Saltar al contenido principal
ISO 27001 Versión 2015

ISO 27001 versión 2013: Seguimiento y medición

ISO 27001 versión 2013

ISO 27001 versión 2013

Supervisar el rendimiento y la medición de las acciones clave para el mantenimiento y la mejora de cualquier Sistema de Gestión. La norma ISO 27001 versión 2013 reconoce la importancia del apartado 9.1, la definición de requisitos que tienen que observarse en la aplicación de este tipo de prácticas.

Durante este post se expresan ciertos consejos sobre cómo realizar el seguimiento y la medición útil para tu negocio, siempre cumpliendo con la norma ISO 27001 versión 2013.

Las diferencias entre el seguimiento y medición

Al realizar el seguimiento, por regla general, a los dispositivos y aplicaciones con el fin de que ser consciente de su estado. Al realizar la medición, se asigna un valor a algo basado en dimensiones predefinidas y unidades, se procesan los registros por segundo, por lo que la sesión dura unos minutos y a temperatura ambiente en grados Celsius (ºC) o Fahrenheit (ºF).

La vigilancia es menos compleja y puede proporcionar una alerta rápida cuando las cosas se realizan de forma diferente a lo esperado, la complejidad de la medición puede proporcionar elevada información mucho más detallada sobre la situación y las cosas que deben ser manejadas.

Por regla general, el seguimiento y la medición se realizan por alguna de las siguientes cuestiones:

  • Para validar decisiones anteriores: la revisión por la dirección toma la decisión de realizar los seguimientos, se debe proporcionar cierta evidencia de que las acciones que implantamos son efectivas.
  • Para configurar la dirección de las actividades con el fin de cumplir con todos los objetivos que se han establecido: se debe planificar la realización de u na copia de seguridad de las actividades siendo un buen ejemplo, ya que los datos pueden ser utilizados para elegir entre diferentes alternativas.
  • Presentar pruebas objetivas para justificar un curso obligatorio de la medida: los negocios que se actualizan a un servidor de seguridad o a la aplicación de la criptografía requieren obtener datos consistentes con lo que podrán vender una idea de gestión a las partes interesadas.
  • Para identificar todos los puntos de intervención y los cambios posteriores utilizando acciones correctivas: análisis de las causas de un problema de proceso de control de acceso es un buen ejemplo de utilizar los datos de seguimiento y medición por dicho motivo.

Los requisitos de la ISO 27001

En el apartado 9.1 de la norma ISO 27001 versión 2013 establece diferentes aspectos que se monitorean y se miden según el rendimiento y la seguridad de la información en el Sistema de Gestión de Seguridad de la Información efectivo.

La diferencia básica entre ambos es que mientras que existen ofertas para el desempeño de la seguridad de la información de forma individual con los resultados de seguridad son considerados como relevantes para la empresa, la eficiencia del Sistema de Gestión de Seguridad de la Información muestra cómo la interacción entre los individuos ofrece resultados de seguridad que afecta a la seguridad en todo su conjunto, incluyendo el cumplimiento de la norma ISO 27001 versión 2013.

Por ejemplo, en su organización puede existir una buena disponibilidad de la información y el tiempo de respuesta corto ante incidentes, pero si los resultados exigen altos costos de protección los resultados en seguridad puede que no sea muy bueno.

Si no se realiza el seguimiento y la medición de forma adecuada, puede terminar con buenos valores de seguridad pero individuales por lo que no agregan valor al negocio, por lo que no cumplen con los requisitos que establece la norma ISO 27001 versión 2013.

Para poder evitar estas situaciones, es importante seguir el apartado 9.1 de la norma ISO 27001 versión 2013 estableciendo ciertos elementos que se deben establecer para garantizar el seguimiento y la medición correcta:

  • En primer lugar, se tienen que identificar todos los resultados del negocio y los procesos que pueden verse afectados por las variaciones en el rendimiento del Sistema de Gestión de Seguridad de la Información. Se deben incluir controles de seguridad de la información y procesos en sí mismos, y los requisitos obligados por la legislación, las regulaciones y las obligaciones.
  • Puedes elegir cualquier tipo de método con el que te sientas cómodo. El criterio crítico es el método elegido para que se verifique, es decir, que los resultados sean comparables y repetibles.
  • Existen diferentes necesidades que requieren de diferentes tiempos de supervisión y deben tener en cuenta la periodicidad. Una aplicación puede tener diferentes puntos de supervisión durante la entrada de datos, durante el proceso de datos o la salida de los datos.
  • Agregar valor a la organización, los resultados de la supervisión y la medición se debe considerar las decisiones y las acciones que se realizan en el momento adecuado. Se debe tener en cuenta que demasiado pronto o demasiado tarde puede resultar que los esfuerzos realizados no han servido para nada, por lo que se habrán desperdiciado recursos o se han perdido oportunidades de mejorar.
  • La persona encargada de realizar la evaluación de los resultados es tan importante como analizar los datos. En general, el nivel operativo debe realizar el análisis, mientras que el personal de gestión realiza diferentes evaluaciones.

 

Conseguir mejores resultados a través de un buen seguimiento y medición

Los datos pueden cambiar por lo que la empresa debe estar preparada para ello. Se debe supervisar de cerca todos los impactos y medir lo que puede traer más ventajas para evitar amenazas y aprovechar todas las oportunidades. Los resultados pueden ser beneficiosos.

Software ISO 27001

El Software ISOTools Excellence para ISO 27001 para la Seguridad de la Información se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes.

Descargue el e-book fundamentos de gestión de Seguridad de la Información
Recibe Nuestra Newsletter
New Call-to-action
Nueva llamada a la acción
Volver arriba