Seguimiento, medición, análisis y evaluación
La organización debe evaluar el desempeño de seguridad de información y la eficacia del Sistema de Gestión de Seguridad de la Información.
La organización determinará:
- Qué y cómo debe monitorizarse, incluyendo los controles y procesos de seguridad de la información.
- Qué métodos de seguimiento, medición, análisis y evaluación utilizará para garantizar la validez de los resultados.
- Cuándo se llevará a cabo, el seguimiento y medición.
- Qué medirá el seguimiento.
- Cuándo se analizarán y evaluarán los resultados del seguimiento y medición.
- Quién analizará y evaluará los resultados.
La organización conservará información documentada apropiada como evidencia de los resultados del monitoreo y medición. Una de las primeras consideraciones a tener en cuenta, es saber medir la eficacia y la eficiencia de un control y su aplicabilidad.
La organización deberá contemplar todas las áreas de control cuando implemente el proceso de monitorización, a partir de ahí determinará que apartados o controles son más relevantes y definirá los métodos de monitorización, medición, análisis y evaluación. Esta información debe ser retenida como información documentada del SGSI.
Auditoría interna
La organización debe llevar a cabo, a intervalos planificados, auditorías internas del SGSI para determinar si los objetivos de control, los controles, los procesos y los procedimientos de su SGSI:
- Están conformes con los requisitos de esta norma.
- Están conformes con la legislación o reglamentación pertinente.
- Están conformes con los requisitos de seguridad de la información identificados.
- Son implementados y mantenidos eficazmente.
- Se desempeñan como se esperaba.
Uno de los errores habituales que se localizan en las auditorías de certificación es que se establece por norma una única auditoría interna para la que se revisan todas las áreas del estándar con el objetivo de cumplir estrictamente con el requisito del estándar.
De este modo, se olvida el cumplimiento de considerar los resultados de las auditorías previas, de modo que, si en una auditoría se detectan desviaciones importantes en un área concreta.
Por este motivo, la programación de las auditorías debe ir acompañada con una definición de los criterios de auditoría, el alcance de la misma, su frecuencia y metodología. Se puede seguir las indicaciones del estándar ISO/IEC 19011, guía relevante para llevar a cabo auditorías de sistemas de gestión.
Se debe asegurar la objetividad e imparcialidad del proceso de auditoría de manera que los auditores no deban auditar su propio trabajo, deben ser competentes y tener conocimientos tanto del SGSI como de los principios de auditoría.
En relación a los resultados obtenidos y presentación de los informes de auditoría interna, la dirección responsable del área que haya sido auditada debe garantizar que se toman acciones sin demora injustificada, para eliminar las no conformidades que hayan podido ser detectadas en su ámbito, así como las causas origen del incumplimiento, con el objetivo de asegurar que las acciones correctivas son las más eficaces y evitar su repetición.
En este sentido, se deben establecer actividades de seguimiento que verifiquen que las acciones tomadas y el informe de los resultados de la verificación son satisfactorios.
Revisión por la dirección
La Dirección tiene la responsabilidad de revisar a intervalos planificados (al menos una vez al año) el SGSI de la organización. El objetivo es garantizar que el SGSI y las actividades del personal siguen siendo convenientes y adecuadas para una eficacia continua.
Entre los aspectos que se deben considerar para la revisión están:
- La evaluación de las oportunidades de mejora.
- La necesidad de efectuar cambios en el SGSI, incluyendo la política de seguridad de la información y los objetivos de seguridad de la información.
Los resultados de las revisiones deben documentarse claramente y deben mantenerse los registros, que habitualmente toman la forma de actas formales de revisión. La revisión por la Dirección es comparable a la revisión de seguimiento anual del negocio, donde se revisan las cifras importantes y se confirman y reconsideran ciertas planificaciones estratégicas de la organización, junto a la detección y dotación de recursos necesarios.
Del mismo modo, para la revisión por la Dirección del SGSI es necesario disponer, al menos, de información relevante respecto a los siguientes aspectos:
- Los resultados de auditorías del SGSI y las revisiones.
- La retroalimentación de las partes interesadas.
- Las técnicas, los productos o los procedimientos que podrían utilizarse en la organización para mejorar el desempeño y eficacia del SGSI.
- El estado de las acciones correctivas y preventivas.
- Las vulnerabilidades o amenazas no tratadas adecuadamente en la evaluación del riesgo previa.
- Los resultados de las mediciones de eficacia.
- Las acciones previas de seguimiento de revisiones por la Dirección.
- Cualquier cambio que puedan afectar el SGSI.
- Recomendaciones para la mejora.
Si la implantación de un SGSI es una labor que suele ir desde la intención y compromiso de las partes altas del organigrama hacia las personas situadas en la base del mismo, la revisión por parte de la Dirección debe disponer de información de la actividad relevante recolectada durante las operaciones del día a día por parte de todo el personal.
Tras un periodo de funcionamiento mínimo necesario del SGSI, se dispondrá de registros de actividad suficientes que se comunicarán y resumirán en sentido ascendente para que los más relevantes lleguen a la Dirección de la organización, y esta disponga de la mejor visión para generar resultados en la revisión, que deben incluir decisiones y acciones relacionadas con:
- La mejora de la eficacia del SGSI.
- La actualización de la evaluación del riesgo y del plan del tratamiento del riesgo.
- La modificación de los procedimientos y controles que afectan la seguridad de la información, cuando sea necesario, para responder a los eventos internos o externos que puedan impactar sobre el SGSI, incluyendo los cambios a:
- Los requisitos del negocio.
- Los requisitos de seguridad.
- Los procesos del negocio que afectan los requisitos del negocio existentes.
- Los requisitos reglamentarios o legales.
- Las obligaciones contractuales.
- Los niveles del riesgo y/o los criterios de aceptación de los riesgos.
- Las necesidades de recursos.
- La mejora de cómo está siendo medida la eficacia de los controles.