cloud computing

Tecnología

Arquitectura de la Información

Tecnología

Compras electronicas

Recibe tu
Pase Anual de
Conferencias
#conferenciaceupe
INSCRÍBETE

Conferencias más vistas

Thumbail
Thumbail
Thumbail
Thumbail
Thumbail

LOGÍSTICA

RRHH

TURISMO

PSICOLOGÍA

TECNOLOGÍA

FINANZAS