Las actividades de nuestro plan de acción se encuentran relacionadas entre sí, por lo que una modificación puede generar un impacto en una o más de ellas, haciendo que sea necesario revisar, e incluso actualizar el documento o evidencia asociado.
Es por ello que es muy importante conocer esta información a la hora de hacer tus revisiones periódicas y cuando existan cambios significativos en la empresa.
A continuación encontrarás una tabla con el listado de las actividades de nuestro plan de acción y las actividades que podrían ser impactadas cuando ésta es creada, actualizada o sufre algún cambio significativo.
Pero recuerda que esto está sujeto a la aplicabilidad de las actividades propias de tu empresa y su contexto, por lo que puede existir o no un impacto, y su dimensión variará.
✅Actividad terminada | actualizada | 🚀 Ejemplos de cambios | actualizaciones | ⚡ Actividad | Documento posiblemente impactado |
| Modificaciones por acotación, ampliación o cambio en los procesos y/o servicios de la empresa alcanzados por el SGSI. |
Total: 6 actividades | documentos. |
| Adición, eliminación o cambios en los colaboradores o puestos del organigrama de la empresa y/o en los miembros del comité de seguridad. |
Total: 3 actividades | documentos. |
3. Política de Comité de Seguridad de la Información | Adición, eliminación o cambios en los miembros del comité de seguridad o en sus lineamientos. |
Total: 6 actividades | documentos. |
4. Política de SGSI | Adición o cambios en los lineamientos de la política. |
Total: 4 actividades | documentos. |
5. Política de Seguridad de la Información | Adición o cambios en los lineamientos de la política. |
Total: 13 actividades | documentos. |
6. Descriptivo de Roles y Responsabilidades | Adición, eliminación o cambios en los colaboradores o puestos del organigrama de la empresa. |
Total: 2 actividades | documentos. |
7. Plan de Seguridad de la Información | Adición y seguimiento de las actividades e iniciativas de mejora para el SGSI. | Si este documento tiene cambios, esto no impactará en ninguna actividad. |
8. Programa de Capacitación | Actualizaciones de fechas, material o cualquier otro aspecto relacionado a las capacitaciones y talleres impartidos para la empresa. | Si este documento tiene cambios, esto no impactará en ninguna actividad. |
9. Taller de Concientización de Seguridad | Registro de las fechas en las que se imparte el taller. |
Total: 1 actividad | documento. |
10. Taller de Gestión de Riesgos | Registro de las fechas en las que se imparte el taller. |
Total: 1 actividad | documento. |
11. Metodología de Gestión de Riesgos | Adición o cambios en los lineamientos de la metodología. |
Total: 5 actividades | documentos. |
12. Inventario de Activos | Adición y eliminación de activos, o cambios en la información de los mismos. |
Total: 2 actividades | documentos. |
13. Matriz de Riesgos | Adición de riesgos por nuevas amenazas, análisis de nuevos activos, seguimiento al plan de tratamiento. |
Total: 3 actividades | documentos. |
14. Declaración de Aplicabilidad | Adición o ajuste de controles aplicables. | El impacto de los cambios en este documento depende del control asociado a la actualización, por lo que deberás realizar un análisis de las actividades relacionadas a él. |
15. Minuta de Sesión de Comité de Seguridad | Modificación en el formato de la minuta, adición de puntos relevantes a documentar. | Si este documento tiene cambios, esto no impactará en ninguna actividad. |
16. Procedimiento de Preselección y Selección de Personal | Adición, eliminación o cambios en los pasos del procedimiento, los responsables asignados, las herramientas utilizadas, etcétera. |
Total: 2 actividades | documentos. |
17. Proceso de Contratación y Desvinculación de Personal | Adición, eliminación o cambios en los pasos del procedimiento, los responsables asignados, las herramientas utilizadas, etcétera. |
Total: 2 actividades | documentos. |
18. Matriz SoD | Adición, eliminación o cambios en las actividades que realizan las áreas de tu empresa. |
