Compártelo
La mejora continua del SGSI
RRHH TECNOLOGÍA

La mejora continua del SGSI

No conformidad y acciones correctivas

El principal elemento del proceso de mejora son las no conformidades identificadas, las cuales tienen que contabilizarse y compararse con las acciones correctivas para asegurar que no se repitan y que las acciones correctivas sean efectivas.

Cuando se produce una no conformidad la organización debe:

  1. Reaccionar a la inconformidad y, según sea el caso:
    1. Adoptar medidas para controlar y corregir.
    2. Hacer frente a las consecuencias.
  2. Evaluar la necesidad de adoptar medidas para eliminar las causas de no conformidad, con el fin de que no vuelva a ocurrir o que no se produzcan en otros lugares, a través de:
    1. La revisión de la no conformidad.
    2. Determinar las causas de la no conformidad.
    3. Determinar si existen incumplimientos similares o si potencialmente podrían ocurrir
  3. Poner en práctica las medidas oportunas.
  4. Revisar la eficacia de las medidas correctivas tomadas.
  5. Realizar cambios en el Sistema de Gestión de Seguridad de la Información, si es necesario.

Las acciones correctivas deben ser apropiadas a los efectos de las no conformidades encontradas.

Se debe conservar información documentada como evidencia de:

  1. La naturaleza de las no conformidades y de cualquier acción tomada posteriormente.
  2. Los resultados de cualquier acción correctiva.

Elementos de mejora

Las actividades relacionadas con la mejora continua guían a la organización a mejorar continuamente la eficacia del SGSI mediante la revisión de:

  1. La política de seguridad de la información.
  2. Los objetivos de seguridad de la información.
  3. Los resultados de las auditorías.
  4. El análisis de los eventos seguidos.
  5. Las acciones correctivas y preventivas.
  6. La revisión por la Dirección.

Se puede observar que dentro de esta lista el estándar no menciona la aplicación de controles como parte de las actividades de la mejora continua y es que, una vez implantado el SGSI, la aplicación de nuevos controles sólo tiene sentido en base a consideraciones de coste/beneficio, si se detectan cambios en las actividades, contexto u objetivos de la organización y/o en base a la experiencia y la detección de situaciones que excedan los niveles de exposición y aceptación del riesgo asumible por la Dirección.

La política de la seguridad de la información

La política de seguridad debe ser revisada en intervalos planificados o si cambios significantes ocurren, con el fin de asegurar su uso continuo, adecuación y efectividad.

La revisión debe incluir oportunidades de evaluación para mejorar la política de seguridad de información de la organización y un acercamiento a la gestión de seguridad de información en respuesta a los cambios del ambiente organizacional, circunstancias del negocio, condiciones legales o cambios en el ambiente técnico. La revisión de la política de seguridad de la información debe tomar en cuenta los resultados de las revisiones de la gestión de la seguridad, pero también de las actividades generales de la propia organización relevantes para el alcance de aplicación del SGSI.

Dentro del proceso de revisión de la política, se recomienda disponer de información relevante acerca de:

  1. Retroalimentación de terceros interesados (p.ej.: clientes, proveedores, accionistas, etc.).
  2. Resultados de revisiones independientes (p.ej.: auditorías internas).
  3. Estado sobre acciones preventivas y correctivas.
  4. Resultados de revisiones de gestión anteriores.
  5. Desarrollo del proceso y estado del cumplimiento de la política de seguridad de la información.
  6. Cambios que pueden afectar el alcance de la organización para gestionar la seguridad de la información, incluyendo cambios en el ambiente de la organización, circunstancias del negocio, disponibilidad de recursos, condiciones contractuales, regulatorias y legales o cambios en el ambiente técnico.
  7. Tendencias relacionadas con amenazas y vulnerabilidades.
  8. Incidentes registrados en seguridad de la información.
  9. Recomendaciones dadas por autoridades relevantes (p.ej.: organizaciones estatales, centros de alerta temprana, organismos con responsabilidades en delitos informáticos, etc.).

Como resultado de la revisión y aprobación por parte de la gerencia, se debería incluir información acerca de posibles mejoras en el alcance de la organización para gestionar la seguridad de información y sus procesos, mejoras en los objetivos de control y los controles establecidos por la organización, así como mejoras en la asignación de recursos y/o responsabilidades.

Objetivos de la seguridad de la información

La medición de la eficacia de los controles para verificar que los requisitos de seguridad hayan sido cumplidos es uno de los aspectos que suele ser más complicado abordar en los ciclos PDCA iniciales y el motivo de desarrollo del estándar ISO/IEC 27004 como guía útil de ayuda en este aspecto.

La revisión de las evaluaciones del riesgo a intervalos planificados, revisar los riesgos residuales y los niveles de riesgos aceptables identificados, debe tomar en cuenta:

  1. Los cambios en la organización (p.ej.: incorporación significativa de nueva plantilla, o servicios).
  2. La tecnología (p.ej.: nuevas soluciones de almacenamiento de información o de acceso físico).
  3. Los objetivos y los procesos del negocio (p.ej.: nuevos servicios o productos previstos).
  4. Las amenazas identificadas.
  5. La eficacia de los controles implementados (como se indica en la cláusula 4.2.2 d de la norma).
  6. Los eventos externos (p.ej.: los cambios para el entorno legal o reglamentario, las obligaciones contractuales modificadas y los cambios en el clima social).
  7. La implantación de indicadores clave específicos y analizar los datos que nos aportan es una labor para la que hay que disponer de recursos suficientes.

