viernes, 16 de diciembre de 2016

Cómo medir la eficacia de la seguridad de la información - ISO/IEC 27004:2016

La norma ISO/IEC 27004:2016, Tecnología de la información - Técnicas de seguridad - Gestión de la seguridad de la información - Monitoreo, medición, análisis y evaluación, publicada recientemente proporciona orientación sobre cómo evaluar el desempeño de ISO/IEC 27001. La norma explica cómo desarrollar procesos de medición y cómo evaluar los resultados de un conjunto de métricas de seguridad de la información.
 
Según ha señalado el profesor Edward Humphreys, coordinador del grupo de trabajo que desarrolló el estándar (ISO/IEC JTC 1/SC 27), "Los ciberataques son uno de los mayores riesgos a los que una organización puede enfrentarse. Esta es la razón por la cual esta versión mejorada de ISO/IEC 27004 proporciona un apoyo esencial y práctico a muchas organizaciones que están implementando ISO/IEC 27001 para protegerse de la creciente diversidad de ataques a la seguridad de los negocios a los que se enfrentan".
Las métricas de seguridad pueden proporcionar conocimientos sobre la eficacia de un SGSI. Para los responsables de la seguridad o para aquellos que requieren una mejor información para la toma de decisiones, las métricas de seguridad se han convertido en un vehículo fundamental para conocer y comunicar el nivel de "ciber-riesgo" de la organización.
En palabras del profesor Humphreys: "Las organizaciones necesitan ayuda para abordar la cuestión de si la inversión de la organización en la gestión de la seguridad de la información es eficaz, apta para el propósito de reaccionar, defender y responder al entorno cibernético en continuo cambio. Aquí es donde ISO/IEC 27004 puede proporcionar numerosas ventajas."

ISO/IEC 27004:2016 muestra cómo construir un programa de medición de la seguridad de la información, cómo seleccionar qué medir y cómo operar los procesos de medición necesarios.
Entre los muchos beneficios para las organizaciones se cuenta un mejor desempeño de la seguridad de la información y procesos; o la evidencia de cumplir con los requisitos de ISO/IEC 27001, así como las leyes, normas y reglamentos aplicables.
ISO/IEC 27004:2016, que sustituye a la edición de 2009, se ha actualizado y ampliado para alinearse con la versión revisada de ISO/IEC 27001.

ISO ]

Fuente: infocalidad.net