A la hora de trabajar sobre la seguridad de la información es necesario ser especialmente cuidadoso. La protección de los registros personales y la información comercialmente sensible es crítica. Pero ¿cómo puedo saber que la norma ISO / IEC 27001 de gestión de la seguridad información del sistema (SGSI) marcará la diferencia? La nueva norma ISO / IEC puede ser una referencia básica de ayuda.
La recientemente actualizada ISO / IEC 27004:2016 , Tecnología de la información - Técnicas de seguridad - gestión de la seguridad de la información - Seguimiento, medición, análisis y evaluación , proporciona orientación sobre la forma de evaluar el desempeño de la norma ISO / IEC 27001. Con ella lograremos saber cómo desarrollar y operar la medición procesos, y la forma de evaluar y documentar los resultados de un conjunto de métricas de seguridad de la información.
El Prof. Edward Humphreys, Coordinador del grupo de trabajo que desarrolló la norma (ISO / IEC JCT 1 / SC 27), afirma que "Los ciberataques se encuentran entre los mayores riesgos a los que una organización puede enfrentar. Debido a ello, la versión mejorada de la norma ISO / IEC 27004 proporciona un apoyo esencial y práctica para las muchas organizaciones que están implementando la norma ISO / IEC 27001 para protegerse de la creciente diversidad de ataques a la seguridad de que el negocio se enfrenta hoy en día ".
La medición de la seguridad puede proporcionar información respecto a la efectividad de un SGSI y, como tal, ha adquirido importancia. Tanto si eres un ingeniero o consultor responsable de la seguridad , o un ejecutivo que necesita mejor información para la toma de decisiones, los datos referentes a la seguridad se han convertido en un importante vehículo para comunicar el estado de la postura de riesgo cibernético de una organización.
En las propias palabras el profesor Humphreys ’: "Las organizaciones necesitan ayuda para hacer frente a la cuestión de si la inversión de la organización en la gestión de seguridad de la información es eficaz, adecuada para el propósito de reacción, defensa y respuesta a un entorno de riesgo cibernético que cambia continuamente. Aquí es donde la norma ISO / IEC 27004 puede proporcionar numerosas ventajas ".
ISO / IEC 27004: 2016 muestra cómo construir un programa de medición de seguridad de la información, cómo seleccionar qué medir y cómo operar los procesos de medición necesarios. Incluye amplios ejemplos de diferentes tipos de medidas, y cómo la eficacia de estas medidas se puede evaluar.
Entre los muchos beneficios a las organizaciones de la utilización de la norma ISO / IEC 27004 son:
- El aumento de la rendición de cuentas.
- Mejora del rendimiento de seguridad de la información y los procesos de ISMS.
- Evidencia de que cumpla los requisitos de la norma ISO / IEC 27001, así como con las leyes, normas y reglamentos.
ISO / IEC 27004: 2016 sustituye a la edición de 2009; se ha actualizado y ampliado para alinearse con la versión revisada de la norma ISO / IEC 27001 para proporcionar a las organizaciones de mayor valor añadido y la confianza.
Fuente: ISO