1
00:00:10,200 --> 00:00:16,480
Durante esta masterclass explicaré los requisitos de la norma en su numeral 9.1.

2
00:00:16,560 --> 00:00:20,730
Seguimiento Medición análisis y mejora.

3
00:00:20,910 --> 00:00:29,070
Este aparato no sólo se debe aplicar a la documentación del SGS y ya que como bien se dijo es bien importante

4
00:00:29,310 --> 00:00:36,600
se debe aplicar a los controles de seguridad la medición de ese desempeño se debe hacer hasta los mismos

5
00:00:36,600 --> 00:00:42,900
controles cuando se habla de que la organización debe conservar la documentación de la información como

6
00:00:42,900 --> 00:00:50,490
evidencia de los resultados no sólo hace referencia al eje S.I sino también a las evidencias que le

7
00:00:50,490 --> 00:00:57,540
permitan validar o evidenciar que se está cumpliendo el control para que cuando se haga esa evaluación

8
00:00:57,840 --> 00:01:03,780
se tenga la evidencia y documentación correspondiente y sean herramientas que nos permitan ver si el

9
00:01:03,780 --> 00:01:10,960
desempeño de ese control es efectivo es decir si cumple su propósito o si debe ser modificado.

10
00:01:11,370 --> 00:01:18,150
El tiempo de conservación de esa documentación debe ser establecido por una política en términos de

11
00:01:18,150 --> 00:01:20,380
temas legales y contractuales.

12
00:01:20,430 --> 00:01:25,620
Sin embargo la idea es que apenas se generen nuevas versiones de los documentos.

13
00:01:25,800 --> 00:01:32,220
Las viejas versiones van perdiendo vigencia y se guardan en un histórico aún que pocas veces son tomadas

14
00:01:32,220 --> 00:01:34,340
en cuenta en auditoría.

15
00:01:34,410 --> 00:01:41,670
En ese sentido deberían existir políticas de retención de información y lo que uno va a validar como

16
00:01:41,670 --> 00:01:48,030
auditor es que se cumplan esos tiempos establecidos en cuanto a las evidencias.

17
00:01:48,050 --> 00:01:55,540
Es de recordar que la certificación ISO 27000 tiene una duración de tres años y en ese tiempo deberían

18
00:01:55,560 --> 00:01:59,130
haberse realizado auditorías internas del SGS.

19
00:01:59,870 --> 00:02:06,710
Es decir auditorías internas enfocadas para saber si se está preparado para la próxima certificación.

20
00:02:06,710 --> 00:02:14,990
Esas auditorías debieron solicitar una evidencia y éstas se deben mantener no sólo por tres años lo

21
00:02:14,990 --> 00:02:23,270
que se busca garantizar es que si la entidad implementó ISO 27000 para ser certificado la evidencia

22
00:02:23,490 --> 00:02:31,100
no los documentos como tal sino por ejemplo pantallazos blogs bitácoras cámaras de video y este tipo

23
00:02:31,100 --> 00:02:38,090
de registro de controles deberían ser conservados por un tiempo en el cual tanto las auditorías internas

24
00:02:38,090 --> 00:02:44,850
como la certificación puedan establecer qué se ha llevado ese control y que se tienen esas evidencias.

25
00:02:44,900 --> 00:02:51,970
Sin embargo para temas de monitoreo de logs y demás siempre se definen tres meses en línea y hasta 1

26
00:02:51,970 --> 00:02:58,550
año disponible en backups porque cuando se monitorean eventos y además pueden ser los holdouts muy largos

27
00:02:58,550 --> 00:03:00,240
que ocupan mucho espacio.

28
00:03:00,320 --> 00:03:06,890
Sin embargo la norma no establece un período fijo de conservación debe ser el que sea necesario para

29
00:03:06,890 --> 00:03:12,020
que cuando hayan las auditorías internas y de certificación se mantenga la evidencia.

30
00:03:12,020 --> 00:03:18,140
No se le puede decir al auditor que el material fue eliminado o se perdió ya que no se tendrá evidencia

31
00:03:18,170 --> 00:03:19,510
del control.

32
00:03:19,520 --> 00:03:25,910
Las empresas deberán establecer mantener y documentar un sistema de gestión de la seguridad de la información

33
00:03:26,320 --> 00:03:27,760
S.G. y.