Requisito 27001 de ISO 6.2: Objetivos de seguridad de la información y planificación para alcanzarlos

¿Qué implica la Cláusula 6.2?

Para abordar este requisito es importante haber comprendido ya la organización y su contexto (4.1), determinado los requisitos de las partes interesadas (4.2), establecido su alcance (4.3) y al menos haber comenzado a realizar su evaluación y tratamiento de riesgos (6.1). .

El requisito exacto para 6.2 es:

“Establecer objetivos de seguridad de la información aplicables (y, si es posible, mensurables), teniendo en cuenta los requisitos de seguridad de la información y los resultados de la evaluación y el tratamiento de riesgos. Determinar qué se hará, qué recursos se requieren, quién será el responsable, cuándo se completarán y cómo se evaluarán los resultados”.

Entonces, esta cláusula 6.2 de la norma se reduce esencialmente a la pregunta; '¿Cómo puede saber si su sistema de gestión de seguridad de la información está funcionando según lo previsto?'

Cómo establecer objetivos para 6.2

Al considerar los objetivos que desea de su sistema de gestión de seguridad de la información, asegúrese de que estén centrados en el negocio y que sean elementos que le ayudarán a gestionar una organización (más) segura y con mejor rendimiento, en lugar de simplemente marcar casillas y verse bien en una página. Piense en lo que las partes interesadas querrán ver medido y monitoreado también.

Por ejemplo, ¿por qué los clientes le compran a usted y qué les preocuparía si saliera mal desde una perspectiva de seguridad de la información? ¿Qué nivel de garantía de la información, qué medidas y seguimiento serían importantes para ellos si examinaran de cerca su SGSI?

Concéntrese en desarrollar objetivos significativos, no solo muchas medidas u objetivos que le obligarán a dedicar todo su tiempo a la administración y no agregarán valor a la organización.

Es posible que ya estés midiendo y monitoreando tus objetivos, así que recuerda considerar lo que ya estás haciendo y lo que podría requerir más esfuerzo. ISO no está tratando de sorprender a nadie en el lado de la medición, solo quiere asegurarse de que se está midiendo lo que importa y muchas empresas inteligentes ya lo estarán haciendo de manera implícita, si no más explícita.

Vincule su trabajo aquí estrechamente con las revisiones de la gerencia en 9.3 y coloque la evidencia de los resultados dentro del espacio de trabajo de su junta de revisión de la gerencia, o vincúlelo para facilitar las reuniones de revisión y auditorías específicas.

Puede demostrar los resultados de su medición del desempeño de varias maneras, desde el uso de exportaciones de sus sistemas operativos, aprovechando los informes automatizados en ISMS.online (por ejemplo, para incidentes) y, si es relevante, utilizando KPI simples agregados dentro del espacio de trabajo de revisión de la gestión.

En Alliantist, la empresa de software y servicios detrás de ISMS.online, se nos ocurrieron alrededor de siete objetivos de seguridad de la información, uno de los cuales es:

"Entrega de un servicio en la nube seguro y confiable para los usuarios (y otras partes interesadas) que necesitan confianza y garantía de que la plataforma es adecuada para su propósito de compartir y trabajar con información confidencial".

Cuando se desglosa solo ese objetivo, queda claro que hay una serie de áreas mensurables y ejecutables que surgen de él. Por ejemplo:

• Seguro: ¿qué significa eso en términos de confidencialidad e integridad?
• Fiable: ¿qué significa eso en términos de disponibilidad del servicio de software seguro en la nube?

Cómo hacer que los objetivos de seguridad de la información sean medibles y ejecutables

Sobre la base de lo anterior, una medida del éxito de la confiabilidad para Alliantist es la disponibilidad de sistemas como ISMS.online para que los utilicen los clientes. Entonces tenemos el objetivo (confiabilidad del servicio), una medida (tiempo de actividad) y luego podemos establecer un objetivo de tiempo de actividad, en este caso una disponibilidad mínima del 99.5% (contra la cual continuamente logramos el 100%).

Luego consideramos la frecuencia de las mediciones, el propietario responsable y de dónde provendría la fuente de los datos para la medición para la evidencia. Luego lo agregamos a ISMS.online como un KPI que se aborda como parte de las revisiones de la gerencia y, por supuesto, porque es una métrica fundamental para el éxito de nuestro servicio de software, y también se monitorea continuamente operativamente.

La fuente de esos datos proviene de los registros de tiempo de actividad. Algunas otras métricas más estratégicas, por ejemplo, la confianza de los clientes, auditores y partes interesadas en nuestro SGSI en general, se miden con menos frecuencia y son más subjetivas en algunos aspectos, pero no obstante son importantes como parte del desempeño más amplio del SGSI.

Esta es una gran oportunidad para desarrollar métricas que sean importantes para su organización, si aún no lo ha hecho. Alentamos un enfoque de menos y mejor gestionado en lugar de lotes y mal gestionados. Si su organización tiene departamentos y áreas específicas del negocio impactadas de manera diferente con la confidencialidad, integridad y disponibilidad (CIA) que justificarían el desglose de medidas para cada área, ISO esperaría ver ese desglose, así como las métricas más estratégicas de alto nivel.

Otras métricas que también son útiles para demostrar la CIA también son bastante obvias a partir de algunos de los requisitos establecidos por la norma ISO 27001 en torno a la gestión de incidentes, evaluaciones/revisiones de riesgos, mejoras y acciones correctivas, etc. En ISMS.online tenemos una serie de herramientas que proporcionan automáticamente estadísticas de desempeño que son útiles para demostrar el desempeño efectivo del SGSI.

Estos incluyen el seguimiento de la gestión de incidentes, mejoras y acciones correctivas y muchos otros más que hacen que gran parte de la gestión de objetivos sea un ejercicio sin esfuerzo en lugar de perder el tiempo con hojas de cálculo y PowerPoint.

Cómo definir procesos y responsabilidades para la evaluación de objetivos de seguridad de la información

Una vez que haya definido sus objetivos, determinado sus medidas y su frecuencia de medición, es necesario mostrar cómo evaluará los resultados y luego tomar medidas para cualquier cambio o mejora requerido en su SGSI.

En Alliantist reunimos un equipo de representantes del equipo directivo superior para formar la Junta de ISMS. El Consejo del SGSI es el responsable de fijar los objetivos de cada una de las medidas. Nuestro Director de Operaciones es dueño de los objetivos que afectan al SGSI desde una perspectiva de producción y operaciones.

Los datos de origen se delega a los miembros relevantes del personal para que los prueben, todos los cuales se extraen de los sistemas existentes y simplemente se resumen en KPI e informes estadísticos que forman parte de las revisiones periódicas de la gestión de acuerdo con la cláusula 9.3.