Seguimiento y medición de la norma ISO 27001
Norma ISO 27001
La supervisión del rendimiento y la medición son las acciones clave a la hora de mantener y mejora de forma continua del Sistema de Gestión de Seguridad de la Información según la norma ISO 27001.
La norma ISO 27001 reconoce la importancia del rendimiento y la medición en la cláusula 9.1, en el que se definen los requisitos que se deben observar en la aplicación del dicho tipo de prácticas.
Durante este artículo ofrecemos una serie de consejos sobre cómo realizar el seguimiento y la medición útil para el negocio, para cumplir con la norma ISO 27001.
Las diferencias entre el seguimiento y medición
Al realizar el seguimiento, por lo general en los dispositivos y las aplicaciones, con el fin de ser conscientes del estado en el que se encuentra.
Cuando se realiza la medición, se asigna un valor basado en las dimensiones predefinidas y unidades, los datos son procesados en los registros por segundo, es decir, la duración de la sesión en minutos o la temperatura del ambiente en grados centígrados.
La vigilancia es menos compleja y puede proporcionar una alerta rápida cuando las cosas son distintas a lo esperado, la complejidad de la medición puede facilitar información más detallada sobre la situación y las cosas que deben manejarse.
¿Por qué los necesito?
La medición y el seguimiento son necesarios para:
- Validar las decisiones anteriores: revisión por la dirección, siendo una decisión que proporciona la evidencia de las acciones que se implementan activamente.
- Configurar la dirección de las actividades con el fin de cumplir con todos los objetivos establecidos: se debe realizar una planificación de la copia de seguridad de las actividades, ya que los datos se pueden utilizar para optar por diferentes alternativas.
- Guardar pruebas objetivas para justificar un curso obligatorio: se debe realizar una actualización del servidor de seguridad o aplicar la criptografía que requieran de datos fuertes y consistentes para vender una idea de la gestión del Sistema de Gestión de Seguridad de la Información según la norma ISO 27001.
- Para identificar un punto de intervención, los cambios posteriores y las acciones correctivas: se deben analizar las causas de un problema de proceso de control de acceso es un buen ejemplo para la utilización de todos los datos de seguimiento y las mediciones realizadas.
Los requisitos de la ISO 27001
En la norma ISO 27001 tenemos el apartado 9.1 que establece dos aspectos para se mida el rendimiento y la seguridad de la información de una forma efectiva.
La diferencia básica entre ellos son que mientras que existan ofertas para el desempeño de seguridad de la información de forma individual con los resultados de seguridad consideradas como relevantes para la empresa, la eficacia del Sistema de Gestión de Seguridad de la Información muestra cómo la interacción entre los individuos, ya que afecta a la seguridad en su conjunto, se incluye el cumplimiento de la norma ISO 27001.
La organización puede tener disponible buena información y el tiempo de respuesta a incidentes, pero si los resultados obtenidos exigen altos costos de protección significará que no es tan bueno como creían.
Por lo que al realizar el seguimiento y la medición adecuada, puede terminar con buenos resultados de seguridad individuales que no agregan valor al negocio, o que no cumplan con todos los requisitos de la norma ISO 27001 y exige que se realice un ajuste no deseado.
Para ayudar a evitar dichas situaciones, el apartado 9.1 de la norma ISO 27001 establece diferentes elementos que garantizan el seguimiento y la medición de forma correcta:
- ¿Cuál debe ser monitoreado? Primero se deben identificar todos los resultados de negocio y procesos que pueden verse afectadas por las variaciones en el rendimiento de seguridad de la información, se incluyen los controles de seguridad de la información y los procesos a sí mismos, además de los requisitos obligatorios.
- ¿Qué métodos se pueden utilizar para controlar la medición? Se puede elegir cualquier método que le haga sentir cómodo. El criterio que se debe elegir es el que sea más verificable.
- ¿Qué medición debe hacerse? Son diferentes las necesidades que requieren las distintas mediciones y se deben tener en cuenta la periodicidad. Una aplicación puede tener diferentes puntos de medición en la entrada de datos, durante el procesamiento de datos.
- Resultados de la medición: para generar valor añadido a la organización, los resultados de la medición tiene que ser considerados según las diferentes decisiones y las acciones en los momentos adecuados.
- ¿Quién debe analizar y evaluar los resultados de la supervisión? Es muy importante que se analicen los datos. El nivel operativo tiene que realizar un análisis, mientras que el personal de gestión lleva a cabo diferentes evaluaciones.
Existe un requisito muy específico que se relaciona con la conservación de las pruebas de seguimiento y medición de resultados, para cumplir con la cláusula 7.5 de la norma ISO 27001.
Los gráficos de control, las listas de control y los informes de análisis revisados por la dirección se han convertido en buenos ejemplos de una documentación adecuada. Además se garantiza el cumplimiento de la norma ISO 27001.
La organización debe supervisar de cerca lo que más impacto genere y medir lo que puede traer más ventajas a la hora de evitar amenazas y aprovechar todas las oportunidades.
Software ISO 27001
El Software ISOTools Excellence para el Sistema de Gestión de Seguridad de la Información ISO 27001 se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes: disponibilidad, integridad y confidencialidad.