Cómo medir la efectividad de la seguridad de la información | Tecnologías de la Información y Consultoria

Cómo medir la efectividad de la seguridad de la información

 

Simplemente no se puede ser demasiado cuidadoso cuando se trata de seguridad de la información. Proteger los registros personales y la información comercialmente sensible es crítico. Pero ¿cómo puede saber que su sistema de gestión de la seguridad de la información ISO / IEC 27001 (SGSI) está marcando una diferencia? Una nueva Norma Internacional ISO / IEC puede ser de ayuda.

La reciente ISO / IEC 27004: 2016, Tecnología de la información - Técnicas de seguridad - Gestión de la seguridad de la información - Monitoreo, medición, análisis y evaluación, proporciona orientación sobre cómo evaluar el desempeño de ISO / IEC 27001. Explica cómo desarrollar y operar procesos de medición y cómo evaluar e informar los resultados de un conjunto de métricas de seguridad de la información.

El profesor Edward Humphreys, coordinador del grupo de trabajo que desarrolló el estándar (ISO / IEC JTC 1 / SC 27), nos dice: "Los ataques cibernéticos son uno de los mayores riesgos que una organización puede enfrentar. Esta es la razón por la cual la versión mejorada de ISO / IEC 27004 proporciona soporte esencial y práctico a muchas organizaciones que están implementando ISO / IEC 27001 para protegerse de la creciente diversidad de ataques de seguridad que los negocios enfrentan en la actualidad".

Las métricas de seguridad pueden proporcionar ideas sobre la efectividad de un SGSI , y como tales, han tomado protagonismo. Si usted es un ingeniero o consultor responsable por la seguridad y reporta a la gerencia o a un ejecutivo que necesita la mejor información para la toma de decisiones, las métricas de seguridad se han convertido en un vehículo importante para comunicar el estado de la postura de la organización ante ciber-riesgo.

En las propias palabras del Prof. Humphreys: "Las organizaciones necesitan ayuda para abordar la cuestión de si la inversión de la organización en la gestión de la seguridad de la información es eficaz, apta para el propósito de reaccionar, defender y responder al entorno cibernético continuamente cambiante. Aquí es donde ISO / IEC 27004 puede proporcionar numerosas ventajas. "

ISO / IEC 27004: 2016 muestra cómo construir un programa de medición de la seguridad de la información, cómo seleccionar qué medir y cómo operar los procesos de medición necesarios. Incluye amplios ejemplos de diferentes tipos de mediciones y cómo la efectividad de estas medidas pueda ser evaluada.

Entre los múltiples beneficios para las organizaciones en el uso de ISO / IEC 27004 tenemos:

  • Incrementa las responsabilidades
  • Mejor desempeño de la seguridad de la información y de los procesos del SGSI
  • Evidencia el cumplimiento con los requisitos de ISO / IEC 27001, así como las leyes, reglas y regulaciones aplicables

ISO / IEC 27004: 2016 sustituye a la edición de 2009; Se ha actualizado y ampliado para alinearse con la versión revisada de ISO / IEC 27001 para proporcionar a las organizaciones mayor valor agregado y confianza.

ISO / IEC 27004: 2016 fue desarrollado por el comité técnico conjunto ISO / IEC JTC 1, Tecnologías de la Información, subcomité SC 27, técnicas de seguridad TI, cuya secretaría está a cargo de DIN, el miembro de ISO en Alemania. Está disponible en su miembro nacional de ISO o a través de la tienda en línea de ISO.

 

Traducción no oficial realizada con fines de difusión

Fuente :

Artículo original en la web de ISO :  https://www.iso.org/news/2016/12/Ref2151.html

 

Norma relacionada: 

Protección de datos personales Gobernanza TI  SGSI - 27001