Implementación de un SGSI etapa 3. Ejecución
La ejecución de un SGSI, ISO 27001, contempla dos puntos de vista, lo que atañe al día a día y el desarrollo de mejoras.
El primero lo ocupan las labores de gestión de las operaciones del SGSI y de los recursos asignados para el mantenimiento de la seguridad de la información.
Son tareas que conciernen al funcionamiento controlado de la maquinaria, incluye la ejecución de procedimientos y medidas para la detección y respuesta ante incidentes de seguridad.
Entre las actividades más difíciles ante el objetivo de mantener vivo el SGSI, ISO-27001 podemos encontrar el mantenimiento adecuadamente documentado de los numerosos procedimientos operativos de gestión de la seguridad.
Dado el esfuerzo necesario, es muy aconsejable planificarlo también a corto, medio y largo plazo.
Otras actividades que forman parte de este punto de vista son el desarrollo de programas de formación y concienciación continua relativa a la seguridad de la información y orientados a todo el personal.
En el otro punto de vista, el desarrollo de mejoras, tras identificar los principales riesgos a los que están expuestos los activos de una organización y seleccionar los controles a aplicar, se ha de elaborar un plan de acción.
Se trata de un plan que incluya todos los proyectos que se consideran adecuados para implantar las protecciones seleccionadas
El plan de acción, o de tratamiento de riesgos debe priorizar las acciones, añadir necesidades de recursos y responsabilidades. Y, notoriamente, debe contemplar la implementación de las métricas que consientan la medida de la eficacia de los controles seleccionados.
Como resumen podemos decir que esta fase acoge:
- Implementación de procedimientos y otros controles de supervisión y control para determinar cualquier violación, procesamiento incorrecto de datos…
- Revisiones periódicas de la eficacia del SGSI.
- Medición la eficacia de los controles.
- Revisión periódica de la evaluación de riesgos.
- Auditorías internas planificadas.
- Revisiones para asegurar el funcionamiento del SGSI e identificar oportunidades de mejoras.
- Actualización de los planes de seguridad.
- Mantenimiento de registros de actividades e incidentes que puedan afectar la eficacia del SGSI.
ISOTools colabora con el desarrollo de esta tercera fase, ejecución, y lleva a la organización al éxito de su SGSI gracias a la automatización, control y mantenimiento del mismo.
