La revisión del sistema por parte de la dirección es un requisito de la norma ISO 27001 dentro del capítulo 9 en el punto “9.3 Revisión de Gestión”

INPORTANCIA DE LA REVISION DEL SISTEMA

La revisión del sistema de gestión es otro de los puntos clave dentro de la norma y que pudiera pasar desapercibido ya que a menudo no se le da la importancia que tiene realmente.

Si tomamos este requisito como uno más del estándar y lo realizamos para cumplir solamente podríamos pasar por alto que este requisito es el que permite mantener vivo a un sistema de Gestión y permitir que el sistema de gestión cumpla con su verdadera función dentro de las buenas prácticas en seguridad de la información.

Con más frecuencia de lo deseado nos encontramos con que esta revisión se hace solo para satisfacer al auditor de certificación, pero al hacerlo, se pierde una gran oportunidad para que su alta dirección participe activamente en la seguridad de la información.

OBJETIVO DE LA REVISION POR LA DIRECCION

El objetivo de la Revisión del SGSI por la dirección es doble:

  • Garantizar que el SGSI y sus objetivos continúen siendo adecuados y efectivos
  • Revisar la validez de los problemas identificados y los riesgos de la organización.

No se trata de abordar de nuevo estos temas que ya se habrán abordado anteriormente en 4.1 La Organización y su contexto , 4.2 Los requisitos de las partes interesadas , y 6.1. Gestión de riesgos.

Se trata de evaluar los resultados de la gestión para permitir a la alta dirección tomar decisiones estratégicas bien informadas que tendrán un efecto importante en la seguridad de la información y en la forma en que la organización la gestiona.

LA REVISION DE LA DIRECCION COMO PARTE DE LA MEJORA CONTINUA

Como hemos visto hasta ahora la revisión por parte de la dirección debe considerarse dentro del proceso de mejora continua.

La mejora continua en ISO 27001

Esto nos recuerda que en la actual versión de la normas se ha eliminado la referencia directa al Ciclo de Mejora continua PDCA. Sin embargo podemos afirmar el ciclo PDCA es el que ha inspirado y de hecho se encuentra implícito dentro de la nueva estructura de la norma.

La referencia más explícita a la mejora continúa como motor del sistema de Gestión SGSI se encuentra en el punto 10.2 de la norma;

Citando la norma:

“La organización debe mejorar de manera continua la idoneidad, adecuación y eficacia del sistema de gestión de la seguridad de la información”.

El Ciclo PDCA en la estructura de la Norma

Siguiendo las cuatro fases del conocido ciclo de mejora continua PDCA o también denominado ciclo de deming podríamos establecer una correlación con la estructura de la norma ISO 27001:

PLAN (Planificar)

La fase de planificación de un sistema de Gestión incluye a los siguientes capítulos de la norma donde claramente se identifican con el establecimiento de la estrategia o elementos de un plan que nos servirá para determinar que hace el sistema de seguridad de la información.

La planificación del sistema la hemos tratado en las fases del proyecto SGSI:

  • Fase 1 Auditoria Inicial ISO 27001 GAP ANALySis
  • Fase 2 Análisis del contexto de la Organización y determinación del Alcance
  • Fase 3 Elaboración de la política. Objetivos del SGSI.
  • FASE 4 Planificación del SGSI

La planificación del sistema tiene su correspondencia directa en los siguientes capítulos de la norma ISO 27001:2013

  • 4.- Análisis del contexto de la organización
  • 5.- Liderazgo
  • 6.- Planificación del Sistema
  • 7.- Soporte (Recursos del Sistema)

DO (Hacer)

En esta etapa del ciclo de mejora continua se corresponde con la puesta en marcha e implementación del sistema generando la documentación necesaria, implementando los controles para la seguridad de la información que hemos determinado mediante el análisis de riesgos y estableciendo los roles y responsabilidades para las tareas de la seguridad de la información

La implementación del sistema de gestión que hemos desarrollado en las fases de:

  • FASE 5 Documentación del SGSI
  • FASE 6 Implantación del SGSI
  • FASE 7 Formación y sensibilización SGSI

Estas fases se corresponden básicamente con el Capítulo 8 Operación, de la norma ISO 27001:2013

CHECK (Monitorizar)

Llegamos al punto clave del ciclo de mejora continua que se corresponde con los requisitos de la norma enfocados a la evaluación del desempeño de nuestro sistema de gestión de la seguridad de la información.

