Los profesionales de la seguridad de la información a menudo necesitan justificar la inversión en controles de seguridad de la información. Pero todavía no existe una forma universal de Evaluar el impacto económico de las decisiones de seguridad de la información.. ISO/IEC TR 27016:2014 tiene como objetivo resolver esto. ISO 27016 ayuda a las organizaciones a decidir cuánto invertir en proteger su información. Tanto los profesionales de seguridad de la información como los directores generales pueden utilizar y comprender la norma ISO 27016. El informe le ayudará a:
ISO 27016 le ayuda a pensar en cómo interactúan los factores económicos con otros recursos, incluidos:
También debe tener en cuenta que ISO 27016 es un informe técnico, no una norma. Un informe técnico ISO brinda orientación sobre un tema utilizando información obtenida de otras fuentes. Estas fuentes incluyen:
La Organización Internacional de Normalización (ISO) publicó la norma ISO 27016 en 2014. ISO creó la ISO 27016 para brindar orientación tanto a los profesionales de seguridad de la información como a los gerentes generales, ayudándolos a:
ISO 27016 admite otros ISO 27k estándares. El Informe técnico le brinda orientación sobre la economía de la seguridad de la información y le muestra cómo aplicar modelos económicos o financieros a sus decisiones de seguridad de la información. Proporciona descripciones y ejemplos, que incluyen:
Las consideraciones económicas deben informar a toda su gestión de seguridad de la información decisiones. Pensar detenidamente en los aspectos financieros es particularmente importante a la hora de decidir cómo:
Cualquier tipo o tamaño de organización puede implementar ISO/IEC TR 27016:2014. El informe técnico será especialmente útil si eres un gerente senior responsable de las decisiones de seguridad de la información.
Está dirigido a:
ISO 27016 le resultará útil cuando:
ISO 27016 le ayudará a introducir consideraciones financieras en el proceso de toma de decisiones de seguridad de la información. crear un caso de negocio único para justificar la inversión en infosec.
Su organización entenderá que debe tratar políticas de seguridad de la información como activos valiosos en sí mismos.
Para ayudarlo a comprender y explicar el impacto financiero de las decisiones de seguridad de la información, el documento incluye:
Las políticas de seguridad de la información necesitan Amplia gama de controles para ser efectivo.. Su organización tendrá que invertir en esos controles. ISO 27016 le ayudará a presentar argumentos financieros claros para cada control. Demostrará que cada uno de ellos genera un retorno de la inversión claramente definido.
Preguntar "¿cuánto cuesta infosec?" es como preguntar '¿cuánto mide un trozo de cuerda?'. El costo de proteger su información dependerá del tipo y escala de su organización. Para establecer su presupuesto de seguridad de la información, deberá pensar detenidamente:
ISO 27016 le ayudará a comprender cuánto puede y debe gastar su organización en seguridad de la información.
ISO 27016 le ayuda a decidir cuánto desea invertir para salvaguardar sus activos de información. El informe le ayudará a justificar su presupuesto de seguridad de la información y a hacer recomendaciones de inversión en seguridad de la información.
El informe lo alienta a presentar argumentos económicos amplios y establecer objetivos de amplio alcance. Podría pedirle que considere establecer un sistema de gestión de seguridad de la información (SGSI) ISO 27k, o explorar los posibles impactos políticos, sociales y legales de sus elecciones de seguridad de la información.
El informe también lo guiará a través del detalle de sus recomendaciones de seguridad de la información. Por ejemplo, te ayudará a:
ISO 27016 tiene ocho cláusulas y cuatro anexos. Las cláusulas 1 a 5 establecen el contexto y las referencias de la norma. La cláusula 6 define los factores económicos a considerar al implementar sus controles de seguridad de la información. Tendrás que pensar detenidamente:
La cláusula 7 le indica qué objetivos económicos debe considerar su organización y cómo estimar el valor de sus activos de información. La cláusula 8 le pide que equilibre los costos de la seguridad de la información con sus beneficios potenciales. El informe finaliza con cuatro anexos que le ayudarán a reflexionar sobre el panorama económico, social y político más amplio.
Aquí está la lista completa de todo lo que incluye ISO 27016:
Una sesión práctica adaptada a tus necesidades y objetivos.
Cláusula 1: Alcance
Cláusula 2: Referencias normativas
Cláusula 3: Términos y definiciones
Cláusula 4: Términos abreviados
Cláusula 5: Estructura del documento
Cláusula 6: Factores económicos de seguridad de la información
Cláusula 7: Objetivos económicos
Cláusula 8: Equilibrar la economía de la seguridad de la información para ISM
Anexo A: Identificación de stakeholders y objetivos para la fijación de valores
Anexo B: Decisiones económicas y factores clave de decisión
Anexo C: Modelos económicos apropiados para la seguridad de la información
Anexo D: Ejemplos de cálculo de casos de negocio