Iec-27004 Base 20092013

ANTEPROYECTO DE NORMA TCNICA SALVADOREA
ANTS ISO/IEC 27004:2009
Tecnologa de la informacin. Tcnicas de Sseguridad. Gestin de la seguridad de la Iinformacin. Medicin.
CORRESPONDENCIA: Esta Norma es una adopcin idntica de la Norma ISO/IEC 27004:2009. Tecnologa de la informacin. Tcnicas de Sseguridad. Gestin de la seguridad de la Iinformacin. Medicin.
Publicado por el Organismo Salvadoreo de Normalizacin (OSN), Direccin 1 Calle Poniente, Final 41 Avenida Norte, #18, Colonia Flor Blanca, San Salvador, El Salvador. Telfono:2590-5300 Sitio Web: http://www.osn.gob.sv Correo electrnico: normalizacion@osn.gob.sv
ICS 35.040
ANTS 35.68.03:13
Derechos Reservados
Nmero de Referencia ISO/IEC 27004:2009
ANTS 35.68.03:13
ISO/IEC 27004:2009
ANTS 35.68.03:13
NDICE Pgina PRLOGO ......................................................................................................................................... iii INTRODUCCIN ................................................................................................................................ iv 1 2 3 4 5 5.1 5.2 5.3 5.4 6 6.1 6.2 6.3 7 7.1 7.2 7.3 7.4 7.5 7.6 7.7 7.8 8 8.1 8.2 8.3 9 OBJETO ................................................................................................................................... 1 REFERENCIAS NORMATIVAS................................................................................................. 1 TRMINOS Y DEFINICIONES .................................................................................................. 1 ESTRUCTURA DE ESTA NORMA ............................................................................................ 4 DESCRIPCIN GENERAL DE LA MEDICIN DE LA SEGURIDAD DE LA INFORMACIN ..... 5 Objetivos de la medicin de seguridad de la informacin ........................................................... 5 Programa de Medicin de Seguridad de la Informacin ............................................................. 7 Factores de xito....................................................................................................................... 8 Modelo de medicin de Seguridad de la informacin ................................................................. 9 RESPONSABILIDADES DE LA DIRECCIN .......................................................................1615 Informacin general .............................................................................................................1615 Gestin de recursos .............................................................................................................1716 Capacitacin, concientizacin y competencias en la medicin ..............................................1817 DESARROLLO DE MEDIDAS Y MEDICIN ........................................................................1817 Descripcin general .............................................................................................................1817 Definicin del mbito de aplicacin de la medicin ...............................................................1817 Identificacin de la necesidad de informacin .......................................................................1918 Objeto y seleccin de atributos .............................................................................................2019 Desarrollo de la construccin de la medicin ........................................................................2120 Construccin de la medicin.................................................................................................2523 Recopilacin de datos, anlisis y presentacin de informes ..................................................2524 Implementacin y documentacin de la medicin .................................................................2625 OPERACIN DE LA MEDICIN ..........................................................................................2726 Descripcin general .............................................................................................................2726 Procedimiento de integracin ...............................................................................................2726 Recopilacin de datos, almacenamiento y verificacin..........................................................2827 ANLISIS DE DATOS Y REPORTE DE LOS RESULTADOS DE LA MEDICIN .................2827
10 EVALUACIN Y MEJORA DEL PROGRAMA DE MEDICIN DE LA SEGURIDAD DE LA INFORMACIN .............................................................................................................................3029 ANEXO A ......................................................................................................................................3433
ISO/IEC 27004:2009
ANTS 35.68.03:13
(Informativo) ................................................................................................................................. 3433 Plantilla para construccin de la medicin de la seguridad de la informacin ........................ 3433 ANEXO B ...................................................................................................................................... 3736 (Informativo) ................................................................................................................................. 3736 Ejemplos de construccin de la medicin .................................................................................. 3736
ii
ISO/IEC 27004:2009
ANTS 35.68.03:13
PRLOGO ISO (la Organizacin Internacional de Normalizacin) e IEC (la Comisin Internacional Electrotcnica) conforman el sistema especializado para la normalizacin a nivel mundial. Los organismos nacionales que son miembros de ISO o de IEC participan en el desarrollo de Normas Internacionales a travs de comits conformados por la respectiva organizacin para manejar los campos especficos de la actividad tcnica. Los comits tcnicos de ISO e IEC colaboran en los campos de inters mutuo. Otras organizaciones internacionales, gubernamentales y no-gubernamentales, en coordinacin con ISO e IEC, tambin participan en el trabajo. En el campo de la tecnologa de la informacin, ISO e IEC han establecido un comit tcnico conjunto, ISO/IEC JTC 1. Las Normas Internacionales son emitidas de acuerdo con las regulaciones constantes en el Instructivo ISO/IEC, Parte 2. La tarea principal del comit tcnico conjunto es preparar las Normas Internacionales. El Borrador de las Normas Internacionales adoptadas por el comit tcnico conjunto se lo circula entre los organismos nacionales para someterlo a votacin. La publicacin como Norma Internacional requiere de la aprobacin de al menos el 75% de los organismos nacionales que estn emitiendo un voto. Llama la atencin la posibilidad de que algunos de los elementos de este documento pueden estar sujetos a derechos de patente. ISO e IEC no sern responsables por la identificacin de ninguno de dichos derechos de patente. La Norma ISO/IEC 27004 fue preparada por el Comit Tcnico Conjunto de Tecnologa de la Informacin, ISO/IEC JTC 1, Subcomit SC 27, IT Tcnicas de Seguridad.
ISO/IEC 27004:2009
iii
ANTS 35.68.03:13
INTRODUCCIN 1. General Esta Norma proporciona directrices sobre el desarrollo y uso de las medidas y medicin a fin de evaluar la eficacia de un Sistema de Gestin de la Seguridad de la informacin (SGSI) y los controles o grupos de controles, tal como se especifica en la NTS ISO/IEC 27001. Esto incluira la poltica, la gestin de riesgo de seguridad de la informacin, objetivos de control, controles, procesos y procedimientos y apoyar el proceso de su revisin, ayudando a determinar si alguno de los procesos o los controles del SGSI debe ser cambiado o mejorado. Hay que tomar en cuenta que ninguna medida de control puede garantizar una seguridad total. La aplicacin de este enfoque constituye un Programa de Medicin de Seguridad de la Informacin. El Programa de Medicin de Seguridad de la Informacin ayudar a la Direccin en la identificacin y evaluacin de los procesos y controles SGSI no conformes e ineficaces y dar prioridad a las acciones asociadas con el mejoramiento o cambio de estos procesos y/o controles. Tambin puede ayudar a la organizacin en la demostracin del cumplimiento de la NTS ISO/IEC 27001 y proporcionar evidencia adicional para revisin por parte de la Direccin y de los procesos de gestin de riesgo de la seguridad de la informacin. Esta Norma supone que el punto de partida para el desarrollo de medidas y de medicin es una buena comprensin de los riesgos de seguridad de la informacin con los que una organizacin se enfrenta, y que las actividades de evaluacin de los riesgos de una organizacin se realizaron correctamente (es decir, basada en la NTS ISO/IEC 27005), segn lo exige la NTS ISO/IEC 27001. El Programa de Medicin de la Seguridad de la Informacin alentar a una organizacin para proporcionar informacin confiable a las partes interesadas sobre sus riesgos de seguridad de la informacin y el estado del SGSI implementado para manejar estos riesgos. Con la implementacin del Programa de Medicin de Seguridad de la Informacin, se mejora la confianza de los las Partes interesadas en los resultados de medicin y permitir a los las Partes interesadas utilizar estas medidas para efecto de la mejora continua de la seguridad de la informacin y del SGSI. Los resultados acumulados de la medicin permitir la comparacin del progreso en la consecucin de los objetivos de seguridad de la informacin durante un perodo de tiempo como parte del proceso de mejora continua del SGSI de una organizacin. 2. Informacin general de la gestin La NTS ISO/IEC 27001 requiere que la organizacin realice revisiones peridicas de la eficacia del SGSI tomando en consideracin los resultados de la medicin de la eficacia y mida la eficacia de los controles para verificar que los requisitos de seguridad se han cumplido. La NTS ISO/IEC 27001 tambin requiere que la organizacin defina cmo medir la eficacia de los c ontroles o grupos de controles y especifique cmo estas medidas se van a utilizar para evaluar la eficacia del control para producir resultados comparables y reproducibles.
iv
ISO/IEC 27004:2009
ANTS 35.68.03:13
El enfoque adoptado por una organizacin para cumplir con los requisitos de medicin especificados en la NTS ISO/IEC 27001 variar en funcin de una serie de factores importantes, incluyendo los riesgos de seguridad de la informacin que la organizacin enfrenta, su tamao organizacional, recursos disponibles y requisitos aplicables, tales como legales, reglamentarios y contractuales. La seleccin y justificacin cuidadosa del mtodo utilizado para cumplir con los requisitos de medicin son importantes para garantizar que no se estn destinando recursos excesivos para estas actividades del SGSI en detrimento de los dems. Idealmente, las actividades de medicin, que se encuentran en curso, deben ser integradas en las operaciones regulares de la organizacin con un mnimo de recursos adicionales. Esta Norma ofrece recomendaciones sobre las siguientes actividades bsicas para que una organizacin cumpla con los requisitos de medicin especificados en la NTS ISO/IEC 27001: a) medidas de desarrollo (es decir, medidas bsicas, medidas derivadas e indicadores). b) implementacin y funcionamiento de un programa de medidas de seguridad de la informacin; c) recopilacin y anlisis de datos; d) desarrollo de los resultados de medicin; e) comunicacin a las partes interesadas de los resultados de la medicin realizada; f) uso de los resultados de la medicin como factores que contribuyen a las decisiones relacionadas con el SGSI;
g) uso de los resultados de las mediciones para identificar las necesidades de mejorar el SGSI implementado, incluyendo su mbito de aplicacin, polticas, objetivos, controles, procesos y procedimientos; y h) facilitar la mejora continua del Programa de Medicin de Seguridad de la Informacin. Uno de los factores que afectan la capacidad de la organizacin para lograr la medicin es su tamao. Normalmente, el tamao y la complejidad del negocio en combinacin con la importancia de la seguridad de la informacin, afecta la extensin de la medicin que se necesita, tanto en trminos del nmero de medidas a ser seleccionado, como la frecuencia de recopilacin y anlisis de los datos. Para las Pymes (pequeas y medianas empresas) un programa de medicin de seguridad de la informacin menos exhaustivo ser suficiente, mientras que las grandes empresas implementarn y operarn mltiples Programas de Medicin de Seguridad de la Informacin. Un solo Programa de Medicin de Seguridad de la Informacin puede ser suficiente para organizaciones pequeas, mientras que para las grandes empresas puede existir la necesidad de varios Programas de Medicin de Seguridad de la Informacin.
ISO/IEC 27004:2009
ANTS 35.68.03:13
Las directrices provistas por esta Norma resultarn en la produccin de documentacin que contribuir a demostrar que la eficacia del control est siendo medida y evaluada.
vi
ISO/IEC 27004:2009
ANTS 35.68.03:13
OBJETO
Esta Norma Tcnica Salvadorea proporciona una gua sobre el desarrollo y la utilizacin de medidas y medicin con el fin de evaluar la eficacia de un Sistema de Gestin de la Seguridad de la Informacin implementado (SGSI) y controles o grupos de controles, segn se especifica en la NTS ISO/IEC 27001. Esta Norma es aplicable a todos los tipos y tamaos de organizaciones.
Nota 1: Este documento utiliza las formas verbales para la expresin de las disposiciones (por ejemplo, deber, no deber, debera, no debera, puede, no es necesario, puede y no puede) que se especifican en las Directrices de la NTS ISO/IEC, Parte 2, Anexo H. Ver tambin ISO/IEC 27000:2009, Anexo A.
REFERENCIAS NORMATIVAS
Los siguientes documentos referenciados son indispensables para la aplicacin de este documento. Para referencias fechadas, se aplica solamente la edicin citada. Para referencias sin fecha, se aplica la ltima edicin del documento al que se hace referencia (incluyendo las modificaciones). a) NTS ISO/IEC 27000:2009.Tecnologa de la Informacin. Tcnicas de Seguridad. Sistemas de Gestin de Seguridad de la Informacin. Informacin general y vocabulario; NTS ISO/IEC 27001:2005.Tecnologa de la Informacin. Tcnicas de Seguridad. Sistemas de Gestin de Seguridad de la Informacin. Requisitos.
b)
TRMINOS Y DEFINICIONES
A los efectos de este documento, los trminos y definiciones dados en la NTS ISO/IEC 27000, aplican a los siguientes. 3.1 modelo analtico algoritmo o clculo que combina una o ms medidas bsicas o derivadas con criterios de decisin asociados [ISO/IEC 15939:2007] 3.2 atributo propiedad o caracterstica de un objeto que se puede distinguir cuantitativa o cualitativamente por medios humanos o automatizados [ISO/IEC 15939:2007]
ISO/IEC 27004:2009
ANTS 35.68.03:13
3.3 medida base medida definida en trminos de un atributo y el mtodo para cuantificarla [ISO/IEC 15939:2007]
Nota 2: Una medida bsica es funcionalmente independiente de otras medidas.
