ISO 27001 ¿Cómo debe abordar una PYME el ciclo PHVA? Verificar y Actuar

ISO 27001

ISO 27001, vimos en el artículo anterior de este serial, que da conformidad a un SGSI fundamentado en el ciclo PHVA. Se habla mucho sobre este ciclo pero, orientándolo en PYMEs, ¿en qué consisten sus fases?

Ya hemos hablado sobre las dos primeras, Planificar y Hacer, hoy continuamos y terminamos con las fases de Verificar y Actuar.

Verificar: monitorizar, medir y revisar los objetivos de seguridad y la marcha del cumplimiento del plan previsto.

ISO 27001

El proveedor de seguridad debe utilizar técnicas adecuadas para la monitorización y medición de procesos relativos a la seguridad. Estas técnicas mostrarán la capacidad de los procesos para lograr los resultados que se planificaron.

Los responsables de seguridad tienen la obligación de llevar a cabo revisiones planificadas a intervalos periódicos para revisar si los requisitos de seguridad están:

  • Cumpliendo con el plan de seguridad y los requisitos de ISO-27001 e ISO-27002.
  • Implementándose y manteniéndose eficazmente.

 

Dentro de la planificación se debería programar la ejecución de auditorías, considerando el estado y la importancia de los procesos y áreas a auditar y los resultados de las auditorías anteriores. Para este punto es importante definir en un procedimiento los criterios, alcance, frecuencia y métodos de la auditoría.

Estas auditorías deben asegurar la objetividad e imparcialidad de dicho proceso. Un auditor no debe auditar su propio trabajo, por ejemplo.

Actuar: Aumentar la eficacia y eficiencia de la seguridad.

Política

Es obligatoria la existencia de una política sobre la mejora de la seguridad.

Se deben corregir las faltas de conformidad que haya sobre la norma o los planes de seguridad así como definir los roles y responsabilidades para las tareas de mejora de la seguridad.

Gestión de las mejoras

Es necesario utilizar un plan para controlar la actividad y evaluar, registrar, priorizar y autorizar las mejoras propuestas.

El proveedor de seguridad ha de tener disponible un proceso útil para identificar, medir y gestionar las actuaciones de mejora. Éste debe incluir:

  • Mejoras de un proceso asilado, las cuales se puedan realizar con los recursos habituales.
  • Mejoras en la totalidad de la organización o en un conjunto de procesos.

Actividades

Deben realizarse actividades para:

  • Recopilar y analizar datos para medir la capacidad que tiene el proveedor de seguridad para gestionar la seguridad.
  • Consultar a las partes interesadas.
  • Identificar, planificar e implementar mejoras.
  • Revisar políticas, planes y procedimientos de seguridad.
  • Medir, informar y comunicar mejoras en seguridad.
  • Asegurar que las acciones aprobadas se están ejecutando y que se alcancen los objetivos esperados.
  • Establecer objetivos de mejora en calidad, costes y utilización de recursos.

 

La Plataforma Tecnológica ISOTools sigue las directrices del ciclo PHVA, facilita la implementación de un SGSI elaborado con ISO 27001 y automatiza su gestión.

Descargue el e-book fundamentos de gestión de Seguridad de la Información
Recibe Nuestra Newsletter
New Call-to-action
Nueva llamada a la acción
Back To Top