ISO 27001 ¿Cómo medir la seguridad?
ISO 27001
ISO 27001 se instala en las organizaciones debido a que tienen que hacer frente a distintos riesgos que se le presentan cada día. Antes, necesitan saber cómo de segura está la organización. Para ello se preguntan:
- ¿Qué cantidad de recursos son necesarios para estar “seguros”?
- ¿De que manera puede justificarse el coste de nuevas medidas de seguridad?
- ¿Recibe la empresa algo a cambio de su inversión?
- ¿Cómo sabe la organización que está “segura”?
- ¿Cómo puede comparar la empresa su estado con otras del sector y con las normas de buenas prácticas?
La respuesta a estas preguntas se anexiona con la evaluación del riesgo que la organización está dispuesta a asumir en función de sus necesidades de negocio.
Para medir la seguridad las organizaciones implantan la norma ISO 27001.
El estándar ISO27001 es una norma para la seguridad de la información que explica los requisitos que son necesarios para establecer, implementar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) según el ciclo PDCA (Planificar, Hacer, Verficar, Actuar).
ISO-27001 da la solución a problemas habituales como son:
- Diferencias en los pasos a continuar.
- Consideraciones opuestas de qué activos son los que se tienen que proteger.
- Diferentes normas y mejoras prácticas sobre los que basar el proceso.
- Nomenclatura y vocabulario distinto.
- Métodos de evaluación y consecuencias a medir distintas.
La ISO 27001 exige que los controles sean medibles. Para ello disponemos de ISO 27004, la cual ofrece la forma de llevar a cabo dichas mediciones:
- El establecimiento de métricas con las que conocer el estado de la seguridad resulta importante en la adopción y mantenimiento de un SGSI.
- Ese conocimiento del estado de la seguridad es fundamental en la toma de decisiones.
- La publicación de la norma ISO 27004 es la prueba de que la medición es un elemento vital que se comienza a tener presente.
ISOTools, es una Plataforma Tecnológica, que ayuda a las organizaciones a implementar, automatizar, evaluar y controlar la norma ISO 27001.