ISO 27001:2013 Evaluación del desempeño

Norma ISO 27001:2013

ISO 27001 es una norma que se revisó hace poco, su versión más reciente es solo del pasado año 2013, y por tanto ya cuenta con la estructura que propone el Anexo SL para las futuras normas ISO.

La norma ISO 27001:2013 se compone de 10 cláusulas de las cuales ya hemos hablado de 8, hoy abordaremos la novena:

9. Evaluación del desempeño

9.1 Seguimiento, medición, análisis y evaluación

Esta norma, que es aplicable a los Sistemas de Gestión de Seguridad de la Información, indica que la organización debe evaluar el desempeño de la seguridad de la información y la eficacia de dicho sistema.

Para ello una entidad debe determinar:

• A qué se necesita hacerle seguimiento, qué es necesario medir, sin olvidar incluir procesos y controles de la seguridad de la información.
• Las técnicas de seguimiento, medición, análisis y evaluación requeridas para garantizar que los resultados son válidos.
• Cuándo se ha de ejecutar tanto el seguimiento como la medición.
• Quién es el responsable de la ejecución del seguimiento y medición.
• Cuándo es necesario analizar y evaluar los resultados de seguimiento y medición.
• Quién será el responsable de analizar y evaluar dichos resultados.

Todos los resultados se deberán retener y mantener como información documentada.

9.2 Auditoría interna

Las auditorías internas son, para la norma ISO-27001, una herramienta que debe llevar a cabo la organización a intervalos planificados para aportar información que asegure que el Sistema de Gestión de Seguridad de la Información:

• Es conforme con:

o Los requisitos de la propia organización para su Sistema de Gestión de Seguridad de la Información.

o Los requisitos de esta Norma Internacional.

• Está implementado y se mantiene de forma eficaz.

Para ello el estándar propone que la organización debe:

• Planificar, establecer, implementar y mantener una serie de programas de auditoría en los que estén incluidos los métodos, la frecuencia, responsabilidades, requisitos de planificación, así como la elaboración de informes.
• Precisar los criterios y el alcance de la auditoría.
• Ejecutar auditorías objetivas e imparciales.
• Garantizar la comunicación de los resultados de la auditoría a la alta dirección.
• Retener y mantener como información documentada las evidencias de la implementación de estos programas.

9.3 Revisión por la dirección

Según ISO27001, la alta dirección es la responsable de la revisión del Sistema de Gestión de Seguridad de la Información. Esta revisión se hará a intervalos planificados y servirá para comprobar la conveniencia, adecuación y eficacia continua del mismo.

Las consideraciones que debería incluir esta actividad son:

• El estado en que se encuentran las acciones relacionadas con otras revisiones por la dirección.
• Los cambios ocurridos en cuestiones externas e internas que afecten al Sistema de Gestión de Seguridad de la Información ISO 27001.
• Retroalimentación del desempeño de dicho sistema, incluyendo:

o La tendencia de las no conformidades y las acciones correctivas.

o El seguimiento y los resultados de las mediciones.

o Los resultados obtenidos de la auditoría.

o El cumplimiento de cada uno de los objetivos de la seguridad de la información.

• Retroalimentación de todas las partes interesadas e involucradas.
• Los resultados obtenidos de la evaluación de riesgos y el estado en el que se encuentra el plan de tratamiento de riesgos.
• Oportunidades de mejora continua.

Todos los elementos resultantes de la revisión por la dirección deben ir acompañados de las decisiones relativas a las oportunidades de mejora continua y de las necesidades de cambio oportunas para el Sistema de Gestión de Seguridad de la Información ISO27001.

Además, dichos resultados de la revisión se conservarán como información documentada.

Software para ISO 27001

La Plataforma Tecnológica ISOTools incluye en su metodología de trabajo este requisito entre otros, para proporcionar un Sistema de Gestión de Seguridad de la Información eficaz, eficiente y automatizado, lo que facilitará el trabajo en numerosas organizaciones.