TECNOLOGÍA RRHH
Compártelo
La mejora continua del SGSI

La mejora continua del SGSI

No conformidad y acciones correctivas

El principal elemento del proceso de mejora son las no conformidades identificadas, las cuales tienen que contabilizarse y compararse con las acciones correctivas para asegurar que no se repitan y que las acciones correctivas sean efectivas.

Cuando se produce una no conformidad la organización debe:

  1. Reaccionar a la inconformidad y, según sea el caso:
    1. Adoptar medidas para controlar y corregir.
    2. Hacer frente a las consecuencias.
  2. Evaluar la necesidad de adoptar medidas para eliminar las causas de no conformidad, con el fin de que no vuelva a ocurrir o que no se produzcan en otros lugares, a través de:
    1. La revisión de la no conformidad.
    2. Determinar las causas de la no conformidad.
    3. Determinar si existen incumplimientos similares o si potencialmente podrían ocurrir
  3. Poner en práctica las medidas oportunas.
  4. Revisar la eficacia de las medidas correctivas tomadas.
  5. Realizar cambios en el Sistema de Gestión de Seguridad de la Información, si es necesario.

Las acciones correctivas deben ser apropiadas a los efectos de las no conformidades encontradas.

Se debe conservar información documentada como evidencia de:

  1. La naturaleza de las no conformidades y de cualquier acción tomada posteriormente.
  2. Los resultados de cualquier acción correctiva.

Elementos de mejora

Las actividades relacionadas con la mejora continua guían a la organización a mejorar continuamente la eficacia del SGSI mediante la revisión de:

  1. La política de seguridad de la información.
  2. Los objetivos de seguridad de la información.
  3. Los resultados de las auditorías.
  4. El análisis de los eventos seguidos.
  5. Las acciones correctivas y preventivas.
  6. La revisión por la Dirección.

Se puede observar que dentro de esta lista el estándar no menciona la aplicación de controles como parte de las actividades de la mejora continua y es que, una vez implantado el SGSI, la aplicación de nuevos controles sólo tiene sentido en base a consideraciones de coste/beneficio, si se detectan cambios en las actividades, contexto u objetivos de la organización y/o en base a la experiencia y la detección de situaciones que excedan los niveles de exposición y aceptación del riesgo asumible por la Dirección.

La política de la seguridad de la información

La política de seguridad debe ser revisada en intervalos planificados o si cambios significantes ocurren, con el fin de asegurar su uso continuo, adecuación y efectividad.

La revisión debe incluir oportunidades de evaluación para mejorar la política de seguridad de información de la organización y un acercamiento a la gestión de seguridad de información en respuesta a los cambios del ambiente organizacional, circunstancias del negocio, condiciones legales o cambios en el ambiente técnico. La revisión de la política de seguridad de la información debe tomar en cuenta los resultados de las revisiones de la gestión de la seguridad, pero también de las actividades generales de la propia organización relevantes para el alcance de aplicación del SGSI.

Dentro del proceso de revisión de la política, se recomienda disponer de información relevante acerca de:

  1. Retroalimentación de terceros interesados (p.ej.: clientes, proveedores, accionistas, etc.).
  2. Resultados de revisiones independientes (p.ej.: auditorías internas).
  3. Estado sobre acciones preventivas y correctivas.
  4. Resultados de revisiones de gestión anteriores.
  5. Desarrollo del proceso y estado del cumplimiento de la política de seguridad de la información.
  6. Cambios que pueden afectar el alcance de la organización para gestionar la seguridad de la información, incluyendo cambios en el ambiente de la organización, circunstancias del negocio, disponibilidad de recursos, condiciones contractuales, regulatorias y legales o cambios en el ambiente técnico.
  7. Tendencias relacionadas con amenazas y vulnerabilidades.
  8. Incidentes registrados en seguridad de la información.
  9. Recomendaciones dadas por autoridades relevantes (p.ej.: organizaciones estatales, centros de alerta temprana, organismos con responsabilidades en delitos informáticos, etc.).

