ISO 27001 ¿Cómo implantar un SGSI en una PYME? Parte III

Un blog editado por ISOTools Excellence

SGSI

Blog especializado en Sistemas de Gestión
de Seguridad de la Información

cerrojo

ISO 27001 ¿Cómo debe abordar una PYME el ciclo PHVA? Verificar y Actuar

ISO 27001 ¿Cómo debe abordar una PYME el ciclo PHVA? Verificar y Actuar

ISO 27001

ISO 27001, vimos en el artículo anterior de este serial, que da conformidad a un SGSI fundamentado en el ciclo PHVA. Se habla mucho sobre este ciclo pero, orientándolo en PYMEs, ¿en qué consisten sus fases?

Ya hemos hablado sobre las dos primeras, Planificar y Hacer, hoy continuamos y terminamos con las fases de Verificar y Actuar.

Verificar: monitorizar, medir y revisar los objetivos de seguridad y la marcha del cumplimiento del plan previsto.

ISO 27001

El proveedor de seguridad debe utilizar técnicas adecuadas para la monitorización y medición de procesos relativos a la seguridad. Estas técnicas mostrarán la capacidad de los procesos para lograr los resultados que se planificaron.

Los responsables de seguridad tienen la obligación de llevar a cabo revisiones planificadas a intervalos periódicos para revisar si los requisitos de seguridad están:

  • Cumpliendo con el plan de seguridad y los requisitos de ISO-27001 e ISO-27002.
  • Implementándose y manteniéndose eficazmente.

 

Dentro de la planificación se debería programar la ejecución de auditorías, considerando el estado y la importancia de los procesos y áreas a auditar y los resultados de las auditorías anteriores. Para este punto es importante definir en un procedimiento los criterios, alcance, frecuencia y métodos de la auditoría.

Estas auditorías deben asegurar la objetividad e imparcialidad de dicho proceso. Un auditor no debe auditar su propio trabajo, por ejemplo.

Actuar: Aumentar la eficacia y eficiencia de la seguridad.

Política

Es obligatoria la existencia de una política sobre la mejora de la seguridad.

Se deben corregir las faltas de conformidad que haya sobre la norma o los planes de seguridad así como definir los roles y responsabilidades para las tareas de mejora de la seguridad.

Gestión de las mejoras

Es necesario utilizar un plan para controlar la actividad y evaluar, registrar, priorizar y autorizar las mejoras propuestas.

El proveedor de seguridad ha de tener disponible un proceso útil para identificar, medir y gestionar las actuaciones de mejora. Éste debe incluir:

  • Mejoras de un proceso asilado, las cuales se puedan realizar con los recursos habituales.
  • Mejoras en la totalidad de la organización o en un conjunto de procesos.

Actividades

Deben realizarse actividades para:

  • Recopilar y analizar datos para medir la capacidad que tiene el proveedor de seguridad para gestionar la seguridad.
  • Consultar a las partes interesadas.
  • Identificar, planificar e implementar mejoras.
  • Revisar políticas, planes y procedimientos de seguridad.
  • Medir, informar y comunicar mejoras en seguridad.
  • Asegurar que las acciones aprobadas se están ejecutando y que se alcancen los objetivos esperados.
  • Establecer objetivos de mejora en calidad, costes y utilización de recursos.

 

La Plataforma Tecnológica ISOTools sigue las directrices del ciclo PHVA, facilita la implementación de un SGSI elaborado con ISO 27001 y automatiza su gestión.

Seguridad de la información
1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Cargando…