TECNOLOGÍA RRHH
Compártelo
La mejora continua del SGSI

La mejora continua del SGSI

No conformidad y acciones correctivas

El principal elemento del proceso de mejora son las no conformidades identificadas, las cuales tienen que contabilizarse y compararse con las acciones correctivas para asegurar que no se repitan y que las acciones correctivas sean efectivas.

Cuando se produce una no conformidad la organización debe:

  1. Reaccionar a la inconformidad y, según sea el caso:
    1. Adoptar medidas para controlar y corregir.
    2. Hacer frente a las consecuencias.
  2. Evaluar la necesidad de adoptar medidas para eliminar las causas de no conformidad, con el fin de que no vuelva a ocurrir o que no se produzcan en otros lugares, a través de:
    1. La revisión de la no conformidad.
    2. Determinar las causas de la no conformidad.
    3. Determinar si existen incumplimientos similares o si potencialmente podrían ocurrir
  3. Poner en práctica las medidas oportunas.
  4. Revisar la eficacia de las medidas correctivas tomadas.
  5. Realizar cambios en el Sistema de Gestión de Seguridad de la Información, si es necesario.

Las acciones correctivas deben ser apropiadas a los efectos de las no conformidades encontradas.

Se debe conservar información documentada como evidencia de:

  1. La naturaleza de las no conformidades y de cualquier acción tomada posteriormente.
  2. Los resultados de cualquier acción correctiva.

Elementos de mejora

Las actividades relacionadas con la mejora continua guían a la organización a mejorar continuamente la eficacia del SGSI mediante la revisión de:

  1. La política de seguridad de la información.
  2. Los objetivos de seguridad de la información.
  3. Los resultados de las auditorías.
  4. El análisis de los eventos seguidos.
  5. Las acciones correctivas y preventivas.
  6. La revisión por la Dirección.

Se puede observar que dentro de esta lista el estándar no menciona la aplicación de controles como parte de las actividades de la mejora continua y es que, una vez implantado el SGSI, la aplicación de nuevos controles sólo tiene sentido en base a consideraciones de coste/beneficio, si se detectan cambios en las actividades, contexto u objetivos de la organización y/o en base a la experiencia y la detección de situaciones que excedan los niveles de exposición y aceptación del riesgo asumible por la Dirección.

La política de la seguridad de la información

La política de seguridad debe ser revisada en intervalos planificados o si cambios significantes ocurren, con el fin de asegurar su uso continuo, adecuación y efectividad.

La revisión debe incluir oportunidades de evaluación para mejorar la política de seguridad de información de la organización y un acercamiento a la gestión de seguridad de información en respuesta a los cambios del ambiente organizacional, circunstancias del negocio, condiciones legales o cambios en el ambiente técnico. La revisión de la política de seguridad de la información debe tomar en cuenta los resultados de las revisiones de la gestión de la seguridad, pero también de las actividades generales de la propia organización relevantes para el alcance de aplicación del SGSI.

Dentro del proceso de revisión de la política, se recomienda disponer de información relevante acerca de:

  1. Retroalimentación de terceros interesados (p.ej.: clientes, proveedores, accionistas, etc.).
  2. Resultados de revisiones independientes (p.ej.: auditorías internas).
  3. Estado sobre acciones preventivas y correctivas.
  4. Resultados de revisiones de gestión anteriores.
  5. Desarrollo del proceso y estado del cumplimiento de la política de seguridad de la información.
  6. Cambios que pueden afectar el alcance de la organización para gestionar la seguridad de la información, incluyendo cambios en el ambiente de la organización, circunstancias del negocio, disponibilidad de recursos, condiciones contractuales, regulatorias y legales o cambios en el ambiente técnico.
  7. Tendencias relacionadas con amenazas y vulnerabilidades.
  8. Incidentes registrados en seguridad de la información.
  9. Recomendaciones dadas por autoridades relevantes (p.ej.: organizaciones estatales, centros de alerta temprana, organismos con responsabilidades en delitos informáticos, etc.).