3.4 datos coleccin de valores asignados a medidas bsicas, medidas derivadas y/o indicadores [ISO/IEC 15939:2007] 3.5 criterios de decisin umbrales, objetivos, o patrones utilizados para determinar la necesidad de una accin o posterior investigacin, o para describir el nivel de confianza en un resultado determinado [ISO/IEC 15939:2007] 3.6 medida derivada medida que se define como una funcin de dos o ms valores de medidas bsicas [ISO/IEC 15939:2007] 3.7 indicador medida que provee una estimacin o evaluacin de atributos especificados que se deriva de un modelo analtico con respecto a las necesidades de informacin definidas 3.8 necesidad de informacin conocimientos necesarios para gestionar objetivos, metas, riesgos y problemas [ISO/IEC 15939:2007] 3.9 medida variable a la cual se asigna un valor como el resultado de la medicin [ISO/IEC 15939:2007]
Nota 3: El trmino medidas se utiliza para referirse colectivamente a medidas bsicas, medidas derivadas e indicadores.
ISO/IEC 27004:2009
ANTS 35.68.03:13
Ejemplo: Una comparacin entre una tasa de defecto medida y una tasa de defecto planificada, junto con una evaluacin para determinar si la diferencia indica un problema o no. 3.10 medicin proceso para obtencin de informacin sobre la eficacia del SGSI y controles que utilizan un mtodo de medicin, una funcin de medicin, un modelo analtico y criterios de decisin 3.11 funcin de medicin algoritmo o clculo realizado para combinar dos o ms medidas base [ISO/IEC 15939:2007] 3.12 mtodo de medicin secuencia lgica de las operaciones, descritas genricamente, utilizado en la cuantificacin de un atributo con respecto a una escala especificada [ISO/IEC 15939:2007]
Nota 4: El tipo de mtodo de medicin depende de la naturaleza de las operaciones que se utilizan para cuantificar un atributo. Se distinguen dos tipos: a) b) subjetivo: cuantificacin que implica juicio humano; objetivo: cuantificacin basada en reglas numricas.
3.13 resultados de la medicin uno o ms indicadores y sus interpretaciones asociadas que responden a una necesidad de informacin 3.14 objeto elemento que se caracteriza a travs de la medicin de sus atributos 3.15 escala conjunto ordenado de valores, continuos o discretos, o un conjunto de categoras a las que se asigna el atributo [ISO/IEC 15939:2007]
Nota 5: El tipo de escala depende de la naturaleza de la relacin entre los valores en la escala. Comnmente, se definen cuatro tipos de escala:
ISO/IEC 27004:2009
ANTS 35.68.03:13
a) b) c)
nominal: los valores de medicin son categricos; ordinal: los valores de medicin son categorizados; intervalo: los valores de medicin tienen distancias iguales que corresponden a cantidades iguales del atributo; proporcin: los valores de medicin tienen distancias iguales que corresponden a cantidades iguales del atributo, donde el valor de cero corresponde a ninguno de los atributos.
d)
Estos son algunos ejemplos de los tipos de escala.
3.16 unidad de medida cantidad determinada, definidao y aprobadao por convencin, con ella cual se comparan otras cantidades del mismo tipo con el fin de expresar su magnitud relativa a aquella cantidad [ISO/IEC 15939:2007] 3.17 validacin confirmacin, mediante el suministro de pruebas objetivas, que se han cumplido los requisitos para un uso especfico o una aplicacin [ISO/IEC 15939:2007] 3.18 verificacin confirmacin, mediante el suministro de pruebas objetivas, de que los requisitos especificados se cumplieron [ISO 9000]
Nota 6: Esto podra tambin llamarse pruebas de cumplimiento.
ESTRUCTURA DE ESTA NORMA
Esta Norma ofrece una explicacin de las actividades de medidas y medicin necesarias para evaluar la eficacia de los requisitos del SGSI para la gestin de controles de seguridad adecuados y proporcionados segn requiere la NTS ISO/IEC 27001:2005, 4.2. Esta Norma est estructurada de la siguiente forma: a) informacin general sobre el Programa de Medidas de Seguridad de la Informacin y Modelo de Medicin de Seguridad de la Informacin (clusula 5);
ISO/IEC 27004:2009
ANTS 35.68.03:13
b)
responsabilidades de la gestin para las mediciones de seguridad de la informacin (clusula 6); y construccin de la medida y los procesos (es decir, planificacin y desarrollo, aplicacin y funcionamiento y mediciones de mejoramiento: comunicando los resultados de medicin) a ser implementados en el Programa de Medicin de Seguridad de la Informacin (clusulas de 7-10).
c)
Adicionalmente, el Anexo A proporciona una plantilla de ejemplo para la construccin de las medidas de las cuales los constituyentes son los elementos del Modelo de Medicin de Seguridad de la Informacin (Ver clusula 7). El Anexo B proporciona los ejemplos de construccin de las medidas para controles especficos o procesos de un SGSI, utilizando la plantilla proporcionada en el Anexo A. Estos ejemplos tienen la intencin de ayudar a una organizacin sobre cmo implementar la Medicin de Seguridad de la Informacin y cmo registrar las actividades de medicin y los resultados de ellos.
DESCRIPCIN GENERAL DE LA MEDICIN DE LA SEGURIDAD DE LA INFORMACIN
5.1 Objetivos de la medicin de seguridad de la informacin Los objetivos de medicin de seguridad de la informacin en el contexto de un SGSI incluyen: a) evaluacin de la eficacia de los controles o grupos de controles implementados (Ver 4.2.2 d) en figura 1); evaluacin de la eficacia del SGSI implementado (Ver 4.2.3 b) en figura 1); verificacin de la extensin a la cual los requisitos de seguridad se han cumplido (Ver 4.2.3 c) en figura 1); facilitar la mejora de la ejecucin de seguridad de la informacin en trminos de los riesgos del negocio en la organizacin; proporcionando la entrada para la revisin de la gestin, facilitando la toma de decisiones relacionadas con el SGSI y justificar las mejoras necesarias del SGSI implementado.
b) c)
d)
e)
La Figura 1 ilustra la relacin cclica de entradasalida de las actividades de medicin en relacin con el ciclo Planear Hacer Verificar - Actuar (PHVA), especificado en la NTS ISO/IEC 27001. Los nmeros en cada figura representan sub-clusula pertinente de la NTS ISO/IEC 27001:2005.
ISO/IEC 27004:2009
ANTS 35.68.03:13
PLANEAR 4.2.1. g) Seleccionar objetivos de control y controles para tratamiento de riesgos. Se deben seleccionar e implementar los objetivos de control y controles para cumplir con los requerimientos identificados por el proceso de evaluacin y tratamiento del riesgo.
ACTUAR
4.2.1 e) calcular la probabilidad realista de que ocurra dicha falla a la luz de las amenazas y vulnerabilidades prevalecientes, y los impactos asociados con estos activos, y los controles implementados actualmente;
4.2.4. a) Implementar las mejoras identificadas en el SGSI.
HACER 4.2.2. c) Implementar controles seleccionados para cumplir objetivos de control.
VERIFICAR 4.2.3. b) realizar revisiones La salida de ) los resultados de auditoras y revisiones del SGSI El resultado de la revisin por la Direccin; incluir cualquier decisin y acciones relativas a: 7.3. b) actualizacin de
regulares de la efectividad del SGSI
4.2.2. d) definir cmo medir la efectividad de los controles o grupos de controles
4.2.3. d) revisar las evaluaciones del riesgo a intervalos planeados y revisar el nivel de riesgo residual y riesgo aceptable identificado, tomando en consideracin los cambios a los controles implementados
la evaluacin del riesgo y el plan de tratamiento del riesgo.

7.3. c) mejoramiento de cmo se mide la efectividad de los controles
4.2.3. c) medir la efectividad de los controles para verificar que se hayan cumplido los requerimientos de seguridad
7.2. a) los resultados de auditoras y revisiones del SGSI; 7.2. f) los resultados de
mediciones de efectividad;
4.3. f) f) realizar por parte de la Direccin, una revisin del SGSI, de forma regular para asegurar que el alcance sigue siendo adecuado y se identifiquen las mejoras en el proceso del SGSI
Formatted: Left, Line spacing: single, Tab stops: Not at 0.39"
Figura 1 - Medicin de las entradas y salidas en SGSI en el ciclo PHVA de la gestin de seguridad de la informacin. La organizacin debe establecer los objetivos de medicin basada en una serie de consideraciones, incluyendo: a) el rol de la seguridad de la informacin en apoyo de todas las actividades del negocio de la organizacin y los riesgos que sta enfrenta; los requisitos legales, reglamentarios y contractuales;
b)
ISO/IEC 27004:2009
ANTS 35.68.03:13
c) d) e) f)
estructura organizacional; costos y beneficios de implementar medidas de seguridad de la informacin; los criterios de aceptacin del riesgo de la organizacin; la necesidad de comparar varios SGSI dentro de la misma organizacin.
5.2 Programa de Medicin de Seguridad de la Informacin Una organizacin debera establecer y gestionar un Programa de Medicin de Seguridad de la Informacin con el fin de alcanzar los objetivos de medicin establecidos y adoptar el modelo del PHVA para todas las actividades de medicin de la organizacin. Una organizacin tambin debera desarrollar e implementar la construccin de medidas con el fin de obtener resultados repetibles, objetivo y resultados tiles de la medicin basados en el Modelo de Medicin de la Seguridad de la Informacin (Ver 5.4). El Programa de Medicin de Seguridad de la Informacin y la construccin de medidas desarrolladas deberan garantizar que una organizacin logra eficazmente la medicin objetiva y repetible y provee resultados de la medicin a las partes interesadas, para determinar la necesidad de mejorar el SGSI implementado, incluyendo su mbito de aplicacin, polticas, objetivos, controles, procesos y procedimientos. Un Programa de Medicin de Seguridad de la Informacin debera incluir los siguientes procesos: a) b) c) d) medidas y desarrollo de medicin (Ver Clusula 7); operacin de medicin (Ver Clusula 8); anlisis de datos e informe de resultados de la medicin (Ver Clusula 9); y evaluacin y mejora del Programa de Medicin de Seguridad de la Informacin (Ver Clusula 10).
La estructura organizacional y operativa de un Programa de Medicin de Seguridad de la Informacin debera determinarse teniendo en cuenta la escala y la complejidad del SGSI del cual forma parte. En todos los casos, los roles y responsabilidades para el Programa de Medicin de Seguridad de la Informacin deben ser expresamente asignados al personal competente (Ver 7.5.8). Las medidas seleccionadas e implementadas por el Programa de Medicin de Seguridad de la Informacin deberan estar directamente relacionadas con el funcionamiento de un SGSI, otras medidas, as como los procesos de organizacin empresarial. La medicin puede integrarse con las actividades regulares de operacin o realizarse a intervalos regulares determinados por la Direccin del SGSI.
ISO/IEC 27004:2009
ANTS 35.68.03:13
5.3 Factores de xito Los siguientes son algunos de los factores que contribuyen al xito del Programa de Medicin de Seguridad de la Informacin para facilitar la mejora continua del SGSI: a) b) c) compromiso de la Direccin con el apoyo de recursos adecuados; existencia de procesos y procedimientos del SGSI; un proceso repetible capaz de recolectar y presentar los datos importantes para proveer las tendencias pertinentes durante un perodo de tiempo; medidas cuantificables basadas en los objetivos del SGSI; datos que se pueden obtener fcilmente y se pueden utilizar en la medicin; evaluacin de la eficacia del Programa de Medicin de Seguridad de la Informacin y aplicacin de mejoras identificadas; recopilacin, anlisis y presentacin peridica de informes sobre los datos de la medicin de una manera significativa; uso de los resultados de medicin de las partes interesadas para identificar las necesidades de mejorar el SGSI, incluyendo su mbito de aplicacin, polticas, objetivos, controles, procesos y procedimientos; aceptacin de retroalimentacin sobre resultados de la medicin de las partes interesadas pertinentes; y evaluaciones de la utilidad de los resultados de las mediciones y la aplicacin de las mejoras identificadas.
d) e) f)
g)
h)
i)
j)
Una vez ejecutado exitosamente, un Programa de Medicin de Seguridad de la Informacin puede: a) demostrar el cumplimiento de una organizacin con los requisitos legales o reglamentarios y con las obligaciones contractuales; apoyar la identificacin de cuestiones de seguridad de la informacin no detectadas previamente o desconocidas; asistir en la presentacin de informes de gestin de satisfaccin de las necesidades al plantear medidas para las actividades histricas y actuales; y ser utilizado como una entrada en el proceso de gestin de riesgo de seguridad de la informacin, auditoras internas del SGSI y revisiones de la gestin por la Direccin.
b)
c)
d)
ISO/IEC 27004:2009
ANTS 35.68.03:13
5.4 Modelo de medicin de Seguridad de la informacin

Nota 7: Los conceptos del modelo de medicin de seguridad de la informacin y construccin de medidas adoptadas en esta Norma se basan en los de la Norma ISO/IEC 15939. El trmino producto de informacin que se utiliza en la Norma ISO/IEC 15939 es sinnimo de resultados de la medicin en esta Norma y proceso de medicin que se utiliza en la Norma ISO/IEC 15939 es sinnimo de Programa de Medicin en esta Norma.