La norma establece requisitos para establecer un sistema de control de que los procesos de la seguridad de la información se están ejecutando de forma correcta.

Esto tiene su equivalencia en el “capítulo 9 de la norma Evaluación del Desempeño” y que hemos desarrollado en las fases de implementación del sistema SGSI:

  • FASE 8 Auditoria interna según ISO 27001
  • FASE 9 Revisión del sistema por la dirección

Act (Actuar)

El ciclo de mejora continua exige el establecimiento de acciones para la mejora continua del sistema de gestión. No basta con detectar los incumplimientos o deficiencias (CHECK) sino que será necesario establecer un proceso de acciones correctivas sobre los fallos detectados.

La norma establece requisitos para esta etapa en el “capitulo 10 Mejora” donde trata básicamente el tema de las acciones correctivas

RESUMEN

Un sistema de gestión debe plantearse una herramienta que cumple básicamente con todas estas etapas. Es más importante tener en cuenta que cumplimos básicamente con los 4 puntos del ciclo de mejora continua que pretender desde el primer momento establecer todos los controles posibles para la seguridad de la información

Un sistema SGSI en sus primeras etapas debe tener al menos:

  • 1. Unas políticas sobre la Seguridad de la información y un análisis de riesgos
  • 2. Unas medidas de seguridad mínimas que permitan proteger la información y cumplir con los requisitos de la norma
  • 3. Una revisión del sistema acompañada del seguimiento de los objetivos y acciones correctivas sobre los fallos detectados en la seguridad de la información.

¿Qué debemos considerar en una revisión del SGSI?

La revisión del SGSI por parte de la dirección en primer lugar debe cumplir con una estructura que cumpla con los requisitos de la norma ISO 27001.

Sobre esto cabe señalar que podemos integrar la revisión del SGSI en un informe de mayor nivel, que además considere los requisitos de un sistema de calidad ISO 9001 o los requisitos de cumplimiento legal sobre protección de datos (RGPD) por ejemplo.

Los puntos de partida o entradas para realizar su revisión del SGSI son numerosos: informes de auditoría interna, acciones correctivas y su estado, el estado de las tareas que se decidieron durante la última revisión de la administración, cambios generales (internos y externos) que podrían influir en el nivel de seguridad, resultados de mediciones (si se han logrado los objetivos), nuevos recursos necesarios (incluido el financiero), lecciones aprendidas (de pruebas o de incidentes reales), propuestas sobre cómo mejorar el sistema, etc.

La revisión de la gestión de ISO 27001 debe incluir al menos:

Citando la norma:

  • El estado de las acciones de revisiones de gestión anteriores;
  • Cambios en problemas externos e internos que son relevantes para el sistema de gestión de la seguridad de la información;
  •  Retroalimentación sobre el desempeño de la seguridad de la información, incluidas las tendencias en:
  • No conformidades y acciones correctivas;
  • Resultados de monitoreo y medición;
  • Resultados de la auditoría; y
  • Cumplimiento de los objetivos de seguridad de la información.
  • Retroalimentación de las partes interesadas;
  • Los resultados de la evaluación de riesgos y el estado del plan de tratamiento de riesgos; y
  • Las oportunidades para la mejora continua.

También es aconsejable agregar un punto adicional

  • Planificar las fechas y el esquema de la próxima auditoría

Esto es una opción aunque puede que el auditor en el proceso de certificación les recomiende que incluyan esta planificación

En resumen ¿qué es lo que debería tratarse en estas revisiones del SGSI?

Los resultados de la revisión de la gestión deben incluir decisiones relacionadas con las oportunidades de mejora continua y cualquier necesidad de cambios en el sistema de gestión de la seguridad de la información.

En una revisión deberíamos tomar al menos las siguientes decisiones:

  • Si el SGSI ha cumplido sus objetivos
  • Qué mejoras son necesarias
  • Si es necesario realizar cambios en el alcance
  • Aprobar los recursos necesarios para los controles y procesos de la Seguridad de la información
  • Si es necesario realizar modificaciones en los documentos principales (por ejemplo, políticas de alto nivel), etc.

