Guía Implantación de un Sistema de Gestión de Seguridad de la Información (SGSI)

Compartir
Facebook Twitter Copiar enlace WhatsApp LinkedIn

Fase 4: Evaluación y monitoreo

Objetivo

  • Evaluar los resultados del Plan de Seguridad de la Información.
  • Diseñar el programa de seguimiento.
  • Difundir a los funcionarios el resultado de la evaluación.
  • Mejora continua del SGSI.

Descripción

Evaluar los resultados del Plan de Seguridad de la Información

Evaluar los resultados de la implementación del Plan de Seguridad de la Información y Programa de Trabajo Anual, y formular recomendaciones de mejora.

La evaluación del sistema de gestión de seguridad de la información debe ser conocida y valorada por el comité de seguridad de la información. Las conclusiones y recomendaciones que realice el comité deberán quedar reflejadas en el programa de seguimiento de esta fase. 

Diseñar el programa de seguimiento

Las recomendaciones realizadas en la evaluación que queda como resultado del punto anterior, es el insumo principal para la elaboración del programa de seguimiento.

Este programa de seguimiento tiene como objetivo realizar y dar seguimiento a las recomendaciones surgidas de la evaluación. Las mismas deberán ser realizadas en el año corriente, siendo excepcional el pasarlas como actividades del año próximo.

Difundir a los funcionarios el resultado de la evaluación

Difundir a los funcionarios los resultados de la evaluación del Plan de Seguridad de la Información y del Programa de Trabajo Anual es fundamental para mantener vivo el interés en la seguridad de la información y mostrar que se está trabajando en el tema.

Este tipo de actividad no debe confundirse con la difusión y concientización en seguridad de la información.

Mejora continua del SGSI

Implementar los compromisos establecidos en el Programa de Seguimiento, considerando plazos y responsables para superar debilidades detectadas.

Se deberán establecer un conjunto de medidas que permitan sostener y mejorar el SGSI, más allá del proceso de implementación. Para lograr cumplir con este objetivo, se deberá proponer un sistema de control y mejora continua, que al menos establezca una planificación que considere las revisiones regulares del SGSI. También se debe incluir:

  • la revisión de los indicadores y metas propuestas; 
  • las medidas de mejora a partir de los resultados;
  • la aprobación de dichas medidas por parte del comité de seguridad de la información;
  • la actualización de inventario de activos y
  • la correspondiente gestión de riesgo.
     

Etiquetas

Gestión y auditoría de Seguridad de la Información Marco de Referencia Política Digital del Uruguay Políticas de Ciberseguridad Ciberseguridad Herramientas para organismos Política Digital del Uruguay