Seguridad de la información. La seguridad de la in!r"a#i$n es el #!n%un&! de "edidas 're(en&i(as ) rea#&i(as de las !rgani*a#i!nes ) de l!s sis&e"as &e#n!l$gi#!s +ue 'er"i&en resguardar ) 'r!&eger la in!r"a#i$n de un a"'li! rang! de a"ena*as 'ara asegurar la #!n&inuidad de las a#&i(idades de la ins&i&u#i$n ) "ini"i*ar da,!s- .us#and! "an&ener la #!niden#ialidadin&egridad ) dis'!ni.ilidad de la "is"a/ 0!) en d1a- 'ara el 2!".re #!"! indi(idu!- la seguridad de la in!r"a#i$n &iene un ee#&! signii#a&i(! res'e#&! a su 'ri(a#idad- la +ue 'uede #!.rar dis&in&as di"ensi!nes de'endiend! de la #ul&ura del "is"!/ De.id! a es&!- la in!r"a#i$n es un a#&i(! (ali!s! +ue 'uede i"'ulsar ! des&ruir una e"'resa ! a un indi(idu!/ Si se ges&i!na de !r"a ade#uada- le 'er"i&e &ra.a%ar #!n #!nian*a/ La ges&i$n de la seguridad de la in!r"a#i$n le !re#e li.er&ad 'ara #re#er- inn!(ar ) a"'liar su .ase de #lien&es sa.iend! +ue &!da su in!r"a#i$n #!niden#ial seguir3 si4nd!l!/ Es a+u1 d!nde surgen l!s Sis&e"as de Ges&i$n de Seguridad de la In!r"a#i$n- l!s #uales &ienen #!"! !.%e&i(! 'r!&eger la in!r"a#i$n- en&endiend! +ue la seguridad es un 'r!#es! +ue nun#a &er"ina- )a +ue l!s riesg!s nun#a se eli"inan- 'er! se 'ueden ges&i!nar/ Cuand! se 2a.la de es&!s &i'!s de sis&e"as ) n!r"as- se as!#ian in"edia&a"en&e #!n las N!r"as ISO 56778- la #ual es una n!r"a in&erna#i!nal e"i&ida '!r la Organi*a#i$n In&erna#i!nal de N!r"ali*a#i$n 9ISO ) des#ri.e #$"! ges&i!nar la seguridad de la in!r"a#i$n en una e"'resa/ La re(isi$n "3s re#ien&e de es&a n!r"a ue 'u.li#ada en 578; ) a2!ra su n!".re #!"'le&! es ISOS 66??@5/ ISO 56778 'uede ser i"'le"en&ada en #ual+uier &i'! de !rgani*a#i$n- #!n ! sin ines de lu#r!- 'ri(ada ! '.li#a- 'e+ue,a ! grande/ Es&3 reda#&ada '!r l!s "e%!res es'e#ialis&as del "und! en el &e"a ) 'r!'!r#i!na una "e&!d!l!g1a 'ara i"'le"en&ar la ges&i$n de la seguridad de la in!r"a#i$n en una !rgani*a#i$n/ Ta".i4n 'er"i&e +ue una e"'resa sea #er&ii#adaB es&! signii#a +ue una en&idad de #er&ii#a#i$n inde'endien&e #!nir"a +ue la seguridad de la in!r"a#i$n 2a sid! i"'le"en&ada en esa !rgani*a#i$n en #u"'li"ien&! #!n la n!r"a ISO 56778/ ¿Cómo
funciona la ISO 27001?
