| 25 años generando CONFIANZA
ISO 27001
El Sistema de Gestión de la Seguridad de la Información basado en la norma ISO 27001 tiene que ser revisado por la alta dirección dentro de unos espacios de tiempo planificados, al menos una vez al año, asegurando que se encuentra correctamente, así como que es eficaz.
El motivo primordial que se crea por la necesidad de generar una Revisión por la Dirección es establecer la garantía de que el Sistema de Gestión de Seguridad de la Información cumple con la conveniencia, la adecuación y la eficacia continua. Debe incluirse en la revisión la evaluación de las oportunidades de mejora y la necesidad de realizar modificaciones en el SGSI, se tiene que añadir en la revisión la política y los objetivos de la seguridad de la Información.
Los rendimientos obtenidos de las revisiones tienen que quedar correctamente documentados y registrados, para consultas posteriores, y se tienen que mantener en condiciones perfectas.
Mejora del Sistema de Gestión de Seguridad de la Información
La entidad tiene el deber de mejorar constantemente la eficacia de su Sistema de Gestión de Seguridad de la Información a través de la utilización de la política de seguridad de la información, los objetivos de la seguridad de la información, los resultados conseguidos tras la realización de la auditoría, a través del análisis de los eventos monitorizados, gracias a las acciones correctivas o preventivas y la gestión de la revisión.
La organización tiene que tomar las acciones oportunas para eliminar los motivos de las no conformidades, teniendo en cuenta los requisitos del Sistema de Gestión de Seguridad de la Información. La manera con la que prevenir que vuelva a mostrarse una no conformidad es utilizando acciones correctivas y se tiene que determinar cuáles fueron las razones por las que aparecieron las no conformidades. Con el fin de prevenir las no conformidades se tienen que llevar a cabo medidas preventivas.
La empresa debe de identificar las posibles modificaciones en los riesgos y conferirles acciones preventivas para eludir, en cuanto sea posible, que aparezcan.
La primacía para llevar a cabo una acción preventiva la especifica el resultado obtenido al valorar el riesgo. Las acciones preventivas que se utilicen tienen que estar acomodadas al impacto que pueden producir los posibles problemas, esto es, intentar eludir que los resultados sean peores que el impacto generado.
La utilización de medidas preventivas para eludir las no conformidades es, habitualmente, mucho más rentable que tomar acciones correctivas.
A continuación exponemos un ejemplo de cómo realizar un:
Plan de Mejora
El Plan Anual de Mejora es un mecanismo que se lleva a cabo a lo largo de la mejora continua. Este plan se basa en un documento vivo que tiene el objetivo de recopilar la totalidad de las acciones implicadas en la mejora continua del SGSI y de los procesos.
Se establece en el procedimiento el análisis de datos, para cada uno de los distintos procesos que la entidad ha definido para cada uno de los indicadores, a los que se les realiza un seguimiento de cada periodo de tiempo.
En el comienzo del año se realiza la apertura del Plan Anual de Mejora. Éste se encuentra constituido por las acciones de mejora que las que se define:
- La fecha de apertura de la acción preventiva o correctiva.
- Número de acción de mejora (se utilizará un número correlativo).
- El origen de la acción (sugerencia, revisión de sistemas, etc.). En el caso de acciones correctivas, preventivas y sugerencias se llevan al Plan Anual de Mejora cuando se necesita realizar una planificación y seguimiento en el tiempo.
- Descripción de la acción de mejora.
- Planificación de la acción de mejora: se divide en acciones mucho más pequeñas y detalladas, y se asignan plazos de ejecución y responsables.
- Seguimiento: lo habitual es que el seguimiento se realice trimestralmente, aunque se pueden dar excepciones que hagan que se realice el seguimiento antes de la fecha prevista, será el Responsable de Seguridad el que determine este aspecto.
Por parte de la alta dirección de la entidad se deberán aprobar las acciones de mejora. El Plan Anual de Mejora está siendo completado a medida que van apareciendo necesidades de planificación en alguna mejora, esto se realiza o bien en las reuniones de Comité de Seguridad o en reuniones de algunos de los miembros de este. Si se genera una reunión en la que no se encuentren todos los sujetos del comité es necesario que el Responsable de Seguridad asista a la reunión y lo hará con:
- Las acciones preventivas y correctivas que requieran de una planificación y seguimiento en el tiempo.
- Las acciones de mejora propuestas por toda persona que asista a la reunión, entre los que se encuentran los responsables de todos los procesos que se realizan en la organización.
- Las sugerencias propuestas por cualquier trabajador de la empresa.
- Cualquier otro origen.
Mantenimiento del Plan Anual de Mejora
Ha de ser constante el mantenimiento del Plan Anual de Mejora, en un primer momento se tiene que encauzar a través de las reuniones llevadas a cabo por el Comité de Seguridad o por las reuniones a las que tengan que asistir parte de los miembros del comité (en el caso de que el tema tratado perjudique a los presentes en la reunión) pero el Responsable de Seguridad siempre tiene que estar presente en las reuniones. Dichas reuniones se utilizan como unto de exposición, discusión y seguimiento de las acciones de mejora.
Los sujetos responsables de los distintos procesos pueden detectar puntos susceptibles de mejora que tendrían que documentar y presentar ante el Responsable de Seguridad, que más tarde lo presentará ante el Comité de Seguridad donde se discutirá su aprobación o no.
El Responsable de Seguridad tiene el deber de realizar un esfuerzo mayor en la búsqueda de acción de mejora en toda la entidad.
El seguimiento de las acciones de mejora se tendrá que llevar a cabo conforme a los plazos determinados por el Responsable de Seguridad.
Sistema de Gestión de Seguridad de la Información
Es muy importante que las empresas realicen la identificación de los riesgos en su Sistema de Gestión de Seguridad de la Información, la planificación de acciones correctivas y preventivas, así como el control de la eficiencia producida por el sistema.
Para saber más sobre los Sistemas de Gestión de Riesgos y Seguridad podéis visitar: https://www.isotools.us/normas/riesgos-y-seguridad/
¿Desea saber más?
Entradas relacionadas
En el mundo empresarial actual, donde la integridad y la transparencia son esenciales para construir confianza, las organizaciones…
La gestión de investigaciones internas en las empresas es clave para proteger la integridad empresarial, prevenir los riesgos y fortalecer la...
La ISO 19011 es una norma internacional fundamental que establece directrices para la auditoría de sistemas de gestión. Esta norma...