ISO 27001

ISO 27001 se instala en las organizaciones debido a que tienen que hacer frente a distintos riesgos que se le presentan cada día. Antes, necesitan saber cómo de segura está la organización. Para ello se preguntan:

• ¿Qué cantidad de recursos son necesarios para estar “seguros”?
• ¿De que manera puede justificarse el coste de nuevas medidas de seguridad?
• ¿Recibe la empresa algo a cambio de su inversión?
• ¿Cómo sabe la organización que está “segura”?
• ¿Cómo puede comparar la empresa su estado con otras del sector y con las normas de buenas prácticas?

La respuesta a estas preguntas se anexiona con la evaluación del riesgo que la organización está dispuesta a asumir en función de sus necesidades de negocio.

Para medir la seguridad las organizaciones implantan la norma ISO 27001.

El estándar ISO27001 es una norma para la seguridad de la información que explica los requisitos que son necesarios para establecer, implementar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) según el ciclo PDCA (Planificar, Hacer, Verficar, Actuar).

ISO-27001 da la solución a problemas habituales como son:

• Diferencias en los pasos a continuar.
• Consideraciones opuestas de qué activos son los que se tienen que proteger.
• Diferentes normas y mejoras prácticas sobre los que basar el proceso.
• Nomenclatura y vocabulario distinto.
• Métodos de evaluación y consecuencias a medir distintas.

La ISO 27001 exige que los controles sean medibles. Para ello disponemos de ISO 27004, la cual ofrece la forma de llevar a cabo dichas mediciones:

• El establecimiento de métricas con las que conocer el estado de la seguridad resulta importante en la adopción y mantenimiento de un SGSI.
• Ese conocimiento del estado de la seguridad es fundamental en la toma de decisiones.
• La publicación de la norma ISO 27004 es la prueba de que la medición es un elemento vital que se comienza a tener presente.

ISOTools, es una Plataforma Tecnológica, que ayuda a las organizaciones a implementar, automatizar, evaluar y controlar la norma ISO 27001.

The post ISO 27001 ¿Cómo medir la seguridad? appeared first on PMG SSI - ISO 27001.

ISO 27004

ISO 27004 facilita una serie de mejores prácticas para poder medir el resultado de un SGSI basado en ISO 27001.

El estándar concreta cómo configurar el programa de medición, qué parámetros medir, cuñando y cómo medirlos, y ayuda a las empresas a crear objetivos de rendimiento y criterios de éxito.

La medición de la seguridad aporta protección a los sistemas de la organización y da respuesta a las amenazas de la misma.

ISO-27004 expone que el tipo de medidas requeridas dependerá del tamaño y complejidad de la organización, de la relación coste beneficio y del nivel de integración de la seguridad de la información en los procesos de la propia organización.

La norma ISO27004 establece cómo se deben constituir estas medidas y cómo se deben documentar e integrar los datos obtenidos en el SGSI.

Las etapas propuestas por ISO 27004 con el objetivo de medir la eficacia de la seguridad de la información son:

• Selección procesos y objetos de medición.

Las empresas deben definir lo que hay que medir y el alcance de la medida. Sólo se consideran en la medición los procesos bien documentados que son consistentes y repetibles. Objetos de medición puede ser el rendimiento de los controles o de procedimientos, el comportamiento del personal…

• Definición de las líneas base.

Los valores base que muestran el punto de referencia deben definirse para cada objeto que se está midiendo.

• Recopilación de datos.

Los datos deben ser dimensionales precisos y oportunos. Se pueden emplear técnicas automatizadas de recogida de datos para lograr una recolección estandarizada y presentar informes.

• Desarrollo de un método de medición.

Según ISO 27004, la secuencia lógica de operaciones se aplica en diversos atributos del objeto seleccionado para la medición. Se usan indicadores como fuentes de datos para mejorar el rendimiento de los programas de seguridad de la información.

• Interpretación de los valores medidos.

Mediante procesos y la tecnología para el análisis y la interpretación de los valores se deben identificar las brechas entre el valor inicial y el valor de medición real.

• Comunicación de los valores de medición.

Los resultados de medición del SGSI se comunicarán a las partes interesadas. Se puede hacer en forma de gráficos, cuadros de mando operacionales, informes o boletines de noticias…

La Plataforma Tecnológica ISOTools facilita la medición del rendimiento de los SGSI, siendo una herramienta simple y de fácil manejo.

The post ISO/IEC 27004 – Medición de la Seguridad de la Información appeared first on PMG SSI - ISO 27001.