Blog sobre gestión de la seguridad de la información, en el que también se habla de continuidad de negocio, gestión de los servicios IT, seguridad informática, gestión de riesgos, ética de la seguridad, y muchos otros temas relacionados. Aquí encontrareis apuntes sobre ISO 9001, ISO 27001, ISO 17799, ISO 20000, ITIL, BS 25999, ... En resumen, todo lo que pueda tener relación con la gestión (en general) y con la seguridad (en particular)
21 diciembre 2009
Publicada ISO/IEC 27004:2009
Después de tanto tiempo esperándola, por fín se ha publicado la ISO 27004. Desde el día 7 de este mes está disponible esta norma sobre métricas de seguridad. No obstante, me gustaría recalcar, ya que parece que hay cierta confusión al respecto, que esta norma lo que establece principalmente es el ciclo de vida de las métricas, es decir, cómo se deben definir y articular las métricas de seguridad para lograr medir la efectividad de los controles de seguridad establecidos en un SGSI. Lo digo porque hay gente que piensa que esta norma es un catálogo de métricas de seguridad, y aunque sí incluye una sugerencia de métricas en el anexo, su objetivo es que cada organización aprenda a establecer sus propias métricas, más que proponer una lista cerrada de métricas a utilizar. Para que no haya malos entendidos...
No hay comentarios:
Publicar un comentario