La organización planifica, implementa y controla todas las operaciones necesarias del SGSI mediante procesos documentados, criterios de aceptación claros y controles del Anexo A plenamente integrados. Cada actividad operativa se ejecuta conforme a procedimientos aprobados, se monitoriza con métricas definidas y se ajusta a través de un flujo de gestión de cambios que incluye evaluación de riesgos previa y verificación posterior. Los registros generados demuestran la ejecución eficaz de los controles, la gestión oportuna de incidentes y la actualización continua de respaldos, accesos y configuraciones, garantizando en todo momento la confidencialidad, integridad y disponibilidad de la información.
Operación
La organización planifica, implementa y controla los procesos operativos necesarios para cumplir con los requisitos del SGSI, asegurando que las actividades se ejecuten bajo condiciones controladas que minimicen los riesgos de seguridad de la información.
Se establecen procedimientos claros para la planificación y control de las operaciones que impactan la seguridad de la información.
Se definen criterios y controles específicos para cada proceso, alineados con los riesgos identificados y los objetivos del SGSI.
Se asignan responsabilidades y recursos necesarios para la ejecución segura de las actividades.
Se implementa un sistema de monitoreo y medición para evaluar la eficacia del control operacional.
Se registran y analizan desviaciones para tomar acciones correctivas inmediatas y evitar recurrencias.
La organización realiza evaluaciones continuas y periódicas de los riesgos de seguridad de la información para detectar cambios en el contexto, identificar nuevas amenazas y vulnerabilidades, y garantizar la actualización oportuna de los controles implementados.
Se programan evaluaciones regulares de riesgos según un calendario definido, considerando eventos internos y externos que puedan afectar la seguridad.
Se actualizan las matrices y registros de riesgos para reflejar cambios detectados en el entorno o en la infraestructura tecnológica.
Se involucra a los responsables de área y expertos técnicos para validar y ajustar las valoraciones de riesgo.
Se reportan los resultados de las evaluaciones para apoyar la toma de decisiones en la gestión del SGSI y la asignación de recursos.
Se incorporan las lecciones aprendidas y hallazgos de auditorías, incidentes y revisiones para mejorar el proceso de evaluación.
La organización implementa y mantiene acciones eficaces para tratar los riesgos identificados, garantizando que se seleccionen controles apropiados, se asignen responsabilidades claras y se realice seguimiento continuo para asegurar la mitigación efectiva.
Se desarrolla y actualiza un Plan de Tratamiento de Riesgos que incluye controles seleccionados, responsables, plazos y recursos.
Se aplican controles técnicos, organizativos y procedimentales en función del nivel de riesgo y los requisitos legales y contractuales.
La alta dirección valida y aprueba el tratamiento de riesgos residuales.
Se supervisa el progreso y eficacia de las acciones de tratamiento mediante revisiones periódicas y auditorías internas.
Se registran todas las actividades relacionadas con el tratamiento para garantizar trazabilidad y evidencias de cumplimiento.
La operación del SGSI se garantiza mediante una planificación rigurosa, evaluación continua de riesgos y tratamiento efectivo de los mismos. Estos procesos aseguran que las actividades operativas se ejecuten bajo condiciones controladas que minimicen los riesgos de seguridad de la información y mantengan la confidencialidad, integridad y disponibilidad de los activos de información.
Mediante la implementación de procedimientos operativos documentados, evaluación continua de riesgos, tratamiento efectivo de los mismos y monitoreo constante de las actividades del SGSI.
La Dirección es responsable de la planificación y control operativo, con el apoyo del responsable del SGSI, los responsables de cada área funcional y el comité de riesgos de seguridad de la información.