Seguimiento, monitorización y registro de las operaciones de sistema

Para realizar este seguimiento es necesario establecer una serie de indicadores que nos permitan determinar el estado del sistema. El análisis de indicadores requiere que cada uno de los controles  implantados esté asociado a una serie de registros que recopilen la información necesaria para el estudio del control.

Por ejemplo. Disponemos de un indicador cuyo objetivo es que el número de incidencias graves de  seguridad no sea superior a una al año. Para poder medir el número de incidentes de este tipo, se crea un registro en el que se recojan las incidencias en el sistema y su nivel de gravedad. La revisión de estos registros permite observar si el sistema está funcionando tal y como se determinó en los objetivos.

El sistema contiene multitud de entradas y salidas que deben ser revisadas, alguna de ellas por la dirección. En concreto la dirección de la organización debe revisar los siguientes documentos:

• El informe de las auditorías internas que recoge el estado del sistema y de las incidencias detectadas.
• Los informes que el comité de gestión dirige al comité de dirección. Estos documentos son una fuente muy valiosa para el seguimiento del proyecto, ya que reflejan el estado del sistema y los puntos que requieren la supervisión de la dirección.
• El informe sobre las acciones realizadas por parte de los diferentes actores involucrados en el sistema.

• El resumen sobre el estado de las incidencias reportadas y la solución a las mismas.
• Y el resumen sobre los cambios sufridos en la organización.

• La revisión de los objetivos propuestos en cada una de las fases así como el grado de cumplimiento de los mismos.

Tras la revisión del Sistema de Gestión de Seguridad de la Información por parte de la dirección, se deberán ejecutar una serie de acciones dentro de la organización:

• En primer lugar, hay que decidir si es necesario realizar mejoras dentro del sistema, cuáles se van a llevar a cabo y su repercusión económica y laboral dentro de la organización.
• En segundo lugar, se tendrá que actualizar la evaluación y la gestión de riesgos. En el caso de que se hayan observado cambios significativos en la organización, es necesario realizar un  nuevo Análisis de Riesgos y un plan de tratamiento de los mismos.
• Por último, hay que realizar una actualización de los procedimientos y controles si estos han dejado de ser útiles o están obsoletos.

Además de la revisión del sistema que realiza la dirección, es necesario llevar a cabo una revisión anual denominada auditoría interna. Esta auditoría puede ser realizada por personal de la propia entidad.

Durante las auditorías internas se realiza un listado de todos los controles a revisar y todos los aspectos del sistema que necesitan ser analizados. Con este listado el auditor realizará una revisión del sistema e indicará aquellos aspectos de mejora que se han detectado, así como la prioridad o gravedad de cada uno de ellos.

El auditor del sistema no debe haber participado en la implantación del mismo. Suele ser habitual que dentro de una empresa, unos departamentos auditen a otros como medida para mantener la objetividad y la independencia entre la implantación y la auditoría.

Debe realizarse una revisión completa del sistema una vez al año. Para ello se pueden planificar varias  auditorías internas durante el año e ir revisando el sistema por partes. De este modo, sólo una parte de la organización estará pendiente de la auditoría, mientras que el resto puede continuar con su trabajo diario sin ninguna alteración.

Al finalizar la auditoria interna es necesario llevar a cabo dos tipos de acciones, unas para subsanar las incidencias encontradas y otras para mejorar el sistema. Estas acciones se realizan dentro de la última fase del modelo PDCA, vista con anterioridad, la Fase de Mejora.

Las acciones correctivas resuelven un problema observado durante las auditorías. Estas acciones pueden ir desde la actualización de un documento hasta el cambio de una infraestructura de red o de un responsable de un activo. Las acciones correctivas deben ser realizadas tan pronto como sean detectadas las incidencias.

Por su parte, las acciones preventivas no están asociadas a ningún problema encontrado en la auditoría aunque pueden responder a algún comentario realizado por el auditor sobre una posible mejora o alguna resolución tomada por la dirección de la empresa para mejorar el sistema.

Las acciones preventivas se deben implantar poco a poco para conseguir que el sistema sea cada vez más robusto. El sistema debe ir mejorando en cada ciclo PDCA.

El Sistema de Gestión de Seguridad de la Información contiene gran cantidad de controles e indicadores. Para facilitar la visión general de todos estos indicadores podemos utilizar un Cuadro de Mandos. Esta herramienta, además, ofrece una visión del estado de seguridad de la compañía y la definición de umbrales de alerta para los indicadores.