Seguimiento, medición, análisis y evaluación de un SGSI 27001
ISO 27001
Gracias a la actualización de las normas en sus últimas versiones y la creación del Anexo SL, la mayoría de normas ISO, incluida la ISO 27001, comparten estructura. Esto quiere decir que, muchos de los requisitos son análogos a los de otras normas.
En el artículo de hoy, hablaremos sobre la cláusula 9 de la norma ISO 27001, la evaluación del desempeño, que a su vez está dividida en otras sub cláusulas.
Cláusula 9.1: Seguimiento, medición, análisis y evaluación
Conocemos los tres pilares de la norma ISO 27001 para los Sistemas de Gestión de Seguridad de la Información. Es decir, mantener la información con sus características de confiabilidad, integridad y disponibilidad.
Para lograr este objetivo, es necesario tener en cuenta los siguientes aspectos.
- ¿Cuáles son los aspectos a los que debemos hacer seguimiento? Tenemos que incluir todo lo necesario, incluyendo tanto procesos como controles de seguridad de la información.
- ¿Qué técnicas de seguimiento, medición análisis y evaluación utilizaremos? Todo ello con el objetivo de obtener datos fiables que podamos utilizar.
- Periodicidad: debemos establecer las fechas para realizar tanto seguimiento como medición de resultados.
- Es necesario establecer un responsable encargado de realizar tanto el seguimiento como la medición.
- Fechas de evaluación: también es necesario establecer un plazo para realizar el análisis y la evaluación de los resultados obtenidos.
- Y al mismo tiempo, también debe haber un responsable que evalúe los resultados.
Es importante recordar que toda la información sobre medición, análisis, procesos, responsables, etc. Debe estar debidamente documentada para cumplir con los requisitos de ISO 27001.
Cláusula 9.2: Auditoría Interna
Esta cláusula es una de las más importantes no solo para ISO 27001 sino para todas las demás. Principalmente, esto se debe a que la dificultad de implementar un Sistema de Gestión, no está en pasar la auditoría final que nos conceda la certificación. La dificultad se encuentra en mantener la conformidad con respecto a los requisitos de la norma. De ahí la importancia de las auditorías internas que nos ayuden a conocer el estado de nuestro sistema de gestión.
Es necesario realizar auditorías internas para comprobar lo siguiente:
- Conformidad: cumple con los requisitos del SGSI ISO 27001 o con los de la misma organización si son más exigentes que los de la norma. Todo en el marco de la norma.
- Implementación: la norma sigue correctamente implementada de forma eficaz.
- Para garantizar la correcta implementación, una organización debe:
- Realizar una planificación, establecer programas de auditoría que incluyan métodos, frecuencia, responsables, requisitos y elaboración de informes.
- Explicar los criterios y alcance del sistema.
- Realización de auditorías objetivas.
- Comunicación: es necesario que los resultados sean comunicados a la alta dirección.
- Mantener almacenada la información documentada para que pueda ser consultada cuando sea necesario.
Cláusula 9.3: Revisión por la dirección
La alta dirección es la responsable de controlar y revisar el SGSI basado en ISO 27001. Al igual que los requisitos de las cláusulas anteriores, esta revisión tendrá que ser planificada para que todo se realice de forma eficiente y garantice el funcionamiento del SGSI. Se debe tener en cuenta lo siguiente:
- Estado de acciones con relación a la revisión por parte de la dirección.
- Cambios a nivel interno y externo que puedan afectar al SGSI.
- Feedback del desempeño del sistema, que incluya lo siguiente:
- Estado de las no conformidades y acciones correctivas.
- Resultado de auditoría.
- Seguimiento de resultados y mediciones.
- Cumplimiento de objetivos de SGSI.
- Se necesita la retroalimentación no solo del desempeño sino también de las partes interesada.
- Obtención de resultados de la evaluación de riesgos y su estado dentro del plan de tratamiento de riesgos.
- Mejora continua: estos resultados que deben revisarse por parte de dirección deberán almacenarse como información documentada y utilizarse para ayudar a tomar medidas que fomenten la mejora continua.
Software ISO 27001
En este artículo solo hemos mencionado una de las cláusulas de la norma ISO 27001. Son muchas otras las que se deben tener en cuenta y con esta misma ya hemos apreciado que es de vital importancia tener nuestro sistema de gestión perfectamente organizado, planificado y con la información esencialmente documentada. Un software de gestión como el de ISOTools Excellence, le permitirá cumplir con todos los requisitos teniendo bajo control todo su sistema de gestión con un solo software.