Como resultado de la revisión y aprobación por parte de la gerencia, se debería incluir información acerca de posibles mejoras en el alcance de la organización para gestionar la seguridad de información y sus procesos, mejoras en los objetivos de control y los controles establecidos por la organización, así como mejoras en la asignación de recursos y/o responsabilidades.

Objetivos de la seguridad de la información

La medición de la eficacia de los controles para verificar que los requisitos de seguridad hayan sido cumplidos es uno de los aspectos que suele ser más complicado abordar en los ciclos PDCA iniciales y el motivo de desarrollo del estándar ISO/IEC 27004 como guía útil de ayuda en este aspecto.

La revisión de las evaluaciones del riesgo a intervalos planificados, revisar los riesgos residuales y los niveles de riesgos aceptables identificados, debe tomar en cuenta:

  1. Los cambios en la organización (p.ej.: incorporación significativa de nueva plantilla, o servicios).
  2. La tecnología (p.ej.: nuevas soluciones de almacenamiento de información o de acceso físico).
  3. Los objetivos y los procesos del negocio (p.ej.: nuevos servicios o productos previstos).
  4. Las amenazas identificadas.
  5. La eficacia de los controles implementados (como se indica en la cláusula 4.2.2 d de la norma).
  6. Los eventos externos (p.ej.: los cambios para el entorno legal o reglamentario, las obligaciones contractuales modificadas y los cambios en el clima social).
  7. La implantación de indicadores clave específicos y analizar los datos que nos aportan es una labor para la que hay que disponer de recursos suficientes.

Análisis de eventos

El objetivo del análisis de los eventos de seguridad que se produzcan es asegurar que los eventos y debilidades en la seguridad de la información asociados con los sistemas de información sean comunicados de una manera que permita que se realice una acción correctiva a tiempo.

Partiendo de un procedimiento de notificación de incidentes, es habitual disponer de mecanismos de escalado para su tratamiento, y en función tanto de la urgencia necesaria en su tratamiento como de unos tiempos mínimos establecidos para cada nivel, de modo que las incidencias no se queden estancadas pendientes de su tratamiento.

Se debe requerir que den parte de cualquier evento o debilidad en la seguridad de la información, lo más rápido posible, al punto de contacto designado, para que puedan ser gestionados puntualmente y de manera organizada mediante los canales apropiados establecidos.

Un procedimiento formal de notificación de eventos de seguridad de la información debe ser establecido junto a una respuesta apropiada a las incidencias y procedimientos de escalado, estableciendo las acciones que deben ser tomadas en cuenta por cada uno de los implicados en las tareas relacionadas al recibir una notificación o ticket.

Gestión de las mejoras e incidentes en la seguridad de la información

Para asegurar el objetivo de un alcance consistente y efectivo aplicado a la gestión de incidentes en la seguridad de información, se deben establecer responsabilidades y procedimientos para gestionar los eventos y debilidades en la seguridad de la información de una manera efectiva una vez que hayan sido notificados.

Se debe aplicar, así mismo, un proceso de mejora continua en relación a aquellas actividades de monitorización, evaluación y gestión general de los incidentes en la seguridad de la información, de modo que cada vez sean lo más eficientes posibles y consuman los recursos únicamente que demuestren ser imprescindibles dentro de los parámetros de funcionamiento establecidos y asumidos por la Dirección de la organización.

Donde se requiera la recogida de evidencias con carácter legal se debe asegurar la atención y el cumplimiento de los requisitos legales. Como herramienta adicional a la comunicación de eventos y debilidades en la seguridad de la información, las entidades disponen de diversos mecanismos establecidos para la monitorización de los sistemas, alertas y vulnerabilidades, y que deben ser utilizados en conjunto para detectar e investigar los incidentes en la seguridad de la información.