5.4.1. Informacin general El modelo de medicin de seguridad de la informacin es una estructura que une una necesidad de informacin con los objetos pertinentes de la medicin y sus atributos. Los objetos de medicin pueden incluir procesos, procedimientos, proyectos y recursos, ya sean planificados o implementados. El modelo de medicin de seguridad de la informacin describe cmo los atributos pertinentes son cuantificados y convertidos a indicadores que proporcionan una base para la toma de decisiones. La figura 2 describe el modelo de medicin de seguridad de la informacin.
ISO/IEC 27004:2009
ANTS 35.68.03:13
NECESIDADES DE LA INFORMACIN Procesos de Gestin de la Seguridad de la informacin Efectividad Objetivos de Control Controles Implementacin de procesos, procedimientos Criterio de decisin Resultados de la Medicin
indicador Modelo Analtico Objetivo de medicin Atributo Mtodo de medicin Atributo Atributo Medidas Base Medicin Medidas derivadas Funcin de Medicin
Figura 2 - Describe el modelo de medicin de seguridad de la informacin.

Nota 8: La clusula 7 proporciona informacin detallada sobre los elementos individuales del modelo de medicin de seguridad de la informacin.
Las sub-clusulas posteriores introducen elementos individuales del modelo. Tambin proporcionan ejemplos de cmo se utilizan estos elementos individuales. Las necesidades de informacin o el propsito de medicin utilizado en los ejemplos contenidos en las Tablas 1 a 4 de las siguientes sub-clusulas es evaluar el estado de concientizacin del cumplimiento de la poltica de seguridad de la organizacin entre el personal correspondiente (Objetivo del control A.8.2 y Controles A.8.2.1 y A.8.2.2. de la NTS ISO/IEC 27001:2005). 5.4.2. Medida base y mtodo de medicin Una medida base es la medida ms sencilla que se puede obtener. Una medida base resulta de la aplicacin de un mtodo de medicin de los atributos seleccionados de un objeto de medicin. Un objeto de medicin puede tener muchos atributos, slo algunos de los cuales pueden proporcionar
10
ISO/IEC 27004:2009
ANTS 35.68.03:13
valores tiles que se asignarn a una medida base. Un atributo dado se puede utilizar para diferentes medidas base. Un mtodo de medicin es una secuencia lgica de operaciones utilizadas en la cuantificacin de un atributo con respecto a una escala especificada. La operacin puede incluir actividades tales como el recuento de los sucesos u observacin del paso del tiempo. Un mtodo de medicin puede aplicar atributos a un objeto de la medicin. Ejemplos de un objeto de medicin incluyen pero no se limitan a: a) b) c) d) e) f) rendimiento de los controles implementados en el SGSI; estado de los activos de la informacin protegida por los controles; rendimiento de los procesos implementados en el SGSI; comportamiento del personal responsable de la ejecucin del SGSI; actividades de las unidades organizacionales responsables de la seguridad de la informacin, y grado de satisfaccin de las partes interesadas.
Un mtodo de medicin puede utilizar objetos de medicin y atributos de una variedad de fuentes, tales como: a) b) c) d) e) f) anlisis de riesgos y resultado de evaluacin de riesgos; cuestionarios y entrevistas personales; informes de auditoras internas y/o externas; registros de eventos, tales como registros, estadsticas de informe y pistas de auditora; informes de incidencias, en particular las que dan lugar a la ocurrencia de un impacto; resultados de ensayos, por ejemplo, pruebas de penetracin, ingeniera social, herramientas de cumplimiento, y herramientas de auditora de seguridad; o registros de los procedimientos de seguridad de la informacin y programas relacionados de la organizacin, por ejemplo, resultados de la capacitacin sobre concientizacin de seguridad de la informacin.
g)
Las Tablas 1-4 a continuacin presentan la aplicacin del modelo de seguridad de la informacin para los siguientes controles:
ISO/IEC 27004:2009
11
ANTS 35.68.03:13
a)
Control 2 se refiere al control A.8.2.1 Responsabilidades de la Direccin de la NTS ISO/IEC 27001:2005 (La Direccin debe requerir que los empleados, contratistas y terceros apliquen la seguridad en concordancia con las polticas y procedimientos establecidos por la organizacin); que est siendo implementada de la siguiente manera: Todo el personal pertinente del SGSI debe firmar acuerdos de usuario antes de que se le conceda acceso a un sistema de informacin; Control 1 se refiere al control A.8.2.2 Capacitacin, educacin y concientizacin sobre la seguridad de la informacin de la NTS ISO/IEC 27001:2005 (Todos los empleados de la organizacin y, cuando sea pertinente, los contratistas y terceros, deben recibir una apropiada concientizacin, capacitacin y actualizacin peridica de las polticas y procedimientos organizacionales, que sean relevantes a su funcin laboral. ); que se est implementando de la siguiente manera: Todo el personal involucrado en SGSI debe recibir capacitacin sobre concientizacin de la seguridad de la informacin antes de que se les conceda acceso a un sistema de informacin .
b)
Las correspondientes medidas construidas se encuentran en B.1.

Nota 9: La Tabla 1-4 se compone de varias columnas (Tabla 1, cuatro columnas; Tabla 2-4, tres columnas) de las cuales se les asigna un literal. A cada caja dentro de columnas individuales se le asigna un numeral. Las combinaciones de literales y numerales se utilizan en los cuadros siguientes para referirse a los cuadros anteriores. Las flechas designan los flujos de datos entre los distintos elementos del modelo de medicin de seguridad de la informacin en el ejemplo especfico.
La Tabla 1 incluye un ejemplo de las relaciones entre objeto de la medicin, atributo, mtodo de medicin y la medida de base para la medicin de los objetos establecidos en la implementacin de controles descritos anteriormente.
12
ISO/IEC 27004:2009
ANTS 35.68.03:13
Tabla 1 - Ejemplo de medida base y mtodo de medicin Objeto de Medicin (O) Control 1 Atributo (A) Mtodo de Medicin (M) Medida Base (B)
O.1.1 Plan de capacitacin y concientizacin en seguridad de la informacin
A.1.1 Personal identificado en el plan (O.1.1)
M.1 Contar el nmero del personal agendado para firmar (A.2.1) y que ha sido completado a la fecha (A.1.1)
B.1 Personal planificado a la fecha (A.2.1, A.1.1)
O.1.2 Personal completo o en progreso en entrenamiento
A.1.2 Estado del personal respecto al entrenamiento
M.2 Preguntar al responsable por el porcentaje completo (A.1.2) de cada persona que ha firmado. (A.2.2)
B.2 Personal que ha firmado, porcentaje completo (A.1.2, A.2.2)
Control 2 M.3 Contar el nmero del personal programado para firmar a la fecha (A.2.1)
O.2.1 Plan para firma de acuerdos con el usuario
A.2.1 Personal identificado en el plan para firmar (O.2.1)
B.3 Personal planificado para firmar a la fecha. (A.2.1)
O.2.2 Personal que firm los acuerdos
A.2.2 Estado del personal respecto a la firma de los acuerdos
M.4 Contar el nmero de personas que han firmado los acuerdos de usuario (A.2.2)
B.4 Personal que ha firmado a la fecha (A.2.2)
5.4.3. Medida derivada y funcin de medicin Una medida derivada es un agregado de dos o ms medidas base. Una medida base determinada puede servir como entrada para una serie de medidas derivadas. Una funcin de medicin es un clculo utilizado para combinar medidas base y crear una medida derivada.
ISO/IEC 27004:2009
13
ANTS 35.68.03:13
La escala y la unidad de la medida derivada depende de las escalas y las unidades de las medidas base de la cual esta se compone, as como la forma en que se combinan por la funcin de medicin. La funcin de medicin puede implicar una variedad de tcnicas, tales como un promedio de medidas de base, aplicando ponderaciones a las medidas base, o asignando valores cualitativos a las medidas base. La funcin de medicin puede combinar medidas base con diferentes escalas, tales como porcentajes y resultados cualitativos de evaluacin. Un ejemplo de la relacin de los elementos adicionales de medicin de la aplicacin del modelo de seguridad de la informacin, es decir, medida base, funcin de medicin y las medidas derivadas se presentan en la Tabla 2. Tabla 2 - Ejemplo de medida derivada y funcin de medicin Medida Base (B) Funcin de Medicin (F) Medida Derivada (D)
B.1 Personal planificado a la fecha (A.2.1, A.1.1) Va directamente al Modelo Analtico (Ver tabla 3)
B.2 Personal que ha firmado porcentaje completo (A.1.2, A.2.2)
F.1 Agregar estado de todo personal que ha firmado, planificado a completarse a la fecha (B.2)
D.1 Progreso a la fecha (B.2)
B.3 Personal planificado para firmar a la fecha (A.2.1)
F.2 Dividir personal que ha firmado a la fecha (B.4) para personal planificado a firmar a la fecha (B.3)
D.2 Progreso a la fecha con firmas (B.4, B.3)
B.4 Personal que ha firmado a la fecha (A.2.2)
5.4.4. Indicadores y modelo analtico Un indicador es una medida que proporciona una estimacin o evaluacin de los atributos especificados derivados de un modelo analtico con respecto a la necesidad de informacin definida. Los indicadores se obtienen mediante la aplicacin de un modelo analtico basado y/o derivado de una
14
ISO/IEC 27004:2009
ANTS 35.68.03:13
medida y su combinacin con los criterios de decisin. La escala y el mtodo de medicin afectarn a la eleccin de las tcnicas analticas utilizadas para producir indicadores. Un ejemplo de las relaciones entre las medidas derivadas, modelo analtico e indicadores para la aplicacin del modelo de medicin de seguridad de la informacin se presenta en la Tabla 3. Tabla 3 - Ejemplo de indicador y modelo analtico Medida derivada (D) Modelo Analtico (AM) Indicador (I)
(De B1-ver Tabla 2)
D.1 Progreso a la fecha (B.2)
AM.1 {Dividir Progreso a la Fecha (D.1) entre Personal Planificado a la Fecha (B.1) por 100} y Progreso a la fecha con firmas (D.2)
I.1 Estado expresado como una combinacin de relaciones proporciones (D.1/B.1* 100, D.2)
D.2 Progreso a la fecha con firmas (B.4, B.3)
AM.2 Comparar Estado I.1 con valores previos de I.1
I.2 Tendencia (I.1 y previos de I.1)
Nota 10: Si un indicador est representado en forma grfica, debera ser utilizado por usuarios con discapacidad visual o cuando se utilizan copias monocromticas. Para que esto sea posible la descripcin del indicador debera incluir colores, sombras, fuentes u otros mtodos visuales
5.4.5. Resultados de las mediciones y criterios de decisin Los resultados de medicin se desarrollan con indicadores aplicables a la interpretacin sobre la base de criterios definidos de decisin y deben considerarse en el contexto de los objetivos globales de medicin de la evaluacin de la efectividad del SGSI. Los criterios de decisin se utilizan para determinar la necesidad de una accin o una investigacin posterior, as como para describir el nivel de confianza en los resultados de la medicin. Los criterios de decisin se pueden aplicar a una serie de indicadores, por ejemplo para realizar anlisis de tendencias sobre la base de indicadores recibidos en diferentes momentos en el tiempo.
ISO/IEC 27004:2009
15
ANTS 35.68.03:13
Los objetivos proporcionan especificaciones detalladas del rendimiento, aplicable a la organizacin o a sus partes, derivadas de los objetivos de seguridad de la informacin, tales como los objetivos del SGSI y los objetivos de control que se necesitan establecer y cumplir para alcanzar dichos objetivos. Un ejemplo de la relacin de los elementos finales de la aplicacin del modelo de medicin de seguridad de la informacin (es decir, indicador, criterios de decisin y resultados de la medicin) se presenta en la Tabla 4. Tabla 4 - Ejemplo de resultados de medicin y modelo analtico Indicador (I) Criterios de decisin (DC) Resultados Mediciones Interpretacin de I.1: El criterio de cumplimiento de la poltica de concientizacin de la seguridad de la organizacin se ha cumplido satisfactoriamente si: 0.,9 D.1/B.1 1.1 y 0.,99 D2 1.,01; el criterio no se cumple satisfactoriamente si D.1/B.1 < 0.,9 o 1er D.1 /B.1 >1.,1) y 0.,99 D.2 1.,01; el criterio no se cumple si [D.2 > 0.,99 o D.2 < 1.,01].
I.1 Estado expresado como una combinacin de relaciones proporciones (D.1/B.1* 100, D.2)
DC.1 Relaciones Proporciones resultantes (I.1- D.1/B.1, D.2) debe estar respectivamente entre 0.,9 y 1.,1 y entre 0.,99 y 1.,01 para concluir el logro del objetivo de control; de lo contrario se necesitar accin de la Direccin.
