ISO 27001

Realizar la supervisión del rendimiento y la medición de todas las acciones clave para mantener y mejorar cualquier sistema de gestión. La norma ISO 27001 le da importancia a la cláusula 9.1, la definición de todos los requisitos se tiene que observar en la aplicación de este tipo de prácticas.

Durante este artículo queremos ofrecer una serie de consejos para realizar el seguimiento y la medición útil para el negocio, además de cumplir con los requisitos de la norma ISO 27001.

CTA 27001 EBOOK BOTON

Las diferencias entre el seguimiento y medición

Cuando realizamos el seguimiento, debemos ser conscientes del estado en el que se encuentran los dispositivos y las aplicaciones. Al realizar la medición se debe asignar un valor que se base en las dimensiones definidas y en unidades, por ejemplo la sesión puede medirse en minutos.

La vigilancia es más fácil de realizar y se puede proporcionar una alerta rápida cuando las cosas se llevan a cabo de una forma diferente a la esperada, la complejidad de la medición proporciona mucha información detallada sobre la situación y todas las cosas que se deben manejar.

Por regla general, el seguimiento y la medición se deben realizar por alguna de las siguientes cuestiones:

• Validar todas las decisiones tomadas con anterioridad: se tiene que revisar por parte de la alta dirección y debe ser ésta la que toma la decisión de realizar los seguimientos. Además, se tiene que proporcionar una evidencia de que las acciones que implementamos son eficientes.
• A la hora de configurar la dirección de las actividades con el fin de cumplir con los diferentes objetivos que han sido establecidos: se tiene que realizar una planificación para llevar a cabo la copia de seguridad de las actividades realizadas, ya que los datos se pueden utilizar para elegir otras alternativas.
• Se tiene que presentar pruebas objetivas para justificar la realización de un curso a medida: todos los negocios deben actualizarse con un servidor de seguridad, además tendrán que obtener datos consistentes con los que poder vender una idea de gestión de las partes interesadas.
• Para identificar todos los puntos de intervención y los cambios posteriores utilizando todas las acciones correctivas: analizar las causas del problema de un proceso de control siendo un buen ejemplo de utilizar los datos de seguimiento y medir por dicho motivo.

Los requisitos de la ISO 27001

En la cláusula 9.1 de la ISO 27001 establece los distintos aspectos que se monitorean y se miden según el rendimiento y la seguridad de la información dentro del Sistema de Gestión de Seguridad de la Información.

La principal diferencia entre ambos es que mientras que existan ofertas para realizar el desempeño de la seguridad de la información de manera individual con todos los resultados de seguridad son considerados como relevantes para la organización, la eficacia del Sistema de Gestión de Seguridad de la Información nos ofrece la interacción que existe entre individuos, además nos da los resultados de seguridad que afectan en todo su conjunto, se incluye el cumplimiento de la norma ISO 27001.

En su empresa puede que haya una buena disponibilidad de la información y tenga poco tiempo de respuesta ante incidentes, pero si los resultados exigen altos costos de protección para los resultados de seguridad que puede que no sea muy bueno.

Si no se lleva a cabo el seguimiento y la medición de una manera adecuada se pueden perder los buenos valores de seguridad de la organización, por lo que no cumplen con los requisitos establecidos por la norma ISO 27001.

Para evitar estas situaciones, es muy importante seguir a raja tabla lo que nos dice la cláusula 9.1 de la norma ISO 27001, además se establecen ciertos elementos que deben garantizar que se realiza el seguimiento y la medición de una manera correcta:

• Lo primero será identificar todos los resultados del negocio y los procesos que pueden afectarse por las diferencias en el rendimiento del Sistema de Gestión de Seguridad de la Información. Se tienen que incluir los controles de seguridad de la información y los procesos en sí mismos, además de todos los requisitos obligatorios sobre la legislación vigente.
• Se tiene que elegir algún método con el que te sientas cómodo. El criterio crítico es un método elegido por muchas personas, ya que permite verificar y comparar los resultados.
• Existen distintas necesidades que definen los diferentes tiempos de supervisión y tienen que valorar su periodicidad. Una aplicación puede contar con distintos puntos de supervisión durante la entrada de datos, el procesado de datos o la salida de datos.
• Agregar valor a la empresa, todos los resultados de la supervisión y medir las decisiones y las acciones que se lleven a cabo en un momento dado. Se debe tener en cuenta que muy pronto o muy tarde puede resultar que los esfuerzos se han llevado a cabo para nada, por lo que se han desperdiciado recursos o se han perdido oportunidades de mejorar.
• La persona que se encarga de llevar a cabo la evaluación de los resultados debe saber bien analizar los datos. En general, el nivel operativo tiene que realizar el análisis, mientras que el personal de gestión que realiza distintas evaluaciones.

Conseguir mejores resultados a través de un buen seguimiento y medición

Todos los datos pueden cambiar por lo que la organización tiene que estar preparada. Se tienen que supervisar todos los impactos y medir lo que puede traer más ventajas para evitar las amenazas y aprovechar las oportunidades. Los resultados pueden ser muy beneficiosos para la organización.

Software ISO 27001

El Software ISOTools Excellence para ISO 27001 para la Seguridad de la Información se encuentra compuesto por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes.

cta ebook sig