ISO 27001 Cáp 9. Evaluación del desempeño

Introducción

Evaluar el rendimiento o efectividad de nuestro SGSI o de la Seguridad de la información es otro de los requisitos de la norma ISO 27001. La principal herramienta para medir la efectividad del SGSI es la realización de auditorías internas con intervalos planificados. Una auditoria interna nos revelara como estamos cumpliendo tanto con los requisitos de la norma como con los requisitos específicos de la seguridad de la información que hayamos desarrollado para nuestra organización

9.1 Monitoreo, medición, análisis y evaluación

El primer requisito es determinar qué información necesitamos evaluar para medir el rendimiento del SGSI. Se trata de determinar que debemos medir y controlar, cuándo, quién y cómo.

Optimice los recursos

Un consejo práctico es evaluar o medir los que necesitamos realmente. No tiene mucho sentido monitorear y hacer mediciones solo porque su organización tiene la capacidad de hacerlo. Solo supervise y mida si cumple con el requisito de evaluar el rendimiento de la seguridad de la información y la eficacia del SGSI

Establezca metas

Cada organización puede tener distintas necesidades de información que además pueden cambiar con el tiempo.

Por ejemplo, en las etapas iniciales de un SGSI, puede ser importante controlar la participación en los eventos de concienciación sobre seguridad de la información. Una vez que se haya alcanzado la tasa deseada, la organización podría mirar más hacia la calidad del evento de sensibilización. Podría hacerlo estableciendo objetivos de conciencia específicos y determinando hasta qué punto los asistentes han comprendido lo que han aprendido. Más adelante, la necesidad de información puede extenderse para determinar qué impacto tiene este nivel de conciencia en la seguridad de la información para la organización.

¿Porque medir la efectividad del SGSI?

En primer lugar diremos que esto no es algo enfocado únicamente a conseguir el certificado ISO 27001 sino que debemos tener en cuenta que un sistema de gestión de la seguridad de la información correctamente  implantado puede ser la clave para alinear los procesos de TI con los procesos operativos y comerciales de la organización

Esta integración de la Seguridad de la información en los procesos de la organización nos ayudará fundamentalmente  a reducir el nivel general del riesgo.

Algunos beneficios clave de SGSI efectivo incluyen:

  • Mejor alineación de TI con las decisiones estratégicas.
  • Más facilidad para demostrar el valor de la Seguridad de la información y los procesos de seguridad de TI y los controles adoptados.
  • Controles más efectivos y mejor comprensión del valor de esos controles internos en la organización.
  • Mayor capacidad para integrar los procesos de gestión de riesgos de la Seguridad de la Información con los procesos de gestión de riesgos empresariales, que con el tiempo pueden reducir los costos y ayudar a la organización a tomar mejores decisiones estratégicas. Por ejemplo en el desarrollo de software, las adquisiciones o los procesos de subcontratación
  • Ayuda a crear confiabilidad entre partes externas y otras partes interesadas clave.
  • Más facilidad de adaptación en un panorama de riesgos y cumplimiento legal en constante cambio (tecnologías, amenazas, geopolíticas, legislaciones, cumplimiento específico de la industria, etc.)

La decisión de ISO de poner énfasis en la parte de medición como uno de los requisitos clave del SGSI en el nuevo estándar 27001, facilita la operación del SGSI y ayuda a construir integrar la gestión del SGSI dentro del proceso del negocio

Un desafío común para muchas organizaciones se encuentra en decidir qué procesos deben incorporar indicadores de medición para garantizar que las desviaciones en relación con los procesos del SGSI se detecten y aborden como parte de la mejora continua.

Elegir qué medir, establecer objetivos y decidir cómo operacional izarlos también plantea un desafío para muchas organizaciones.

¿Qué dice la norma ISO 27001 sobre los requisitos de mediciones y mediciones?

La norma ISO no tiene definidos puntos de medición concretos. La decisión sobre qué medir exactamente y los factores críticos de éxito o los objetivos de medición deben ser definidos por su organización y deben ser parte de la alineación del SGSI con las estrategias y los objetivos del negocio.

Algunas reflexiones generales sobre métricas.

Una métrica se puede definir como un sistema de mediciones, por ejemplo, la escala de porcentaje de disponibilidad proporciona la escala métrica en la que se pueden realizar las mediciones.

Otros ejemplos incluyen escalas como porcentajes, números, fracasos / éxito o escalas de madurez como la escala de madurez de CMMI o Cobit. Incluso puede ser tan simple como una escala de nivel de satisfacción con niveles de 1 a N.

