La mejora continua del SGSI

No conformidad y acciones correctivas

El principal elemento del proceso de mejora son las no conformidades identificadas, las cuales tienen que contabilizarse y compararse con las acciones correctivas para asegurar que no se repitan y que las acciones correctivas sean efectivas.

Cuando se produce una no conformidad la organización debe:

1. Reaccionar a la inconformidad y, según sea el caso:
   1. Adoptar medidas para controlar y corregir.
   2. Hacer frente a las consecuencias.
2. Evaluar la necesidad de adoptar medidas para eliminar las causas de no conformidad, con el fin de que no vuelva a ocurrir o que no se produzcan en otros lugares, a través de:
   1. La revisión de la no conformidad.
   2. Determinar las causas de la no conformidad.
   3. Determinar si existen incumplimientos similares o si potencialmente podrían ocurrir
3. Poner en práctica las medidas oportunas.
4. Revisar la eficacia de las medidas correctivas tomadas.
5. Realizar cambios en el Sistema de Gestión de Seguridad de la Información, si es necesario.

Las acciones correctivas deben ser apropiadas a los efectos de las no conformidades encontradas.

Se debe conservar información documentada como evidencia de:

1. La naturaleza de las no conformidades y de cualquier acción tomada posteriormente.
2. Los resultados de cualquier acción correctiva.

Elementos de mejora

Las actividades relacionadas con la mejora continua guían a la organización a mejorar continuamente la eficacia del SGSI mediante la revisión de:

1. La política de seguridad de la información.
2. Los objetivos de seguridad de la información.
3. Los resultados de las auditorías.
4. El análisis de los eventos seguidos.
5. Las acciones correctivas y preventivas.
6. La revisión por la Dirección.

Se puede observar que dentro de esta lista el estándar no menciona la aplicación de controles como parte de las actividades de la mejora continua y es que, una vez implantado el SGSI, la aplicación de nuevos controles sólo tiene sentido en base a consideraciones de coste/beneficio, si se detectan cambios en las actividades, contexto u objetivos de la organización y/o en base a la experiencia y la detección de situaciones que excedan los niveles de exposición y aceptación del riesgo asumible por la Dirección.

La política de la seguridad de la información

La política de seguridad debe ser revisada en intervalos planificados o si cambios significantes ocurren, con el fin de asegurar su uso continuo, adecuación y efectividad.

La revisión debe incluir oportunidades de evaluación para mejorar la política de seguridad de información de la organización y un acercamiento a la gestión de seguridad de información en respuesta a los cambios del ambiente organizacional, circunstancias del negocio, condiciones legales o cambios en el ambiente técnico. La revisión de la política de seguridad de la información debe tomar en cuenta los resultados de las revisiones de la gestión de la seguridad, pero también de las actividades generales de la propia organización relevantes para el alcance de aplicación del SGSI.

Dentro del proceso de revisión de la política, se recomienda disponer de información relevante acerca de:

1. Retroalimentación de terceros interesados (p.ej.: clientes, proveedores, accionistas, etc.).
2. Resultados de revisiones independientes (p.ej.: auditorías internas).
3. Estado sobre acciones preventivas y correctivas.
4. Resultados de revisiones de gestión anteriores.
5. Desarrollo del proceso y estado del cumplimiento de la política de seguridad de la información.
6. Cambios que pueden afectar el alcance de la organización para gestionar la seguridad de la información, incluyendo cambios en el ambiente de la organización, circunstancias del negocio, disponibilidad de recursos, condiciones contractuales, regulatorias y legales o cambios en el ambiente técnico.
7. Tendencias relacionadas con amenazas y vulnerabilidades.
8. Incidentes registrados en seguridad de la información.
9. Recomendaciones dadas por autoridades relevantes (p.ej.: organizaciones estatales, centros de alerta temprana, organismos con responsabilidades en delitos informáticos, etc.).

Como resultado de la revisión y aprobación por parte de la gerencia, se debería incluir información acerca de posibles mejoras en el alcance de la organización para gestionar la seguridad de información y sus procesos, mejoras en los objetivos de control y los controles establecidos por la organización, así como mejoras en la asignación de recursos y/o responsabilidades.

Objetivos de la seguridad de la información

La medición de la eficacia de los controles para verificar que los requisitos de seguridad hayan sido cumplidos es uno de los aspectos que suele ser más complicado abordar en los ciclos PDCA iniciales y el motivo de desarrollo del estándar ISO/IEC 27004 como guía útil de ayuda en este aspecto.

La revisión de las evaluaciones del riesgo a intervalos planificados, revisar los riesgos residuales y los niveles de riesgos aceptables identificados, debe tomar en cuenta:

1. Los cambios en la organización (p.ej.: incorporación significativa de nueva plantilla, o servicios).
2. La tecnología (p.ej.: nuevas soluciones de almacenamiento de información o de acceso físico).
3. Los objetivos y los procesos del negocio (p.ej.: nuevos servicios o productos previstos).
4. Las amenazas identificadas.
5. La eficacia de los controles implementados (como se indica en la cláusula 4.2.2 d de la norma).
6. Los eventos externos (p.ej.: los cambios para el entorno legal o reglamentario, las obligaciones contractuales modificadas y los cambios en el clima social).
7. La implantación de indicadores clave específicos y analizar los datos que nos aportan es una labor para la que hay que disponer de recursos suficientes.

Análisis de eventos

El objetivo del análisis de los eventos de seguridad que se produzcan es asegurar que los eventos y debilidades en la seguridad de la información asociados con los sistemas de información sean comunicados de una manera que permita que se realice una acción correctiva a tiempo.

Partiendo de un procedimiento de notificación de incidentes, es habitual disponer de mecanismos de escalado para su tratamiento, y en función tanto de la urgencia necesaria en su tratamiento como de unos tiempos mínimos establecidos para cada nivel, de modo que las incidencias no se queden estancadas pendientes de su tratamiento.

Se debe requerir que den parte de cualquier evento o debilidad en la seguridad de la información, lo más rápido posible, al punto de contacto designado, para que puedan ser gestionados puntualmente y de manera organizada mediante los canales apropiados establecidos.

Un procedimiento formal de notificación de eventos de seguridad de la información debe ser establecido junto a una respuesta apropiada a las incidencias y procedimientos de escalado, estableciendo las acciones que deben ser tomadas en cuenta por cada uno de los implicados en las tareas relacionadas al recibir una notificación o ticket.

Gestión de las mejoras e incidentes en la seguridad de la información

Para asegurar el objetivo de un alcance consistente y efectivo aplicado a la gestión de incidentes en la seguridad de información, se deben establecer responsabilidades y procedimientos para gestionar los eventos y debilidades en la seguridad de la información de una manera efectiva una vez que hayan sido notificados.

Se debe aplicar, así mismo, un proceso de mejora continua en relación a aquellas actividades de monitorización, evaluación y gestión general de los incidentes en la seguridad de la información, de modo que cada vez sean lo más eficientes posibles y consuman los recursos únicamente que demuestren ser imprescindibles dentro de los parámetros de funcionamiento establecidos y asumidos por la Dirección de la organización.

Donde se requiera la recogida de evidencias con carácter legal se debe asegurar la atención y el cumplimiento de los requisitos legales. Como herramienta adicional a la comunicación de eventos y debilidades en la seguridad de la información, las entidades disponen de diversos mecanismos establecidos para la monitorización de los sistemas, alertas y vulnerabilidades, y que deben ser utilizados en conjunto para detectar e investigar los incidentes en la seguridad de la información.