Total: 1 actividad | documento. |
19. Matriz de Accesos | Adición, eliminación o cambios de usuarios, accesos y/o permisos a los sistemas de la empresa, es decir altas o bajas de colaboradores, cambios en los permisos de colaboradores ya existentes, adición de nuevas herramientas, etcétera. | Si este documento tiene cambios, esto no impactará en ninguna actividad. |
20. Procedimiento Gestión de Accesos | Adición, eliminación o cambios en los pasos del procedimiento, los responsables asignados, las herramientas utilizadas, etcétera. |
Total: 1 actividad | documento. |
21. Procedimiento de Revisión de Accesos | Adición, eliminación o cambios en los pasos del procedimiento, los responsables asignados, las herramientas utilizadas, etcétera. |
Total: 1 actividad | documento. |
22. Política BYOD | "Trae tu dispositivo" | Adición o cambios en los lineamientos de la política. |
Total: 1 actividad | documento. |
23. Política de Escritorios Limpios | Adición o cambios en los lineamientos de la política. |
Total: 1 actividad | documento. |
24. Política de Tecnología y Operaciones de TI | Adición o cambios en los lineamientos de la política. |
Total: 4 actividades | documentos. |
25. Procedimiento Gestión de Incidentes de Seguridad | Adición, eliminación o cambios en los pasos del procedimiento, los responsables asignados, las herramientas utilizadas, etcétera. |
Total: 1 actividad | documento. |
26. Procedimiento de Gestión de Backups | Adición, eliminación o cambios en los pasos del procedimiento, los responsables asignados, las herramientas utilizadas, etcétera. |
Total: 1 actividad | documento. |
27. Procedimiento de Gestión de Cambios Productivos | Adición, eliminación o cambios en los pasos del procedimiento, los responsables asignados, las herramientas utilizadas, etcétera. |
Total: 1 actividad | documento. |
28. Procedimiento de Gestión de Claves Públicas y Privadas | Adición, eliminación o cambios en los pasos del procedimiento, los responsables asignados, las herramientas utilizadas, etcétera. |
Total: 1 actividad | documento. |
29. Política de Gestión de Logs | Adición o cambios en los lineamientos de la política. |
Total: 1 actividad | documento. |
30. Procedimiento de Gestión de Logs | Adición, eliminación o cambios en los pasos del procedimiento, los responsables asignados, las herramientas utilizadas, etcétera. |
Total: 1 actividad | documento. |
31. Procedimiento de Gestión de Vulnerabilidades | Adición, eliminación o cambios en los pasos del procedimiento, los responsables asignados, las herramientas utilizadas, etcétera. |
Total: 1 actividad | documento. |
32. Diagrama de Infraestructura | Modificaciones en la infraestructura tecnológica de la empresa. |
Total: 1 actividad | documento. |
33. Plan de Recuperación ante Desastres | Adición, eliminación o cambios en los pasos del plan, los responsables asignados, las herramientas utilizadas, etcétera. |
Total: 5 actividades | documentos. |
34. Plan de Continuidad | Adición, eliminación o cambios en los pasos del plan, los responsables asignados, las herramientas utilizadas, etcétera. |
Total: 5 actividades | documentos. |
35. Capacitación de Desarrollo Seguro | Registro de las fechas en las que se imparte el taller. |
Total: 1 actividad | documento. |
36. Política de Desarrollo Seguro | Adición o cambios en los lineamientos de la política. |
Total: 2 actividades | documentos. |
37. Metodología de Ciclo de Vida de Desarrollo | Adición o cambios en los lineamientos de la metodología. |
Total: 1 actividad | documento. |
38. Guía de seguridad en el desarrollo y mantenimiento de sistemas | Adición o cambios en los criterios de evaluación. |
Total: 1 actividad | documento. |
39. Política de Tratamiento de la Información | Adición o cambios en los lineamientos de la política. |
Total: 1 actividad | documento. |
40. Procedimiento de Transferencia de Información por Medios Extraíbles | Adición, eliminación o cambios en los pasos del procedimiento, los responsables asignados, las herramientas utilizadas, etcétera. |
