30/10/09

Ya es oficial, ISO 27004 nueva norma vinculada a la medición

Paloma Llaneza, con gran alegría por ser en parte madre de la criatura nos anuncia que ya tenemos oficialmente una nueva norma dentro del marco ISO 27000.

La nueva norma, oficialmente denominada "Information technology -- Security techniques -- Information security management -- Measurement" viene a sofocar uno de los grandes abismos que existen en el proceso de construcción de un SGSI. Ya he comentado muchas veces que certificarse con ISO 27001 es establecer que las cosas se vigilan dentro de un marco de gestión y que existen procesos de mejora continua sobre el funcionamiento de las medidas de seguridad. Sin embargo, gestionar bien no implica tener buena seguridad. Obviamente ayuda mucho tener un marco de gestión y revisión continua pero es sólo una condición necesaria, no suficiente.

Esta nueva norma establece criterios para la medición del estado de la seguridad. Es aquí donde los datos y las evidencias deben poner al SGSI en su sitio. Es cuando los resultados nos proporcionan información sobre cual es la situación real de las medidas y si están o no funcionando de acuerdo a los objetivos planteados. Por eso es tan importante la publicación de esa norma. Es la única manera de valorar si tanta gestión de la seguridad está sirviendo para algo, y esos hechos avalados por resultados y datos concretos que se están midiendo.

Por tanto, un SGSI certificado y todo que no logre unos buenos resultados en sus indicadores será solo un adorno, dado que habrá una bonita gestión pero con ello no se estará logrando satisfacer los objetivos planteados.



Estas reflexiones ya las plantee de forma más extensa en el post SGSI virtuales en su momento. Os resumo lo que en aquel momento comentaba respecto a las métricas.

La medición debe servir para cuestionarnos continuamente en base a logs, datos y registros si las medidas de seguridad están funcionando bien. Hemos visto que es esencial establecer unos objetivos relevantes para la seguridad de la organización. Pues igual de crítico es establecer un buen conjunto de indicadores que sirvan para evidenciar que las cosas funcionan y podemos dormir tranquilos. Esta información, desde la perspectiva de la gestión, es la más crítica dado que es la base de la retroalimentación del sistema, los datos que se utilizan para hacer ajustes. Por tanto, debemos disponer de sensores de diferente naturaleza y con diferentes objetivos: medir la evolución de la ejecución del plan, valorar el rendimiento y funcionamiento de las medidas de seguridad, vigilar el entorno por si se vuelve más hostil y es necesario modificar la valoración de las amenazas, etc. Cuando se audita, al revisar el análisis de riesgos, mirar qué objetivos tiene el SGSI y en qué indicadores se basa ya te puedes hacer una idea de si tienes delante un SGSI real o virtual. ¿Por qué? Muy sencillo, si la información utilizada por las actividades de gestión es mala, la propia gestión es mala. Si las decisiones no están enfocando los verdaderos problemas y no se está vigilando lo que es importante, el ciclo PDCA da vueltas pero no aporta valor a la Organización. Tener un SGSI dando vueltas de mejora continua produce beneficios pero si quien tiene el timón del barco no sabe dónde tiene que ir, dificilmente podrá lograr llegar a puerto. Serán las incidencias que se vayan registrando las que nos pongan de manifiesto estos hechos pero de nuevo se reacciona en base a fallos, y esa no es la idea principal.

5 comentarios:

Anónimo dijo...

Gracias Javier por hacernos llegar las novedades a través de Paloma. Todavia no me he bajado esta norma y solo he leido este post tuyo, mi pregunta es si esta "medicion" de la 27004 es solo tecnica o tambien refelja algunos aspectos de gestion super importantes como medir la satisfacion de la seguridad por parte de los stakeholders o medir la formacion y sensibilizacion hacia personas involucradas en el alcance. Gracias. Toni Martín

Javier Cao Avellaneda dijo...

La norma habla de crear un programa de medición de la eficacia y abarca la medición desde todos los aspectos. Como anexo presenta unas muy buenas fichas para establecer las relaciones entre objetivos-indicadores y métricas. Es bastante completa pero se centra más en el cómo hacerlo que en definir unos criterios únicos. Hay libertad para medir lo que se considere aunque recomienda cubrir unos aspectos básicos.

Anónimo dijo...

Hostil va con H.

Javier Cao Avellaneda dijo...

Gracias. Habrá sido un desliz ortográfico. Ya está corregido. Muchas gracias.

Anónimo dijo...

Hola, ¿conoces la fecha de publicación de la Norma? la he revisado en iso.org y aún no está para su descarga.

¿Conoces si la fecha de publicación coincidirá con la publicación de la misma norma por otras entidades como BSI?

Ricardo