El e%e #en&ral de ISO 56778 es 'r!&eger la #!niden#ialidad- in&egridad ) dis'!ni.ilidad de la in!r"a#i$n en una e"'resa/ Es&! l! 2a#e in(es&igand! #u3les s!n l!s '!&en#iales 'r!.le"as +ue '!dr1an ae#&ar la in!r"a#i$n 9es de#ir- la e(alua#i$n de riesg!s ) lueg! deiniend! l! +ue es ne#esari! 2a#er 'ara e(i&ar +ue es&!s 'r!.le"as se 'r!du*#an 9es de#ir- "i&iga#i$n ! &ra&a"ien&! del riesg!/ P!r l! &an&!- la il!s!1a 'rin#i'al de la n!r"a ISO 56778 se .asa en la ges&i$n de riesg!s: in(es&igar d$nde es&3n l!s riesg!s ) lueg! &ra&arl!s sis&e"3&i#a"en&e/
Las "edidas de seguridad 9! #!n&r!les +ue se (an a i"'le"en&ar se 'resen&an- '!r l! general- .a%! la !r"a de '!l1&i#as- 'r!#edi"ien&!s e i"'le"en&a#i$n &4#ni#a 9'!r e%e"'l!s!&are ) e+ui'!s/ Sin e".arg!- en la "a)!r1a de l!s #as!s- las e"'resas )a &ienen &!d! el 2ardare ) s!&are 'er! u&ili*an de una !r"a n! seguraB '!r l! &an&!- la "a)!r 'ar&e de la i"'le"en&a#i$n de ISO 56778 es&ar3 rela#i!nada #!n de&er"inar las reglas !rgani*a#i!nales 9'!r e%e"'l!- reda##i$n de d!#u"en&!s ne#esarias 'ara 're(enir (i!la#i!nes de la seguridad/ C!"! es&e &i'! de i"'le"en&a#i$n de"andar3 la ges&i$n de "l&i'les '!l1&i#as'r!#edi"ien&!s- 'ers!nas- .ienes- e/- ISO 56778 2a de&allad! #$"! a"alga"ar &!d!s es&!s ele"en&!s den&r! del sis&e"a de ges&i$n de seguridad de la in!r"a#i$n 9SGSI/ P!r es!- la ges&i$n de la seguridad de la in!r"a#i$n n! se a#!&a s!la"en&e a la seguridad de TI 9'!r e%e"'l!- #!r&aueg!s- an&i@(irus- sin! +ue &a".i4n &iene +ue (er #!n la ges&i$n de 'r!#es!s- de l!s re#urs!s 2u"an!s- #!n la 'r!&e##i$n %ur1di#a- la 'r!&e##i$n 1si#a- en&re !&r!s/ ¿Por qué hizo 27001 e im!or"an"e !ara u em!rea? 0a) (en&a%as #!"er#iales esen#iales +ue una e"'resa 'uede !.&ener #!n la i"'le"en&a#i$n de es&a n!r"a 'ara la seguridad de la in!r"a#i$n:
Cumplir con los requerimientos legales: #ada (e* 2a) "3s ) "as le)es- n!r"a&i(as ) re+ueri"ien&!s #!n&ra#&uales rela#i!nad!s #!n la seguridad de la in!r"a#i$n/ La .uena n!&i#ia es +ue la "a)!r1a de ell!s se 'ueden res!l(er i"'le"en&and! ISO 56778 )a +ue es&a n!r"a le 'r!'!r#i!na una "e&!d!l!g1a 'ere#&a 'ara #u"'lir #!n &!d!s ell!s/
Obtener una ventaja comercial: si su e"'resa !.&iene la #er&ii#a#i$n ) sus #!"'e&id!res n!- es '!si.le +ue us&ed !.&enga una (en&a%a s!.re ell!s an&e l!s !%!s de l!s #lien&es a l!s +ue es in&eresa "an&ener en !r"a segura su in!r"a#i$n/ Menores costos: la il!s!1a 'rin#i'al de IsO 56778 es e(i&a +ue se 'r!du*#an
