miércoles, 3 de marzo de 2010

Serie ISO/IEC 27000: ISO/IEC 27004 (Parte V de IX)

La norma ISO/IEC 27004 se encarga de desarrollar los aspectos necesarios para poder medir el cumplimiento de la ISO/IEC 27001.

objetivos-y-fines-diana-de-eficiencia-energetica[2] Traducido textualmente de la ISO: “El empleo de este estándar permitirá a las organizaciones dar respuesta a los interrogantes de cuán efectivo y eficiente es el SGSI y qué niveles de implementación y madurez han sido alcanzados. Estas mediciones permitirán comparar los logros obtenidos en seguridad de la información sobre períodos de tiempo en áreas de negocio similares de la organización y como parte de continuas mejoras”.

Fue publicada el 7 de Diciembre del 2009. Se basa sobre el modelo PDCA ya comentado en el apartado de la ISO/IEC 27001.

Según este estándar una organización debe desarrollar guías propias que aseguren la relación entre el SGSI y las mediciones con su correspondiente documentación detallada. Los objetivos de estas mediciones son:

· Evaluar la eficiencia del SGSI

· Evaluar la efectividad de la implementación de la ISO/IEC 27001 sobre los controles de seguridad.

· Comunicar a la organización valores de seguridad

· Proporcionar estados de seguridad que guíen las revisiones del SGSI

· Servir como entradas al plan de análisis y tratamiento de riesgos.

Además se debe desarrollar un programa sobre la ejecución de las mediciones anteriores basado en un Modelo de mediciones de seguridad de la información. Este modelo debe describir todos los atributos cuantificables (entidades, procesos, productos, proyectos y recursos) y debe convertirlos a valores que indiquen su estado para la posterior toma de decisiones.

Estos valores deberán ser medidos y valorados con unidades de medición semejantes para uniformar las mediciones.

Las mediciones se programarán con intervalos fijos: Semanal, Mensual, Trimestral, Semestral, Anual, etc.

Finalmente el programa de mediciones será revisado constantemente para verificar el correcto funcionamiento de los atributos antes comentados. En caso de no cumplir las expectativas podrán eliminarse o modificarse las mediciones.

La dirección se encargará de formar y concienciar al personal de la relevancia del programa de mediciones que propone esta norma y de la contribución de ellos mismos como parte de la organización para mantener el SGSI.

No hay comentarios: