ISO 27001: Revisión por la dirección y mejora del SGSI
ISO 27001
La alta dirección de la organización debe revisar el Sistema de Gestión de Seguridad de la Información según la norma ISO 27001 dentro de unos intervalos de tiempo planificados, al menos una vez al año, asegurando que se encuentra adecuadamente y que es eficaz.
El principal motivo por el que surge la necesidad de realizar una Revisión por la Dirección es generar la garantía de que el Sistema de Gestión de Seguridad de la Información cumple con la conveniencia, la adecuación y la eficacia continua. La revisión tiene que incluir la evaluación de las oportunidades de mejora y la necesidad de realizar cambios en el Sistema de Gestión de Seguridad de la Información, se debe incluir en la revisión la política de seguridad de la información y los objetivos de seguridad de la información.
Los resultados obtenidos de las revisiones deben quedar perfectamente documentados y registrados, para futuras consultas, y se deben mantener en perfectas condiciones.
Mejora del Sistema de Gestión de Seguridad de la Información
La organización tiene la obligación de mejorar continuamente la eficacia de su Sistema de Gestión de Seguridad de la Información mediante la utilización de la política de seguridad de la información, los objetivos de la seguridad de la información, los resultados obtenidos tras la realización de la auditoría, mediante el análisis de los eventos monitorizados, gracias a las acciones correctivas o preventivas y la gestión de la revisión.
La empresa tiene que tomas las acciones necesarias para eliminar las causas de las no conformidades, teniendo en cuenta los requisitos del Sistema de Gestión de Seguridad de la Información. La forma con la que prevenir que vuelva a aparecer una no conformidad es utilizando acciones correctivas y se debe determinar cuáles fueron las causas por las que se dieron las no conformidades. Para prevenir las no conformidades se deben utilizar medidas preventivas.
La organización tiene que identificar los posibles cambios en los riesgos y asociarles acciones preventivas para evitar, en la medida de lo posible, que sucedan.
La prioridad para utilizar una acción preventiva la determina el resultado obtenido al valorar el riesgo. Las acciones preventivas que se utilicen deben estar adecuadas al impacto que puedan generar los posibles problemas, es decir, intentar evitar que la solución sea peor que el impacto generado.
La opción de utilizar medidas preventivas para evitar las no conformidades es, a menudo, mucho más rentable que tomas acciones correctivas.
Vamos a poner un ejemplo sobre cómo debe realizarse un:
Plan de Mejora
El Plan Anual de Mejora es una herramienta que se utiliza durante la mejora continua. Dicho plan es un documento vivo que tiene la finalidad de recopilar todas las acciones implicadas en la mejora continua del Sistema de Gestión de Seguridad de la Información y de los procesos.
Se establece en el procedimiento el análisis de datos, para cada uno de los diferentes procesos de la organización ha definido para cada uno de los indicadores, a los cuales se les realiza un seguimiento cada cierto tiempo.
Cuando comienza el año se realiza la apertura del Plan Anual de Mejora, el cual se encuentra constituido por las acciones de mejora en las que se detalla:
- La fecha de apertura de la acción preventiva o correctiva.
- Número de acción de mejora (se utilizará un número correlativo).
- El origen de la acción (sugerencia, revisión de sistemas, etc.). En el caso de acciones correctivas, preventivas y sugerencias se llevan al Plan Anual de Mejora cuando se necesita realizar una planificación y seguimiento en el tiempo.
- Descripción de la acción de mejora.
- Planificación de la acción de mejora: se desglosa en acciones mucho más pequeñas y detalladas, y se asignan plazos de ejecución y responsables.
- Seguimiento: lo normal es que el seguimiento se realice trimestralmente, aunque se pueden dar excepciones que hagan que se realice el seguimiento antes de la fecha prevista, será el Responsable de Seguridad el que determine este aspecto.
Las acciones de mejora se deberán aprobar por parte de la alta dirección de la organización. El Plan Anual de Mejora va siendo completado a medida que van surgiendo necesidades de planificación en alguna mejora, esto se produce o bien en las reuniones de Comité de Seguridad o en reuniones de algunos de los miembros de este. Si se realiza una reunión en la que no están todos los miembros del comité es necesario que el Responsable de Seguridad asista y lo hará con:
- Las acciones de mejora propuestas por cualquier persona que asista a la reunión, entre los que se encuentran los responsables de todos los procesos que se realizan en la organización.
- Las sugerencias propuestas por cualquier trabajador de la organización.
- Las acciones preventivas y correctivas que requieran de una planificación y seguimiento en el tiempo.
- Cualquier otro origen.
Mantenimiento del Plan Anual de Mejora
El mantenimiento del Plan Anual de Mejora debe ser continuo, en un principio se debe encauzar mediante las reuniones realizadas por el Comité de Seguridad o por las reuniones a las que asistan parte de los miembro del comité (cuando el tema tratado afecte a los presentes en la reunión) pero el Responsable de Seguridad siempre debe estar presente en las reuniones. Estas reuniones se usan como unto de exposición, discusión y seguimiento se las acciones de mejora.
Las personas responsables de los diferentes procesos pueden detectar puntos susceptibles de mejora que deberán documentar y presentar ante el Responsable de Seguridad, que posteriormente lo presentará ante el Comité de Seguridad donde se discutirá su aprobación o no.
El Responsable de Seguridad tiene la obligación de realizar un mayor esfuerzo en la búsqueda de acción de mejora en toda la organización.
El seguimiento de las acciones de mejora se llevara a cabo de acuerdo con los plazos establecidos por el Responsable de Seguridad.
Software para Sistema de Gestión de Seguridad de la Información
El Software ISO 27001 para Riesgos y Seguridad de la Información, está capacitado para responder a numerosos controles para el tratamiento de la información gracias a las aplicaciones que contiene y que son totalmente configurables según los requerimientos de cada organización. Además, este software permite la automatización del Sistema de Gestión de Seguridad de la Información.