1.2 Tendencia (I.1 y previos de I.1 )
DC.2 Tendencia (I.2) hacia arriba o estable; de lo contrario se necesitar accin de la Direccin
Interpretacin de I.2: Tendencia hacia arriba indica cumplimiento mejorado, tendencia hacia abajo deterioro del cumplimiento. El grado de cambio de tendencia puede proporcionar hallazgos respecto a la eficacia del control
RESPONSABILIDADES DE LA DIRECCIN
6.1 Informacin general La Direccin es responsable de establecer el Programa de Medicin de Seguridad de la Informacin, involucrando a las partes interesadas (Ver 7.5.8) en las actividades de medicin, aceptando los resultados de la medicin como un aporte a la revisin y utilizndolos en las actividades de mejora dentro del SGSI. Para lograr esto, la Direccin debe:
16
ISO/IEC 27004:2009
ANTS 35.68.03:13
a) b) c)
establecer objetivos para el Programa de Medicin de Seguridad de la Informacin; establecer una poltica para el Programa de Medicin de Seguridad de la Informacin; establecer roles y responsabilidades para el Programa de Medicin de Seguridad de la Informacin; proporcionar recursos adecuados para llevar a cabo la medicin, incluido personal, fondos, herramientas e infraestructura; asegurar que los objetivos del Programa de Medicin de la Seguridad de la Informacin sean alcanzados; asegurar el correcto mantenimiento de las herramientas y equipos utilizados para recopilar los datos; establecer el propsito de la medicin para cada medida construida; garantizar que la medicin proporciona informacin suficiente a las partes interesadas con respecto a la efectividad del SGSI y las necesidades para mejorar el SGSI implementado, incluyendo su mbito de aplicacin, polticas, objetivos, controles, procesos y procedimientos; y garantizar que la medicin proporciona informacin suficiente a las partes interesadas con respecto a la efectividad de los controles o grupo de controles y la necesidad de mejorar los controles aplicados.
d)
e)
f)
g) h)
i)
A travs de la asignacin adecuada de roles y responsabilidades de la medicin, la Direccin debe garantizar que los resultados de medicin no estn influenciados por fuentes de informacin (Ver 7.5.8). Esto puede lograrse a travs de la separacin de funciones o, si esto no fuera posible, a travs de la utilizacin de documentacin detallada que permita verificaciones independientes. 6.2 Gestin de recursos La Direccin debe asignar y proporcionar recursos para apoyar las actividades esenciales de la medicin, tales como la recopilacin de datos, anlisis, almacenamiento, informes y distribucin. La distribucin de recursos debe incluir la asignacin de: a) las personas con responsabilidad de todos los aspectos del Programa de Medicin de Seguridad de la Informacin; soporte financiero adecuado; y soporte con infraestructuras adecuadas, tales como la infraestructura fsica y las herramientas utilizadas para llevar a cabo el proceso de medicin.
b) c)
ISO/IEC 27004:2009
17
ANTS 35.68.03:13
Nota 11: La Clusula 5.2.1 de la NTS ISO/IEC 27001:2005 especifica el requisito relativo a la provisin de recursos para la implementacin y operacin de un SGSI.
6.3 Capacitacin, concientizacin y competencias en la medicin La Direccin debe garantizar que: a) laos Partes interesadas (Ver 7.5.8) estn capacitadaos adecuadamente para la ejecucin de sus roles y responsabilidades en la aplicacin del Programa de Medicin de la Seguridad de la Informacin y que estn debidamente calificadaos para desempear sus roles y responsabilidades; y loas Partes interesadas entienden que sus deberes incluyen dar sugerencias para mejorar el Programa de Medicin de la Seguridad de la Informacin.
b)
DESARROLLO DE MEDIDAS Y MEDICIN
7.1 Descripcin general Esta clusula proporciona directrices sobre cmo desarrollar las medidas y la medicin con el fin de evaluar la efectividad del SGSI y los controles o grupo de controles, al igual que la identificacin de grupos especficos de la organizacin que construyen las medidas. Las actividades necesarias para desarrollar medidas y la medicin deben ser establecidas y documentadas, incluyendo las siguientes: a) b) c) d) e) f) g) definicin del alcance de la medicin (Ver 7.2); identificacin de una necesidad de informacin (Ver 7.3); seleccin del objeto de la medimedicin da y sus atributos (Ver 7.4); desarrollo de construccin de medidas (Ver 7.5); aplicacin de las medidas construidas (Ver 7.6); establecimiento de la recopilacin de datos y anlisis de procesos y herramientas (Ver 7.7); y el establecimiento del mtodo de medicin, ejecucin y su documentacin (Ver 7.8).
Al establecer estas actividades, la organizacin debe tomar en cuenta los recursos financieros, humanos y de infraestructura (fsica y herramientas). 7.2 Definicin del mbito de aplicacin de la medicin Dependiendo de las capacidades y los recursos de una organizacin, el mbito de aplicacin inicial de las actividades de medicin de una organizacin se limitar a elementos tales como controles
18
ISO/IEC 27004:2009
ANTS 35.68.03:13
especficos, los activos de informacin protegidos por controles especficos, actividades especficas para seguridad de la informacin a los que se les da mayor prioridad por parte de la Direccin. Con el tiempo, el mbito de aplicacin de las actividades de medicin ser ampliado para hacer frente a otros elementos del SGSI y los controles o grupo de controles implementados, tomando en consideracin las prioridades de laos Partes interesadas. Las pPartes involucradas deben ser identificadas y deben participar en la definicin del alcance de medicin. Loas Partes interesadas pertinentes pueden ser internaos o externaos a las unidades organizacionales, tales como gerentes de proyectos, gerentes de sistemas de informacin, o responsables de toma de decisiones relativas a la seguridad de la informacin. Los resultados especficos de medicin frente a la efectividad de los controles individuales o grupo de los controles deben ser definidos y comunicados a las pPartes interesadas. La organizacin puede considerar limitar el nmero de resultados de las mediciones a reportar a los que toman decisiones dentro de un perodo de tiempo determinado, para garantizar su capacidad para mejorar el SGSI, basado en los resultados reportados de la medicin. Un nmero excesivo de resultados reportados de la medicin, afectar la capacidad de la toma de decisiones para centrar los esfuerzos y dar prioridad a las actividades futuras de mejora. Los resultados de medicin deben priorizarse con base en la importancia de las necesidades de informacin y los objetivos asociados del SGSI.
Nota 12: El mbito de aplicacin de la medicin est relacionado con el mbito de aplicacin del SGSI establecido de conformidad con 4.2.1 a) de la NTS ISO/IEC 27001:2005.
7.3 Identificacin de la necesidad de informacin Cada medicin debera corresponder al menos a una necesidad de informacin. Un ejemplo de la necesidad de informacin, que describe el punto de partida como el objetivo de medicin y termina con los criterios de decisin pertinentes, se presenta en el Anexo A. Se deben realizar las siguientes actividades a fin de identificar las necesidades de informacin relevante: a) examinar el SGSI y sus procesos, tales como: poltica y objetivos del SGSI, objetivos de control y controles; requisitos legales, reglamentarios, contractuales y organizacionales para la seguridad de la informacin; resultados del proceso de gestin del riesgo de la seguridad de la informacin, tal como se describe en la NTS ISO/IEC 27001. b) dar prioridad a la informacin de las necesidades identificadas en base a criterios, tales como: prioridades de tratamiento de los riesgos;
ISO/IEC 27004:2009
19
ANTS 35.68.03:13
capacidades de una organizacin y recursos; intereses de las pPartes involucradas; poltica de seguridad de la informacin; informacin necesaria para cumplir los requisitos legales, reglamentarios y contractuales; valor de la informacin en relacin con el costo de la medicin. c) seleccionar un subconjunto de informacin que debe adoptarse en actividades de medicin de la lista de prioridades; y documentar y comunicar las necesidades seleccionadas de informacin a todaos laos Partes interesadas.
d)
Todas las medidas pertinentes aplicadas a un SGSI implementado, controles o grupos de controles deben aplicarse sobre la base de las necesidades seleccionadas de informacin. 7.4 Objeto y seleccin de atributos Un objeto de medicin y sus atributos deben ser identificados en el contexto general y el alcance de un SGSI. Cabe sealar que un objeto de medicin puede tener varios atributos aplicables. El objeto y sus atributos a ser usados como medicin deben ser seleccionados sobre la base de la prioridad de las necesidades de informacin correspondientes. Los valores a ser asignados a una medida base relevante se obtienen aplicando un mtodo de medicin apropiado para los atributos seleccionados. Esta seleccin tambin debera asegurar que: a) b) se pueda identificar una medida base relevante y un mtodo de medicin apropiado; y los resultados significativos de medicin pueden ser desarrollados en base a los valores obtenidos y desarrollados de las medidas desarrolladas.
Las caractersticas de los atributos seleccionados determinan qu tipo de mtodo de medicin necesita ser utilizado para obtener los valores que se asignar a medidas base (por ejemplo, cualitativa o cuantitativa). El objeto seleccionado y atributos deben ser documentados, junto con la justificacin de la seleccin. Los datos que describen el objeto de la medicin y los atributos correspondientes deberan ser utilizados como los valores que se asignarn a medidas base. Ejemplos de objetos de medicin incluyen, pero no se limitan a:
20
ISO/IEC 27004:2009
ANTS 35.68.03:13
a)
productos y servicios;
Procesos. Los activos aplicables, tales como instalaciones, solicitudes y sistemas de informacin segn se identifica en la NTS ISO/IEC 27001:2005 (Inventario de activos, A.7.1.1); b) c) d) unidades de negocio; ubicaciones geogrficas, y servicios de terceros.
Los atributos deben ser revisados para asegurarse que: a) b) se han seleccionado atributos adecuados para la medicin, y la recopilacin de datos se ha definido para asegurar que est presente un nmero suficiente de atributos para permitir la medicin eficaz.
Solamente deberan ser seleccionados los atributos que son relevantes para la medida base correspondiente. Aunque la seleccin de los atributos debe tomar en cuenta el grado de dificultad en la obtencin de los atributos a medir, no debe hacerse nicamente en los datos que son fciles de obtener o el atributo fcil de medir. 7.5 Desarrollo de la construccin de la medicin 7.5.1. Informacin general Esta sub-clusula (7.5) dirigida al desarrollo de construccin de la medicin va de la 7.5.2 (seleccin de las medidas) a la 7.5.8 (pPartes interesadas). 7.5.2. Medida de seleccin Medidas que podran satisfacer la necesidad de informacin seleccionada deben ser identificadas. Las medidas identificadas deben definirse con suficiente detalle para permitir la seleccin de las medidas que deban aplicarse. Recientemente Nuevas medidas identificadas pueden implicar una adaptacin de una medida existente.
Nota 13: Identificacin de medidas base est estrechamente relacionado con la identificacin de los objetos de medicin y sus atributos.
Deberan ser seleccionadas las medidas identificadas que podran satisfacer potencialmente la necesidad de la informacin. Tambin debe ser considerado el contexto de la informacin necesaria para interpretar o normalizar las medidas.
Nota 14: Muchas combinaciones dDiferentes combinaciones de medidas (es decir, medidas de base, las medidas derivadas, e indicadores) pueden ser seleccionadaos para hacer frente a una necesidad de informacin especfica.
ISO/IEC 27004:2009
21
ANTS 35.68.03:13
Las medidas seleccionadas deben reflejar la prioridad de las necesidades de informacin. Otros criterios de ejemplo que pueden ser utilizados para la seleccin de medidas se incluyen: a) b) c) d) e) f) g) h) facilidad de recopilacin de datos; disponibilidad de recursos humanos de recopilacin y gestin de datos; la disponibilidad de herramientas adecuadas; nmero de indicadores de posible inters en relacin con el apoyo de la medida base; facilidad de interpretacin; nmero de usuarios de los resultados de medicin desarrollados; pruebas de aptitud de la medida para el fin propuesto o necesidad de informacin; y costos de recopilacin, gestin y anlisis de los datos.
7.5.3. Mtodo de medicin Para cada medida base individual se debe definir un mtodo de medicin. Este mtodo de medicin se utiliza para cuantificar un objeto de medicin a travs de la transformacin de los atributos en el valor que se asignar a la medida base. Un mtodo de medicin puede ser subjetivo u objetivo. Los mtodos subjetivos se basan en la cuantificacin del criterio humano, mientras que los mtodos objetivos usan la cuantificacin basada en normas numricas tales como el conteo que puede ser implementado a travs de medios humanos o automatizados. El mtodo de medicin cuantifica los atributos como valores mediante la aplicacin de una escala adecuada. Cada escala utiliza unidades de medicin. Slo las cantidades expresadas en la misma unidad de medicin son directamente comparables. Para cada mtodo de medicin, se debe establecer y documentar un proceso de verificacin. Esta verificacin debe garantizar un nivel de confianza en el valor que se obtiene mediante la aplicacin de un mtodo de medicin de un atributo del objeto de medicin y asignado a la medida base. Cuando sea necesario determinar un valor vlido, las herramientas utilizadas para obtener los atributos deben estar normalizadas y verificadas en los intervalos especificados. La precisin del mtodo de medicin debe ser tomada en consideracin y la desviacin asociada o variacin se debe registrar.