in#iden&es de seguridad- ) #ada in#iden&e- )a sea grande ! 'e+ue,!- #ues&a diner!B '!r l! &an&!B e(i&3nd!l!s su e"'resa (a a a2!rrar "u#2! diner!/ Y l! "e%!r de &!d! es +ue la in(ersi$n en ISO 56778 es "u#2! "en!r +ue el a2!rr! +ue !.&endr3/ Una mejor organización: en general- las e"'resas de r3'id! #re#i"ien&! n! &ienen
&ie"'! 'ara 2a#er una 'ausa 'ara deinir sus 'r!#es!s ) 'r!#edi"ien&!sB #!"! #!nse#uen#ia- "u#2as (e#es l!s e"'lead!s n! sa.en +ue 2a) +ue 2a#er- #u3nd! ) +ui4n de.e 2a#erl!/ La i"'le"en&a#i$n de ISO 56778 a)uda a res!l(er es&e &i'! de si&ua#i!nes )a +ue alien&a a las e"'resas a es#ri.ir sus 'rin#i'ales 'r!#es!s 9in#lus! l!s +ue n! es&3n rela#i!nad!s #!n la seguridad- l! +ue les 'er"i&e redu#ir el &ie"'! 'erdid! de sus e"'lead!s/ ¿Cómo im!lemen"ar ISO 27001? Para i"'le"en&ar la n!r"a ISO 56778 en una e"'resa- us&ed &iene +ue seguir es&!s 8 'as!s: ➢
O.&ener el a'!)! de la dire##i$n/
➢
U&ili*ar una "e&!d!l!g1a 'ara ges&i$n de 'r!)e#&!s/
➢
Deinir el al#an#e del SGSI/
➢
Reda#&ar una '!l1&i#a de al&! ni(el s!.re seguridad de la in!r"a#i$n/
➢
Deinir la "e&!d!l!g1a de e(alua#i$n de riesg!s/
➢
Reali*ar la e(alua#i$n ) el &ra&a"ien&! de riesg!s/
➢
Reda#&ar la De#lara#i$n de a'li#a.ilidad/
➢
Reda#&ar el Plan de &ra&a"ien&! de riesg!s/
➢
Deinir la !r"a de "edir la ee#&i(idad de sus #!n&r!les ) de su SGSI/
I"'le"en&ar 'r!gra"as de #a'a#i&a#i$n ) #!n#ien#ia#i$n/
➢
Reali*ar &!das las !'era#i!nes diarias es&a.le#idas en la d!#u"en&a#i$n de su SGSI/
➢
M!ni&!rear ) "edir su SGSI/
➢
Reali*ar la audi&!r1a in&erna/
➢
Reali*ar la re(isi$n '!r 'ar&e de la dire##i$n/
➢
I"'le"en&ar "edidas #!rre#&i(as.
#ocumen"ación. La d!#u"en&a#i$n de es&e &i'! de sis&e"as- n!r"al"en&e se 'uede en#!n&rar en una 'ir3"ide de #ua&r! 9 'is!s- de la siguien&e !r"a:
Documentos de nivel 1: 1. Manual de seguridad: d!#u"en&! +ue ins'ira ) dirige &!d! el sis&e"a- el +ue e'!ne ) de&er"ina las in&en#i!nes- al#an#e- !.%e&i(!s- res'!nsa.ilidades- '!l1&i#as ) dire#&ri#es 'rin#i'ales del SGSI/
Documentos de nivel 2: 1. rocedimientos: d!#u"en&!s en el ni(el !'era&i(!- +ue aseguran +ue se reali#en de !r"a ei#a* la 'lanii#a#i$n- !'era#i$n ) #!n&r!l de l!s 'r!#es!s de seguridad de la in!r"a#i$n/
Documentos de nivel !: 1. "nstrucciones# c$ec%list & 'ormularios: d!#u"en&!s +ue des#ri.en #$"! se reali*an las &areas ) las a#&i(idades es'e#1i#as rela#i!nadas #!n la seguridad de la in!r"a#i$n/
