ISO 27001: Ciclo de Deming
ISO 27001
La norma ISO 27001 incluye el ciclo de Deming, como bien sabemos consiste en Planificar-Hacer-Verificar-Actuar (PHVA) y puede ser aplicado a todos los procesos. La metodología PHVA se puede describir de la siguiente forma:
- Planificar: se establecen los objetivos y los procesos necesarios para conseguir resultados según las necesidades de los clientes y la política de seguridad de la organización.
- Hacer: se implantan los procesos.
- Verificar: se revisan y se evalúan tanto lo servicios como los procesos comprándolos con las políticas, los objetivos y los requisitos de información sobre los resultados.
- Actuar: comienzan a emprender acciones para mejorar el rendimiento del Sistema de Gestión Ambiental de forma continua.
Planificación
Se debe realizar una planificación de la implantación y la prestación de la gestión de servicios. El alcance puede venir definido dentro de parte del plan de gestión de servicios. La gestión de servicios tiene que estar planificada. Como mínimo, en dichas planificaciones se debe incluir lo siguiente:
- El alcance de la gestión de los servicios de la empresa.
- Los requisitos y los objetivos que tiene que cumplir la gestión de servicios.
- Los procesos que se deben realizar.
- La infraestructura de las funciones y las responsabilidades de gestión, incluyendo al responsable del proceso y la gestión de proveedores externos a la organización.
- La interfaz entre todos los procesos de gestión de servicios y el modo en el que se tiene que coordinar las actividades llevadas a cabo por la empresa.
- Enfocar lo que se tiene que hacer para poder identificar, evaluar y gestionar los problemas y los riesgos de llevar a cabo los objetivos que se han definido.
- El intercambio de información con proyectos que ya estén creados o en proceso.
- Los recursos, las instalaciones y el presupuesto necesario para conseguir todos los objetivos que han sido definidos.
- Es la herramienta más adecuada para dar soporte a todos los procesos del Sistema de Gestión de Seguridad de la Información.
Tiene que existir una gestión clara por parte de la dirección y las responsabilidades tienen que estar documentadas, revisadas, autorizadas, comunicadas e implementadas.
En cualquier plan específico de un proceso que se elabore debe ser compatible con el plan de gestión de servicios de la empresa.
Un plan de gestión de servicios tiene que incluir:
- Implementación de gestión de servicios.
- Facilitar los procesos de gestión de servicios.
- Los cambios en los procesos de gestión de servicios.
- Las mejoras en los procesos de gestión de servicios.
- Nuevos servicios.
Hacer
Implantar los objetivos y planificar la gestión de servicios. La empresa tiene que implantar el plan de gestión de servicios para poder gestionar de una forma mucho más segura la información y se debe incluir:
- La asignación de fondos y presupuestos
- Asignación de funciones y responsabilidades
- Documentación y mantenimiento de políticas, procedimientos y definiciones para cada proceso
- Identificar y gestionar los riesgos para el servicio
- Gestionar equipos
- Servicio de atención al cliente y operaciones
- Informe de progreso y coordinación de procesos de gestión de servicios
Verificar
Se tiene que supervisar y verificar todos los objetivos y el plan de gestión de servicios establecido por la organización, para comprobar que se cumplen.
La empresa tiene que realizar una planificación para poder implementar la supervisión y la verificación de los procesos de gestión de servicios y los servicios asociados.
La norma ISO 27001 nos dice que los resultados de la verificación deben ofrecer información sobre el programa de mejora del servicio. Entre todos los elementos que se tienen que supervisar, evaluar y analizar se encuentran:
- Los logros respecto de los objetivos del servicio definido.
- La satisfacción de los clientes.
- La utilización de recursos.
- Las tendencias.
- Las no conformidades.
- Todos los resultados de los análisis que pueden generar una mejora.
Las empresas tienen que aplicar los métodos más adecuados para poder supervisar y evaluar los procesos de gestión de servicios en el Sistema de Gestión de Seguridad de la Información.
Todos los métodos tienen que demostrar las capacidades que presentan los procesos para conseguir los resultados planificados.
Actuar
El objetivo que persigue esta fase es mejorar la eficacia de las prestaciones y la gestión de los servicios.
Se debe realizar una política, que sea pública, para mejorar el servicio. Cualquier falta de conformidad con la norma ISO 27001 tiene que ser remediada. Todas las funciones y las responsabilidades que sean necesarias para realizar las actividades de mejora del servicio se tienen que definir de forma clara.
Todas las mejoras de los servicios que propone la organización deben pasar por ser revisadas, registradas, priorizadas y autorizadas. Se puede utilizar un plan de mejora del servicio para poder controlar la actividad.
La empresa tiene que disponer de un proceso que identifique, evalúe y gestione todas las actividades de mejora.
Se tienen que incluir las mejoras del proceso individual para que la persona responsable del proceso pueda implantar los recursos necesarios y las mejoras de toda la empresa.
La empresa puede realizar una serie de actividades con las que recopilar datos para llevar a cabo evaluaciones comparativas de la capacidad de la empresa; identificar, planificar e implementar las mejoras necesarias; consultar a las partes interesadas; generar objetivos para conseguir mejorar la calidad de la seguridad de la información y disminuir los costes. Se tienen que considerar las aportaciones que se realizan referentemente a las mejoras que se realizan en el Sistema de Gestión de Seguridad de la Información ISO 27001. Se debe revisar la política de seguridad y los procedimientos siempre que sea necesario.
Las mejoras que se realizan en el servicio de más importancia se tienen que gestionar como un proyecto.
Software para SGSI
El Software ISOTools Excellence ISO-27001 para Riesgos y Seguridad de la Información, está capacitado para responder a numerosos controles para el tratamiento de la información gracias a las aplicaciones que contiene y que son totalmente configurables según los requerimientos de cada organización. Además, este software permite la automatización del Sistema de Gestión de Seguridad de la Información.