Medir la efectividad de los procesos de SGSI es medir su desempeño contra un conjunto de objetivos u objetivos predefinidos, tales como desviaciones de los objetivos en números o porcentajes o nivel de satisfacción.

Luego se agrega el factor tiempo para asegurar la comparabilidad y para detectar cambios a lo largo del tiempo.

Los cinco grupos de procesos importantes del SGSI.

  • Procesos de Alineación de TI y negocios
  • Proceso de gestión de riesgos de seguridad de la información.
  • Procesos de Cumplimiento legal o normativo.
  • Proceso de sensibilización y comunicación.
  • Procesos de auditoria o revisión del sistema.
Más información en: "ESTABLECIENDO INDICADORES DE PROCESOS"

Planifique las auditorias

Las auditorías internas y la revisión de la gestión siguen siendo los métodos clave para revisar el rendimiento del SGSI y las herramientas para su mejora continua.

Los requisitos incluyen realizar auditorías internas a intervalos planificados, estableciendo uno o más programas de auditoría, seleccionar auditores y realizar auditorías que aseguren la objetividad e imparcialidad del proceso de auditoría.

9.2 Auditoría interna

Se trata de un aspecto clave dentro de un sistema de gestión de seguridad de la información (SGSI), donde los requisitos principales son la planificación y la independencia de los auditores.

En organizaciones pequeñas suele ser de cierta dificultad el poder cumplir con el requisito de independencia requerido por este punto de la norma ya que disponer no solo de recursos competentes para implementar y mantener la norma sino además puede resultar a veces un gran esfuerzo afrontar el requisito de recursos capacitados e independientes para realizar las auditorías internas

Veamos los requisitos más en detalle

Como requisito fundamental ISO 27001 obliga a que la organización realice auditorías internas a intervalos planificados para proporcionar información sobre si el SGSI cumple con los requisitos propios de la organización para su SGSI así como con los requisitos de la norma.

Además

Programa de Auditoria

Un programa de auditoria debería contemplar

  • La frecuencia y las fechas previstas
  • El alcance de la auditoría interna,
  • Los métodos por los cuales se llevará a cabo la auditoría interna
  • La asignación de responsabilidades para la planificación, la realización y la presentación de informes de los resultados de la auditoría interna.

Criterios de auditoría

La definición de los criterios se refiere cuáles son las referencias que utilizaremos para comparar las evidencias de la auditoria

Se trata de definir

  • Lo que vamos a comprobar (o auditar)

Podríamos establecer por ejemplo la  necesidad de una revisión más frecuente de los controles que mitigan los riesgos más altos y la identificación de activos de información y sus propietarios. Cada auditoría periódica debe ir acompañada de la documentación de los criterios y el alcance de la auditoría para garantizar que se cumplan los objetivos.

  • ¿Cuáles son los requisitos de la auditoría?

Los requisitos se refieren a las referencias de conformidad para la auditoria

Por ejemplo:

  • Requisitos ISO  27001
  • Requisitos legales
  • Proceso de organización / Políticas / Procedimientos, etc.
  • Requisitos del cliente o partes interesadasa

El alcance de la auditoría

El alcance de la auditoría generalmente incluye una descripción de las ubicaciones físicas, unidades organizativas, actividades y procesos, así como el período de tiempo cubierto.

Por ejemplo

  • Cuándo se realizará la auditoría (fecha de inicio y finalización)
  • Qué y a quién vamos a auditar
  • Donde se realizará la auditoria

Selección e independencia de los auditores

Al seleccionar el equipo de auditoría que será responsable de realizar las actividades de auditoría interna, es de suma importancia considerar la independencia e imparcialidad de los miembros.

La independencia de los auditores consiste en que los responsables de llevar a cabo la auditoría no pueden auditar  funciones o procesos sobre los que tienen control o propiedad operativa.

Una de las causas más comunes, detectadas en las auditorias de certificación de la no conformidad de los equipos de auditoria interna es cuando el interno seleccionado tuvo un papel integral en el desarrollo del SGSI o continúa desempeñando un papel en la toma de decisiones para el Mantenimiento y dirección del SGSI.  En otras palabras que el  auditor interno está auditando su propio trabajo

Informe sobre los resultados de la auditoría

Una vez que se ha realizado una auditoría interna, el auditor interno tiene la responsabilidad de garantizar que los resultados se informan a la alta dirección de la organización.