Documentos de nivel (: 1. )egistros: d!#u"en&!s +ue 'r!'!r#i!nan una e(iden#ia !.%e&i(a del #u"'li"ien&! de l!s re+uisi&!s del SGSIB es&3n as!#iad!s a d!#u"en&!s de l!s !&r!s &res ni(eles #!"! !u&'u& +ue de"ues&ra +ue se 2a #u"'lid! l! indi#ad! en l!s "is"!s/ De "anera es'e#1i#a- ISO 56778 indi#a +ue un SGSI de.e es&ar !r"ad! '!r l!s siguien&es d!#u"en&!s 9en #ual+uier !r"a&! ! &i'! de "edi!:
Al#an#e del SGSI: 3".i&! de la !rgani*a#i$n +ue +ueda s!"e&id! al SGSI- in#lu)end! una iden&ii#a#i$n #lara de las de'enden#iasrela#i!nes ) l1"i&es +ue eis&en en&re el al#an#e ) a+uellas 'ar&es +ue n! 2a)an sid! #!nsideradas 9en a+uell!s #as!s en l!s +ue el 3".i&! de inluen#ia del SGSI #!nsidere un su.#!n%un&! de la !rgani*a#i$n #!"! delega#i!nes- di(isi!nes- 3reas- 'r!#es!s- sis&e"as ! &areas #!n#re&as/
P!l1&i#as ) !.%e&i(!s de seguridad: d!#u"en&! de #!n&enid! gen4ri#! +ue es&a.le#e el #!"'r!"is! de la dire##i$n ) el en!+ue de la !rgani*a#i$n en la ges&i$n de la seguridad de la in!r"a#i$n/
Pr!#edi"ien&!s ) "e#anis"!s +ue s!'!r&an al SGSI: a+uell!s 'r!#edi"ien&!s +ue regulan el 'r!'i! un#i!na"ien&! del SGSI/
En!+ue de e(alua#i$n de riesg!s: des#ri'#i$n de la "e&!d!l!g1a a e"'lear 9#$"! se reali*ar3 la e(alua#i$n de las a"ena*as(ulnera.ilidades- 'r!.a.ilidades de !#urren#ia e i"'a#&!s en rela#i$n a l!s a#&i(!s de in!r"a#i$n #!n&enid!s den&r! del al#an#e sele##i!nad!desarr!ll! de #ri&eri!s de a#e'&a#i$n de riesg! ) i%a#i$n de ni(eles de riesg! a#e'&a.les/
In!r"e de e(alua#i$n de riesg!s: es&udi! resul&an&e de a'li#ar la "e&!d!l!g1a de e(alua#i$n an&eri!r"en&e "en#i!nada a l!s a#&i(!s de in!r"a#i$n de la !rgani*a#i$n/
Plan de &ra&a"ien&! de riesg!s: d!#u"en&! +ue iden&ii#a las a##i!nes de la dire##i$n- l!s re#urs!s- las res'!nsa.ilidades ) las 'ri!ridades 'ara ges&i!nar l!s riesg!s de seguridad de la in!r"a#i$n- en un#i$n de las #!n#lusi!nes !.&enidas de la e(alua#i$n de riesg!s- de l!s !.%e&i(!s de #!n&r!l iden&ii#ad!s- de l!s re#urs!s dis'!ni.les- en&re !&r!s/
Pr!#edi"ien&!s d!#u"en&ad!s: &!d!s l!s ne#esari!s 'ara asegurar la 'lanii#a#i$n- !'era#i$n ) #!n&r!l de l!s 'r!#es!s de seguridad de la in!r"a#i$n- as1 #!"! 'ara la "edida de la ei#a#ia de l!s #!n&r!les i"'lan&ad!s/
Regis&r!s: d!#u"en&!s +ue 'r!'!r#i!nan e(iden#ias de la #!n!r"idad #!n l!s re+uisi&!s ) del un#i!na"ien&! ei#a* del SGSI/
De#lara#i$n de a'li#a.ilidad: 9SOA @S&a&e"en& ! A''li#a.ili&)@- en sus siglas inglesasB d!#u"en&! +ue #!n&iene l!s !.%e&i(!s de #!n&r!l ) l!s #!n&r!les #!n&e"'lad!s '!r el SGSI- .asad! en l!s resul&ad!s de l!s 'r!#es!s de e(alua#i$n ) &ra&a"ien&! de riesg!s- %us&ii#and! in#lusi!nes ) e#lusi!nes/
Con"rol de la documen"ación.
