Sistema de Gestión de Seguridad de la Información

El control del rendimiento y la medición son las actividades clave a la hora de mantener y mejorar de manera continua el Sistema de Gestión de Seguridad de la Información según la norma ISO 27001.

La norma ISO 27001 acepta la importancia del rendimiento y la medición en la cláusula 9.1, en la cual se establecen los requisitos que se deben tener en cuenta a la hora de llevar a cabo la aplicación del dicho tipo de prácticas.

A continuación vamos a encontrar una serie de consejos sobre cómo llevar a cabo el seguimiento y la medición útil para la organización, para cumplir con la norma ISO 27001.

Seguimiento vs. Medición

Cuando se realiza el seguimiento, por lo general se lleva a cabo en los dispositivos y en las aplicaciones, con el objetivo de ser conscientes del estado en el que se encuentran.

Cuando se realiza la medición, se asigna un valor basado en las extensiones predefinidas y unidades, los datos son procesados en los registros por segundo, es decir, la duración de la sesión en minutos o la temperatura del ambiente en grados centígrados.

El control es menos complejo y puede ofrecer una alerta rápida cuando las cosas son diferentes a lo esperado, la complejidad de la medición puede suministrar información más precisa sobre la situación y las cosas que deben manejarse.

¿Por qué son necesarios?

La medición y el seguimiento son esenciales para:

• Aprobar las decisiones anteriores: verificación por la dirección, siendo una decisión que facilita la evidencia de las acciones que se implementan activamente.
• Estructurar la dirección de las actividades con el fin de alcanzar todos los objetivos establecidos: se debe llevar a cabo una planificación de la copia de seguridad de las actividades, ya que los datos se pueden utilizar para escoger entre distintas alternativas.
• Conservar pruebas objetivas para justificar un curso obligatorio: se debe llevar a cabo una actualización del servidor de seguridad o aplicar la criptografía que requiera de datos fuertes y consistentes para vender una idea de la gestión del Sistema de Gestión de Seguridad de la Información basada en la norma ISO 27001.
• Para establecer un punto de intervención, los cambios posteriores y las acciones correctivas: se deben examinar las causas de un problema de proceso de control de acceso, ya es un buen ejemplo para el uso de todos los datos de seguimiento y las mediciones realizadas.

Requisitos de la ISO 27001

El apartado 9.1 de la norma ISO 27001 establece dos aspectos para medir el rendimiento y la seguridad de la información de una manera efectiva.

La diferencia principal entre ellos es, que mientras que existan ofertas para el desempeño de seguridad de la información de manera individual, con los resultados de seguridad considerados como relevantes para la organización, la eficacia del Sistema de Gestión de Seguridad de la Información indica cómo la interacción entre los individuos, que afecta a la seguridad en su conjunto, se incluye en el cumplimiento de la norma ISO 27001.

La empresa puede tener disponible información de calidad y un tiempo reducido de respuesta a incidentes, pero si por el contrario los resultados obtenidos exigen altos costes de protección significará que dicho Sistema de Gestión de Seguridad no es tan excelente.

Por ello, al llevar a cabo el seguimiento y la medición adecuada pueden completarse con buenos resultados de seguridad individuales que, sin embargo, no aporten valor al negocio, o que no cumplan con todos los requisitos de la norma ISO 27001 y se exigirá entonces que se lleve a cabo un ajuste no deseado.

Para ayudar a evitar dichas situaciones, el apartado 9.1 de la norma ISO 27001 establece distintos elementos que aseguran el seguimiento y la medición correctamente:

• ¿Cuál debe ser monitoreado? En primer lugar se deben reconocer todos los resultados de negocio y procesos que pueden verse afectados por las alteraciones en el rendimiento de seguridad de la información, se incluyen los controles de seguridad de la información y los procesos a sí mismos, además de los requisitos obligatorios.

• ¿Qué métodos se pueden utilizar para controlar la medición? Se puede escoger cualquier método que haga sentir cómodo y seguro de lo que se está haciendo. El criterio que se debe seguir es el que sea más constatable.

• ¿Qué medición debe hacerse? Son distintas las necesidades que requieren las diferentes mediciones y se debe tener en cuenta la periodicidad. Una aplicación puede constar de distintos puntos de medición en la entrada de datos durante el procesamiento de los mismos.

• Resultados de la medición. Para originar valor añadido a la empresa, los resultados de la medición deben de ser tenidos en cuenta según las distintas decisiones y las acciones en los momentos adecuados.

• ¿Quién debe analizar y evaluar los resultados de la supervisión? Es muy importante que se examinen los datos. El nivel operativo tiene que efectuar un análisis, mientras que el personal de gestión lleva a cabo distintas evaluaciones.

Existe un requisito muy específico y concreto que se relaciona con la conservación de las pruebas de seguimiento y medición de resultados para cumplir con la cláusula 7.5 de la norma ISO 27001.

Los gráficos de control, las listas de control y los informes de análisis verificados por la dirección se han convertido en buenos ejemplos de una correcta documentación. Asimismo se asegura el cumplimiento de la norma ISO 27001.

La empresa debe vigilar de cerca lo que más impacto ocasione y medir lo que pueda traer más ventajas a la hora de evitar amenazas y aprovechar todas las oportunidades.

Software ISO 27001

El Software ISOTools Excellence para el Sistema de Gestión de Seguridad de la Información ISO 27001 está formado por distintas aplicaciones que, al unirlas, trabajan para que la información que manejan las organizaciones no pierda ninguna de sus características más relevantes.