ENTRA EN CEUPE E INFÓRMATE SOBRE NUESTROS MÁSTERS DE TECNOLOGÍA Y SISTEMAS Y NUESTROS CURSOS DE ESPECIALIZACIÓN Y EXPERTOS SI TE INTERESA DESARROLLAR TUS CAPACIDADES EN EL CAMPO DE LOS SISTEMAS DE LA TECNOLOGÍA.

Artículo Anterior ¿Qué es el contrato de seguro de cambio?
Artículo Siguiente ¿Qué es la comunicación de brechas de seguridad?
Compártelo
 

Comentarios

No hay comentarios por el momento. Se el primero en enviar un comentario.
Invitado
Martes, 11 Mayo 2021
            

Síguenos

LinkedIn Youtube Twitter Instagram Facebook

Suscríbete a nuestro Magazine

Recibe Artículos, Conferencias
y Master Class

(*) He leído y acepto la Politica de Privacidad

Masterclass Tecnología

Tecnología

Cloud computing

Tecnología

Arquitectura de la Información

Tecnología

Compras electronicas

Recibe tu
Pase Anual de
Conferencias
#conferenciaceupe
INSCRÍBETE

Noticias más populares

Objetivos y beneficios de la externalización logística
👉Frente a la elevada competencia en el mercado y la tendencia a reducir costes y recortar gastos, los empresarios se centran en su actividad principal y subcontratan la gestión de actividades secundar...
Métodos de análisis de la inversión
El análisis de la inversión forma parte de la teoría de la inversión. La inversión como proceso de aumento del capital del inversor requiere comprender y evaluar la viabilidad de invertir en un proyec...
5 pasos para iniciar en el marketing de afiliación
El marketing de afiliación permite ganar dinero en línea, incluso si no se cuenta con un blog o un sitio web. Después de unos simples pasos se puede comenzar a trabajar e inmediatamente ganar las prim...
¿Qué es el turismo colaborativo?
Se habla de una nueva revolución económica y social basada en la tecnología que transformará el mundo: la economía colaborativa (también llamada economía del acceso). ...

EMPRESAS

10 elementos a tener en cuenta a la hora de elegir la estructura organizativa de una empresa
La estructura organizativa tiene como primer objetivo potenciar los indicadores de rendimiento de una determinada organización. A partir de esto, se p...
¿Cómo aprender a gestionar un equipo de ventas?
Un director competente sin duda pensará en cómo gestionar el departamento de ventas, asimismo motivará a sus colaboradores para que en equipo alcancen...
Proceso empresarial centrado en el cliente👩
La clave principal para la eficacia del sistema de procesos empresariales y su mejora es la comprensión por parte de los empleados de que cualquier tr...
¿Qué es la Gestión de proyectos? 📝
Un proyecto es un emprendimiento de duración limitada (referido a una actividad) que tiene como objetivo crear un producto, bien o servicio único, o p...

MARKETING

Magister en relaciones públicas, eventos y protocolo online
El Magister en relaciones públicas, eventos y protocolo está destinado a la formación profesional de especialistas altamente cualificados en relacione...
¿Cómo gestionar la estructura organizativa de marketing?👩‍💻
La gestión de marketing consiste en el análisis, la planificación, la ejecución y el seguimiento de las actividades encaminadas a establecer, reforzar...

CIENCIAS

Síguenos

LinkedIn Youtube Twitter Instagram Facebook

Masterclass Tecnología

Tecnología

Cloud computing

Tecnología

Arquitectura de la Información

Tecnología

Compras electronicas

Recibe tu
Pase Anual de
Conferencias
#conferenciaceupe
INSCRÍBETE

Conferencias más vistas

Thumbail
Thumbail
Thumbail
Thumbail
Thumbail

LOGÍSTICA

RRHH

TURISMO

PSICOLOGÍA

TECNOLOGÍA

FINANZAS