Programa de auditoría y retención de registros

 Como era de esperar, deberemos conservar la documentación del plan de auditorías, así como los registros recopilados durante las actividades de auditoría interna, para garantizar que se cumplan los objetivos.

Los resultados de la auditoría interna también deben mantenerse como un registro del desempeño del SGSI y como apoyo a las conclusiones alcanzadas en el informe de auditoría interna.

9.3 Revisión por la dirección

La norma ISO 27001 nos pone como requisito realizar una revisión o examen periódico del SGSI realizado por la dirección. Si bien no es obligatorio reunirse, a menudo es más fácil programar reuniones de revisión de la gerencia de forma periódica donde junto con las partes interesadas relevantes y revisemos el desempeño del SGSI a intervalos definidos.

¿Con qué frecuencia deben llevarse a cabo las revisiones?

El único requisito es que las recisiones de la dirección deben realizarse periódicamente para medir la efectividad del sistema de gestión. Si bien ISO 27001 no define el marco de tiempo requerido entre las reuniones, deben realizarse a intervalos regulares para revisar el progreso y las acciones requeridas para mejorar el sistema.

Otro objetivo importante es que los resultados del SGSI se revisen con los propietarios de las acciones o controles de seguridad de forma regular.

Los marcos de tiempo pueden variar pues en un sistema recién implantado puede que al comienzo se identifiquen una gran cantidad de acciones, que disminuirán a medida que el sistema se vuelva más maduro. Por tanto un periodo inicial de reuniones mensuales o bimensuales puede después alargarse para hacerse de forma trimestral o semestral dependiendo de las necesidades

¿Quién debe participar en la revisión por la dirección?

A las reuniones de revisión de la dirección deberá asistir al personal de nivel gerencial que tenga una aportación o interés para el SGSI. Normalmente son aquellos que tengan  acciones  o responsabilidades del SGSI o sean propietarios de activos o riesgos para la Seguridad de la información. Esto podría incluir gerentes operativos, gerentes de recursos humanos, directores de TI, gerentes de seguridad de la información e incluso gerentes de calidad.

En cuanto a las partes interesadas solo deben ser tenidas en cuenta a nivel de gestión y consultadas cuando sea necesario

Las personas que asisten a las reuniones para la revisión pueden cambiar de una reunión a otra dependiendo de los riesgos que se hayan identificado, a qué activos y qué acciones que se vayan a revisar

Trate de restringir las reuniones sobre la revisión del SGSI solo a las partes interesadas, y no incluya a la alta gerencia ni a la alta dirección que no estén interesadas en los aspectos operativos del sistema. Si es necesario, establezca reuniones anuales separadas con la alta gerencia para proporcionar una visión general de alto nivel de cómo funciona el sistema.

Ejemplo de Agenda de Revisión del SGSI

Una agenda típica de revisión de la gestión ISO 27001 puede consistir en los siguientes elementos:

  • Introducción
    • Propósito de la reunión
    • Comprobación de la lista de asistentes, asegúrese de que las personas clave estén presentes
  • Revisión de las Revisiones anteriores
    • Revisar informes de reuniones anteriores
    • Verificar el estado de las acciones
    • Registrar el estado de acciones completadas vs acciones en curso
    • Cerrar acciones completadas
  • SGSI y gestión de riesgos
  • Revisión del el alcance y los objetivos del SGSI.
  • Revise el desempeño y la mejora continua del SGSI  (objetivos, acciones, no conformidades)
  • Revisión de los recursos, presupuestos y otros temas  relacionados con las limitaciones del SGSI
  • Revise el registro de riesgos y los riesgos pendientes, cubiertos, riesgos residuales
  • Revisión de las políticas y procedimientos de seguridad de la información.
  • Métricas de rendimiento / KPI:
    • Métricas de rendimiento y los KPI
    • Análisis de los resultados de incidentes recientes y análisis causal
  • Cierre de la reunión
    • Confirmar acciones y propietarios de acciones
    • Confirmar planificación de tiempo para acciones
    • Confirmar fecha y hora de la próxima reunión

Lo anterior representa el aspecto que podría tener una agenda típica de Revisión de la dirección según ISO 27001. No hay respuestas correctas o incorrectas sobre esto, pero como parte de la norma ISO 27001, el auditor probablemente querrá ver evidencia de que se hayan realizado la revisión de la dirección y esto se puede lograr también mediante el uso de listas de tareas de SGSI. Cualquiera que sea el enfoque que decida adoptar para las revisiones de la dirección, debe asegurarse de que todos los niveles de dirección hayan sido involucrados y están al tanto del SGSI y su propósito.