ISO 27001
La norma ISO 27001 tiene distintas etapas a seguir para implantar el Sistema de Gestión de Seguridad de la Información. En este post vamos a ver la etapa tres “implantación” y la etapa cuatro “evaluación”.
Etapa 3: Implantación
A la hora de empezar a implantar el Sistema de Gestión de Seguridad de la Información se tiene que realizar grandes acciones:
- Implantar en un año el programa de trabajo anual que se definió en la etapa anterior.
- Registrar y controlar los resultados de la implantación del programa de trabajo, con lo que se puede verificar el alcance del nivel de cumplimiento de todos los controles que requieren de un servicio con el que disminuir los riesgos contra los controles que se realizan durante el diagnóstico.
- Medir los indicadores de desempeño que se han definido en el sistema, teniendo en cuenta las fechas de inicio y los periodos para realizar el cálculo.
- Controlar el porcentaje de cumplimiento según la implantación del programa de trabajo anual.
Los documentos que se tienen que entregar para realizar la implantación tienen dos etapas acumulativas, por lo que se debe establecer la planificación y el diagnóstico con sus actualizaciones. Todos los documentos de esta etapa se agregan a los de la etapa anterior.
Ejecución de actividades
Dentro de la plantilla de trabajo del Sistema de Gestión de Seguridad de la Información en la etapa en la que se registra el término real de todas las actividades llevando a cabo una cuantificación de las desviaciones producidas. Se deben prever dichas desviaciones admisibles que no supongan un incumplimiento de la norma ISO27001, por el compromiso anual de la implementación. Las desviaciones deben tener causas justificadas, que sea externa a la gestión, estando verificada y aceptada por la Red de Expertos.
Registrar la implantación del producto que está asociado al control del diagnóstico, y será necesario plasmar la señalación de las evidencias. Las evidencias deben tener suficiente control para el que fue definido, de lo contrario no será válido.
Avance de la implantación
Cuando se quiere implantar el Sistema de Gestión de Seguridad de la Información se debe indicar el porcentaje del avance de la implantación de cada domino de seguridad, por lo que solo se tiene que realizar el resumen de avance.
Medición de indicadores
Se deben registrar los datos que miden los indicadores que se han diseñado durante la segunda etapa, por lo que se permite la realización de cálculos necesarios para conocer las mediciones efectivas. Todo tiene que estar registrado en la medición de indicadores.
Los valores obtenidos son utilizados para evaluar la efectividad de todos los controles de implantación durante la mitigación de muchos riesgos. Se conoce que existen diversos indicadores con gran cantidad de mediciones, lo que depende de otro orden de implantación, de los periodos utilizados durante el cálculo establecido y de la naturaleza de los tratamientos que se les aplican a los indicadores.
No podemos olvidar, que cuando se presente una medición efectiva de cualquier tipo de indicador, se puede respaldar ante algún medio de verificación de que tiene que ser a fecha de inicio del registro y durante el periodo de cálculo que se establece.
Etapa 4. Evaluación
La finalidad que persigue esta etapa es la de verificar y validar el Sistema de Gestión de Seguridad de la Información, aunque la operación de los aspecto que aún pueden encontrase bajo la implantación del Plan General del Sistema de Gestión de Seguridad de la Información según ISO-27001.
Todas las acciones que se realizan son:
- Evaluar todos los resultados que se obtienen de implementar un Plan General de Seguridad de la Información y un Programa de Trabajo Anual, declarar y revisar los riesgos que persisten y se formulan.
- Se debe difundir a todos los empleados los resultados que se obtienen de realizar una evaluación del Programa de Trabajo Anual. Hay que tener en consideración la introducción de terceras personas en los procesos de la organización. Dichas personas pueden ser clientes, proveedores, beneficiarios, etc.
- Hay que diseñar un Programa de Seguimiento con el que se puede entrar de una forma sencilla todas las recomendaciones aprobadas.
- Se debe mantener el grado de desarrollo del Sistema de Gestión de Seguridad de la Información en función de cada etapa, en el que se incorpora la programación de las actividades de control y mejora continua, se tiene que considerar: el establecimiento de la realización del ciclo de mejora continua en el que se incluyen las actualización en los inventarios y corresponde al análisis del riesgo, la definición de los planes de tratamiento de riesgo cuando corresponda.
Se deben analizar las medidas efectivas que se han obtenido de los diferentes indicadores y las propuestas para mejorar que se detecten en las desviaciones.
Ejecutar las auditorías del Sistema de Gestión de Seguridad de la Información basado en la norma ISO 27001 mediante revisiones internas por parte del encargado de seguridad, auditorías internas, externas, etc.
Software para ISO 27001
El Software ISOTools Excellence ISO27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa. Toda protección es importante, por mínima que sea, pues el mínimo descuido puede ocasionar una violación de los datos de la misma.
¿Desea saber más?
Entradas relacionadas
Compliance La ley 30424, ha sido modificada por el D. Leg. 1352, que exige la implantación de un…
Proveedores Hoy en día pocos fabricantes dan la importancia que tiene a auditar sus proveedores sin darse cuenta…
Ley 29783 Durante este artículo hablaremos sobre cómo se puede automatizar los requisitos establecidos en la ley 29783.…
Gestión del rendimiento La gestión del rendimiento es uno de los siete subsistemas que componen el Sistema Administrativo…