Para l!s d!#u"en&!s generad!s se de.e es&a.le#er- d!#u"en&ar- i"'lan&ar ) "an&ener un 'r!#edi"ien&! +ue deina las a##i!nes de ges&i$n ne#esarias 'ara:
A'r!.ar d!#u"en&!s a'r!'iad!s an&es de su e"isi$n/
Garan&i*ar +ue l!s d!#u"en&!s 'r!#eden&es del e&eri!r es&3n iden&ii#ad!s/
Garan&i*ar +ue la dis&ri.u#i$n de d!#u"en&!s es&3 #!n&r!lada/
Pre(enir la u&ili*a#i$n de d!#u"en&!s !.s!le&!s/
A'li#ar la iden&ii#a#i$n a'r!'iada a d!#u"en&!s +ue s!n re&enid!s #!n algn 'r!'$si&!/
¿Cómo e im!lemen"a un S$SI? Para es&a.le#er ) ges&i!nar un Sis&e"a de Ges&i$n de la Seguridad de la In!r"a#i$n en .ase a ISO 56778- se u&ili*a el #i#l! #!n&inu! PDCA:
8)NI9IC)+ PLAN
')CE+ DO
E+I9IC)+ CHECK
MEJORAS CONTINUAS
)C6)+ ACT
lan: Es&a.le#er el SGSI/ 8/ Deinir el al#an#e del SGSI en &4r"in!s del neg!#i!- la !rgani*a#i$n- su l!#ali*a#i$n- a#&i(!s ) &e#n!l!g1as- in#lu)end! de&alles ) %us&ii#a#i$n de #ual+uier e#lusi$n/ 5/ Deinir una '!l1&i#a de seguridad +ue:
In#lu)a el "ar#! general ) l!s !.%e&i(!s de seguridad de la in!r"a#i$n de la !rgani*a#i$n/
C!nsidere re+ueri"ien&!s legales ! #!n&ra#&uales rela&i(!s a la seguridad de la in!r"a#i$n/
Es&4 alineada #!n el #!n&e&! es&ra&4gi#! de ges&i$n de riesg!s de la !rgani*a#i$n en el +ue se es&a.le#er3 ) "an&endr3 el SGSI/
Es&a.le*#a l!s #ri&eri!s #!n l!s +ue se (a a e(aluar el riesg!/
Es&4 a'r!.ada '!r la dire##i$n/
;/ Deinir una "e&!d!l!g1a de e(alua#i$n del riesg! a'r!'iada 'ara el SGSI ) l!s re+ueri"ien&!s del neg!#i!- ade"3s de es&a.le#er l!s #ri&eri!s de a#e'&a#i$n del riesg! ) es'e#ii#ar l!s ni(eles de riesg! a#e'&a.le/ L! 'ri"!rdial de es&a "e&!d!l!g1a es +ue l!s resul&ad!s !.&enid!s sean #!"'ara.les ) re'e&i.les 9eis&en nu"er!sas "e&!d!l!g1as es&andari*adas 'ara la e(alua#i$n de riesg!s- aun+ue es 'ere#&a"en&e a#e'&a.le deinir una 'r!'ia/ / Iden&ii#ar l!s riesg!s:
Iden&ii#ar l!s a#&i(!s +ue es&3n den&r! del al#an#e del SGSI ) a sus res'!nsa.les dire#&!s- den!"inad!s 'r!'ie&ari!s/
Iden&ii#ar las a"ena*as en rela#i$n a l!s a#&i(!s/
Iden&ii#ar las (ulnera.ilidades +ue 'uedan ser a'r!(e#2adas '!r di#2as a"ena*as/
Iden&ii#ar l!s i"'a#&!s en la #!niden#ialidad- in&egridad ) dis'!ni.ilidad de l!s a#&i(!s/
=/ Anali*ar ) e(aluar l!s riesg!s:
E(aluar el i"'a#&! en el neg!#i! de un all! de seguridad +ue su'!nga la '4rdida de #!niden#ialidad- in&egridad ! dis'!ni.ilidad de un a#&i(! de in!r"a#i$n/
