Precios
Prueba

Eficacia de las medidas

Debes evaluar la eficacia de las medidas de seguridad aplicadas para saber si debes adaptar tu programa de seguridad.

Eficacia de las medidas

Tu organización debe establecer políticas y procedimientos para evaluar la eficacia de las medidas aplicadas.

Evaluar la eficacia de las medidas

Debes asegurarte de que las medidas de seguridad implantadas son suficientes para hacer frente a los riesgos a los que se enfrenta la organización. Las medidas deben ser proporcionales al panorama de amenazas.

Mide

Debes tener una política para evaluar si tus medidas de seguridad son eficaces de forma continua. La evaluación debe confirmar que las medidas siguen protegiendo contra los riesgos pertinentes y que la política de seguridad de la información cumple los requisitos internos y las leyes.

A continuación, debes establecer procedimientos para llevar a cabo estas evaluaciones y para decidir cuándo realizar pruebas técnicas, por ejemplo, escaneos de vulnerabilidades. Estos procedimientos deben incluir:

  • Herramientas y métodos específicos para evaluar y probar continuamente la seguridad de los sistemas de red y de información,
  • comprobaciones para confirmar si las medidas cumplen las leyes y normativas vigentes,
  • métodos para evaluar si se siguen las políticas y cómo garantiza la organización que se aplican y mantienen eficazmente las medidas para los activos que deben proteger,
  • un proceso para tratar las medidas que resulten ineficaces, incluido el seguimiento y la mejora,
  • Aclaración de quién es responsable de llevar a cabo las evaluaciones.

Tanto tus políticas como tus procedimientos deben tenerlo en cuenta:

  • los resultados de tus evaluaciones de riesgos y las lecciones aprendidas de incidentes pasados,
  • qué pretenden proteger las medidas, si proporcionan un nivel adecuado de protección y si tu organización dispone de los recursos necesarios para gestionarlas eficazmente.

Estas políticas y procedimientos deben estar vinculados a la política de seguridad de los sistemas de información de tu organización, a la política de gestión de riesgos y a su gestión de incidentes.

Por último, también puedes asegurarte de que los responsables de la gestión de riesgos, las medidas y los informes de gestión estén familiarizados con los requisitos de las evaluaciones de eficacia, para que puedan planificar los controles pertinentes y hacer un seguimiento de los resultados.

Documentación

Tus políticas y procedimientos para evaluar la eficacia deben actualizarse periódicamente y cuando se produzcan cambios importantes en los objetivos empresariales de la organización, las vulnerabilidades o el panorama de amenazas. Esto puede ocurrir, por ejemplo, antes de la revisión programada de la política de seguridad de los sistemas de información de la organización.

Pruebas técnicas

La realización de pruebas técnicas te permite identificar vulnerabilidades y evaluar la eficacia de las medidas que has implantado.

Requisitos

Debes valorar periódicamente la necesidad de realizar pruebas técnicas para evaluar la eficacia de tus medidas de seguridad. Basándote en una evaluación de riesgos, debes definir el tipo y la frecuencia de las pruebas, así como qué componentes, sistemas y elementos organizativos deben probarse para garantizar la seguridad de las operaciones.

Algunos ejemplos de pruebas técnicas son

Tu red y tus sistemas de información deben someterse a pruebas de seguridad durante la instalación, el mantenimiento, las actualizaciones u otros cambios significativos.

Además, deben realizarse pruebas técnicas planificadas y periódicas en toda la organización. Las pruebas pueden realizarse internamente o por terceros, y deben seguir una metodología documentada. El alcance, el tipo, el calendario y los resultados de las pruebas deben documentarse de forma que queden claros incluso para los expertos externos.

Los resultados de las pruebas técnicas pueden utilizarse para actualizar las políticas y los procedimientos de evaluación de la eficacia de las medidas de seguridad. Como mínimo, la documentación debe incluir una evaluación del grado de criticidad de los resultados y las medidas correctivas adoptadas si los resultados indican riesgos para la confidencialidad, la integridad, la autenticidad o la disponibilidad. Cualquier riesgo restante debe ser aceptado formalmente por los propietarios del riesgo e informado a la dirección correspondiente.

Documentación

Debes realizar pruebas a intervalos regulares y después de cambios importantes o incidentes significativos. La documentación debe ser revisada por el personal pertinente, y los resultados deben comunicarse a la dirección.

Prueba RGPD

Comprueba si conoces bien el RGPD.

  • Responderás a 13 preguntas sobre el RGPD.
  • Sólo te llevará 1-2 minutos.
  • Los expertos suelen responder correctamente a las 13 preguntas.
Prueba RGPD

Prueba gratuita

Nos pondremos en contacto contigo por correo electrónico lo antes posible.