¿Qué dice la Norma ISO/IEC 27001:2022 sobre los Requisitos de Mediciones?
La norma ISO no tiene definidos puntos de medición concretos. La decisión sobre qué medir exactamente y los factores críticos de éxito o los objetivos de medición deben ser definidos por la organización y deben ser parte de la alineación del SGSI con las estrategias y los objetivos del negocio.
Algunas reflexiones generales sobre métricas.
Una métrica se puede definir como un sistema de mediciones, por ejemplo, la escala de porcentaje de disponibilidad proporciona la escala métrica en la que se pueden realizar las mediciones.
Otros ejemplos incluyen escalas como porcentajes, números, fracasos / éxito o escalas de madurez como la escala de madurez de CMMI o Cobit. Incluso puede ser tan simple como una escala de nivel de satisfacción con niveles de 1 a N.
Medir la efectividad de los procesos de SGSI es medir su desempeño contra un conjunto de objetivos, tales como desviaciones de los objetivos en números o porcentajes o nivel de satisfacción.
Los cinco grupos de procesos importantes del SGSI.
- Procesos de Alineación de TI y negocios
- Proceso de gestión de riesgos de seguridad de la información.
- Procesos de Cumplimiento legal o normativo.
- Proceso de sensibilización y comunicación.
- Procesos de auditoria o revisión del sistema.