Total: 1 actividad | documento. |
41. Ethical Hacking + Escaneo de Vulnerabilidades | Generación de nuevos reportes de Ethical Hacking o escaneos de vulnerabilidades. |
Total: 1 actividad | documento. |
42. Validar requisitos de SI en contratos con empleados y proveedores | Cambios en los contratos base. |
Total: 1 actividad | documento. |
43. Matriz de Evaluación de Proveedores | Evaluación de nuevos proveedores. |
Total: 1 actividad | documento. |
44. Matriz de Evaluación de Requisitos Legales y Contractuales | Adición o modificación de los requisitos legales y/o contractuales que aplican a la empresa. Esto puede ocurrir por firma de nuevos contratos, publicación de nuevas leyes aplicables a la empresa, etcétera. |
Total: 1 actividad | documento. |
45. Política de Seguridad por Capas | Adición o cambios en los lineamientos de la política. |
Total: 1 actividad | documento. |
46. Prueba de Continuidad | Nuevas aplicaciones de pruebas de continuidad, registro de nueva información, cambio en la asignación de responsables, etcétera. |
Total: 2 actividades | documentos. |
47. Plan de Comunicación del SGSI | Actualizaciones de fechas, documentos, comunicados o cualquier otro aspecto relacionado a la comunicación interna del SGSI dentro de la empresa. | Si este documento tiene cambios, esto no impactará en ninguna actividad. |
48. Metodología de Indicadores de Seguridad de la Información | Adición o cambios en los lineamientos de la metodología. |
Total: 2 actividades | documentos. |
49. Listado de métricas e indicadores | Actualizaciones en los registros, adición de información o cualquier otro aspecto relacionado a la documentación y seguimiento de la medición y evaluación del SGSI. |
Total: 1 actividad | documento. |
50. Plan y Programa de Auditoría | Actualizaciones en los registros, fechas, responsables, adición de información o cualquier otro aspecto relacionado a la planificación de la auditoría interna. |
Total: 1 actividad | documento. |
51. Procedimiento de Acciones Correctivas y de Mejora | Adición, eliminación o cambios en los pasos del procedimiento, los responsables asignados, las herramientas utilizadas, etcétera. |
Total: 1 actividad | documento. |
52. Minuta de Sesión de Comité de Seguridad | Modificación en el formato de la minuta, adición de puntos relevantes a documentar. | Si este documento tiene cambios, esto no impactará en ninguna actividad. |
53. Remediaciones Ethical Hacking + Escaneo de Vulnerabilidades | Actualizaciones de fechas, estatus de vulnerabilidades, adición de información o cualquier otro aspecto relacionado al seguimiento de la remediación de vulnerabilidades identificadas. | Si este documento tiene cambios, esto no impactará en ninguna actividad. |
54. Evidencia de controles implementados ISO 27002 | Adición o actualización de la evidencia requerida. | Si este documento tiene cambios, esto no impactará en ninguna actividad. |
55. Auditoría interna del SGSI | Nuevos resultados de las auditorías internas periódicas. |
Total: 2 actividades | documentos. |
56. Plan de Tratamiento de Acciones Correctivas y de Mejora | Actualizaciones de fechas, estatus de las no conformidades, adición de información o cualquier otro aspecto relacionado al seguimiento del tratamiento de las no conformidades y oportunidades de mejora. | Si este documento tiene cambios, esto no impactará en ninguna actividad. |
57. Minuta de Sesión de Comité de Seguridad | Modificación en el formato de la minuta, adición de puntos relevantes a documentar. | Si este documento tiene cambios, esto no impactará en ninguna actividad. |
💡 Recuerda que esto no siempre implica una actualización de las actividades o documentos pero sí una revisión para asegurarte de que la información es coherente, está alineada a tu operación y cumple con los requisitos de seguridad.
¿Te gustaría ver esto en la plataforma Hackmetrix? ¡Coméntanos dónde y cómo por medio del chat!