E(aluar de !r"a realis&a la 'r!.a.ilidad de !#urren#ia de un all! de seguridad en rela#i$n a las a"ena*as- (ulnera.ilidades- i"'a#&!s en l!s a#&i(!s ) l!s #!n&r!les +ue )a es&4n i"'le"en&ad!s/
Es&i"ar l!s ni(eles de riesg!/
De&er"inar- segn l!s #ri&eri!s de a#e'&a#i$n de riesg! 're(ia"en&e es&a.le#id!s- si el riesg! es a#e'&a.le ! ne#esi&a ser &ra&ad!/
/ Iden&ii#ar ) e(aluar las dis&in&as !'#i!nes de &ra&a"ien&! de l!s riesg!s 'ara:
A'li#ar #!n&r!les ade#uad!s/
A#e'&ar el riesg!- sie"'re ) #uand! se siga #u"'liend! #!n las '!l1&i#as ) #ri&eri!s es&a.le#id!s 'ara la a#e'&a#i$n de l!s riesg!s/
E(i&ar el riesg!/
Transerir el riesg! a &er#er!s/
6/ Sele##i!nar l!s !.%e&i(!s de #!n&r!l ) l!s #!n&r!les ISO 56778 'ara el &ra&a"ien&! del riesg! +ue #u"'lan #!n l!s re+ueri"ien&!s iden&ii#ad!s en el 'r!#es! de e(alua#i$n del riesg!/ / A'r!.ar '!r 'ar&e de la dire##i$n &an&! l!s riesg!s residuales #!"! la i"'lan&a#i$n ) us! del SGSI/ ?/ Deinir una de#lara#i$n de a'li#a.ilidad +ue in#lu)a:
L!s !.%e&i(!s de #!n&r!l ) #!n&r!les sele##i!nad!s ) l!s "!&i(!s 'ara su ele##i$n/
L!s !.%e&i(!s de #!n&r!l ) #!n&r!les del Ane! A e#luid!s ) l!s "!&i(!s 'ara su e#lusi$nB es&e es un "e#anis"! +ue 'er"i&e- ade"3s- de&e#&ar '!si.les !"isi!nes in(!lun&arias/
Do: I"'le"en&ar ) u&ili*ar el SGSI/ 8/ Deinir un 'lan de &ra&a"ien&! de riesg!s +ue iden&ii+ue las a##i!nes- re#urs!sres'!nsa.ilidades ) 'ri!ridades en la ges&i$n de l!s riesg!s de seguridad de la in!r"a#i$n/ 5/ I"'lan&ar el 'lan de &ra&a"ien&! de riesg!s- #!n el in de al#an*ar l!s !.%e&i(!s de #!n&r!l iden&ii#ad!s- in#lu)end! la asigna#i$n de re#urs!s- res'!nsa.ilidades ) 'ri!ridades/ ;/ I"'le"en&ar l!s #!n&r!les an&eri!r"en&e sele##i!nad!s +ue lle(en a l!s !.%e&i(!s de #!n&r!l/
/ Deinir un sis&e"a de "4&ri#as +ue 'er"i&a !.&ener resul&ad!s re'r!du#i.les ) #!"'ara.les 'ara "edir la ei#a#ia de l!s #!n&r!les ! gru'!s de #!n&r!les/ =/ Pr!#urar 'r!gra"as de !r"a#i$n ) #!n#ien#ia#i$n en rela#i$n a la seguridad de la in!r"a#i$n a &!d! el 'ers!nal/ / Ges&i!nar las !'era#i!nes del SGSI/ 6/ Ges&i!nar l!s re#urs!s ne#esari!s asignad!s al SGSI 'ara el "an&eni"ien&! de la seguridad de la in!r"a#i$n/ / I"'lan&ar 'r!#edi"ien&!s ) #!n&r!les +ue 'er"i&an una r3'ida de&e##i$n ) res'ues&a a l!s in#iden&es de seguridad/
