ISO/IEC 27004:2016 – Monitoreo, medición, valoración y evaluación, ofrece pautas sobre cómo determinar el desempeño del marco de gestión de seguridad de la información ISO/IEC 27001:2013. ISO/IEC 27004:2016 explica cómo establecer y operar sistemas de evaluación, y también revisa y registra los efectos de una serie de medidas de seguridad de la información.
Como dice el viejo refrán "Si no puedes medirlo, no puedes gestionarlo", pero ¿por qué necesitamos medir la seguridad de la información? A mejorar continuamente qué métodos, procedimientos, políticas, etc. existen para proteger su organización. La seguridad de la información es clave para el éxito de cualquier organización; una violación de seguridad incorrecta y su reputación como organización seria en materia de seguridad se verá dañada.
Realmente no se puede estar demasiado atento cuando se trata de seguridad de la información. Los ciberataques se encuentran entre las amenazas más importantes a las que se puede enfrentar una empresa. El seguridad de datos personales y la información comercialmente sensible es esencial. Pero, ¿cómo saber si su norma ISO/IEC 27001:2013 Sistema de Gestión de Seguridad de la Información (SGSI) ¿está marcando la diferencia?
ISO/IEC 27004:2016 ofrece directrices sobre cómo determinar el desempeño de ISO 27001. Describe cómo crear y operar sistemas de evaluación y cómo analizar y divulgar los efectos de un conjunto de seguridad de la información métrica.
Es por eso que ISO/IEC 27004:2016 ofrece una ayuda crítica y realista a las muchas empresas que implementan ISO/IEC 27001:2013 para protegerse de la creciente diversidad de ataques de seguridad que la empresa enfrenta hoy en día.
Las métricas de seguridad pueden proporcionar información sobre la eficiencia del SGSI y, como tal, ocupar un lugar central. Si eres ingeniero o contratista responsable de seguridad y gestión análisis, o un ejecutivo que desea una mejor información para la toma de decisiones, las métricas de seguridad se han convertido en un vehículo crítico para comunicar el estado de la postura de riesgo cibernético de una organización.
Las organizaciones necesitan apoyo para resolver la cuestión de si la organización inversión en seguridad de la información La gestión es exitosa y está preparada para reaccionar, defenderse y reaccionar ante el clima de riesgo cibernético en constante cambio.
ISMS.online le ahorrará tiempo y dinero para obtener la certificación ISO 27001 y facilitará su mantenimiento.
Gerente de Seguridad de la Información, Honeysuckle Health
ISO 27004:2009 se publicó por primera vez en 2009 como parte del ISO 27000 familia de estándares, esto fue revisado posteriormente en 2016 y pasó a conocerse como ISO 27004:2016. Ambas normas son directrices y no requisitos, por lo que no son necesarias ni pueden certificarse, pero lo que sí hace muy bien es trabajar con las otras normas ISO 27000, a las que pasaremos.
ISO/IEC 27004:2016 muestra cómo crear un programa de medición de seguridad de la información, cómo elegir qué calcular y cómo operar los procesos de medición apropiados.
Proporciona descripciones detalladas de varios tipos de controles y cómo se puede medir la eficiencia de esos controles.
Entre las muchas ventajas para las organizaciones que utilizan ISO/IEC 27004:2016 se encuentran las siguientes:
ISO/IEC 27004:2016 reemplazó la edición de 2009 y se modificó para cumplir con la versión revisada de ISO/IEC 27001:2013 para brindar a las organizaciones un excelente valor agregado y confianza.
Una sesión práctica adaptada a tus necesidades y objetivos.
ISO 27004 consta de 8 cláusulas y 3 anexos. ISO 27004:2016 tiene 4 cláusulas clave:
Junto con 3 controles del Anexo A que son Informativos:
Cláusula 1: Alcance
Cláusula 2: Referencias normativas
Cláusula 3: Términos y definiciones
Cláusula 4: Estructura y descripción general
Cláusula 5: Justificación
Cláusula 6: Características
Cláusula 7: Tipos de medidas
Cláusula 8: Procesos
Anexo A: Un modelo de medición de la seguridad de la información
Anexo B: Ejemplos de constructos de medición
Anexo C: Un ejemplo de construcción de medidas de formulario de texto libre
C.1 'Eficacia de la formación' – constructo de medición de la eficacia