Controlar (Check): Monitorizar y revisar el SGSI
La organización deberá:
Ejecutar procedimientos de monitorización y revisión para:
- La detección temprana de errores en los resultados generados por los procesos.
- La identificación temprana de brechas e incidentes de seguridad.
- Capacitar a la dirección para determinar si las actividades desarrolladas por las personas y dispositivos tecnológicos para garantizar la seguridad de la información se desarrollan en relación a lo previsto.
- Detectar y prevenir eventos e incidentes de seguridad mediante el uso de indicadores.
- Determinar si las acciones realizadas para resolver brechas de seguridad fueron efectivas.
Revisar regularmente la efectividad del SGSI, atendiendo al cumplimiento de la política y objetivos del SGSI, los resultados de auditorías de seguridad, incidentes, resultados de las mediciones de eficacia, sugerencias y observaciones de todas las partes implicadas.
Medir la efectividad de los controles para verificar que se cumple con los requisitos de seguridad.
Revisar regularmente en intervalos planificados las evaluaciones de riesgo, los riesgos residuales y sus niveles aceptables, teniendo en cuenta los posibles cambios que hayan podido producirse en la organización, la tecnología, los objetivos y procesos de negocio, las amenazas identificadas, la efectividad de los controles implementados y el entorno exterior -requerimientos legales, obligaciones contractuales, etc.-.
Realizar periódicamente auditorías internas del SGSI en intervalos planificados.
Revisar el SGSI por parte de la dirección periódicamente para garantizar que el alcance definido sigue siendo el adecuado y que las mejoras en el proceso del SGSI son evidentes.
Actualizar los planes de seguridad en función de las conclusiones y nuevos hallazgos encontrados durante las actividades de monitorización y revisión.
Registrar acciones y eventos que puedan haber impactado sobre la efectividad o el rendimiento del SGSI.