ISO 27001

ISO 27001, vimos en el artículo anterior de este serial, que da conformidad a un SGSI fundamentado en el ciclo PHVA. Se habla mucho sobre este ciclo pero, orientándolo en PYMEs, ¿en qué consisten sus fases?

Ya hemos hablado sobre las dos primeras, Planificar y Hacer, hoy continuamos y terminamos con las fases de Verificar y Actuar.

Verificar: monitorizar, medir y revisar los objetivos de seguridad y la marcha del cumplimiento del plan previsto.

El proveedor de seguridad debe utilizar técnicas adecuadas para la monitorización y medición de procesos relativos a la seguridad. Estas técnicas mostrarán la capacidad de los procesos para lograr los resultados que se planificaron.

Los responsables de seguridad tienen la obligación de llevar a cabo revisiones planificadas a intervalos periódicos para revisar si los requisitos de seguridad están:

• Cumpliendo con el plan de seguridad y los requisitos de ISO-27001 e ISO-27002.
• Implementándose y manteniéndose eficazmente.

Dentro de la planificación se debería programar la ejecución de auditorías, considerando el estado y la importancia de los procesos y áreas a auditar y los resultados de las auditorías anteriores. Para este punto es importante definir en un procedimiento los criterios, alcance, frecuencia y métodos de la auditoría.

Estas auditorías deben asegurar la objetividad e imparcialidad de dicho proceso. Un auditor no debe auditar su propio trabajo, por ejemplo.

Actuar: Aumentar la eficacia y eficiencia de la seguridad.

Política

Es obligatoria la existencia de una política sobre la mejora de la seguridad.

Se deben corregir las faltas de conformidad que haya sobre la norma o los planes de seguridad así como definir los roles y responsabilidades para las tareas de mejora de la seguridad.

Gestión de las mejoras

Es necesario utilizar un plan para controlar la actividad y evaluar, registrar, priorizar y autorizar las mejoras propuestas.

El proveedor de seguridad ha de tener disponible un proceso útil para identificar, medir y gestionar las actuaciones de mejora. Éste debe incluir:

• Mejoras de un proceso asilado, las cuales se puedan realizar con los recursos habituales.
• Mejoras en la totalidad de la organización o en un conjunto de procesos.

Actividades

Deben realizarse actividades para:

• Recopilar y analizar datos para medir la capacidad que tiene el proveedor de seguridad para gestionar la seguridad.
• Consultar a las partes interesadas.
• Identificar, planificar e implementar mejoras.
• Revisar políticas, planes y procedimientos de seguridad.
• Medir, informar y comunicar mejoras en seguridad.
• Asegurar que las acciones aprobadas se están ejecutando y que se alcancen los objetivos esperados.
• Establecer objetivos de mejora en calidad, costes y utilización de recursos.

La Plataforma Tecnológica ISOTools sigue las directrices del ciclo PHVA, facilita la implementación de un SGSI elaborado con ISO 27001 y automatiza su gestión.