10.2 Mejora Continua.
Requisito.
La organización debe mejorar de manera continua la idoneidad, adecuación y eficacia del sistema de gestión de la seguridad de la información.
Explicación.
Las organizaciones y sus contextos nunca son estáticos, además, los riesgos para los sistemas de información y las formas en que pueden verse comprometidos están evolucionando rápidamente. Por último, ningún SGSI es perfecto; siempre hay una forma en la que se puede mejorar, incluso si la organización y su contexto no están cambiando.
Como ejemplo de mejoras no vinculadas con no conformidades o riesgos, la evaluación de un elemento del SGSI (en términos de idoneidad, adecuación y eficacia) puede demostrar que el SGSI excede los requisitos o carece de eficiencia. Si es así, entonces puede haber una oportunidad de mejorar el SGSI.
Un enfoque sistemático que utilice la mejora continua conducirá a un SGSI más eficaz, que mejorará la seguridad de la información de la organización. La gestión de la seguridad de la información lidera las actividades operativas de la organización para evitar ser demasiado reactiva, es decir, que la mayoría de los recursos se utilizan para encontrar problemas y abordarlos. El SGSI trabaja sistemáticamente a través de la mejora continua para que la organización pueda tener un enfoque más proactivo.
La dirección puede establecer objetivos para la mejora continua, p.e. a través de mediciones de efectividad, costo o madurez del proceso. Como consecuencia, la organización trata su SGSI como una parte viva, en evolución y de aprendizaje del negocio.
Para que el SGSI se mantenga al día con los cambios, se evalúa periódicamente con respecto a su idoneidad para el propósito, efectividad y alineación con los objetivos de la organización. No se debe tomar nada por sentado, y nada debe considerarse «prohibido» simplemente porque era lo suficientemente bueno en ese momento que fue implementado.
Guía.
La mejora continua del SGSI debería implicar que el SGSI en sí y todos sus elementos sean evaluados considerando cuestiones internas y externas (4.1), requisitos de las partes interesadas (4.2) y resultados de evaluación del desempeño (Cláusula 9).
La evaluación debe incluir un análisis de:
- idoneidad del SGSI, considerando si las cuestiones externas e internas, requisitos de partes interesadas, objetivos de seguridad de la información establecidos y seguridad de la información identificada.
- adecuación del SGSI, considerando si los procesos del SGSI y los controles de seguridad de la información son compatibles con los propósitos, actividades y procesos generales de la organización; y
- eficacia del SGSI, considerando si se logran los resultados previstos del SGSI, se cumplen los requisitos de las partes interesadas, se gestionan los riesgos de seguridad de la información para cumplir los objetivos de seguridad de la información, se gestionan las no conformidades, mientras que los recursos necesarios para el establecimiento, implementación, mantenimiento y mejora continua del SGSI son acorde con esos resultados.
La evaluación también puede incluir un análisis de la eficiencia del SGSI y sus elementos, considerando si el uso de los recursos es adecuado, si existe el riesgo de que la falta de eficiencia pueda conducir a la pérdida de eficacia o si existen oportunidades para aumentar la eficiencia. También se pueden identificar oportunidades de mejora al gestionar las no conformidades y las medidas correctivas, una vez identificadas las oportunidades de mejora, la organización debería, según 6.1.1:
- evaluarlos para establecer si vale la pena seguirlos;
- determinar los cambios al SGSI y sus elementos para lograr la mejora;
- planificar e implementar las acciones para abordar las oportunidades asegurando que se obtengan los beneficios y no se produzcan no conformidades;
- evaluar la eficacia de las acciones.
Estas acciones deben considerarse como un subconjunto de acciones para abordar los riesgos y oportunidades descritos en 6.1.1.