1. Verifricar
1.1. Ejecutar
1.1.1. procedimientos de monitorización y revisión para: detectar a tiempo los errores en los resultados generados por el procesamiento de la información, identificar brechas e incidentes de seguridad, ayudar a la dirección a determinar si las actividades desarrolladas por las personas y dispositivos tecnológicos para garantizar la seguridad de la información se desarrollan en relación a lo previsto, detectar y prevenir eventos e incidentes de seguridad mediante el uso de indicadores y determinar si las acciones realizadas para resolver brechas de seguridad fueron efectivas.
1.2. Revisar
1.2.1. regularmente la efectividad del SGSI, atendiendo al cumplimiento de la política y objetivos del SGSI, los resultados de auditorías de seguridad, incidentes, resultados de las mediciones de eficacia, sugerencias y observaciones de todas las partes implicadas.
1.2.2. regularmente en intervalos planificados las evaluaciones de riesgo, los riesgos residuales y sus niveles aceptables, teniendo en cuenta los posibles cambios que hayan podido producirse en la organización, la tecnología, los objetivos y procesos de negocio, las amenazas identificadas, la efectividad de los controles implementados y el entorno exterior -requerimientos legales, obligaciones contractuales, etc.-.
1.3. Actualizar
1.3.1. los planes de seguridad en función de las conclusiones y nuevos hallazgos encontrados durante las actividades de monitorización y revisión.
1.4. Medir
1.4.1. la efectividad de los controles para verificar que se cumple con los requisitos de seguridad.
1.5. Registrar
1.5.1. acciones y eventos que puedan haber impactado sobre la efectividad o el rendimiento del SGSI
2. Actuar
2.1. Implementar
2.1.1. en el SGSI las mejoras identificadas
2.2. Realiazar
2.2.1. las acciones preventivas y correctivas adecuadas en relación a la clausula 8 de ISO 27001 y a las lecciones aprendidas de las experiencias propias y de otras organizaciones.
2.3. Comunicar
2.3.1. las acciones y mejoras a todas las partes interesadas con el nivel de detalle adecuado y acordar, si es pertinente, la forma de proceder.
2.4. Aegurarse
2.4.1. las mejoras introducidas alcanzan los objetivos previstos
3. Planificar
3.1. IDENTIFICAR
3.1.1. Riesgos
3.1.1.1. como: activos que están dentro del alcance del SGSI y a sus responsables directos, amenazas en relación a los activos, vulnerabilidades que puedan ser aprovechadas por dichas amenazas e impactos en la confidencialidad, integridad y disponibilidad de los activos.
3.1.1.2. Analizar y Evaluar
3.1.1.2.1. como: impacto en el negocio de un fallo de seguridad que suponga la pérdida de confidencialidad, integridad o disponibilidad de un activo de información; forma realista la probabilidad de ocurrencia de un fallo de seguridad en relación a las amenazas, vulnerabilidades, impactos en los activos y los controles que ya estén implementados; estimar los niveles de riesgo; determinar, según los criterios de aceptación de riesgo previamente establecidos, si el riesgo es aceptable o necesita ser tratado.
3.1.1.2.2. las distintas opciones de tratamiento de los riesgos para: aplicar controles adecuados; aceptar el riesgo, siempre y cuando se siga cumpliendo con las políticas y criterios establecidos para la aceptación de los riesgos
3.2. DEFINIR
3.2.1. alcance del SGSI en términos del negocio, la organización, su localización, activos y tecnologías, incluyendo detalles y justificación de cualquier exclusión.
3.2.2. una política de seguridad que permita: incluir el marco general y los objetivos de seguridad de la información de la organización, considerar requerimientos legales o contractuales relativos a la seguridad de la información, estar alineada con el contexto estratégico de gestión de riesgos de la organización en el que se establecerá y mantendrá el SGSI, establecer los criterios con los que se va a evaluar el riesgo y estar aprobada por la dirección.
3.2.3. metodología de evaluación del riesgo apropiada para el SGSI y los requerimientos del negocio, además de establecer los criterios de aceptación del riesgo y especificar los niveles de riesgo aceptable. Lo primordial de esta metodología es que los resultados obtenidos sean comparables y repetibles.
3.2.4. declaración de aplicabilidad que incluya: los objetivos de control y controles seleccionados y los motivos para su elección; los objetivos de control y controles que actualmente ya están implantados; los objetivos de control y controles excluidos y los motivos para su exclusión; este es un mecanismo que permite, además, detectar posibles omisiones involuntarias.
4. Hacer
4.1. Definir
4.1.1. lan de tratamiento de riesgos que identifique las acciones, recursos, responsabilidades y prioridades en la gestión de los riesgos de seguridad de la información
4.1.2. sistema de métricas que permita obtener resultados reproducibles y comparables para medir la eficacia de los controles o grupos de controles
4.2. Implementar
4.2.1. el plan de tratamiento de riesgos, con el fin de alcanzar los objetivos de control identificados, incluyendo la asignación de recursos, responsabilidades y prioridades
4.2.2. los controles anteriormente seleccionados
4.2.3. procedimientos y controles que permitan una rápida detección y respuesta a los incidentes de seguridad.
4.3. Gestionar
4.3.1. las operaciones del SGSI.
4.3.2. los recursos necesarios asignados al SGSI para el mantenimiento de la seguridad de la información.