C$ec%: "!ni&!rear ) re(isar el SGSI/ 8/ E%e#u&ar 'r!#es!s de "!ni&!ri*a#i$n ) re(isi$n 'ara:
De&e#&ar a &ie"'! l!s err!res en l!s resul&ad!s generad!s '!r el 'r!#edi"ien&! de in!r"a#i$n/
Iden&ii#ar .re#2as e in#iden&es de seguridad/
A)udar a la dire##i$n a de&er"inar si las a#&i(idades desarr!lladas '!r las 'ers!nas ) dis'!si&i(!s &e#n!l$gi#!s 'ara garan&i*ar la seguridad de la in!r"a#i$n se desarr!llan en rela#i$n a l! 're(is&!/ De&e#&ar ) 're(enir e(en&!s e in#iden&es de seguridad "edian&e el us! de indi#ad!res/
De&er"inar si las a##i!nes reali*adas 'ara res!l(er .re#2as de seguridad uer!n ee#&i(as/
5/ Re(isar regular"en&e la ee#&i(idad del SGSI- a&endiend! al #u"'li"ien&! de la '!l1&i#a ) !.%e&i(!s del SGSI- l!s resul&ad!s de audi&!r1as de seguridad- in#iden&esresul&ad!s de las "edi#i!nes de ei#a#ia- sugeren#ias ) !.ser(a#i!nes de &!das las 'ar&es i"'li#adas/ ;/ Medir la ee#&i(idad de l!s #!n&r!les 'ara (erii#ar +ue se #u"'le #!n l!s re+uisi&!s de seguridad/ / Re(isar regular"en&e en in&er(al!s 'lanii#ad!s las e(alua#i!nes de riesg!- l!s riesg!s residuales ) sus ni(eles a#e'&a.les- &eniend! en #uen&a l!s '!si.les #a".i!s +ue 2a)an '!did! 'r!du#irse en la !rgani*a#i$n- la &e#n!l!g1a- l!s !.%e&i(!s ) 'r!#es!s de neg!#i!- las a"ena*as iden&ii#adas- la ee#&i(idad de l!s #!n&r!les i"'le"en&ad!s ) el en&!rn! e&eri!r @re+ueri"ien&!s legales- !.liga#i!nes #!n&ra#&uales- en&re !&r!s@/ =/ Reali*ar 'eri$di#a"en&e audi&!r1as in&ernas del SGSI en in&er(al!s 'lanii#ad!s/
/ Re(isar el SGSI '!r 'ar&e de la dire##i$n 'eri$di#a"en&e 'ara garan&i*ar +ue el al#an#e deinid! sigue siend! el ade#uad! ) +ue las "e%!ras en el 'r!#es! del SGSI s!n e(iden&es/ 6/ A#&uali*ar l!s 'lanes de seguridad en un#i$n de las #!n#lusi!nes ) nue(!s 2alla*g!s en#!n&rad!s duran&e las a#&i(idades de "!ni&!ri*a#i$n ) re(isi$n/ / Regis&rar a##i!nes ) e(en&!s +ue 'uedan 2a.er i"'a#&ad! s!.re la ee#&i(idad ! el rendi"ien&! del SGSI/
*ct: A#&i(ar ) "an&ener el SGSI/ 8/ La !rgani*a#i$n de.er3 regular"en&e:
I"'lan&ar en el SGSI las "e%!ras iden&ii#adas/
Reali*ar las a##i!nes 're(en&i(as ) #!rre#&i(as ade#uadas en rela#i$n a la #lasula de ISO 56778 ) a las le##i!nes a'rendidas de las e'erien#ias 'r!'ias ) de !&ras !rgani*a#i!nes/
