¿Cómo llevar a cabo la mejora continua del SGSI?

SGSI

El principal elemento del proceso de mejora de un Sistema de Gestión de Seguridad de la Información (SGSI) son las no conformidades identificadas. Dichas no conformidades se tienen que contabilizar y compararse a las acciones correctivas para asegurar que no se repitan y que dichas acciones correctivas sean efectivas.

Cuando se produce una no conformidad la empresa deberá:

• Reaccionar a la inconformidad, y, según sea el caso se deberán adoptar las medidas necesarias para controlar y corregir, además de hacer frente a todas las consecuencias.
• Es necesario evaluar la necesidad de adoptar medidas para eliminar las causas de no conformidad con el fin de que no vuelva a ocurrir o que no se produzcan en otros lugares. Esto se puede conseguir mediante la revisión de la no conformidad, estableciendo las causas de dicha no conformidad y determinando si existen incumplimientos similares o si puede ocurrir de forma potencial.
• Poner en práctica las medidas oportunas.
• Revisar la eficiencia de las medidas correctoras llevadas a cabo.
• Realizar cambios en el Sistema de Gestión de Seguridad de la Información (SGSI), si resulta necesario.

Las acciones correctivas deberán ser apropiadas a los efectos de las no conformidades encontradas.

Es necesario que se conserve la información documentada como evidencia de la naturaleza de las no conformidades y de cualquier acción que se lleve a cabo posteriormente. Los resultados de cualquier acción correctiva.

Elementos de mejora

Todas las actividades que se encuentran relacionadas con la mejora continua guían a la empresa a mejorar de forma continua la eficacia del SISG mediante la revisión de:

• La política de seguridad de la información.
• Los objetivos de seguridad de la información.
• Los resultados de las auditorías.
• El análisis de los eventos seguidos.
• Las acciones correctivas y preventivas.
• La revisión por parte de la dirección.

Es necesario observar que dentro de dicha lista, la norma ISO 27001 menciona la aplicación de controles como parte de las actividades de la mejora continua. Una vez que se haya implementado el SGSI, la aplicación de nuevos controles sólo tiene sentido en base a consideraciones de coste/beneficio, si se detectan cambios en las actividades, en el contexto y los objetivos de la empresa o en base a la experiencia y la detección de situaciones que excedan los niveles de exposición y aceptación de los riesgos asumibles por la alta dirección.

La política de la seguridad de la información

La política de seguridad tiene que ser revisada en intervalos que se encuentren planificados o si existen cambios significativos, con el fin de asegurar la mejora continua, la adecuación y la efectividad.

La revisión tiene que incluir diferentes oportunidades de evaluación para mejorar la política de seguridad de información de la empresa y un acercamiento a la gestión de la seguridad de la información en respuesta a todos los cambios que existen en la organización, con diferentes circunstancias del negocio, condiciones legales o cambios en el ambiente técnico. La revisión de la política de seguridad de la información deberá tener en cuenta todos los resultados obtenidos de las revisiones de la gestión de la seguridad, pero también de todas las actividades generales de la propia empresa para el alcance de la aplicación del SGSI.

Dentro del proceso de revisión de la política, se recomienda disponer de información relevante acerca de:

• Retroalimentación de terceros interesados
• Resultados de revisiones independientes
• Estado sobre acciones preventivas y correctivas
• Resultados de revisiones de gestión anteriores
• Desarrollo del proceso y estado del cumplimiento de la política de seguridad de la información
• Cambios que pueden afectar el alcance de la organización para gestionar la seguridad de la información, incluyendo cambios en el ambiente de la organización, circunstancias del negocio, disponibilidad de recursos, condiciones contractuales, regulatorias y legales o cambios en el ambiente técnico
• Tendencias relacionadas con amenazas y vulnerabilidades
• Incidentes registrados en seguridad de la información
• Recomendaciones dadas por autoridades relevantes

Como resultado de la revisión y aprobación por parte de la gerencia, se tiene que incluir información sobre las posibles mejoras de la empresa. Esto es necesario para que se pueda gestionar la seguridad de la información y los procesos, mejoras en los objetivos de control y los controles establecidos por la empresa, además de mejoras en la asignación de recursos o responsabilidades.

Objetivos de la seguridad de la información

La medición de la eficiencia de los controles para verificar que los requisitos de seguridad hayan sido cumplidos es uno de los aspectos que suelen ser mucho más complicados de abordar en el ciclo PHVA (planificar, hacer, verificar y actuar) y el desarrollo del estándar ISO 27004 como guía útil de ayuda en este aspecto.

La revisión de las evaluaciones del riesgo a intervalos planificados, revisar los riesgos residuales y los niveles de riesgos aceptables identificados, debe tener en cuenta:

• Los cambios en la organización
• La tecnología
• Los objetivos y los procesos del negocio
• Las amenazas identificadas
• La eficacia de los controles implementados
• Los eventos externos
• La implantación de indicadores clave específicos y analizar los datos que nos aportan es una labor para la que hay que disponer de recursos suficientes

Software ISOTools

Minimiza costos, reduce riesgos y agiliza toda la gestión propia de un Sistemas de Gestión basado en la norma ISO 27001 a través del Software ISOTools.

No pierda tiempo ni recursos y automatice su Sistema de Gestión para lograr la excelencia. Evite errores por el trato manual de la información y adquiera nuestro software.

Mantenga su información más confidencial, íntegra y disponible.