22
ISO/IEC 27004:2009
ANTS 35.68.03:13
Un mtodo de medicin debe ser consistente en el tiempo de tal manera que los valores asignados a la medida base, tomadoas en diferentes momentos, son comparables y los valores asignados a una medida derivada y a un indicador tambin son comparables. 7.5.4. Funcin de la medicin Para cada medida derivada individual una funcin de medicin debera ser definirseda una funcin de medicin, para ser aplicada a dos o ms valores asignados a las medidas base. Esta funcin de medicin se utiliza para transformar los valores asignados a una o ms medidas base en el valor que se asigna a una medida derivada. En algunos casos, una medida base puede contribuir directamente al modelo analtico adems de una medida derivada. Una funcin de medicin (por ejemplo, un clculo) puede implicar una variedad de tcnicas, tales como promedio de todos los valores asignados a las medidas base, aplicando pesos a los valores asignados a las medidas base, o la asignacin de valores cualitativos a valores asignados a las medidas base antes de agregarlos al valor que se asignar a una medida derivada. La funcin de medicin puede combinar los valores asignados a las medidas base utilizando diferentes escalas, tal como resultados de porcentajes y de la evaluacin cualitativa. 7.5.5. Modelo analtico Para cada indicador, un modelo analtico debe ser definido con el propsito de transformar uno o ms valores asignados a una base y/o una medida derivada en el valor que se asigna al indicador. El modelo analtico combina las medidas relevantes en tal forma que produce un resultado significativo para las partes interesadas. Los criterios de decisin aplicados a un indicador tambin deben tomarse en cuenta para definir el modelo analtico. Algunas veces, un modelo analtico puede ser tan simple como transformar un solo valor asignado a la medida derivada en el valor a ser asignado a un indicador. 7.5.6. Indicadores Los valores a ser asignados a los indicadores sern producidos agregando los valores asignados a la medida derivada e interpretando estos valores en funcin de los criterios de decisin. Para cada indicador que se informar al cliente, se debe definir un formato para la presentacin de indicadores como parte de formatos de informacin (ver 7.7). Los formularios para la presentacin del indicador describen visualmente las medidas y proveen una explicacin verbal de los indicadores. Los formularios para la presentacin del indicador deben ser personalizados para satisfacer la necesidad de informacin del cliente. 7.5.7. Criterios de decisin
ISO/IEC 27004:2009
23
ANTS 35.68.03:13
Los criterios de decisin que corresponden a cada indicador deben ser definidos y documentados en base a los objetivos de la seguridad de la informacin, para proveer guas concretas a las partes interesadas. Esta gua debe responder a las expectativas de progreso y los umbrales para iniciar acciones de mejoramiento basadas en el indicador. Los criterios de decisin establecen un objetivo por el cual el xito (Ver 5.3) se mide y proporciona una gua sobre la interpretacin del indicador en relacin con su proximidad al objetivo. Los objetivos deben ser establecidos para cada elemento considerando el desempeo punto relativo a la ejecucin de los procesos y controles del SGSI, el logro de los objetivos y para la efectividad del SGSI a ser evaluadar. La Direccin puede decidir no establecer metas para los indicadores hasta que los datos iniciales se recolecten. Una vez que se identifican las acciones correctivas basadas en los datos iniciales, los criterios adecuados de decisin y las fases de aplicacin se pueden definir como realistas para un SGSI especfico. Si los criterios de decisin no se pueden establecer a ese punto, la Direccin debe evaluar si el objeto de la medicin y las correspondientes medidas estn proporcionando el valor esperado para la organizacin. El establecimiento de criterios de decisin se puede facilitar si los datos histricos que pertenecen a las medidas desarrolladas o seleccionadas estn disponibles. Las tendencias observadas en el pasado darn una idea de los rangos de rendimiento que han existido anteriormente y guiarn la creacin de criterios de decisin realistas. Los criterios de decisin pueden ser calculados o basados en una comprensin conceptual del comportamiento esperado. Los criterios de decisin se pueden derivar de los datos histricos, planes y la heurstica, o calculado como lmites de control estadstico o lmites estadsticos de confianza. 7.5.8. Las pPartes interesadas Para cada medida base y/o medida derivada se deben identificar y documentar las pPartes interesadas. Las pPartes interesadas pueden incluir las siguientes: a) cliente para la medicin: la Direccin u otras partes interesadas que soliciten o requieran informacin sobre la efectividad de un SGSI, los controles o grupo de controles; revisor supervisor para de la medicin: la persona o unidad organizacional que certifica que la construccin de las medidas desarrolladas son apropiados para evaluar la efectividad de los controles o grupo de controles de un SGSI, ogrupo de controles; propietario de la informacin: la persona o unidad organizacional que posee la informacin sobre un objeto de la medicin y los atributos y es responsable de la medicin; recolector de la informacin: la persona o unidad organizacional responsable de la recopilacin, registro y almacenamiento de los datos; y
b)
c)
d)
24
ISO/IEC 27004:2009
ANTS 35.68.03:13
e)
comunicador de la informacin: la persona o unidad organizacional responsable del anlisis de los datos y de la comunicacin de los resultados de la medicin.
7.6 Construccin de la medicin Como mnimo, la especificacin de la construccin de la medicin debe incluir la siguiente informacin: a) b) finalidad de la medicin; el objetivo de control que debe lograrse mediante controles y controles especficos, grupo de controles y el proceso del SGSI a ser medido; objeto de la medicin; datos a ser recolectados y utilizados; procesos para la recopilacin y anlisis de datos; procesos para presentacin de informes de resultados de la medicin, incluyendo formularios de informes; las funciones y responsabilidades de las partes interesadas pertinentes; y un ciclo de revisin de la medicin para garantizar su utilidad en relacin con una necesidad de informacin.
c) d) e) f)
g) h)
El Anexo A establece un ejemplo de construccin genrica de la medicin, que incorpora del literal a) al literal h). El Anexo B proporciona ejemplos de construccin de las medidas aplicadas a la medicin de los procesos y controles del SGSI. 7.7 Recopilacin de datos, anlisis y presentacin de informes Los procedimientos para la recopilacin y anlisis de datos y procesos para el reporte de los resultados de la medicin desarrollados deberan ser establecidos. Herramientas de apoyo, equipos de medicin y tecnologas tambin deberan ser establecidos, si es requerido. Estos procedimientos, herramientas, equipos de medicin y tecnologas se dirigirn por las siguientes actividades: a) recopilacin de datos, incluyendo el almacenamiento y la verificacin de datos (Ver 8.3). Los procedimientos deberan identificar cmo los datos sern recolectados a travs del uso de mtodos de medicin, funciones de medicin y modelos analticos, as como tambin, cmo y dnde sern almacenados conjuntamente con cualquier contexto de informacin necesario para entender y verificar los datos. La verificacin de datos puede hacerse mediante la inspeccin de
ISO/IEC 27004:2009
25
ANTS 35.68.03:13
los datos contra una lista de verificacin que se elabora para verificar que los datos faltantes son mnimos, y que el valor que se asignar a cada medida es vlido.
Nota 15: La verificacin de los valores que se asignarn a medidas base est estrechamente relacionada con la verificacin del mtodo de medicin (Ver 7.5.3).
b)
el anlisis de los datos y presentacin de informes de resultados de la medicin desarrollados. Los procedimientos debern especificar las tcnicas de anlisis de datos (Ver 9.2), y la frecuencia, formato y mtodos para reportar los resultados de la medicin. Se debe identificar la gama de herramientas que se necesitan para realizar el anlisis de datos.
Ejemplos de formatos de informes incluyen: cuadros de control (scorecards) para proporcionar informacin estratgica mediante la integracin de indicadores de alto nivel; tableros de mando ejecutivo y operacional menos centrados en objetivos estratgicos y ms vinculados a la eficacia de controles y procesos especficos; informes, desde una forma simple y esttica, tales como una lista de medidas para un perodo de tiempo determinado, a informes ms sofisticados como informes de referencias cruzadas, con agrupacin anidada, resmenes, y enlaces o detalles dinmicos. de. LLos informes son ms utilizados cuando el usuario necesita ver los datos en bruto en un formato fcil de leer; e indicadores para representar los valores de una dinmica que incluye alertas, otros elementos grficos adicionales y etiquetado de los extremos. 7.8 Implementacin y documentacin de la medicin El enfoque global de la medicin debera ser documentado en un plan de ejecucin. El plan de implementacin debera incluir la siguiente informacin como mnimo: a) programa de Implementacin para la Medicin de Seguridad de la Informacin de la organizacin; especificacin de medicin de la siguiente manera: construccin de la medicin genrica de la organizacin; construccin de la medicin individual de la organizacin; y definicin del rango y procedimientos para la recopilacin y anlisis de datos. c) cronograma para llevar a cabo actividades de medicin;
b)
26
ISO/IEC 27004:2009
ANTS 35.68.03:13
d)
registros creados a travs de la ejecucin de actividades de medicin, incluyendo datos recolectados y anlisis de registros; y formatos de informes de resultados de las mediciones que se comunican a la Direccin y las pPartes interesadas (Ver la NTS ISO/IEC 27001:2005 Clusula 7 Revisin por la Direccin).
e)
OPERACIN DE LA MEDICIN
8.1 Descripcin general Operacin de medicin de la seguridad de la informacin incluye actividades que son esenciales para asegurar que los resultados de medicin desarrollados proporcionan informacin precisa con respecto a la eficacia de un SGSI implementado, controles o grupo de controles y la necesidad de acciones de mejora apropiadas. Esta actividad incluye lo siguiente: a) b) procedimientos de medicin integrados en el funcionamiento general del SGSI; recopilacin, almacenamiento y verificacin de datos.
8.2 Procedimiento de integracin El Programa de Medicin de la Seguridad de la Informacin debe estar plenamente integrado y utilizado por el SGSI. Los procedimientos de medicin deben estar coordinados con el funcionamiento del SGSI, incluyendo: a) definicin y documentacin de los roles, autoridad y responsabilidad, con respecto al desarrollo, implementacin y mantenimiento de la medicin de seguridad de la informacin; recopilacin de datos y, cuando sea necesario, modificar el funcionamiento actual del SGSI para dar cabida a las actividades de generacin y recopilacin de datos; comunicacin a las pPartes interesadas de los cambios en las actividades de recopilacin de datos. mantenimiento de la competencia de los recopiladores recolectores de informacin y comprensin de los tipos de datos requeridos, herramientas y procedimientos de recopilacin de datos; desarrollo de polticas y procedimientos que definen el uso de la medicin dentro de la organizacin, la difusin de la informacin de medicin, auditora y revisin del Programa de Medicin de Seguridad de la Informacin;
b)
c)
d)
e)
ISO/IEC 27004:2009
27
ANTS 35.68.03:13
f)
integracin de anlisis de datos y presentacin de informes en los procesos pertinentes para garantizar su normal desempeo; monitoreo, revisin y evaluacin de los resultados de la medicin; establecimiento de un proceso para la eliminacin de medidas y adicin de nuevas medidas para garantizar que evolucionan con la organizacin; establecimiento de un proceso para determinar la vida til de los datos histricos para analizar las tendencias.
g) h)
i)
8.3 Recopilacin, almacenamiento y verificacin de datos Las actividades de recopilacin, almacenamiento y verificacin de datos son las siguientes: a) recopilacin de los datos requeridos a intervalos regulares, utilizando un mtodo de medicin designado; documentacin de la recopilacin de datos, incluyendo: fecha, hora y lugar de recopilacin de datos; recolector de la informacin; propietario de la informacin; cualquier problema que haya surgido durante la recopilacin de datos que sea til; informacin para verificacin de datos y validacin de la medicin; y c) comparacin de los datos recopilados con los criterios de seleccin de medidas y el criterio de validacin de la construccin de la medicin.
b)
Los datos recopilados y cualquier informacin de contexto necesaria se deberan consolidar y almacenar en un formato apropiado que permita el anlisis de datos.
ANLISIS DE DATOS Y REPORTE DE LOS RESULTADOS DE LA MEDICIN 9.1. Informacin general
Los datos recopilados deberan ser analizados para desarrollar los resultados de la medicin y dichos resultados deberan ser comunicados. Esta actividad incluye lo siguiente:
28
ISO/IEC 27004:2009
ANTS 35.68.03:13
a) b)
anlisis de los datos y desarrollo de resultados de la medicin; y comunicacin de los resultados de la medicin a las pPartes interesadas. 9.2. Anlisis de los datos y desarrollo de resultados de la medicin
Los datos recopilados deberan ser analizados e interpretados en trminos de los criterios de decisin. Los datos podran ser agregados, transformados, o recodificados antes del anlisis. Durante esta tarea, los datos deberan ser procesados para producir los indicadores. Se pueden aplicar varias tcnicas de anlisis. La profundidad del anlisis debera ser determinadao por la naturaleza de los datos y la necesidad de informacin.
Nota 16: Las directrices para la realizacin de anlisis estadsticos se pueden encontrar en la Norma ISO/TR 10017 (Directrices sobre tcnicas estadsticas para la ISO 9001).