Como resultado de la revisión y aprobación por parte de la gerencia, se debería incluir información acerca de posibles mejoras en el alcance de la organización para gestionar la seguridad de información y sus procesos, mejoras en los objetivos de control y los controles establecidos por la organización, así como mejoras en la asignación de recursos y/o responsabilidades.

Objetivos de la seguridad de la información

La medición de la eficacia de los controles para verificar que los requisitos de seguridad hayan sido cumplidos es uno de los aspectos que suele ser más complicado abordar en los ciclos PDCA iniciales y el motivo de desarrollo del estándar ISO/IEC 27004 como guía útil de ayuda en este aspecto.

La revisión de las evaluaciones del riesgo a intervalos planificados, revisar los riesgos residuales y los niveles de riesgos aceptables identificados, debe tomar en cuenta:

  1. Los cambios en la organización (p.ej.: incorporación significativa de nueva plantilla, o servicios).
  2. La tecnología (p.ej.: nuevas soluciones de almacenamiento de información o de acceso físico).
  3. Los objetivos y los procesos del negocio (p.ej.: nuevos servicios o productos previstos).
  4. Las amenazas identificadas.
  5. La eficacia de los controles implementados (como se indica en la cláusula 4.2.2 d de la norma).
  6. Los eventos externos (p.ej.: los cambios para el entorno legal o reglamentario, las obligaciones contractuales modificadas y los cambios en el clima social).
  7. La implantación de indicadores clave específicos y analizar los datos que nos aportan es una labor para la que hay que disponer de recursos suficientes.

Análisis de eventos

El objetivo del análisis de los eventos de seguridad que se produzcan es asegurar que los eventos y debilidades en la seguridad de la información asociados con los sistemas de información sean comunicados de una manera que permita que se realice una acción correctiva a tiempo.

Partiendo de un procedimiento de notificación de incidentes, es habitual disponer de mecanismos de escalado para su tratamiento, y en función tanto de la urgencia necesaria en su tratamiento como de unos tiempos mínimos establecidos para cada nivel, de modo que las incidencias no se queden estancadas pendientes de su tratamiento.

Se debe requerir que den parte de cualquier evento o debilidad en la seguridad de la información, lo más rápido posible, al punto de contacto designado, para que puedan ser gestionados puntualmente y de manera organizada mediante los canales apropiados establecidos.

Un procedimiento formal de notificación de eventos de seguridad de la información debe ser establecido junto a una respuesta apropiada a las incidencias y procedimientos de escalado, estableciendo las acciones que deben ser tomadas en cuenta por cada uno de los implicados en las tareas relacionadas al recibir una notificación o ticket.

Gestión de las mejoras e incidentes en la seguridad de la información

Para asegurar el objetivo de un alcance consistente y efectivo aplicado a la gestión de incidentes en la seguridad de información, se deben establecer responsabilidades y procedimientos para gestionar los eventos y debilidades en la seguridad de la información de una manera efectiva una vez que hayan sido notificados.

Se debe aplicar, así mismo, un proceso de mejora continua en relación a aquellas actividades de monitorización, evaluación y gestión general de los incidentes en la seguridad de la información, de modo que cada vez sean lo más eficientes posibles y consuman los recursos únicamente que demuestren ser imprescindibles dentro de los parámetros de funcionamiento establecidos y asumidos por la Dirección de la organización.

Donde se requiera la recogida de evidencias con carácter legal se debe asegurar la atención y el cumplimiento de los requisitos legales. Como herramienta adicional a la comunicación de eventos y debilidades en la seguridad de la información, las entidades disponen de diversos mecanismos establecidos para la monitorización de los sistemas, alertas y vulnerabilidades, y que deben ser utilizados en conjunto para detectar e investigar los incidentes en la seguridad de la información.

