ISO 27001

La ejecución de un SGSI, ISO 27001, contempla dos puntos de vista, lo que atañe al día a día y el desarrollo de mejoras.

El primero lo ocupan las labores de gestión de las operaciones del SGSI y de los recursos asignados para el mantenimiento de la seguridad de la información.

Son tareas que conciernen al funcionamiento controlado de la maquinaria, incluye la ejecución de procedimientos y medidas para la detección y respuesta ante incidentes de seguridad.

Entre las actividades más difíciles ante el objetivo de mantener vivo el SGSI, ISO-27001 podemos encontrar el mantenimiento adecuadamente documentado de los numerosos procedimientos operativos de gestión de la seguridad.

Dado el esfuerzo necesario, es muy aconsejable planificarlo también a corto, medio y largo plazo.

Otras actividades que forman parte de este punto de vista son el desarrollo de programas de formación y concienciación continua relativa a la seguridad de la información y orientados a todo el personal.

En el otro punto de vista, el desarrollo de mejoras, tras identificar los principales riesgos a los que están expuestos los activos de una organización y seleccionar los controles a aplicar, se ha de elaborar un plan de acción.

Se trata de un plan que incluya todos los proyectos que se consideran adecuados para implantar las protecciones seleccionadas

El plan de acción, o de tratamiento de riesgos debe priorizar las acciones, añadir necesidades de recursos y responsabilidades. Y, notoriamente, debe contemplar la implementación de las métricas que consientan la medida de la eficacia de los controles seleccionados.

Como resumen podemos decir que esta fase acoge:

• Implementación de procedimientos y otros controles de supervisión y control para determinar cualquier violación, procesamiento incorrecto de datos…
• Revisiones periódicas de la eficacia del SGSI.
• Medición la eficacia de los controles.
• Revisión periódica de la evaluación de riesgos.
• Auditorías internas planificadas.
• Revisiones para asegurar el funcionamiento del SGSI e identificar oportunidades de mejoras.
• Actualización de los planes de seguridad.
• Mantenimiento de registros de actividades e incidentes que puedan afectar la eficacia del SGSI.

ISOTools colabora con el desarrollo de esta tercera fase, ejecución, y lleva a la organización al éxito de su SGSI gracias a la automatización, control y mantenimiento del mismo.