C!"uni#ar las a##i!nes ) "e%!ras a &!das las 'ar&es in&eresadas #!n el ni(el de de&alle ade#uad! ) a#!rdar- si es 'er&inen&e- la !r"a de 'r!#eder/
Asegurarse +ue las "e%!ras in&r!du#idas al#an*an l!s !.%e&i(!s 're(is&!s/
PDCA es un #i#l! de (ida #!n&inu!- l! #ual +uiere de#ir +ue la ase de A#& lle(a de nue(! a la ase de Plan 'ara ini#iar un nue(! #i#l! de las #ua&r! ases/ T4ngase en #uen&a +ue n! &iene +ue 2a.er una se#uen#ia es&ri#&a de las ases/ %e!ona&ilidad de mando. La dire##i$n de.e 'r!(eer e(iden#ia de su #!"'r!"is! #!n el es&a.le#i"ien&!i"'le"en&a#i$n- !'era#i$n- segui"ien&!- re(isi$n- "an&eni"ien&! ) "e%!ra del SGSI/ En&re l!s "3s rele(an&es es&3n las '!l1&i#as de ges&i$n de riesg!s ) (elar '!r+ue se 'r!&e%a la in!r"a#i$n/ Se de.e ges&i!nar &!d! l! 'er&inen&e #!n el 'ers!nal 'ara +ue es&4n .ien #alii#ad! ) #u"'la #!n las 2a.ilidades ne#esarias 'ara "an&ener el SGSI- as1 #!"! la #a'a#i&a#i$n ne#esaria/ 'udi"oria S$SI in"erna. Se de.en de reali*ar audi&!r1as in&ernas en in&er(al!s 'lanii#ad!s de &ie"'! 'ara garan&i*ar +ue se #u"'lan el #!n&r!l- !.%e&i(!s- #!n&r!les- 'r!#es!s ) 'r!#edi"ien&!s de su SGSI/ Para ell! se de.e de seguir una serie de 'as!s de&er"inad!s '!r la n!r"a +ue se es&3 anali*and!/ ()amen de la ge"ión del S$SI.
Se de.er3 re(isar la !rgani*a#i$n de la SGSI en in&er(al!s de &ie"'!- de '!r l! "en!s una (e* al a,!- 'ara garan&i*ar su ade#ua#i$n ) ei#a#ia/ Es&e es&udi! de.e in#luir la '!l1&i#a de seguridad de la in!r"a#i$n ) l!s !.%e&i(!s de di#2a seguridad/ L!s resul&ad!s de es&e an3lisis de.er3n es&ar ade#uada"en&e d!#u"en&ad!s/ *e+ora con"inua. La !rgani*a#i$n de.er3 "e%!rar #!n&inua"en&e la SGI a &ra(4s del us! de '!l1&i#as de seguridad de la in!r"a#i$n- l!s !.%e&i(!s de seguridad de la in!r"a#i$n- resul&ad!s de audi&!r1as- an3lisis de l!s e(en&!s de segui"ien&!- #!rre#&i(as ) de a##i!nes 're(en&i(as ) re(isi$n de la ges&i$n/ Es '!r l! "en#i!nad! an&eri!r"en&e- +ue las '!l1&i#as de in!r"a#i$n se #!nsideran "u) i"'!r&an&es en una e"'resa- )a +ue deinen l! +ue se 'uede 2a#er ) l! +ue es&3 'r!2i.id! den&r! de un sis&e"a de in!r"a#i$n/ Es&as reglas es&a.le#en res'!nsa.les en una #!"'a,1a- l! #ual es de "u#2a i"'!r&an#ia ) aunad! a es&!- se es&a.le#en 'ar3"e&r!s de seguridad de la in!r"a#i$n en una !rgani*a#i$n/