FISO27001_T050 Seguimiento, Medición, Análisis y Evaluación

Plataformas de Aprendizaje Autodirigido

Seguimiento, Medición, Análisis y Evaluación.

La organización debe evaluar el desempeño de la seguridad de la información y la eficacia del sistema de gestión de la seguridad de la información.

La organización debe determinar:

a) A qué es necesario hacer seguimiento y qué es necesario medir, incluyendo procesos y controles de seguridad de la información.

b) Los métodos de seguimiento, medición, análisis y evaluación, según sea aplicable, para garantizar resultados válidos.

NOTA: Los métodos seleccionados deben producir resultados comparables y reproducibles para ser considerados válidos.

c) Cuándo se deben llevar a cabo el seguimiento y la medición.

d) Quién debe hacer el seguimiento y la medición.

e) Cuándo se deben analizar y evaluar los resultados del seguimiento y la medición.

f) Quién debe analizar y evaluar esos resultados.

La organización debe conservar la información documentada adecuada como evidencia de los resultados.

Optimice los recursos.

Un consejo práctico es evaluar o medir lo que  se necesita realmente. No tiene mucho sentido monitorear y hacer mediciones solo porque la organización tiene la capacidad de hacerlo. Supervisar y medir si cumple con el requisito de evaluar el rendimiento de la seguridad de la información y la eficacia del SGSI.

Establezca metas.

Cada organización puede tener distintas necesidades de información que además pueden cambiar con el tiempo.

Por ejemplo, en las etapas iniciales de un SGSI, puede ser importante controlar la participación en los eventos de concienciación sobre seguridad de la información. Una vez que se haya alcanzado la tasa deseada, la organización podría mirar más hacia la calidad del evento de sensibilización. Se podría hacer estableciendo objetivos de conciencia específicos y determinando hasta qué punto los asistentes han comprendido lo que han aprendido.