La organización planifica su SGSI de manera integral: identifica y evalúa de forma sistemática los riesgos y oportunidades que pueden afectar la seguridad de la información, define objetivos SMART alineados con la política y establece planes detallados con recursos, responsables y plazos para alcanzarlos. Todo cambio relevante se gestiona mediante un proceso formal que garantiza la continuidad y eficacia del SGSI, manteniendo los riesgos residuales dentro de niveles aceptables y aprovechando las oportunidades para fortalecer continuamente la protección de la información.
Objetivos de seguridad de la información y planificación para lograrlos
La organización establece, mantiene y monitorea objetivos de seguridad de la información alineados con la política, los requisitos aplicables y los resultados de la evaluación de riesgos, garantizando que sean medibles, comunicados y respaldados por planes de acción concretos.
Se definen objetivos SMART (específicos, medibles, alcanzables, relevantes y con plazos) derivados de la política y de los resultados de la evaluación de riesgos.
Se elaboran planes de acción detallados que asignan responsables, recursos y fechas objetivo para cada meta.
Se integran los objetivos en los procesos operativos mediante el Plan de Control Operacional y se supervisa su avance con indicadores clave de desempeño (KPI).
Se revisan periódicamente los objetivos y sus indicadores en reuniones de seguimiento y en la Revisión por la Dirección, ajustándolos según cambios en el contexto o en los riesgos.
Se registran los resultados de monitoreo y se emplean para impulsar la mejora continua del SGSI.
La definición y seguimiento de objetivos SMART es fundamental para la efectividad del SGSI. Estos objetivos proporcionan dirección clara, permiten medir el desempeño del sistema y facilitan la toma de decisiones basada en evidencia para la mejora continua de la seguridad de la información.
Mediante la definición de objetivos SMART alineados con la política de seguridad, elaboración de planes de acción con responsables y recursos asignados, integración en procesos operativos, seguimiento continuo mediante KPIs, y revisión periódica para ajustar los objetivos según cambios en el contexto organizacional.
La alta dirección es responsable de aprobar los objetivos del SGSI. El responsable del SGSI coordina la definición, seguimiento y revisión de los objetivos, con la participación de todos los responsables de área para la implementación de los planes de acción correspondientes.