Se deberan interpretar los resultados del anlisis de los datos. La persona que analiza los resultados (comunicador) debera ser capaz de sacar algunas conclusiones iniciales en base a los resultados. Sin embargo, por cuanto el (los) comunicador (es) puede (n) no estar directamente involucrado (s) en los procesos tcnicos y de gestin, dichas conclusiones necesitan ser revisadas por otras partes interesadas. Todas las interpretaciones deben tomar en cuenta el contexto de las mediciones. El anlisis de los datos deben identificar las brechas entre los resultados esperados y los de la medicin real de un SGSI implementado, controles o grupos de controles. Las brechas identificadas mostrarn las necesidades para mejorar el SGSI implementado, incluyendo su mbito de aplicacin, polticas, objetivos, controles, procesos y procedimientos. Aquellos indicadores que demuestran incumplimiento o un pobre desempeo se deben identificar y se pueden clasificar de la siguiente manera: a) falla del plan de tratamiento de riesgos para la implementacin, operacin y administracin de los controles o procesos del SGSI (por ejemplo, que una amenaza pase por alto controles y procesos del SGSI); falla en la evaluacin de riesgos: controles o procesos del SGSI son ineficaces porque son insuficientes para contrarrestar las amenazas estimadas (por ejemplo, porque la probabilidad de las amenazas fue subestimada), o contra nuevas amenazas. los controles de los procesos del SGSI no se aplican, debido a que se pasaron por alto las amenazas.
b)
Los informes que se utilizan para comunicar los resultados de la medicin a las partes interesadas deberan prepararse utilizando formatos apropiados para presentacin de informes (Ver 7.7), de acuerdo con el plan de implementacin del Programa de Medicin de Seguridad de la Informacin.
ISO/IEC 27004:2009
29
ANTS 35.68.03:13
Las conclusiones del anlisis deberan ser revisadas por las pPartes interesadas para garantizar la correcta interpretacin de los datos. Los resultados del anlisis de los datos deberan ser documentados para su comunicacin a las pPartes interesadas. 9.3. Comunicacin de los resultados de la medicin a las pPartes interesadas El comunicador de la informacin debe determinar la forma de comunicar los resultados de medicin de seguridad de la informacin, tal como: a) b) c) cules resultados de las mediciones sern comunicados interna y externamente; listas de las medidas correspondientes a los actores principales, y a otras partes interesadas; los resultados especficos de medicin que se proporcionan y el tipo de presentacin, adaptados a las necesidades de cada grupo; y medios para obtener retroalimentacin de los grupos de inters que se utilizarn para evaluar la utilidad de los resultados de la medicin y la eficacia del Programa de Medicin de la Seguridad de la Informacin.
Formatted: 9.1
d)
Los resultados de medicin deben ser comunicados a una variedad de grupos de inters internos, incluyendo, pero no limitado a: a) b) c) clientes para la medicin (Ver 7.5.8); propietarios de la informacin (Ver 7.5.8); personal a cargo de la gestin de riesgos de la seguridad de la informacin, especialmente donde se identifican las fallas de la evaluacin de riesgos; y personal responsable de las reas identificadas que necesitan ser mejoradas.
d)
La organizacin podra requerir en algunos casos, la distribucin de informes de los resultados de la medicin a partes externas, incluyendo autoridades reguladoras, accionistas, clientes y proveedores. Se recomienda que los informes sobre resultados de las mediciones que se distribuirn externamente slo contengan datos apropiados para su divulgacin externa y sean aprobados por la Direccin y las pPartes interesadas antes de que sean liberados.
10
EVALUACIN Y MEJORA DEL PROGRAMA DE MEDICIN DE LA SEGURIDAD DE LA INFORMACIN
10.1. Informacin general La organizacin debe evaluar a intervalos planificados lo siguiente:
30
ISO/IEC 27004:2009
ANTS 35.68.03:13
a)
efectividad de la implementacin del Programa de Medicin de la Seguridad de la Informacin, para asegurar que:
produce resultados de la medicin de una manera eficaz; se ejecuta segn lo planificado; indica cambios en el SGSI implementado y/o en los controles; indica cambios en el medio ambiente (por ejemplo, requisitos, legislacin o tecnologa); y b) utilidad de los resultados de la medicin desarrollados para asegurar que satisfacen las necesidades de informacin pertinentes.
La Direccin debera especificar la frecuencia de dicha evaluacin, planificar revisiones peridicas y establecer mecanismos para posibilitar estas revisiones (Ver 7.2 de la NTS ISO/IEC 27001:2005). Las actividades pertinentes deberan ser como sigue: a) identificar criterios de evaluacin para el Programa de Medicin de la Seguridad de la Informacin (Ver 10.2); monitorear, revisar y evaluar la medicin (Ver 10.3); e implementar mejoras (Ver 10.4).
b) c)
10.2. Identificacin de Criterios de Evaluacin del Programa de Medicin de la Seguridad de la Informacin La organizacin debe definir los criterios para evaluar la eficacia del Programa de Medicin de la Seguridad de la Informacin, as como la utilidad de los resultados de medicin desarrollados. Los criterios deben ser definidos al inicio de la implementacin del Programa de Medicin de la Seguridad de la Informacin, teniendo en cuenta el contexto de los objetivos tcnicos y de negocios de la organizacin. Los criterios ms probables respecto a cundo las organizaciones deben evaluar y mejorar el Programa de Medicin de la Seguridad de la Informacin implementado son: a) b) cambios en los objetivos del negocio de la organizacin; cambios en los requisitos legales o reglamentarioas y en las obligaciones contractuales en materia de la seguridad de la informacin; cambios en los requisitos de la organizacin sobre seguridad de la informacin; cambios en los riesgos de la seguridad de la informacin para la organizacin;
c) d)
ISO/IEC 27004:2009
31
ANTS 35.68.03:13
e)
creciente disponibilidad de datos ms refinados o convenientes y/o mtodos para recopilar datos para fines de medicin; y cambios en el objeto de medicin y/o de sus atributos;
f)
Los siguientes criterios pueden aplicarse para evaluar los resultados de medicin desarrollados: a) los resultados de medicin son: a) fciles de entender; comunicados de manera oportuna; y objetivos comparables y reproducibles. a) los procesos establecidos para el desarrollo de los resultados de medicin son:
Formatted: Indent: Left: 0", Hanging: 0.3" Formatted: No bullets or numbering
bien definidos; fciles de operar; y un correcto seguimiento. b) c) los resultados de medicin son tiles para mejorar la seguridad de la informacin; los resultados de la medicin indican correspondientes necesidades de informacin.
10.3. Monitorear, revisar y evaluar el Programa de Medicin de Seguridad de la Informacin La organizacin debe monitorear, revisar y evaluar su Programa de Medicin de Seguridad de la Informacin contra los criterios establecidos (Ver 10.2). La organizacin debe identificar las necesidades potenciales de mejora del Programa de Medicin de la Seguridad de la Informacin, incluyendo: a) b) revisin o eliminacin de la estructura de las medidas adoptadas que ya no son apropiadas; y reasignacin de recursos para apoyar el Programa de Medicin de Seguridad de la Informacin.
La organizacin tambin debe identificar las necesidades potenciales de mejora del SGSI implementado, incluyendo su mbito de aplicacin, polticas, objetivos, controles, procesos y procedimientos; y las decisiones de gestin de documentos para permitir la comparacin y anlisis de tendencias durante posteriores revisiones.
32
ISO/IEC 27004:2009
ANTS 35.68.03:13
Los resultados de esta evaluacin y las necesidades potenciales identificadas de mejoras deberan ser comunicados a las partes interesadas pertinentes para permitir la toma de decisiones sobre las mejoras necesarias. La organizacin debe asegurar que se busque la retroalimentacin de las pPartes interesadas sobre los resultados de esta evaluacin y las necesidades potenciales de mejora identificadas. La organizacin debe entender que la retroalimentacin es una de las entradas respecto de la efectividad del Programa de Medicin de la Seguridad de la Informacin.
10.4. Implementar mejoras La organizacin debe asegurar que las partes interesadas pertinentes identifiquen necesidades de mejoras del Programa de Medicin de la Seguridad de la Informacin (Ver 7.3 e) de la NTS ISO/IEC 27001:2005). Las mejoras identificadas deberan ser aprobadas por la Direccin. Los planes aprobados deberan ser documentados y comunicados a las partes interesadas pertinentes. La organizacin debe asegurar que las mejoras aprobadas del Programa de Medicin de la Seguridad de la Informacin son implementadas segn lo planificado. La organizacin podr aplicar tcnicas de administracin de proyectos para cumplir las mejoras.
ISO/IEC 27004:2009
33
ANTS 35.68.03:13
ANEXO A (Informativo) Plantilla para estructurar la medicin de la seguridad de la informacin El Anexo A provee una plantilla ejemplo para la estructura de la medicin de la seguridad de la informacin, que incluye todos los componentes identificados en 7.5 segn lo describe en 5.4. Las organizaciones podran modificar la plantilla de acuerdo con sus requerimientos. Identificacin de la Estructura de la Medicin Nombre de la Estructura de la medicin Identificador Numrico Propsito de la Estructura de la Medicin Objetivo de Control/ Proceso Control (1)/Proceso (1) Control (2)/Proceso (2) Nombre de la Medicin Identificador numrico nico y especfico de la organizacin. Describe las razones para introducir la medicin. Objetivo de control/proceso sujeto a medicin (planificado o implementado). Control/proceso sujeto a medicin. Opcional: posteriores controles /procesos dentro de la agrupacin incluido en la misma medida, si aplica (planificado o implementado).
Objeto de la Medicin y Atributos Objeto de la Medicin Objeto (entidad) que se caracteriza a travs de la medicin de sus atributos. Un objeto puede incluir procesos, planes, proyectos, recursos y sistemas o componentes de sistemas. Propiedad o caracterstica de un objeto de medicin que puede ser distinguido cuantitativa o cualitativamente por medios humanos o automatizados.
Atributo
Especificacin de la Medida Base (para cada medida base [1...n]) Una medida base se define en trminos de un atributo y el mtodo especificado de medicin para cuantificarlo (por ejemplo, nmero de personal capacitado, nmero de sitios, costo acumulado a la fecha). A medida que se recolectan los datos, se asigna un valor a la medida base. Secuencia lgica de operaciones usadas para cuantificar un atributo con respecto a una escala especificada. Dependiendo de la naturaleza de las operaciones usadas para cuantificar un atributo, dos tipos de mtodos se pueden distinguir: Subjetivo: cuantificacin que involucra criterio humano. Objetivo: cuantificacin basada en reglas numricas tales como el conteo. Conjunto de valores ordenados o categoras a los cuales el atributo de la medida base se asigna.
Medida Base
Mtodo de Medicin
Tipo del Mtodo de Medicin
Escala
34
ISO/IEC 27004:2009
ANTS 35.68.03:13
Tipo de Escala
Unidad de Medicin
Dependiendo de la naturaleza de la relacin entre valores en la escala, generalmente se definen cuatro tipos de escalas: Nominal, Ordinal, Intervalo y Proporcin. Cantidad particular, definida y adoptada por convencin, con la cual cualquier otra cantidad de la misma clase puede ser comparada para expresar la relacin de las dos cantidades como un nmero.
Especificacin de Medida Derivada Medida Derivada Una medida que es derivada como una funcin de dos o ms medidas base. Algoritmo o clculo realizado para combinar dos o ms medidas base. La escala y unidad de la medida derivada depende de las escalas y unidades de las medidas base que la componen, as como tambin de como se combinan las mismas en la funcin.
Funcin de la Medicin
Especificacin del Indicador Medida que provee una estimacin o evaluacin de atributos especficos, derivados de un modelo analtico con respecto a una determinada necesidad de informacin. Los indicadores son la base para el anlisis y la toma de decisiones. Algoritmo o clculo que combina una o ms medidas base y/o derivada con criterios de decisin asociados. Esto se basa en un entendimiento de, o asunciones sobre, la esperada relacin entre la medida base y/o derivada y/o su comportamiento a travs del tiempo. Un modelo analtico produce estimados o evaluaciones pertinentes a una necesidad de informacin definida.
Indicador
Modelo Analtico
Especificacin del Criterio de Decisin Umbrales, metas o patrones determinan necesidad de accin o posterior investigacin, o describe el nivel de confianza en un resultado dado. Los criterios de decisin ayudan a interpretar los resultados de la medicin.
Criterios de Decisin
Resultados de la Medicin Interpretacin del Indicador Una descripcin de cmo la muestra indicadora (ver figura de ejemplo en descripcin del indicador) debe ser interpretada. Los formatos de informes se deben identificar y documentar. Describen las observaciones que la organizacin o el propietario de la informacin pueden desear registrar. Los formatos de informes muestran visualmente muestran las medidas y proveen explicacin verbal de los indicadores. Los formatos de informe deben ser personalizados a las necesidades de informacin del cliente.
Formatos de Informes
Partes interesadas
ISO/IEC 27004:2009
35
ANTS 35.68.03:13
Cliente para la medicin Supervisor de la medicin Propietario de la Informacin Recolector de la Informacin Comunicador de la Informacin Frecuencia/Perodo Frecuencia de la Recopilacin de Datos Frecuencia del Anlisis de Datos Frecuencia de Informe de los Resultados de Medicin Revisin de la Medicin Perodo de Medicin
La Direccin u otras partes interesadas que solicitan informacin sobre eficacia de un SGSI, controles o grupos de controles. Persona o unidad organizacional que valida que la construccin de las medidas desarrolladas son apropiadas para evaluar la efectividad de un SGSI, controles o grupos de controles. Persona o unidad organizacional que posee la informacin sobre un objeto de medicin y atributos y es responsable de la medicin. Persona o unidad organizacional responsable de recolectar, registrar y almacenar los datos. Persona o unidad organizacional responsable del anlisis de los datos y de informar los resultados de las mediciones.
