ISO 27001
Es necesario supervisar el rendimiento y la medición de todas las acciones clave cuando se quiere mantener y mejorar un Sistema de Gestión de Seguridad de la Información basado en la ISO 27001.
La ISO 27001 reconoce la gran importancia que tiene la medición y el rendimiento dentro del apartado 9.1, en el que se definen todos los requisitos que se tiene que observar durante la aplicación de dichas actividades.
Durante este post veremos diferentes consejos sobre cómo se debe llevar a cabo el seguimiento y la medición de una forma útil para el negocio y además cumplir con lo que establece la norma ISO 27001.
Las diferencias entre el seguimiento y medición
Cuando se realiza un seguimiento, por regla general en los dispositivos y aplicaciones, es necesario ser conscientes del estado en el que no lo encontramos.
Cuando se lleva a cabo la medición, se tiene que asignar un valor que se basa en las dimensiones definidas y en las unidades, los datos serán procesados en los registros por segundo, es decir, se debe tener en cuenta diversos aspectos por los que se ve influida.
La vigilancia es mucho menos compleja y se tiene que establecer un sistema de alertas para conocer cuando las cosas son distintas a lo esperado, la complejidad de la medición ofrece información mucho más detallada y las cosas que se tienen que manejar.
¿Por qué lo necesito?
La medición y el seguimiento resultan necesarios para:
- Validar todas las decisiones anteriores: realizar una revisión por parte de la dirección, se tomará la decisión en función a las evidencias que nos ofrecen las acciones que se implantan de forma activa.
- Configurar la dirección de todas las actividades con el fin de cumplir con los diferentes objetivos establecidos: se tiene que llevar a cabo una planificación de la copia de seguridad, ya que los datos se utilizarán para optar por distintas alternativas.
- Guardar pruebas objetivas para justificar un curso obligatorio: se tiene que realizar una actuación del servicios de seguridad o aplicar la criptografía utilizando unos datos fuertes y consistentes, así se podrá vender una idea de cómo gestionar el Sistema de Gestión de Seguridad de la Información según la ISO 27001.
- Identificar un punto de intervención, cambios posteriores y acciones correctivas: se tienen que analizar todas las causas de un problema de proceso de control de acceso siendo un ejemplo para utilizar los datos de seguimiento y medición que se han realizado.
Los requisitos de la ISO 27001
La ISO 27001 cuenta con la cláusula 9.1 en la que se establecen todos los aspectos en los que se mide el rendimiento y la seguridad de la información de una manera eficiente.
La gran diferencia que existe entre ellos es que mientras que existen diferentes ofertas para realizar el desempeño en cuanto a seguridad de la información de manera individual con los resultados de seguridad que han sido considerados como relevantes para la organización, la eficiencia del Sistema de Gestión de Seguridad de la Información nos muestra cómo interaccionan todos los individuos, ya que afecta a la seguridad en su conjunto, se debe incluir el cumplimiento de la ISO 27001.
La empresa tiene que disponer de buena información y un corto tiempo de respuesta ante incidentes, aunque si los resultados objetivos exigen algunos costos de protección no será tan bueno como esperaban.
Al llevar a cabo el seguimiento y la medición de forma adecuada, se pueden obtener buenos resultados en cuanto a la seguridad con los que podemos saber que no se cumplen todos los requisitos de la ISO 27001 y exige que se lleve a cabo un ajuste no deseado.
Para ayudar a evitar todas estas situaciones, el apartado 9.1 de la ISO 27001 establece los distintos elementos que garantizan el seguimiento y la medición de forma correcta:
- ¿Cuál tiene que ser monitoreado? Los primero que debemos es identificar todos los resultados de negocio y procesos que pueden afectarse por las variaciones en el rendimiento de seguridad de la información, se introducen todos los controles de seguridad de la información y los procesos, además de los requisitos obligatorios.
- ¿Qué métodos se pueden utilizar para controlar la medición? Se tiene que elegir cualquier método que le haga sentir cómodo. El criterio que se tiene que elegir es el que sea fácilmente verificable.
- ¿Qué tipo de medición se debe hacer? Son distintas las necesidades requeridas por las mediciones y se tiene que contar con la periodicidad. Una aplicación puede tener diferentes puntos de medición en la entrada de datos, durante el procesamiento de los datos.
- Los resultados de la medición: se tiene que generar un valor añadido a la empresa, los resultados de la medición deben considerarse según las distintas decisiones que son tomadas y las acciones que se llevan a cabo en los momentos adecuados.
- ¿Quién se encarga de analizar y evaluar todos los resultados de la supervisión? Es importante que se realicen los análisis de los datos. El nivel operativo tiene que realizar un análisis, mientras que el personal de gestión realiza distintas evaluaciones.
Existe un requisito muy específico que se encuentra relacionado con la conservación de las pruebas de seguimiento y medición, todo para poder cumplir con el apartado 7.5 de la ISO 27001.
Todos los gráficos de control, las listas de control y los informes de análisis que están revisados por la dirección son muy buenos ejemplos sobre la documentación que es adecuada. Se garantiza el cumplimiento del estándar ISO 27001.
La empresa tiene que supervisar de cerca lo que más impacto genera y medir lo que puede traer muchas ventajas a la hora de evitar amenazas y aprovechas las diferentes oportunidades.
Software ISO 27001
El Software ISOTools Excellence para el Sistema de Gestión de Seguridad de la Información ISO 27001 se encuentra compuesto por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes: disponibilidad, integridad y confidencialidad.
¿Desea saber más?
Entradas relacionadas
Compliance La ley 30424, ha sido modificada por el D. Leg. 1352, que exige la implantación de un…
Proveedores Hoy en día pocos fabricantes dan la importancia que tiene a auditar sus proveedores sin darse cuenta…
Ley 29783 Durante este artículo hablaremos sobre cómo se puede automatizar los requisitos establecidos en la ley 29783.…
Gestión del rendimiento La gestión del rendimiento es uno de los siete subsistemas que componen el Sistema Administrativo…