Medición del desempeño en los Sistemas de Gestión de Seguridad de la Información

Sistema de Gestión de Seguridad de la Información

Toda aquella organización que esté interesada en la implantación de un Sistema de Gestión de Seguridad de la Información se verá en la obligación de evaluar tanto el desempeño de la seguridad de la información, así como la eficacia que posea el sistema de gestión que se vaya a implantar en la misma para dicho fin.

La evaluación del desempeño de un sistema de gestión de seguridad de la información comprende todas las formas en las que el sistema de gestión puede ser evaluado, pudiendo aplicarse tanto en todo el sistema de gestión, como también en cada uno de los procesos involucrados.

Para ello habrá que seleccionar métodos que puedan dar lugar a resultados comprables y reproducibles. Así se comprobarán si son válidos.

La ISO 27001 establece en uno de los puntos de la norma aspectos muy interesantes que pueden ser aplicados a aquellas organizaciones que estén interesadas en llevar a cabo una adecuada medición de las posibles fallas que haya en sus sistemas de gestión de seguridad de la información.  Por tanto, y según la norma, toda organización deberá determinar varias cuestiones claves:

• A que activos será necesario realizar un seguimiento. Debiendo saber qué es necesario medir, teniendo en cuenta los procesos y controles de seguridad de la información.
• Cuáles serán los métodos de seguimiento, medición, análisis y evaluación para garantizar que los resultados son válidos.
• Cuando se deberá proceder a realizar el seguimiento y la medición de los activos.
• Que perfil de la organización es quien debe de llevar a cabo dicha labor de seguimiento y medición de estos riesgos. Y cual debe analizar y evaluar los resultados.
• En qué momento se deberá proceder a analizar y evaluar, sabiendo que es el momento clave de ejecutar dicha labor.

La auditoría interna, el primer paso para obtener información

Llevar a cabo una auditoría interna será clave para que la organización pueda obtener información de lo más valiosa acerca de si el sistema de gestión de la seguridad de la información cumple con los requisitos establecidos y si está siendo implementado de mantenido de manera eficaz.

La organización también deberá planificar, establecer, implementar y mantener uno o varios programas de auditoría que con cierta frecuencia y siguiendo un método apropiado contribuyan a tener en cuenta la importancia de los procesos involucrados y los resultados de las auditorías previas.

Lógicamente habrá que definir los criterios, así como el alcance de cada auditoría; seleccionar a los auditores y asegurarse de que sea objetiva e imparcial a lo largo de todo el proceso de ejecución. Una vez que se tengan los resultados de cada una de las auditorías habrá que informar a la dirección o gerencia pertinente.

La información obtenida de cada una de las auditorías deberá ser documentada como evidencia de la implementación del propio programa de auditoría y de los resultados de ésta.

En el caso de que la organización esté interesada en certificar la ISO 27001 esta tendrá que cumplir también con los requisitos establecidos en la propia norma, cuando la auditoría externa de certificación la evalúe.

La revisión por parte de la dirección

La gerencia deberá llevar a cabo la revisión del sistema de gestión de la seguridad de la información a intervalos y de manera planificada, con el objetivo de asegurarse de su conveniencia, su adecuación y su eficacia. Esta deberá incluir consideraciones sobre:

1. El estado de cada una de las acciones, teniendo en cuenta anteriores revisiones de la dirección.
2. Todos los cambios que afecten a las cuestiones externas e internas que sean pertinentes al sistema de seguridad de la información.
3. La información sobre el comportamiento de la seguridad de la información, incluidas: las no conformidades y acciones correctivas, el seguimiento y resultado de las mediciones, el resultado de las auditorías, el cumplimiento de los objetivos de seguridad de la información, así como las oportunidades de mejora continua.

Los elementos de salida de la revisión por la dirección deben incluir las decisiones tomadas que estén relacionadas tanto con las oportunidades de mejora continua como con cualquier necesidad de cambio en el Sistema de Gestión de Seguridad de la Información de la organización.

La propia organización deberá guardar la información documentada como evidencia de los resultados de las revisiones por la dirección.

Software para Riesgos y Seguridad de la Información

ISOTools Excellence, el Software  ISO 27001 para Riesgos y Seguridad de la Información, está capacitado para responder a numerosos controles para el tratamiento de la información gracias a las aplicaciones que contiene y que son totalmente configurables según los requerimientos de cada organización.

El software se encuentra compuesto por diferentes aplicaciones que, al unificarlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes: disponibilidad, integridad y confidencialidad.