Con qu periodicidad se recopilan los datos. Con qu periodicidad se analizan los datos. Con qu periodicidad se reportan los resultados (esto puede ser menos frecuente que la recopilacin de datos). Fecha de Revisin de la medicin (expiracin o renovacin de la medicin y su validez). Define el perodo que est siendo medido.
36
ISO/IEC 27004:2009
ANTS 35.68.03:13
ANEXO B (Informativo) Ejemplos de estructura de la medicin Los siguientes enunciados proveen ejemplos de estructura de la medicin. Estos ejemplos tienen la intencin de demostrar cmo aplicar esta Norma utilizando la plantilla provista en el Anexo A. ndice B.1 B.1.1 B.1.2 B.1.3 B.2 B.2.1 B.2.2 B.3 B.4 B.4.1 B.4.2 B.5 B.6 B.7 B.8 B.9 B.10 Capacitacin en el SGSI Personal capacitado en el SGSI Capacitacin sobre Seguridad de la Informacin Concientizacin en el Cumplimiento de la Seguridad de la Informacin Polticas de Contrasea Calidad de la Contrasea manual Calidad de la Contrasea automatizada Proceso de Revisin del SGSI Mejora Continua de la Gestin de Incidentes de Seguridad de la Informacin del SGSI Efectividad Implementacin de Acciones Correctivas Compromiso de la Direccin Proteccin contra Cdigo Malicioso Controles de Acceso Fsico Revisin de Archivos de Bitcoras Gestin de Mantenimiento Peridico Seguridad en Acuerdos con Terceras Partes
ISO/IEC 27004:2009
37
ANTS 35.68.03:13
Procesos y Controles Relacionados (Clusula en NTS ISO/IEC 27001:2005 o nmero de control en el Anexo A)
Ejemplos de estructura de medicin relacionados (referencia en este Anexo) B.4.1 B.1.1 B.4.2 B.3 B.5 B.10 B.1.2 B.1.3 B.7 B.9 B.6 B.8 B.2.1 B.2.2
Nombres de ejemplos de estructuras de medicin
Clusula 4.2.2 h) Clusula 5.2.2 d) Clusula 8.2 Control A.6.1.8 Control A.6.1.1 y A.6.1.2 Control A.6.2.3 Control A.8.2. y A.8.2.2 Control A.8.2. y A.8.2.2 Control A.9.1.2 Control A.9.2.4 Control A.10.4.1 Control A.10.10.1 y A.10.10.2 Control A.11.3.1 Control A.11.3.1
Administracin efectiva de Incidentes de Seguridad de la Informacin Personal capacitado en el SGSI Implementacin de Acciones Correctivas Proceso de Revisin del SGSI Compromiso de la Direccin Seguridad en Acuerdos con Terceras Partes Capacitacin sobre Seguridad de la Informacin Concientizacin en el Cumplimiento de la Seguridad de la Informacin Controles de Acceso Fsico Gestin de Mantenimiento Peridico Proteccin Contra Cdigo Malicioso Revisin de archivos de bitcoras Calidad de Contrasea manual Calidad de Contrasea automatizada
38
ISO/IEC 27004:2009
ANTS 35.68.03:13
B.1 Capacitacin en el SGSI B.1.1 Personal capacitado en el SGSI. Identificacin de la Estructura de la Medicin Nombre de la Estructura de la medicin Identificador Numrico Propsito de la Estructura de la Medicin Objetivo de Control/Proceso Personal capacitado en el SGSI. Especfico de la Organizacin. Establecer el cumplimiento de control con la poltica de seguridad de la informacin. Clusula 5.2.2 [27001:2005]. Capacitacin, concientizacin y competencia. Clusula 5.2.2.d [27001:2005]. Capacitacin, concientizacin y competencia. La organizacin debe asegurar que todo el personal a quien se asign las responsabilidades definidas en el SGSI sea competente para realizar las tareas requeridas para: d) mantener registros de educacin, capacitacin, capacidades, experiencia y calificaciones. Opcional: posteriores controles dentro de la agrupacin incluidos en la misma medida, si es aplicable (planeada o implementada).
Control (1)/Proceso (1)
Control (2)/Proceso (2) Objeto de la Medicin y Atributos Objeto de Medicin Atributo Especificacin de Medida Base (1)
Base de datos de empleados. Registros de capacitacin.
Medida Base
Mtodo de Medicin Tipo de Mtodo de Medicin Escala Tipo de Escala Unidad de Medicin Especificacin Medida Derivada Medida Derivada
Nmero de empleados que recibieron capacitacin sobre el SGSI de acuerdo con el plan anual de capacitacin del SGSI. Nmero de empleados que deben recibir capacitacin en el SGSI. Conteo de bitcoras/registro con celdas de capacitacin en el SGSI marcadas como Recibida Objetivo Numrica Proporcin Empleado
Porcentaje de empleados capacitados en el SGSI.
ISO/IEC 27004:2009
39
ANTS 35.68.03:13
Funcin de Medicin Especificacin del Indicador
Nmero de empleados que recibieron capacitacin en el SGSI/ nmero de empleados que deben recibir capacitacin en el SGSI * 100.
Indicador
Modelo Analtico Especificacin del Criterio de Decisin
El uso de cdigo de colores, con identificadores de colores. Grfico de barras que representa el cumplimiento a lo largo de varios perodos de presentacin de informes en relacin con los umbrales (Rojo, amarillo, verde) definido por el modelo analtico. El nmero de perodos informados que se utilizarn en la tabla debera ser definido por la organizacin. 0-60% - Rojo; 60-90% - Amarillo; 90-100% Verde. Para Amarillo, si el progreso logrado es menor al 10% por trimestre el rango es automticamente rojo.
Rojo - se requiere intervencin, debe llevarse a cabo el anlisis de la causalidad para determinar las razones de incumplimiento y mal desempeo. Amarillo el indicador debe ser vigilado de cerca por el posible desplazamiento a Rojo. Verde - no requiere ninguna accin.
Resultados de la Medicin Interpretacin del Indicador Especifica de la Organizacin Grfico de barras, con barras de cdigo de color basado en los criterios de decisin. Breve resumen de lo que la medida significa y gestin de posibles acciones que deberan ser adjuntadas al grfico de barras.
Partes interesadas Cliente para la medicin Supervisor de la Medicin Propietario de la Informacin Recolector de la Informacin Comunicador de la Informacin Frecuencia/Perodo Frecuencia de Recopilacin de Datos Frecuencia de Anlisis de Datos Frecuencia de Informe de los Resultados de Medicin Mensualmente, el primer da laboral del mes. Trimestral Trimestral Gerentes responsables de un SGSI. Gerentes responsables de un SGSI. Gerente de Capacitacin Recursos Humanos. Administracin de Capacitacin Departamento de Recursos Humanos. Gerentes responsables de un SGSI.
40
ISO/IEC 27004:2009
ANTS 35.68.03:13
Revisin de la Medicin Perodo de Medicin
Revisin anual Anual
ISO/IEC 27004:2009
41
ANTS 35.68.03:13
B.1.2 Capacitacin sobre Seguridad de la Informacin Identificacin de la Estructura de la Medicin Nombre de la Estructura de la Medicin Identificador Numrico Capacitacin sobre Seguridad de la Informacin Especficoa de cada Organizacin Evaluar anualmente el cumplimiento de la concientizacin sobre la seguridad de la informacin. Requisito de capacitacin. A.8.2. Durante el empleo Objetivo: Asegurar que todos los empleados, contratistas y terceros estn conscientes de las amenazas e inquietudes, sobre la seguridad de la informacin, sus responsabilidades y obligaciones, y que estn preparados para apoyar la poltica de seguridad organizacional en el desarrollo de su trabajo normal, y reducir los riesgos de error humano. A.8.2.2. [27001:2005]. Capacitacin, educacin y concientizacin sobre la seguridad de la informacin. Todos los empleados de la organizacin y, cuando sea pertinente, los contratistas y terceros, deben recibir una apropiada concientizacin, capacitacin y actualizacin peridica de las polticas y procedimientos organizacionales, que sean relevantes a su funcin laboral.
Propsito de la Estructura de la Medicin
Objetivo de Control/Proceso
Objeto de la Medicin y Atributos Objeto de la MedicinObjeto de Medicin Atributo Especificacin de la Medida Base (1) Nmero de empleados que recibieron capacitacin anual sobre seguridad de la informacin. Nmero de empleados que necesitan recibir capacitacin anual sobre seguridad de la informacin. Conteo de bitcoras/registro con celdas de capacitacin anual en Concientizacin en el Cumplimiento de Seguridad de la Informacin marcadas como Recibida Objetivo Base de datos de empleados. Registros de capacitacin.
Medida Base
Mtodo de Medicin
Tipo de Mtodo de Medicin
42
ISO/IEC 27004:2009
ANTS 35.68.03:13
Escala Tipo de Escala Unidad de Medicin Especificacin Medida Derivada Medida Derivada
Numrico Proporcin Empleado
Funcin de Medicin
Porcentaje de empleados que recibieron capacitacin anual de seguridad de la informacin. Nmero de empleados que recibieron capacitacin anual en Concientizacin en el Cumplimiento de Seguridad de la Informacin / nmero de empleados que necesitan recibir capacitacin anual en Concientizacin en el Cumplimiento de Seguridad de la Informacin * 100.
Especificacin del Indicador Grfico de barras que representa el cumplimiento a lo largo de varios perodos de presentacin de informes en relacin con los umbrales (rojo, amarillo, verde, con identificadores de color) definido por el modelo analtico. El nmero de los perodos de informacin que se utilizar en la tabla debera ser definido por la organizacin. 0-60% - Rojo; 60-90% - Amarillo; 90-100% Verde. Para Amarillo, si el progreso logrado es menor al 10% por trimestre, el rango es automticamente rojo.
Indicador
Modelo Analtico
Especificacin del Criterio de Decisin Rojo - se requiere intervencin, el anlisis de causalidad debe llevarse a cabo para determinar las razones de incumplimiento y mal desempeo. Amarillo - indicador debe ser vigilado de cerca por el posible cambio a Rojo. Verde - no requiere ninguna accin.
Resultados de Mediciones Interpretacin del Indicador Especfica de la Organizacin Grfico de barras, con las barras de cdigo de color basado en los criterios de decisin. Breve resumen de lo que la medida significa y gestin de posibles acciones que deberan ser adjuntadas al grfico de barras.
Partes interesadas Cliente para la medicin Gerentes responsables de un SGSI. Gerente de Seguridad. Gerente de Capacitacin.
ISO/IEC 27004:2009
43
ANTS 35.68.03:13
Supervisor de la medicin Propietario de la Informacin Recolector de la Informacin Comunicador de la Informacin Frecuencia/Periodo Frecuencia de Recopilacin de Datos Frecuencia de Anlisis de Datos Frecuencia de Informes de los Resultados de Medicin Revisin de la Medicin Perodo de Medicin
Gerente de Seguridad. Oficial de Seguridad de la Informacin y Gerente de Capacitacin. Administracin de Capacitacin Departamento de Recursos Humanos Gerentes responsables de un SGSI.
Mensualmente, el primer da laboral del mes. Trimestral. Trimestral. Revisin anual Anual
44
ISO/IEC 27004:2009
ANTS 35.68.03:13
B.1.3 Concientizacin en el Cumplimiento de la Seguridad de la Informacin Identificacin de la Estructura de la Medicin Nombre de la Estructura de la Medicin Identificador Numrico Propsito de la Estructura de la Medicin Poltica de concientizacin en el cumplimiento de la seguridad de la informacin. Especfico de la Organizacin. Evaluar el estado de cumplimiento de la poltica organizacional sobre la concientizacin de la seguridad con las personas pertinentes. A.8.2 Durante el empleo Asegurar que todos los empleados, contratistas y terceros estn conscientes de las amenazas e inquietudes, sobre la seguridad de la informacin, sus responsabilidades y obligaciones, y que estn preparados para apoyar la poltica de seguridad organizacional en el desarrollo de su trabajo normal, y reducir los riesgos de error humano. A.8.2.2 Todos los empleados de la organizacin y, cuando sea pertinente, los contratistas y terceros, deben recibir una apropiada concientizacin, capacitacin y actualizacin peridica de las polticas y procedimientos organizacionales, que sean relevantes a su funcin laboral. (Implementacin) Todas las personas pertinentes al SGSI deben recibir capacitacin sobre la concientizacin antes de otorgarles acceso a un sistema de informacin. La capacitacin incluye A.8.2.1 La Direccin debe requerir que los empleados, contratistas y terceros apliquen la seguridad en concordancia con las polticas y procedimientos establecidos por la organizacin. (Implementacin) Todas las personas pertinentes al SGSI deben firmar acuerdos de confidencialidad antes de que se le otorgue acceso a un sistema de informacin.
