Dentro de la serie de normas ISO 27000 se encuentran varios documentos que describen distintos aspectos de la gestión de la seguridad de la información. En esta ocasión nos vamos a referir al 27004, que es la norma ISO relacionada específicamente con las métricas y la medición de la gestión de la seguridad. Como bien sabemos, la norma ISO 27001 hace foco en el carácter medible de los controles que propone. Es decir, si no se puede medir, no se puede gestionar ni mejorar. Por otra parte, la gestión en sí misma no es suficiente para tener altos niveles de seguridad, por lo que no debemos quedarnos con la implantación del sistema para permanecer tranquilos.
En su introducción, la norma en cuestión, publicada el 7 de diciembre de 2009, comienza explicando:
El empleo de este estándar permitirá a las organizaciones dar respuesta a los interrogantes de cuán efectivo y eficiente es el SGSI y qué niveles de implementación y madurez han sido alcanzados. Estas mediciones permitirán comparar los logros obtenidos en seguridad de la información sobre períodos de tiempo en áreas de negocio similares de la organización y como parte de continuas mejoras.
Ya desde este párrafo queda declarada la necesidad de las métricas orientadas al desarrollo del negocio, ya que la seguridad, aunque nos cueste aceptarlo a veces, es un tema de negocios y no un problema meramente técnico.
Las secciones principales de la norma ISO 27004 son:
- Generalidades de la medición en seguridad de la información
- Responsabilidades de la dirección
- Desarrollo de las medidas y mediciones
- Operación de las mediciones
- Análisis de datos y reporte de medición de resultados
- Evaluación y mejora del programa de medición
Cabe destacar que esta norma no es certificable, sino que se utiliza como guía para el desarrollo y utilización de métricas y técnicas de medición, al implementar los controles de ISO 27001. En líneas generales, este estándar habla en términos de la mecánica de los procesos de medición, describiendo cómo recolectar medidas base y utilizar algo de matemática para generar medidas derivadas, y luego aplicar técnicas analíticas y criterios de decisión para crear indicadores, que son los que realmente representarán al SGSI y permitirán mejorarlo. Un anexo de la norma, por su parte, sugiere métricas específicas para alinearse con la norma ISO 27002.
Dada la importancia de medir el SGSI implementado, esta norma propone un lenguaje común con el objetivo de obtener finalmente un cuadro de mando dinámico para la mejorar toma de decisiones en una organización.
En conclusión, la creación de una norma ISO especialmente diseñada para la medición de los controles implica un avance en la madurez de los planes de gestión en el contexto de las normativas internacionales. En este sentido, la noma ISO 27004 en particular, y la familia ISO 27000 en general, ofrecen un marco de referencia que aún continúa creciendo, y promueven un escenario donde el propio mercado va volcando con el tiempo su experiencia para transformarla en parámetros de crecimiento y mejora continua de otras organizaciones.
Federico Pacheco
Education & Research Manager
