Estrategias clave para la implantación de ISO 27001 - ISO27000.es
Estrategias clave para la implantación de ISO 27001 - ISO27000.es
Estrategias clave para la implantación de ISO 27001 - ISO27000.es
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
• ¿Tiene imp<strong>la</strong>ntada <strong>la</strong> compañía un programa <strong>de</strong> concienciación en<br />
seguridad?<br />
Los esfuerzos realizados en <strong>la</strong> p<strong>la</strong>nificación y documentación <strong>de</strong>berían ir<br />
acompañados <strong>de</strong> un programa a<strong>de</strong>cuado <strong>de</strong> concienciación en seguridad TI<br />
<strong>para</strong> que todos los empleados reciban formación concerniente a <strong>la</strong>s necesida<strong>de</strong>s<br />
<strong>de</strong> <strong>la</strong> seguridad <strong>de</strong> <strong>la</strong> información.<br />
• ¿Se realizó alguna auditoria interna?<br />
Debe realizarse una auditoria interna <strong>para</strong> garantizar <strong>la</strong> conformidad con el<br />
estándar y <strong>la</strong> fi<strong>de</strong>lidad a <strong>la</strong>s políticas <strong>de</strong> seguridad <strong>de</strong> <strong>la</strong> organización y<br />
procedimientos.<br />
• ¿Se realizó algún análisis <strong>de</strong> diferencias?<br />
Otro importante parámetro que <strong>de</strong>be ser <strong>de</strong>terminado es el nivel <strong>de</strong> conformidad<br />
<strong>de</strong> <strong>la</strong> organización con respecto a los 133 controles <strong>de</strong>l estándar. Un análisis <strong>de</strong><br />
disparida<strong>de</strong>s ayuda a <strong>la</strong>s organizaciones a re<strong>la</strong>cionar los controles apropiados<br />
con <strong>la</strong> unidad <strong>de</strong> negocio pertinente y pue<strong>de</strong> llevarse a cabo durante cualquier<br />
momento <strong>de</strong>l proceso <strong>de</strong> conformidad. Muchas organizaciones realizan el<br />
análisis <strong>de</strong> diferencias al inicio <strong>de</strong>l proceso <strong>de</strong> conformidad con el objeto <strong>de</strong><br />
<strong>de</strong>terminar el nivel <strong>de</strong> madurez <strong>de</strong> <strong>la</strong> compañía.<br />
• ¿Fueron i<strong>de</strong>ntificadas e imp<strong>la</strong>ntadas <strong>la</strong>s acciones correctivas y<br />
preventivas?<br />
El estándar está asociado al ciclo P<strong>la</strong>n-Do-Check-Act" (PDCA) (PDF, 62KB) <strong>para</strong><br />
ayudar a <strong>la</strong> organización a conocer lo lejos que ha llegado y lo bien que lo ha<br />
hecho en cada ciclo. Esto influye directamente en <strong>la</strong>s estimaciones <strong>de</strong> tiempo y<br />
costes <strong>para</strong> lograr <strong>la</strong> conformidad. Para completar el ciclo PDCA, <strong>la</strong>s diferencias<br />
i<strong>de</strong>ntificadas en <strong>la</strong> auditoría interna <strong>de</strong>ben ser reconducidas mediante <strong>la</strong><br />
i<strong>de</strong>ntificación <strong>de</strong> los controles correctivos y preventivos que sean necesarios y <strong>la</strong><br />
conformidad <strong>de</strong> <strong>la</strong> compañía basada en el análisis <strong>de</strong> diferencias.<br />
• ¿Están establecidos los mecanismos <strong>para</strong> medir <strong>la</strong> efectividad <strong>de</strong> los<br />
controles?<br />
Medir <strong>la</strong> efectividad <strong>de</strong> los controles es una <strong>de</strong> <strong>la</strong>s últimas modificaciones<br />
introducidas en el estándar. Acor<strong>de</strong> a <strong>ISO</strong> <strong>27001</strong>, <strong>la</strong>s organizaciones <strong>de</strong>ben<br />
integrar métricas que permitan <strong>la</strong> medición <strong>de</strong> <strong>la</strong> efectividad <strong>de</strong> los controles y<br />
que generen resultados que puedan ser com<strong>para</strong>dos y reproducibles.<br />
• ¿Existe una supervisión <strong>de</strong> <strong>la</strong> evaluación <strong>de</strong>l riesgo y <strong>de</strong> los p<strong>la</strong>nes <strong>para</strong> el<br />
tratamiento <strong>de</strong>l riesgo?<br />
Las evaluaciones <strong>de</strong>l riesgo y <strong>de</strong> los p<strong>la</strong>nes <strong>para</strong> el tratamiento <strong>de</strong>l riesgo <strong>de</strong>ben<br />
revisarse a intervalos regu<strong>la</strong>res establecidos al menos anualmente como parte<br />
<strong>de</strong> <strong>la</strong> supervisión <strong>de</strong>l SGSI <strong>de</strong> <strong>la</strong> organización.