Quiero comenzar este artículo con esta simple frase: “No se pude dirigir lo que no se pude medir”. ¿Qué quiero decir con esto? Hoy en día las organizaciones que se encargan de publicar los estándares de seguridad, se han enfocado en publicar normas que están orientadas a la creación de sistemas de gestión de seguridad de la información y a controles de seguridad, como fue en sus orígenes la norma BS7799-2:2002 ahora estándar ISO 27001.
Pero hasta el momento no se había desarrollado ningún estándar que nos dijera que lo que hemos estado implementando, en cuanto a seguridad de la información se refiere está dando los resultados esperados. Hoy en día es de vital importancia para la alta dirección, encargada de controlar la seguridad de la información de la organización, el contar con indicadores clave y métricas de medición, que les permitan una toma de decisión adecuada.
Por este hecho la organización ISO inició el desarrolló, el año pasado, del estándar ISO-27004 de “Métricas y Medidas del Sistema de Gestión de Seguridad de la Información”, que aunque todavía no ha sido dado a conocer, promete cubrir un nicho que está cobrando gran importancia en las organizaciones.
Este estándar será una parte de la Serie 27000 dentro de los estándares ISO/IEC.
Antes de continuar con las especificaciones de este nuevo estándar, quiero explicar brevemente de que se compone el ISO 27001 ya que esto nos permitirá entender mejor su relación con el ISO 27004.
Estándar ISO 27001
El ISO 27001 es el estándar principal de requerimientos para la creación de un Sistema de Gestión de Seguridad de la Información (SGSI o en sus siglas en inglés ISMS). Este estándar tiene la relevancia de que la certificación del SGSI en una organización debe llevarse a cabo por auditores externos a la misma. El ISO 27001 tiene su origen como se comento anteriormente en la norma BS7799-2:2002.
Las fases de un modelo SGSI son las siguientes:
- Planificar (establecer el SGSI): En esta fase se analizará el entorno de actividad de la organización, se definirán las políticas, objetivos, procesos y procedimientos, se llevará a cabo la identificación y evaluación de los riesgos. Siempre apegados con los objetivos del negocio.
- Hacer (implementar y operar el SGSI): En esta fase se llevará a cabo la implementación y operación de las políticas, controles, procesos y procedimientos, de lo que estará compuesto el SGSI. Aquí es donde se integra el ISO 27004.
- Revisar (monitoreo del SGSI): La implantación de un SGSI exige el seguimiento y revisión de los controles y medidas implantadas. Por ello es imprescindible, la realización de auditorias tanto internas como externas que identifiquen los posibles riesgos, vulnerabilidades y debilidades del sistema.
- Actuar (mantener y mejorar el SGSI): La implantación de un SGSI exige actuar, mantener y mejorar constantemente el Sistema de Gestión. Cuando en la revisión del SGSI se detectan vulnerabilidades, riesgos o debilidades, es necesario llevar a cabo medidas correctoras y preventivas adecuadas, que garanticen en todo momento la seguridad y protección de la información propiedad de la organización.
Estándar ISO 27004
El estándar ISO 27004 denominado “De Métricas y Medidas del Sistema de Gestión de Seguridad de la Información”. Especificará las métricas y las técnicas de medida aplicables para determinar la eficiencia y efectividad de la implantación de un SGSI y de los controles relacionados, ayudando a la alta dirección en la toma de decisiones.
El principal propósito del desarrollo de este estándar es crear una base para que cada organización recoja, analice y comunique la información relacionada con los procesos de un SGSI y esta información debe ser utilizada para tomar decisiones relacionadas a mejorar la puesta en práctica del mismo. Estas métricas se usarán fundamentalmente para la medición de los componentes de la fase de Implementación de un Sistema de Gestión.
Por el momento no se cuenta con mayor información sobre este estándar ISO 27004, pero sin duda alguna este es el siguiente paso que las organizaciones deben de seguir para cerciorarse de que la implementación de un SGSI se esta llevando a cabo correctamente y de no ser así tomar las decisiones adecuadas.
Deja tu comentario