ISO/IEC 27004 – Medición de la Seguridad de la Información
ISO 27004
ISO 27004 facilita una serie de mejores prácticas para poder medir el resultado de un SGSI basado en ISO 27001.
El estándar concreta cómo configurar el programa de medición, qué parámetros medir, cuñando y cómo medirlos, y ayuda a las empresas a crear objetivos de rendimiento y criterios de éxito.
La medición de la seguridad aporta protección a los sistemas de la organización y da respuesta a las amenazas de la misma.
ISO-27004 expone que el tipo de medidas requeridas dependerá del tamaño y complejidad de la organización, de la relación coste beneficio y del nivel de integración de la seguridad de la información en los procesos de la propia organización.
La norma ISO27004 establece cómo se deben constituir estas medidas y cómo se deben documentar e integrar los datos obtenidos en el SGSI.
Las etapas propuestas por ISO 27004 con el objetivo de medir la eficacia de la seguridad de la información son:
- Selección procesos y objetos de medición.
Las empresas deben definir lo que hay que medir y el alcance de la medida. Sólo se consideran en la medición los procesos bien documentados que son consistentes y repetibles. Objetos de medición puede ser el rendimiento de los controles o de procedimientos, el comportamiento del personal…
- Definición de las líneas base.
Los valores base que muestran el punto de referencia deben definirse para cada objeto que se está midiendo.
- Recopilación de datos.
Los datos deben ser dimensionales precisos y oportunos. Se pueden emplear técnicas automatizadas de recogida de datos para lograr una recolección estandarizada y presentar informes.
- Desarrollo de un método de medición.
Según ISO 27004, la secuencia lógica de operaciones se aplica en diversos atributos del objeto seleccionado para la medición. Se usan indicadores como fuentes de datos para mejorar el rendimiento de los programas de seguridad de la información.
- Interpretación de los valores medidos.
Mediante procesos y la tecnología para el análisis y la interpretación de los valores se deben identificar las brechas entre el valor inicial y el valor de medición real.
- Comunicación de los valores de medición.
Los resultados de medición del SGSI se comunicarán a las partes interesadas. Se puede hacer en forma de gráficos, cuadros de mando operacionales, informes o boletines de noticias…
La Plataforma Tecnológica ISOTools facilita la medición del rendimiento de los SGSI, siendo una herramienta simple y de fácil manejo.