Pero, por supuesto, no es obligatorio limitarse únicamente a esos temas. La revisión del SGSI por la dirección es la oportunidad perfecta para concienciar a sus directivos sobre los principios básicos de la seguridad de la información.

Puede analizar estrategias alternativas sobre cómo pueden implementarse, puede presentar los problemas con los que más está luchando para que pueda obtener su apoyo, etc.

Una buena recomendaciónUna buena recomendación

En resumen, puede utilizar este requisito de ISO 27001 para hacer mucho más que el mero cumplimiento. Úselo para construir una relación con las personas involucradas en la toma de decisiones.

Cuando o con qué frecuencia hay que hacer la revisión del SGSI

Existe un requisito mínimo para realizar la revisión del SGSI al menos una vez al año, y con mayor frecuencia si hay algún cambio importante que pueda afectar la seguridad de la información y el SGSI.

Sin embargo, la frecuencia idónea para cada organización debe ser definida por la dirección teniendo en cuenta sus propios requisitos para evaluar la efectividad del SGSI.

Una buena recomendación

Existe el peligro de que, mientras mayor sea el intervalo, mayor será el trabajo que involucrará una revisión del período anterior. También aumenta el riesgo de fallos en el SGSI por no haberlos podido identificarlos con prontitud.

Por esa razón, puede ser recomendable realizar una revisión al menos parcial o de ciertos objetivos al menos trimestralmente. Ciertamente, las revisiones de gestión deben realizarse a intervalos planificados para garantizar que el SGSI siga siendo "adecuado, adecuado y efectivo".

Una buena recomendación

Para los que se enfrentan a una auditoria de certificación de implantación del sistema, deben tener en cuenta que es un requisito de la FASE 1 de la auditoria presentar evidencias de que se están llevando a cabo las revisiones regulares.

CASO PRACTICO:

Veamos el resumen de lo planteado hasta ahora con algunos consejos prácticos para enfocar el informe de revisión por parte de la dirección sobre el SGSI

La revisión del SGSI no tiene que realizarse de la misma manera en todas las empresas; hay muchos enfoques diferentes sobre cómo hacerlo:

Frecuencia. Como ya hemos mencionado, como mínimo deberemos realizar una revisión administrativa una vez al año, o más a menudo si ocurre algún cambio importante que pueda influir en la seguridad de la información (por ejemplo, hay un nuevo cliente que tiene solicitudes muy específicas con respecto a la confidencialidad o disponibilidad de sus sistemas). Sin embargo, podría hacerse más a menudo (por ej., Trimestralmente) si la gerencia desea involucrarse más en cuestiones operativas.

Fusionar con otras revisiones de gestión. Si hemos implementado ISO 27001 e ISO 22301, o también ISO 9001, podría sentirse tentado de hacer todas esas revisiones de gestión juntas; sin embargo, no parece recomendable; por ejemplo, la continuidad del negocio (ISO 22301) es un tema lo suficientemente grande y necesita un tiempo quizás extenso de atención exclusiva de su órgano de dirección, y lo mismo aplica para la seguridad de la información o la Gestión de la calidad.

Puede colocar todas las revisiones de gestión en el mismo día, pero colóquelas en secuencia, no en el mismo intervalo de tiempo.

Dónde documentar los resultados. En la mayoría de los casos, las simples actas de reunión servirán; sin embargo, algunas corporaciones más grandes requerirán que se realicen procedimientos formales, junto con decisiones formales.

Cómo comunicar los resultados No debemos de olvidarnos de comunicar los resultados de la revisión, enviando notificaciones por correo electrónico a todos los empleados relevantes y a terceros, o bien organizar una reunión o algo similar.

Quién preparará los informes necesarios para la revisión. Dado que hay una gran cantidad de información de entrada que la dirección necesita considerar en la reunión, alguien tiene que preparar esos materiales; por lo general, este es el Director de Seguridad de la Información o el Coordinador de Continuidad del Negocio; sin embargo, en compañías más grandes, estos materiales serán preparados por varios jefes de departamento.

Asegúrese de que las revisiones son anunciadas y planificadas con tiempo para que toda la información necesaria para realizar la revisión esté disponible.