ISO 27004
Páginas: 12 (2795 palabras)
Publicado: 28 de junio de 2015
6. ISO/IEC 27004
6.1INTRODUCIÓN
El nombre de la normativa es ISO/IEC 27004 Information technology – Security
techniques – Information security management – Measurement, cuya traducción en
español sería ISO / IEC 27004 Tecnología de la información ‐ Técnicas de seguridad ‐
Gestión de la seguridad de la información – Medida, por lo tanto como su propio
nombre indica tocaremos todos esoscampos en dicha normativa.
La norma 27004 se creó para complementar a la norma ISO 27001, ya que la norma
27001 destaca que los controles tienen que ser medibles, ya que si no somos capaces
de medir un control no nos servirá de nada para nuestro SGSI, por lo tanto hay que
hacerlo medible, y es por esa razón por la que se realiza la normativa 27004 en la cual
nos enseña cómo debemos medir dichoscontroles, su objetivo consiste en hacerlos
medibles.
Esta normativa 27004 nos sirve de ayuda para guiarnos sobre la creación y el uso de las
mediciones con el fin de poder evaluar la eficiencia del sistema de gestión de la
información aplicada a los controles y seguridad. Con esta normativa se incluye la
gestión de información de seguridad de riesgos, procesos, política, objetivos de
control,procedimientos, ayudar al proceso de su revisión, así como ayudar a
determinar si alguno de los procesos de SGSI o controles necesitan ser mejorados o
modificados.
El uso de esta normativa constituye una medición de la seguridad de la información. El
sistema de gestión de la seguridad de la información nos ayudará evaluar y a
identificar aquellos procesos o normas ineficaces en nuestro sistemade la seguridad
de la información, así como los controles y prioridades de las acciones asociadas.
Gracias a esta norma será un punto de partida para el desarrollo de la medida de
medición es importante para la comprensión de los riesgos de seguridad de
información donde la entidad o la organización se puede enfrentar o tener problemas.
Así como saber que las actividades que está realizando laempresa respecto a la
evaluación de riesgos se está haciendo correctamente.
Queda aclarar que el objetivo de dicha normativa consiste en fortalecer la organización
y que gracias a la normativa proporciona una información fiable a la entidad sobre los
riesgos que corre en relación a la seguridad de información así como el estado de
nuestro SGSI aplicado para la gestión de estos riesgos.
Losdatos obtenidos de las mediciones realizadas nos servirán para hacer una pequeña
comparación de los avances o progresos obtenidos en referencia a la seguridad de la
información en un período de tiempo, comprobando así la mejora continua de la
organización en su SGSI.
Esta normativa se puede aplicar a cualquier tipo de tamaño de la organización desde
multinacionales repartidas por todo el mundohasta las PYME, la única diferencia
consistirá en la complejidad que tomaría para las multinacionales a la hora de aplicarlo
ya que tendría que realizar múltiples programas de seguridad de la información de
medición, mientras que en las PYME, las cuales son las medianas y pequeñas
empresas, una información menos completa será suficiente. Ya que con una sola
medición de seguridad de la informaciónpuede ser suficiente para dichas empresas
Además hay que recordad que esta normativa no es obligatoria y no es necesario su
uso, como el resto de las normativas ISO/IEC sirven para aconsejar. En este caso esta
normativa aconseja sobre las siguientes actividades.
‐Medida de desarrollo
‐Aplicación y operación de un programa de seguridad de la información en relación a la
medición.
‐Recogida yanálisis de datos
‐Elaboración de los resultados de la medición
‐Comunicar los resultados de la medición desarrollados para las partes interesadas.
‐Utilizar los resultados de medición a la hora de tomar las decisiones relacionadas con
el SGSI
‐Utilizar los resultados de medición para mejorar el SGSI (alcance, políticas, controles,
procesos, objetivos y procedimientos)
‐Facilitar la mejora continua...
6.1INTRODUCIÓN
El nombre de la normativa es ISO/IEC 27004 Information technology – Security
techniques – Information security management – Measurement, cuya traducción en
español sería ISO / IEC 27004 Tecnología de la información ‐ Técnicas de seguridad ‐
Gestión de la seguridad de la información – Medida, por lo tanto como su propio
nombre indica tocaremos todos esoscampos en dicha normativa.
La norma 27004 se creó para complementar a la norma ISO 27001, ya que la norma
27001 destaca que los controles tienen que ser medibles, ya que si no somos capaces
de medir un control no nos servirá de nada para nuestro SGSI, por lo tanto hay que
hacerlo medible, y es por esa razón por la que se realiza la normativa 27004 en la cual
nos enseña cómo debemos medir dichoscontroles, su objetivo consiste en hacerlos
medibles.
Esta normativa 27004 nos sirve de ayuda para guiarnos sobre la creación y el uso de las
mediciones con el fin de poder evaluar la eficiencia del sistema de gestión de la
información aplicada a los controles y seguridad. Con esta normativa se incluye la
gestión de información de seguridad de riesgos, procesos, política, objetivos de
control,procedimientos, ayudar al proceso de su revisión, así como ayudar a
determinar si alguno de los procesos de SGSI o controles necesitan ser mejorados o
modificados.
El uso de esta normativa constituye una medición de la seguridad de la información. El
sistema de gestión de la seguridad de la información nos ayudará evaluar y a
identificar aquellos procesos o normas ineficaces en nuestro sistemade la seguridad
de la información, así como los controles y prioridades de las acciones asociadas.
Gracias a esta norma será un punto de partida para el desarrollo de la medida de
medición es importante para la comprensión de los riesgos de seguridad de
información donde la entidad o la organización se puede enfrentar o tener problemas.
Así como saber que las actividades que está realizando laempresa respecto a la
evaluación de riesgos se está haciendo correctamente.
Queda aclarar que el objetivo de dicha normativa consiste en fortalecer la organización
y que gracias a la normativa proporciona una información fiable a la entidad sobre los
riesgos que corre en relación a la seguridad de información así como el estado de
nuestro SGSI aplicado para la gestión de estos riesgos.
Losdatos obtenidos de las mediciones realizadas nos servirán para hacer una pequeña
comparación de los avances o progresos obtenidos en referencia a la seguridad de la
información en un período de tiempo, comprobando así la mejora continua de la
organización en su SGSI.
Esta normativa se puede aplicar a cualquier tipo de tamaño de la organización desde
multinacionales repartidas por todo el mundohasta las PYME, la única diferencia
consistirá en la complejidad que tomaría para las multinacionales a la hora de aplicarlo
ya que tendría que realizar múltiples programas de seguridad de la información de
medición, mientras que en las PYME, las cuales son las medianas y pequeñas
empresas, una información menos completa será suficiente. Ya que con una sola
medición de seguridad de la informaciónpuede ser suficiente para dichas empresas
Además hay que recordad que esta normativa no es obligatoria y no es necesario su
uso, como el resto de las normativas ISO/IEC sirven para aconsejar. En este caso esta
normativa aconseja sobre las siguientes actividades.
‐Medida de desarrollo
‐Aplicación y operación de un programa de seguridad de la información en relación a la
medición.
‐Recogida yanálisis de datos
‐Elaboración de los resultados de la medición
‐Comunicar los resultados de la medición desarrollados para las partes interesadas.
‐Utilizar los resultados de medición a la hora de tomar las decisiones relacionadas con
el SGSI
‐Utilizar los resultados de medición para mejorar el SGSI (alcance, políticas, controles,
procesos, objetivos y procedimientos)
‐Facilitar la mejora continua...
Leer documento completo
Regístrate para leer el documento completo.