ILISO27001_T020 6.2 Objetivos de Seguridad de la Información

Plataformas de Aprendizaje Autodirigido

6.2 Objetivos de Seguridad de la Información.

Requisito.

La organización establece objetivos de seguridad de la información y planea cómo alcanzarlos en los niveles y funciones relevantes.

Explicación.

Los objetivos de seguridad de la información ayudan a implementar las metas estratégicas de una organización, así como a implementar la política de seguridad de la información. Por tanto, los objetivos de un SGSI son la seguridad de la información, objetivos de confidencialidad, integridad y disponibilidad de la información.

Los objetivos de seguridad de la información también ayudan a especificar y medir el desempeño de los controles y procesos de seguridad de la información de acuerdo con la política de seguridad de la información.

  • La organización planifica, establece y emite objetivos de seguridad de la información para las funciones y niveles relevantes.
  • Los requisitos de la norma ISO/EC 27001 relativos a los objetivos de seguridad de la información se aplican a todos los objetivos de seguridad.
  • Si la política de seguridad de la información contiene objetivos, entonces esos objetivos son requeridos para cumplir con los criterios en 6.2.
  • Si la política contiene un marco para establecer objetivos, entonces los objetivos producidos por ese marco deben cumplir con los requisitos de 6.2.
  • Los requisitos a tener en cuenta a la hora de establecer objetivos son los que se determinan al comprender la organización y su contexto (ver 4.1), así como las necesidades y expectativas de partes interesadas (ver 4.2).

Los resultados de las evaluaciones de riesgos y los tratamientos de riesgos se utilizan como insumo para la revisión continua de los objetivos para asegurar que sigan siendo apropiados a las circunstancias de una organización. Los objetivos de seguridad de la información son insumos para la evaluación de riesgos: criterios y criterios de aceptación de riesgos y para realizar evaluaciones de riesgos de seguridad de la información.

Los objetivos de seguridad de la información deben:

  1. Ser coherentes con la política de seguridad de la información
  2. Ser medibles (si es posible); esto significa que es importante estar en capacidad de determinar si se ha cumplido o no un objetivo.
  3. Estar vinculados a los requisitos de seguridad de la información aplicables y a los resultados de la valoración y tratamiento de riesgos.
  4. Ser comunicados
  5. Ser actualizados, según sea apropiado

Al planificar cómo lograr sus objetivos de seguridad de la información, la organización determina:

  • Qué se hará
  • Qué recursos son necesarios
  • Quién se hará responsable
  • Cuándo se completa
  • Cómo se evaluarán los resultados

Guía.

La política de seguridad de la información debe establecer los objetivos de seguridad de la información o proporcionar un marco para fijar los objetivos.

Los objetivos de seguridad de la información se pueden expresar de diversas maneras:

  • Valores numéricos con sus límites, por ejemplo, «no sobrepase un nivel determinado”, y “alcance el nivel 4”.
  • Las metas para las mediciones del desempeño de seguridad de la información.
  • Las metas para las mediciones de la eficacia del SGSI.
  • El cumplimiento con ISO IEC 27001;
    • el cumplimiento con los procedimientos del SGSI.
  • La necesidad de finalizar acciones y planes; y
  • Los criterios de riesgo por cumplir.

1.- Ser coherentes con la política de seguridad de la información.

La política de seguridad de la información especifica los requisitos para la seguridad de la información en una organización.

Todos los demás requisitos específicos establecidos para funciones y niveles relevantes deben ser consistente con ellos.

  • Si la política de seguridad de la información tiene objetivos de seguridad de la información, entonces cualquier otro objetivo específico de seguridad de la información debe estar vinculado a los de la información política de seguridad.
  • Si la política de seguridad de la información sólo proporciona el marco para establecer objetivos, entonces se debe seguir ese marco y garantizar que se vinculen objetivos más específicos a los más genéricos.

2.- Ser medibles, si es posible; esto significa que es importante estar en capacidad de determinar si se ha cumplido o no un objetivo.

No todos los objetivos pueden ser medibles, pero hacer que los objetivos sean medibles apoya a los logros y mejora.

Es muy deseable poder describir, cualitativa o cuantitativamente, el grado en que se ha cumplido un objetivo.

Por ejemplo, para orientar las prioridades de esfuerzo adicional si no se cumplen los objetivos, o para proporcionar información sobre oportunidades para mejorar la efectividad si se superan los objetivos.

Debería ser posible entender si se ha logrado o no, cómo se determina el logro de los objetivos y si es posible lograrlos mediante medidas.

3.- Estar vinculados a los requisitos de seguridad de la información aplicables y a los resultados de la valoración y tratamiento de riesgos.

Los objetivos de seguridad de la información deben estar alineados con las necesidades de seguridad de la información; Por esta razón, la evaluación de riesgos y los resultados del tratamiento deben usarse como insumos al establecer objetivos de seguridad de la información.

4.- Ser comunicados.

Los objetivos de seguridad de la información deben comunicarse a los interesados internos relevantes y otras partes de la organización.

También podrán comunicarse a partes interesadas externas, como clientes, en la medida en que necesiten conocer y se vean afectados por la información y los objetivos de seguridad.

5.- Ser actualizados, según sea apropiado.

Cuando las necesidades de seguridad de la información cambian con el tiempo, la seguridad de la información relacionada los objetivos deben actualizarse en consecuencia. Su actualización deberá comunicarse según lo requerido en el punto anterior a las partes interesadas internas y externas según corresponda.

La organización debe planificar cómo lograr sus objetivos de seguridad de la información, podrá utilizar cualquier metodología o mecanismo que elija para planificar el logro de sus objetivos de seguridad de la información.

Puede haber un único plan de seguridad de la información, uno o más planes de proyecto o acciones incluidos en otros planes organizativos. Cualquiera que sea la forma que adopte la planificación, los planes resultantes deben definir como mínimo:

  • las actividades a realizar;
  • los recursos necesarios que deben comprometerse para ejecutar las actividades;
  • las responsabilidades;
  • los cronogramas y los hitos de las actividades; y
  • los métodos, mediciones y calendario para evaluar si los resultados alcanzan los objetivos.

La norma ISO/IEC 27001:2022 requiere que las organizaciones conserven información documentada sobre los objetivos de la seguridad de la información.