Análisis de eventos

El objetivo del análisis de los eventos de seguridad que se produzcan es asegurar que los eventos y debilidades en la seguridad de la información asociados con los sistemas de información sean comunicados de una manera que permita que se realice una acción correctiva a tiempo.

Partiendo de un procedimiento de notificación de incidentes, es habitual disponer de mecanismos de escalado para su tratamiento, y en función tanto de la urgencia necesaria en su tratamiento como de unos tiempos mínimos establecidos para cada nivel, de modo que las incidencias no se queden estancadas pendientes de su tratamiento.

Se debe requerir que den parte de cualquier evento o debilidad en la seguridad de la información, lo más rápido posible, al punto de contacto designado, para que puedan ser gestionados puntualmente y de manera organizada mediante los canales apropiados establecidos.

Un procedimiento formal de notificación de eventos de seguridad de la información debe ser establecido junto a una respuesta apropiada a las incidencias y procedimientos de escalado, estableciendo las acciones que deben ser tomadas en cuenta por cada uno de los implicados en las tareas relacionadas al recibir una notificación o ticket.

Gestión de las mejoras e incidentes en la seguridad de la información

Para asegurar el objetivo de un alcance consistente y efectivo aplicado a la gestión de incidentes en la seguridad de información, se deben establecer responsabilidades y procedimientos para gestionar los eventos y debilidades en la seguridad de la información de una manera efectiva una vez que hayan sido notificados.

Se debe aplicar, así mismo, un proceso de mejora continua en relación a aquellas actividades de monitorización, evaluación y gestión general de los incidentes en la seguridad de la información, de modo que cada vez sean lo más eficientes posibles y consuman los recursos únicamente que demuestren ser imprescindibles dentro de los parámetros de funcionamiento establecidos y asumidos por la Dirección de la organización.

Donde se requiera la recogida de evidencias con carácter legal se debe asegurar la atención y el cumplimiento de los requisitos legales. Como herramienta adicional a la comunicación de eventos y debilidades en la seguridad de la información, las entidades disponen de diversos mecanismos establecidos para la monitorización de los sistemas, alertas y vulnerabilidades, y que deben ser utilizados en conjunto para detectar e investigar los incidentes en la seguridad de la información.

ENTRA EN CEUPE E INFÓRMATE SOBRE NUESTROS MÁSTERS DE TECNOLOGÍA Y SISTEMAS Y NUESTROS CURSOS DE ESPECIALIZACIÓN Y EXPERTOS SI TE INTERESA DESARROLLAR TUS CAPACIDADES EN EL CAMPO DE LOS SISTEMAS DE LA TECNOLOGÍA.

Máster en
Inteligencia Artificial

RRHH TECNOLOGÍA

Modalidad
Modalidad
ONLINE
Duración
Duración
12 meses
Evaluación
Evaluación
Continua con casos prácticos
Financiación
Financiación
Pago en cuotas sin intereses
La Universidad de Alcalá aprueba 15 Títulos Propio...
CEUPE formó parte de la Feria Expo Postgrados 2018...
Compártelo
 

Comentarios

No hay comentarios por el momento. Se el primero en enviar un comentario.
Invitado
Martes, 15 Octubre 2024

Suscríbete a nuestro Magazine

Recibe Artículos, Conferencias
y Master Class

(*) He leído y acepto la Politica de Privacidad

Síguenos

LinkedIn Youtube Twitter Instagram Facebook

Masterclass Tecnología

Tecnología

Librerías

Tecnología

Introducción a las APIs

Tecnología

Intérprete de Python

Noticias más populares

CEUPE Destaca en el Ranking Innovatec como una de las Escuelas de Negocios Más Innovadoras El Centro Europeo de Postgrado (CEUPE), escuela de negocios internacional y referente en formación online, ha...
Cada año, el Ranking Top100 Líderes Innovadores destaca a cien personalidades que han demostrado un compromiso decidido con la innovación en su trayectoria profesional, personal y empresarial. Fundado...
En el mundo actual, la educación en línea ha experimentado un crecimiento significativo, y esto ha llevado a un aumento en la demanda de programas educativos en línea, especialmente en el ámbito de lo...
👉Frente a la elevada competencia en el mercado y la tendencia a reducir costes y recortar gastos, los empresarios se centran en su actividad principal y subcontratan la gestión de actividades secundar...

EMPRESAS

Si estás pensando en estudiar criminología, lo más probable es que te preguntes: "¿Y después, dónde puedo trabajar?". Es normal que tengas esa duda, p...
CEUPE - European Business School ha sido reconocido en el TOP 20 de los mejores centros formativos para estudiar un MBA online en España en 2024, segú...
El MBA sigue estando ahí, como una de las credenciales más valoradas en el mundo empresarial, pero seguro que te has preguntado más de una vez si real...
El cumplimiento normativo es básicamente un conjunto de reglas que cualquier negocio debe seguir, y no, no es solo para las grandes multinacionales. C...

MARKETING

En el ámbito del marketing, muchas veces cometemos el error de enfocarnos puramente en lo técnico. Pero hay un conjunto de destrezas que no podemos ol...
En el competitivo mundo empresarial, comprender los límites del mercado es esencial para poder diseñar estrategias efectivas y maximizar las oportunid...

Síguenos

LinkedIn Youtube Twitter Instagram Facebook

Masterclass Tecnología

Tecnología

Librerías

Tecnología

Introducción a las APIs

Tecnología

Intérprete de Python