Validar que se hayan establecido, documentado y comunicado objetivos y metas medibles del Sistema de Gestión de Seguridad de la Información (SGSI) en toda la organización. Esto implica revisar la documentación, realizar entrevistas y examinar la evidencia de las actividades de comunicación y monitoreo. Siga los siguientes pasos:

Pasos para validar los objetivos y metas del SGSI

Revise la documentación del SGSI

Política y objetivos del SGSI: Garantizar que la política del SGSI incluya objetivos y metas claros y medibles. Estos deben alinearse con los objetivos comerciales generales de la organización.

Documentación: Compruebe los objetivos y metas del SGSI documentados. Esto puede ser en forma de un documento específico, dentro de la política del SGSI o en otros documentos estratégicos.

Examinar el proceso de fijación de objetivos

Procedimientos: Revise los procedimientos para establecer los objetivos del SGSI para asegurarse de que definen cómo se determinan, miden y revisan los objetivos.

Criterios para los objetivos: Verifique que los objetivos sean específicos, medibles, alcanzables, relevantes y con plazos limitados (SMART).

Verificar los registros de aprobación y revisión

Aprobación de la dirección: Asegurar que los objetivos del SGSI hayan sido aprobados por la alta dirección. Busque actas de reuniones, firmas de aprobación o decisiones documentadas.

Revisiones periódicas: Verifique los registros de las revisiones periódicas de los objetivos del SGSI para asegurarse de que se evalúen y actualicen según sea necesario.

Evalúe la evidencia de la comunicación

Comunicación interna: Verificar que los objetivos del SGSI se hayan comunicado a todas las partes relevantes de la organización. Esto puede incluir memorandos internos, correos electrónicos, boletines informativos, publicaciones en la intranet y actas de reuniones.

Programas de capacitación y concientización: Verifique los materiales de capacitación y los registros de asistencia que muestren que los empleados han sido informados sobre los objetivos de ISMS.

Evalúe el monitoreo y la presentación de informes

Métricas de rendimiento: Revise las métricas de rendimiento y los informes que realizan un seguimiento del progreso hacia el logro de los objetivos del SGSI.

Informes periódicos: Asegúrese de que se presenten informes periódicos a la dirección sobre el estado de los objetivos del SGSI, incluidas las desviaciones y las acciones correctivas.

Realizar entrevistas y encuestas

Entrevistas: Realice entrevistas con el personal clave, incluida la alta dirección, los miembros del equipo del SGSI y los empleados, para confirmar su conocimiento de los objetivos del SGSI y su papel en el logro de los mismos.

Encuestas: Distribuya encuestas o cuestionarios para evaluar el conocimiento general y la comprensión de los objetivos del SGSI entre los empleados.

Hallazgos de auditoría y revisión

Auditorías internas: Revise los informes de auditoría interna para ver si los auditores han evaluado el establecimiento, la documentación y la comunicación de los objetivos del SGSI.

Registros de revisión por la dirección: Examine los registros de las revisiones por la dirección para verificar que los objetivos del SGSI se discutan y revisen periódicamente.

Ejemplos de pruebas que se deben recopilar

Documentación del SGSI

·        Documento de política del SGSI con objetivos claramente definidos.

·        Documento separado que detalla los objetivos y metas del SGSI.

Registros de aprobación y revisión

·        Acta de la reunión de la aprobación de los objetivos del SGSI.

·        Registros de revisiones periódicas y actualizaciones de los objetivos del SGSI.

Evidencia de comunicación

·        Memorandos internos, correos electrónicos o boletines informativos que comunican los objetivos del SGSI.

·        Capturas de pantalla de publicaciones de intranet o sitios web internos donde se muestran los objetivos del SGSI.

·        Materiales de capacitación y registros de asistencia de las sesiones de sensibilización.

Documentación de seguimiento y presentación de informes

·        Informes de rendimiento que hacen un seguimiento del progreso hacia los objetivos del SGSI.

·        Cuadros de mando o cuadros de mando que se utilizan para supervisar el rendimiento del SGSI.

·        Informes presentados a la dirección sobre el estado objetivo del SGSI.

Resultados de entrevistas y encuestas

·        Notas de entrevistas o transcripciones de discusiones con los empleados sobre los objetivos del SGSI.

·        Resultados de la encuesta que muestran el conocimiento y la comprensión de los empleados de los objetivos del SGSI.

Hallazgos de auditoría y revisión

·        Informes de auditoría interna que evalúan los objetivos del SGSI.

·        Las actas de las reuniones de revisión de la dirección discuten los objetivos del SGSI y su progreso.

Ejemplo de contenido de documentación

Política de SGSI (Extracto)

XYZ Corporation se compromete a mantener la confidencialidad, integridad y disponibilidad de sus activos de información. Para respaldar este compromiso, hemos establecido los siguientes objetivos del SGSI:

1.     **Reducir los incidentes de seguridad de la información**: Disminuir el número de incidentes de seguridad en un 20% durante los próximos 12 meses.

2.     **Capacitación de empleados**: Asegúrese de que el 100% de los empleados reciban capacitación anual en seguridad de la información.

3.     **Cumplimiento**: Logre y mantenga el cumplimiento de las normas ISO/IEC 27001:2022 completando todas las auditorías programadas y abordando cualquier no conformidad en un plazo de 30 días.

4.     **Gestión de riesgos**: Identifique y mitigue todos los riesgos críticos de seguridad de la información en los próximos 6 meses.

Ejemplo de comunicación (extracto de correo electrónico)

Asunto: Objetivos de seguridad de la información para 2023

Estimado equipo,

Como parte de nuestro compromiso con la seguridad de la información, nos hemos marcado los siguientes objetivos para 2023:

1.   **Reducir los incidentes de seguridad de la información**: Objetivo de reducir los incidentes en un 20%.

2.   **Capacitación de empleados**: Logre una participación del 100% en la capacitación anual en seguridad.

3.   **Cumplimiento**: Mantener el cumplimiento de la norma ISO/IEC 27001:2022.

4.   **Gestión de riesgos**: Mitigue todos los riesgos críticos de seguridad en un plazo de 6 meses.

Asegúrese de estar familiarizado con estos objetivos y de comprender cómo su función contribuye a alcanzarlos. Se discutirán más detalles en la próxima reunión de todos.

Saludos

[Su nombre]

Director de Seguridad de la Información

Siguiendo estos pasos y recopilando las pruebas adecuadas, puede validar que los objetivos y metas medibles del SGSI se han establecido, documentado y comunicado de forma eficaz en toda la organización.

¡ESTAMOS AQUÍ PARA AYUDAR!

¡CLIC AQUÍ para una prueba de Dogma C3X en tu compañía totalmente gratis!

Dogma C3X es una Plataforma Inteligente de Consultoría de Negocios inspirada en el modelo de industria de las 3Cs, que ofrece una mirada estratégica a los pilares que toda empresa necesita para el éxito: Clientes – Compañía – Competidores. "Inteligente" porque mediante el uso de inteligencia artificial (IA) y aprendizaje automático (ML) puede recopilar, procesar y analizar el creciente tsunami de datos (estructurados y no estructurados) relacionados con las 3Cs, los cuales son increíblemente valiosos. Solo fortaleciendo, posicionando e integrando estos tres pilares (Clientes – Compañía – Competidores) podrás construir una ventaja competitiva sostenible.