A finales del pasado año ha sido publicado por la International Organization for Standardization (ISO) el estándar ISO 27004. Efectivamente, la norma alcanzó el 7 de Diciembre la fase «60.60», que en la escala de la Organización significa la publicación de la misma.
Este nuevo estándar, muy esperado por muchos en el sector de los Sistemas de Gestión de la Seguridad de la Información (SGSI), lleva el título Information technology — Security techniques ? Information security management — Measurement. Nace, por tanto, con la finalidad de marcar los criterios fundamentales para una correcta medición de la eficacia de un SGSI. Para ello la norma se ha estructurado en los siguientes puntos:
Information security measurement overview: Consideraciones generales sobre la medición de la seguridad, factores de éxito y modelo de medición.
Management responsibilities: Responsabilidades de la Dirección para medir la eficacia del SGSI.
Measures and measurement development: Desarrollo de métricas y forma de medir.
Measurement operation: Actividades imprescindibles para asegurar que los resultados obtenidos proporcionan información precisa para la medición de la eficacia del sistema y para la adopción de acciones de mejora.
Data analysis and measurement results reporting: Análisis de los datos recogidos y reporte y comunicación de los mismos.
Information Security Measurement Programme Evaluation and Improvement: Revisión periódica del programa de medición de cara a verificar su corrección y vigencia. así como las mejoras a implementar en el mismo.
Por último, el estandar incluye dos anexos informativos (no normativos). El primero de ellos es una plantilla para la elaboración de métricas, mientras que en el segundo podemos encontrar interesantes ejemplos de métricas realizadas con la mencionada plantilla. Esta es sin duda una gran aportación de la norma que será de gran ayuda a la hora de definir métricas para nuestro SGSI.
Áudea Seguridad de la Información
Manuel Díaz Sampedro
www.audea.com