ISO 27001. Métricas de seguridad
ISO 27001
ISO 27000 tiene distintos documentos que explican los diferentes aspectos de la gestión de la seguridad de la información.
El estándar ISO 27001 hace referencia al carácter métrico de los controles que propone. Esto quiere decir, que si no podemos medir no vamos a poder ni mejorar ni gestionar.
La gestión por si sola no es suficiente para alcanzar altos niveles de seguridad, así, que debemos adoptar la norma ISO-27001, para nuestra mayor seguridad.
La norma explica que la utilización de ésta facilitará a las empresas a dar contestación a las preguntas relacionadas con la eficiencia y eficacia del SGSI, además de responder a qué niveles de implantación se han alcanzado. Estas mediciones harán que se pueda comparar los lograr alcanzados en seguridad de la información sobre períodos de tiempo dentro de las áreas de negocio similares de organización.
La ISO27001 desarrolla los conceptos de “calidad de la seguridad” y “madurez” como principales parámetros que dan la definición de indicadores y métricas. Los pasos que tienen que seguir para adoptar un conjunto de métricas son:
- Reconocer los elementos a medir a partir del índice del estándar ISO 17799.
- Definir los niveles de madurez para cada elemento medible.
- Definir los niveles de calidad para cada nivel de madurez de cada elemento.
Con ello, obtendremos una pareja de valores que nos dará la información del nivel de evolución del control y de la calidad con la que se ha llevado a cabo la implementación. Unos valores que pueden que sean una imagen real del nivel de seguridad de la empresa.
Cuando se implanta la ISO-27001 se desarrollan unas ciertas actividades como:
- Definición del alcance del Sistema de Gestión de Seguridad de la Información.
- Definición de una Política de Seguridad.
- Definición de los métodos y de los criterios para la gestión y evaluación del riesgo.
- Identificación de los riesgos.
- Evaluación de los tratamientos de los riesgos posibles.
- Desarrollo de una declaración de aplicabilidad de controles y requisitos.
- Elaboración de un plan de tratamiento de riesgos.
- Elaboración de programas de formación de seguridad de la información.
- Gestión de incidencias, recursos y operaciones.
- Elaboración de procedimientos y documentación relacionada.
ISOTools, es una Plataforma Tecnológica, que prepara el proceso de adopción del SGSI mediante, la gestión, automatización y control del sistema de gestión, según lo indicado en la ISO 27001.