Norma ISO 27001

La norma ISO 27001 controla el rendimiento y la medición de las acciones clave para el mantenimiento y la mejora de cualquier Sistema de Gestión. Además contempla la relevancia del apartado 9.1, es decir, la definición de requisitos que tienen que analizarse en la aplicación de este tipo de prácticas.

En este artículo se analizarán distintos consejos sobre cómo llevar a cabo el seguimiento y la medición útil para su negocio, cumpliendo en todo momento con la norma ISO 27001.

Diferencias entre seguimiento y medición

Se lleva a cabo el seguimiento, por regla general, en los dispositivos y aplicaciones con el fin de ser consciente de su estado. Al llevar a cabo la medición, se asigna un valor a algo basado en dimensiones predefinidas y unidades, se procesan los registros por segundo, lo que supone que la sesión dure unos minutos y a temperatura ambiente en grados Celsius (ºC) o Fahrenheit (ºF).

La vigilancia es menos compleja y puede aportar una alerta rápida cuando las cosas se llevan a cabo de manera distinta a lo esperado, la complejidad de la medición puede aportar elevada información mucho más detallada sobre la situación y las cosas que deben ser manejadas.

Por regla general, el seguimiento y la medición se llevan a cabo por alguna de las siguientes cuestiones:

• Para validar decisiones anteriores: la revisión por la dirección toma la decisión de llevar a cabo los seguimientos, se debe aportar cierta evidencia de que las acciones que implantamos son efectivas.
• Para configurar la dirección de las actividades con el fin de cumplir con todos los objetivos que se han establecido: se debe planificar la realización de una copia de seguridad de las actividades siendo un buen ejemplo, ya que los datos pueden ser usados para elegir entre distintas alternativas.
• Presentar pruebas objetivas para justificar un curso obligatorio de la medida: los negocios que se actualizan a un servidor de seguridad o a la aplicación de la criptografía necesitan obtener datos consistentes con lo que podrán vender una idea de gestión a las partes interesadas.
• Para identificar todos los puntos de intervención y los cambios posteriores a través de acciones correctivas: análisis de las causas de un conflicto de proceso de control de acceso es un buen ejemplo de utilización de los datos de seguimiento y medición por dicho motivo.

Requisitos de la norma ISO 27001

En el apartado 9.1, la norma ISO 27001 establece distintas cuestiones que se monitorean y se miden en base al rendimiento y la seguridad de la información en el Sistema de Gestión de Seguridad de la Información efectivo.

La diferencia básica entre ambos es, que mientras que existen ofertas para el desempeño de la seguridad de la información de manera individual con los resultados de seguridad considerados como relevantes para la organización, la eficiencia del Sistema de Gestión de Seguridad de la Información muestra cómo la interacción entre los individuos aporta resultados de seguridad que afectan a la seguridad en todo su conjunto, incluyendo el cumplimiento de la norma ISO 27001.

Por ejemplo, en su empresa puede existir una buena disponibilidad de la información y el tiempo de respuesta corto ante incidentes, pero si los resultados requieren altos costos de protección los resultados en seguridad puede que no sean realmente buenos.

Si no se lleva a cabo el seguimiento y la medición de forma adecuada, puede acabar con valores buenos de seguridad pero individuales, por lo que no agregan valor al negocio, y por lo tanto no cumplen con los requisitos que establece la norma ISO 27001.

Para poder evitar estas situaciones, es importante seguir el apartado 9.1 de la norma ISO 27001 definiendo ciertos elementos que se deben establecer para asegurar el seguimiento y la medición correcta:

• En primer lugar, se tienen que reconocer todos los resultados del negocio y los procesos que pueden resultar afectados por las variaciones en el rendimiento del Sistema de Gestión de Seguridad de la Información. Se deben incorporar controles de seguridad de la información y procesos en sí mismos, y los requisitos obligados por la legislación, las regulaciones y las obligaciones.
• Se puede optar por cualquier tipo de método con el que se sienta cómodo. El criterio crítico es el método escogido para que se compruebe, es decir, que los resultados sean comparables y repetibles.
• Existen distintas necesidades que exigen de distintos tiempos de supervisión y deben tener en cuenta la periodicidad. Una aplicación puede tener distintos puntos de supervisión durante la entrada de datos, durante el proceso de datos o la salida de los datos.
• Para agregar valor a la empresa, los resultados de la supervisión y la medición se deben considerar que las decisiones y las acciones que se llevan a cabo en el momento adecuado. Se debe tener en cuenta que demasiado pronto o demasiado tarde puede significar que los esfuerzos realizados no han servido para nada, por lo que se habrán desperdiciado recursos o se han perdido oportunidades de mejorar.
• La persona responsable de llevar a cabo la evaluación de los resultados es tan importante como el hecho en sí de analizar los datos. En general, el nivel operativo debe realizar el análisis, mientras que el personal de gestión realiza distintas evaluaciones.

Alcanzar mejores resultados mediante un buen seguimiento y medición

Los datos pueden cambiar por lo que la organización debe estar preparada para ello. Se deben supervisar de cerca todos los impactos y medir lo que puede resultar más ventajoso para evitar amenazas y aprovechar todas las oportunidades. Los resultados pueden ser beneficiosos.

 

Software ISO 27001

El Software ISOTools Excellence bajo la norma ISO 27001 para la Seguridad de la Información se encuentra formada por distintas aplicaciones que, al unirlas, trabajan para que la información que manejan las organizaciones no pierdan ninguna de sus propiedades más importantes.