ISO 27004:2016

¿Qué es ISO 27004?

ISO/IEC 27004:2016 – Monitoreo, medición, valoración y evaluación, ofrece pautas sobre cómo determinar el desempeño del marco de gestión de seguridad de la información ISO/IEC 27001:2013. ISO/IEC 27004:2016 explica cómo establecer y operar sistemas de evaluación, y también revisa y registra los efectos de una serie de medidas de seguridad de la información.

Cómo medir la Seguridad de la Información

Como dice el viejo refrán "Si no puedes medirlo, no puedes gestionarlo", pero ¿por qué necesitamos medir la seguridad de la información? A mejorar continuamente qué métodos, procedimientos, políticas, etc. existen para proteger su organización. La seguridad de la información es clave para el éxito de cualquier organización; una violación de seguridad incorrecta y su reputación como organización seria en materia de seguridad se verá dañada.

Realmente no se puede estar demasiado atento cuando se trata de seguridad de la información. Los ciberataques se encuentran entre las amenazas más importantes a las que se puede enfrentar una empresa. El seguridad de datos personales y la información comercialmente sensible es esencial. Pero, ¿cómo saber si su norma ISO/IEC 27001:2013 Sistema de Gestión de Seguridad de la Información (SGSI) ¿está marcando la diferencia?

SO / IEC 27004:2016 está aquí para ayudarle.

ISO/IEC 27004:2016 ofrece directrices sobre cómo determinar el desempeño de ISO 27001. Describe cómo crear y operar sistemas de evaluación y cómo analizar y divulgar los efectos de un conjunto de seguridad de la información métrica.

Es por eso que ISO/IEC 27004:2016 ofrece una ayuda crítica y realista a las muchas empresas que implementan ISO/IEC 27001:2013 para protegerse de la creciente diversidad de ataques de seguridad que la empresa enfrenta hoy en día.

Las métricas de seguridad pueden proporcionar información sobre la eficiencia del SGSI y, como tal, ocupar un lugar central. Si eres ingeniero o contratista responsable de seguridad y gestión análisis, o un ejecutivo que desea una mejor información para la toma de decisiones, las métricas de seguridad se han convertido en un vehículo crítico para comunicar el estado de la postura de riesgo cibernético de una organización.

Las organizaciones necesitan apoyo para resolver la cuestión de si la organización inversión en seguridad de la información La gestión es exitosa y está preparada para reaccionar, defenderse y reaccionar ante el clima de riesgo cibernético en constante cambio.

La historia de ISO/IEC 27004:2016

ISO 27004:2009 se publicó por primera vez en 2009 como parte del ISO 27000 familia de estándares, esto fue revisado posteriormente en 2016 y pasó a conocerse como ISO 27004:2016. Ambas normas son directrices y no requisitos, por lo que no son necesarias ni pueden certificarse, pero lo que sí hace muy bien es trabajar con las otras normas ISO 27000, a las que pasaremos.

ISO/IEC 27004:2016 puede aportar varias ventajas

ISO/IEC 27004:2016 muestra cómo crear un programa de medición de seguridad de la información, cómo elegir qué calcular y cómo operar los procesos de medición apropiados.

Proporciona descripciones detalladas de varios tipos de controles y cómo se puede medir la eficiencia de esos controles.

Entre las muchas ventajas para las organizaciones que utilizan ISO/IEC 27004:2016 se encuentran las siguientes:

• Mayor transparencia
• Mejora de la eficiencia de la gestión de la información y los procesos SGSI.
• Evidencia de conformidad con las especificaciones de ISO/IEC 27001:2013, así como con las normas, leyes y reglamentos pertinentes.

ISO/IEC 27004:2016 reemplazó la edición de 2009 y se modificó para cumplir con la versión revisada de ISO/IEC 27001:2013 para brindar a las organizaciones un excelente valor agregado y confianza.