ISO 27004

La norma ISO27004 posibilita una variedad de mejores prácticas para la medición de los resultados de un Sistema de Gestión de la Seguridad de la Información (SGSI) en ISO 27001.

Este estándar especifica cómo estructurar el sistema de medición, cuáles son los parámetros a medir, cuándo y cómo medirlos. Además, ayuda a las empresas al establecimiento de objetivos relacionados con el rendimiento y los criterios de éxito.

El tipo de métodos requeridos expuestos por ISO 27004 dependerán de la complejidad, el tamaño de la organización, del vínculo entre el coste y el beneficio y el nivel de integración de la seguridad de la información que se haga en los procedimientos llevados a cabo por la organización. Esta norma especifica cómo se ha de constituir estos métodos y cómo deben integrarse y documentarse los datos alcanzados en el SGSI.

Con el objetivo de medir o evaluar la eficiencia de la seguridad de la información, las etapas planteadas por ISO-27004 son:

1)      Elección de los objetivos y procesos de medición: Las organizaciones han de medir el alcance de los métodos. En la medición, solo se consideran aquellos procesos que están documentados consistentemente. El rendimiento de los procedimientos o controles y las actuaciones del personal son algunos de los objetos de medición.

2)      Descripción de las líneas principales: Los valores principales que exponen el punto de referencia han de determinarse para cada objeto que está siendo medido.

3)      Selección de datos: Los datos han de ser precisos, oportunos y dimensionales. Se pueden llevar a cabo técnicas programadas de recogida de datos para conseguir una recopilación normalizada y mostrar informes.

4)      Desarrollo de un sistema de medición: La secuencia racional de operaciones según la norma ISO27004 se aplica en diferentes atributos del objeto escogido para la medición. Se emplean indicadores como surtidor de datos para una mejora en el rendimiento de programas relacionados con la seguridad de la información.

5)      Interpretación de los valores medidos: Se ha de identificar las grietas entre los valores iniciales y los de medición real a través de la tecnología y los procedimientos apropiados para la interpretación y el análisis de dichos valores.

6)      Notificación de los valores de medición: Los datos que resulten de la medición han de ser notificados a las partes interesadas. Se puede realizar mediante cuadros de mando operacional, informes, boletines de noticias o en forma de gráficos.

ISOTools es una Plataforma Tecnológica que facilita a las organizaciones la medición del rendimiento de los SGSI, siendo una herramienta fácil y simple de manejar.