Servicios Relacionados
Consultoría de implantación ISO 27001
Esta Norma se basa en el “ciclo de Demming” PDCA (Plan/Do/Check/Act), creado inicialmente para los Sistemas de Gestión de la Calidad ISO 900x, y adoptado por la Norma ISO 27001 dado que ésta, en su planteamiento, realmente se gestiona como Sistema de Gestión de la Calidad de la Seguridad de la Información, es decir, como una especialidad de la misma. De hecho, varios puntos son compatibles entre ambas Normas favoreciendo la integración de sistemas.
Los pasos a seguir en la gestión de un SGSI son los indicados en la siguiente ilustración:
La naturaleza dinámica y cíclica de un SGSI especificada en la ISO27K nos lleva a una mejora continua basado en el ciclo de calidad de Deming o ciclo PDCA (Plan-Do-Check-Act).
Durante esta fase se determinarán los requerimientos del sistema y se definirá el alcance inicial del mismo. Esto determinará cómo continuar con el proyecto en las siguientes fases para implantar el modelo..
Ésta corresponde a la fase “Plan” del ciclo de calidad de Deming. Entre otras tareas se realizarán las siguientes:
Definir el alcance del SGSI, la política de seguridad
,la metodología de evaluación de riesgos de la organización. Se identifican los activos, amenazas, vulnerabilidades e impactos relacionados con las actividades que queden dentro del alcance del sistema o que puedan afectar la eficacia del mismo. Con esta información se podrá identificar y evaluar opciones de tratamiento del riesgo. Del estudio realizado se plantearán las mejores opciones de tratamiento del riesgo según los objetivos, umbrales de aceptación del riesgo, etc…
Seleccionar objetivos de control y controles para el tratamiento. Se obtiene la autorización de dirección para implantar y operar el SGSI y se prepara una declaración de aplicabilidad de los controles de la norma.
Esta fase corresponde con la implantación y operación del sistema. Los distintos pasos que se prevén son los siguientes:
Definir un plan de tratamiento del riesgo, iImplementar el plan , los objetivos de control identificados como necesarios, así como la asignación de las responsabilidades. Se implementar los controles seleccionados para alcanzar los objetivos de control y se definen las medidas de la efectividad del sistema. Se implantan programas de aprendizaje y conocimiento que permite que exista el nivel de conocimiento y sensibilidad necesario en la organización para la operación de un SGSI. Se gestionan las operaciones y recursos del SGSI.
Se ejecutaán procedimientos de monitorización para detectar errores, identificar debilidades de seguridad de forma temprana e incidentes y comprobar el adecuado cumplimiento de las actividades de seguridad asignadas a personas o implantadas a través de tecnología de la información. Tratará de determinar las acciones efectuadas para atender las brechas de seguridad detectadas.
Se revisará el SGSI y se medirá la efectividad de los controles. Se revisarán las evaluaciones de riesgos y el nivel de riesgo residual/aceptable. Se realizarán auditorías internas del SGSI. .
Implementar cualquier mejora identificada. Necesario tras la fase anterior.
Llevar a cabo las acciones correctivas y preventivas apropiadas ya que estas son el mecanismo de mejora del SGSI.
Comunicar las acciones y las mejoras a las partes interesadas. Esta comunicación es esencial para mantener el SGSI activo y operativo.
Comprobar la eficacia de las acciones. Hay que asegurar que la mejora está alineada con los objetivos de negocio. Muchas medidas pueden parecer atractivas o necesarias, pero si no se miran desde la perspectiva de los objetivos planteados, el esfuerzo puede ser inútil.