ENTRA EN CEUPE E INFÓRMATE SOBRE NUESTROS MÁSTERS DE TECNOLOGÍA Y SISTEMAS Y NUESTROS CURSOS DE ESPECIALIZACIÓN Y EXPERTOS SI TE INTERESA DESARROLLAR TUS CAPACIDADES EN EL CAMPO DE LOS SISTEMAS DE LA TECNOLOGÍA.

Artículo Anterior ¿Qué es el contrato de seguro de cambio?
Artículo Siguiente ¿Qué es la comunicación de brechas de seguridad?
Compártelo
 

Comentarios

No hay comentarios por el momento. Se el primero en enviar un comentario.
Invitado
Martes, 02 Marzo 2021
            

Síguenos

LinkedIn Youtube Twitter Instagram Facebook

Suscríbete a nuestro Magazine

Recibe Artículos, Conferencias
y Master Class

(*) He leído y acepto la Politica de Privacidad

Masterclass Tecnología

Tecnología

Cloud computing

Tecnología

Arquitectura de la Información

Tecnología

Compras electronicas

Recibe tu
Pase Anual de
Conferencias
#conferenciaceupe
INSCRÍBETE

Noticias más populares

4 Recomendaciones efectivas para eliminar el cansancio crónico
La fatiga crónica dura seis meses o más, es decir, durante este periodo se produce una fuerte disminución del rendimiento, del estado emocional e incluso se puede llegar a la depresión. Hay una sensac...
Todo lo que se debe saber de tecnologías de las telecomunicaciones
Las ▷tecnologías de las telecomunicaciones◁, capaces de disipar las fronteras y las distancias entre las personas, hacen accesible la comunicación móvil y por vídeo, así como la resolución de muchas t...
Procesos empresariales en la logística
La organización no sólo necesita mejorar los productos, sino también mejorar y optimizar los procesos empresariales logísticos, aquí le explicamos cómo hacerlo. ...
¿Qué es el Rebranding?
 El rebranding o cambio de marca es un conjunto de actividades de marketing destinadas a cambiar por completo la marca o sus componentes (nombre, logotipo, identidad corporativa), cambiando toda ...

EMPRESAS

¿Qué funciones tiene el conflicto?
Existe una doble naturaleza de las ➤funciones del conflicto. En la vida de las partes enfrentadas, el mismo conflicto puede desempeñar un papel tanto ...
6 habilidades de un liderazgo eficaz
Prácticamente todo tipo de habilidades blandas positivas pueden considerarse habilidades de liderazgo. Por ejemplo, la escucha activa ayuda a los líde...
¿Cómo organizar reunión de negocios?
Los actos públicos, como son los reunión empresariales, tienen una gran importancia para el éxito de los negocios. Son conferencias, presentaciones, s...
Clasificación de decisiones de gestión
En todas las áreas de la empresa se toman decisiones, las cuales se mueven a través de un sistema piramidal que va desde las simples decisiones tomada...

MARKETING

Clasificación del comercio mayorista y minorista
El comercio mayorista y minorista son actividades empresariales de vente en distintas proporciones. En este post te explicamos en qué consiste cada un...
Etapas de la creación de una marca
El desarrollo de una nueva marca es un trabajo complejo que se lleva a cabo por etapas, o diferentes etapas son implementadas por diferentes empresas....

CIENCIAS

Síguenos

LinkedIn Youtube Twitter Instagram Facebook

Masterclass Tecnología

Tecnología

Cloud computing

Tecnología

Arquitectura de la Información

Tecnología

Compras electronicas

Recibe tu
Pase Anual de
Conferencias
#conferenciaceupe
INSCRÍBETE

Conferencias más vistas

Thumbail
Thumbail
Thumbail
Thumbail
Thumbail

LOGÍSTICA

RRHH

TURISMO

PSICOLOGÍA

TECNOLOGÍA

FINANZAS