Objetivo Control/Proceso
Objeto de Medicin y Atributos 1.1. Plan/cronograma de capacitacin sobre concientizacin de la seguridad de la informacin. 1.2. Personas que han concluido su entrenamiento o est en progreso. 2.1. Plan/cronograma para firmar acuerdos de usuario 2.2. Personas que han firmado acuerdos. 1.1. Personas identificadas en el plan 1.2. Estado de personas en relacin a la capacitacin. 2.1. Personas identificadas en el plan para firma. 2.2. Estado de las Personas en relacin a la firma de acuerdos
Objeto de Medicin
Atributo
Especificacin de la Medida Base
ISO/IEC 27004:2009
45
ANTS 35.68.03:13
Medida Base
Mtodo de Medicin
Escala
Tipo de Escala
Unidad de Medicin
1.1. Nmero de personas planificado a la fecha 1.2. Nmero de personas que han firmado 2.1. Nmero de personas planificado para firmar a la fecha 2.2. Nmero de personas planificado que han firmado a la fecha 1.1. Contar el nmero de personas programado para firmar y completar la capacitacin a la fecha. 1.2. Solicitar al responsable el porcentaje de las personas que han completado la capacitacin y han firmado. 2.1. Contar el nmero de personal programado para firmar a la fecha. 2.2. Contar el nmero de personas que han firmado los acuerdos de usuario. 1.1. Objetivo 1.2. Subjetivo 2.1. Objetivo 2.2. Objetivo 1.1. Enteros de cero al infinito 1.2. Enteros de cero a cien 2.1. Enteros de cero al infinito 2.2. Enteros de cero al infinito 1.1. Ordinal 1.2. Proporcin 2.1. Ordinal 2.2. Ordinal 1.1. Personas 1.2. Porcentaje 2.1. Personas 2.2. Personas
Especificacin de la Medida Derivada Medida Derivada 1. Progreso a la fecha 2. Progreso a la fecha con la firma 1. Sumar el estado de las personas que han firmado y que estn planificadas a firmar a la fecha. 2. Dividir las personas que han firmado a la fecha entre las personas que estn planificadas a firmar a la fecha.
Funcin de Medicin
Especificacin Indicador Indicador a) Estado expresado como una combinacin de proporciones; y b) Tendencia a) [Divida el Progreso a la Fecha (Personas Planificadas a la Fecha por 100)] y Progreso a la fecha con los firmantes. b) Compare Estado con Estados Previos
Modelo Analtico
Especificacin del Criterio de Decisin Criterios de Decisin a) Proporciones resultantes deben estar en el rango, respectivamente, entre 0,9 y 1,1 y entre 0,99 y 1,01
46
ISO/IEC 27004:2009
ANTS 35.68.03:13
para concluir el logro del objetivo del control y por lo tanto la no accin; y b) la tendencia debera ser hacia arriba o estable. Resultados de Medicin Interpretacin del indicador a) debe ser la siguiente: - Los criterios de la organizacin para el cumplimiento de su poltica de sensibilizacin de seguridad se han cumplido satisfactoriamente en 0,9 primera proporcin 1,1 y 0,99 segunda proporcin 1,01, se le asignar el tipo de letra estndar; - Los criterios de organizacin se han cumplido en forma insatisfactoria [primera proporcin < 0,9 o primera proporcin > 1,1] y 0,99 segunda proporcin 1,0, se le asignar el tipo de letra cursiva; - Los criterios de la organizacin no cumplen en el [segunda proporcin < 0,99 o segunda proporcin > 1,01], se le asignar el tipo de letra negrita. Interpretacin del indicador b) debe ser como sigue: - La tendencia al alza indica un mejor cumplimiento, la tendencia a la baja indica un deterioro de su cumplimiento. El grado de cambio de la tendencia puede proporcionar informacin sobre la efectividad de la implementacin del control. Los cambios bruscos en cualquier direccin indican que la implementacin del control requiere un examen minucioso para determinar la causa. Las tendencias negativas pueden requerir la intervencin de la Direccin. Las tendencias positivas deben ser examinadas para identificar potenciales mejores prcticas. Fuente Estndar = Los criterios se han cumplido satisfactoriamente Fuente Cursiva = Los criterios se han cumplido insatisfactoriamente Fuente Negrita = Los criterios no se han cumplido
Interpretacin del Indicador
Formatos de Informe
Partes interesadas Cliente para la medicin Supervisor de la Medicin Propietario de la Informacin Recolector de la Informacin Comunicador de la Informacin Frecuencia/Periodo Frecuencia de Recopilacin de Datos Mensual, el primer da laboral del mes. Gerentes responsables de un SGSI. Gerente de Seguridad. Gerente de Capacitacin Gerente de Seguridad. Oficial de Seguridad de la Informacin y Gerente de Capacitacin. Gerencia de Capacitacin Departamento de Recursos Humanos. Gerentes responsables de un SGSI.
ISO/IEC 27004:2009
47
ANTS 35.68.03:13
Frecuencia del Anlisis de Datos Frecuencia de Informes de Resultados de la Medicin Revisin de la Medicin Periodo de Medicin
Trimestral. Trimestral. Revisin anual Anual
48
ISO/IEC 27004:2009
ANTS 35.68.03:13
B.2
Polticas de Contrasea
B.2.1 Calidad de la Contrasea manual (hasta aqu) Identificacin de la Estructura de la Medicin Nombre de la Estructura de la Medicin Identificador Numrico Propsito de la Estructura de la Medicin Objetivo de Control/Proceso Calidad de la contrasea. Especfico de cada Organizacin Para evaluar la calidad de las contraseas utilizadas por los Usuarios para acceder a los sistemas de TI de la organizacin. Prevenir que el usuario seleccione contraseas inseguras. A.11.3.1 Se debe requerir que los usuarios apliquen buenas prcticas de seguridad en la seleccin y uso de contraseas. Implementacin. Todos los usuarios deben seleccionar una contrasea robusta para cada sistema que cumpla con las siguientes caractersticas: 1. longitud mayor a 8; 2. no basadas en algo fcil que alguien podra adivinar fcilmente o al obtener informacin sobre la persona por ejemplo, nombres, nmeros de telfono y fechas de nacimiento, etc.; 3. no utilizar palabras incluidas en los diccionarios; 4. no se permiten caracteres consecutivos idnticos, que todos sean numricos o que todos sean alfabticos. Todas las cuentas de usuario y contraseas para los sistemas de TI de la organizacin deben ser controladas por el sistema de empleados.
Objeto de la MedicinObjeto de Medicin y Atributos Objeto de la MedicinObjeto de Medicin Atributo Especificacin de la Medida Base 1. Nmero de contraseas registradas. 2. Nmero de contraseas que satisfacen la poltica de calidad de la contrasea de la organizacin para cada usuario. 1. Contar el nmero de contraseas en la base de datos de contraseas de usuarios. 2. Preguntar a cada usuario sobre nmero de contraseas que satisfacen la poltica de calidad de contraseas. 1. Objetivo 2. Subjetivo Base de datos de contraseas de Usuarios. Contraseas individuales.
Medida Base
Mtodo de Medicin
ISO/IEC 27004:2009
49
ANTS 35.68.03:13
Escala Tipo de Escala Unidad de Medicin Especificacin de la Medida Derivada Medida Derivada Funcin de la Medicin Especificacin del Indicador
1. Enteros de cero al infinito 2. Enteros de cero al infinito 1. Ordinal 2. Ordinal 1. Contraseas 2. Contraseas
Nmero total de contraseas que cumplen con la poltica de calidad de contraseas de la organizacin. del [Nmero total de contraseas que cumplen con la poltica de calidad de contraseas de la organizacin para cada usuario].
Indicador
Modelo Analtico
a) Proporcin de contraseas que cumplen la poltica de calidad de contraseas de la organizacin. b) Tendencias del estado de cumplimento de la poltica de calidad de contraseas. a) Divida [contraseas que cumplen con la poltica de calidad de contraseas de la organizacin] entre [Nmero de contraseas registradas]. b) Compare proporcin con las proporciones previas.
Especificacin del Criterio de Decisin El objetivo de control se logra y no se requiere accin si la proporcin resultante es superior a 0,9. Si la proporcin resultante est entre 0,8 y 0,9 el objetivo de control no se logra, pero indica mejora positiva de la tendencia. Si la proporcin resultante es inferior a 0,8 se debe tomar accin inmediata.
Resultados de la Medicin Interpretacin del indicador a) debe ser como sigue: El criterio de la organizacin para el cumplimiento de la poltica de contraseas de la organizacin, se cumple satisfactoriamente en la proporcin > 0,9. El criterio de la organizacin para el cumplimiento de la poltica de contraseas de la organizacin, se cumple insatisfactoriamente entre [0,8 la proporcin 0,9]. El criterio de la organizacin para el cumplimiento de la poltica de contraseas de la organizacin, no se cumple en la proporcin < 0,8. Interpretacin de Indicadores b) debe ser como sigue: La tendencia ascendente indica un mejor cumplimiento, tendencia descendente indica el deterioro de su cumplimiento. El grado de cambio de tendencia puede proporcionar informacin sobre la efectividad de los controles implementados. La tendencia negativa puede exigir ms controles tales como concientizacin, o medios tcnicos para forzar la seleccin de contraseas robustas o cambiar las
50
ISO/IEC 27004:2009
ANTS 35.68.03:13
contraseas peridicamente. Las tendencias positivas deben ser examinadas para estimar los trminos necesarios para cumplir con la norma sobre contraseas de la proporcin actual. El efecto/impacto de que los criterios no se cumplan es incrementar el riesgo de violar la confidencialidad. Las potenciales causas de desviacin incluyen la poca concientizacin sobre seguridad, deficiencias tcnicas de ejecucin y la falta de tiempo para la aplicacin en todos los sistemas de TI. La lnea de tendencia que muestra el nmero de contraseas que cumplen con la poltica de la calidad de contraseas de la organizacin, superpuesta con lneas de tendencia producida durante los periodos anteriores.
Partes interesadas Cliente para la medicin Supervisor de la medicin Propietario de la Informacin Recolector de la Informacin Comunicador de la Informacin Frecuencia/Perodo Frecuencia de Recopilacinde Datos Frecuencia de Anlisis de Datos Frecuencia de Informede Resultados de la Medicin Revisin de la Medicin Perodo de la Medicin los Anual. Anual. Anual. Revisin y actualizacin anual. Anual Gerentes responsables Seguridad. Gerente de Seguridad. Administrador del Sistema. Personal de Seguridad. Personal de Seguridad. de un SGSI, Gerente de
ISO/IEC 27004:2009
51
ANTS 35.68.03:13
B.2.2 Calidad de la Contrasea automatizada Identificacin de la Estructura de la Medicin Nombre de la Estructura de la Medicin Identificador Numrico Propsito de la Estructura de la Medicin Objetivo de Control/Proceso Calidad de la contrasea. Especfico de la Organizacin. Evaluar la calidad de las contraseas utilizadas por los usuarios para ingresar a los sistemas de TI de la organizacin. Prevenir que el usuario seleccione contraseas inseguras. A.11.3.1 Se debe requerir que los usuarios apliquen buenas prcticas de seguridad en la seleccin y uso de contraseas.. Aplicacin: Todos los usuarios deben seleccionar una contrasea robusta para cada sistema, las cuales deben ser: que: 1. longitud mayor a 8; 2. no basadas en algo fcil que alguien podra adivinar o al obtener informacin sobre la persona por ejemplo, nombres, nmeros de telfono y fechas de nacimiento, etc.; 3. no utilizar palabras incluidas en los diccionarios; 4. no se permiten caracteres consecutivos idnticos, que todos sean numricos o que todos sean alfabticos. Todas las cuentas de usuario y contraseas para los sistemas de TI de la organizacin deben ser controladas por el sistema de empleados. La robustez de la contrasea debe ser examinada mediante un programa para descifrar contraseas.
Objeto de la MedicinObjeto de Medicin y Atributos Objeto de la MedicinObjeto de Medicin Atributo Especificacin de la Medida Base Medida Base 1. Nmero total de contraseas 2. Nmero total de contraseas indescifrables 1. Ejecutar la consulta en los registros de cuentas utilizados 2. Ejecutar un programa para descifrar contraseas en el sistema de registro de cuentas del sistema de empleados utilizando un ataque hbrido. 1. Objetivo 2. Objetivo 1. Enteros de cero al infinito 2. Enteros de cero al infinito Base de datos de cuentas del sistema de empleados. Contraseas individuales almacenadas en registros de cuentas del sistema de empleado. los
Mtodo de Medicin
Tipo de Mtodo de Medicin Escala
52
ISO/IEC 27004:2009
ANTS 35.68.03:13
Tipo de Escala Unidad de Medicin Especificacin Medida Derivada Medida Derivada Funcin de Medicin Especificacin del Indicador Indicador
1. Ordinal 2. Ordinal 1. Contraseas 2. Contraseas
Ninguna Ninguna
Modelo Analtico
1. Proporcin de contraseas descifrables dentro de 4 horas. 2. Tendencia de la proporcin 1. a) Divida [Nmero de contraseas no descifrables] entre [Nmero total de contraseas]. b) Compare la proporcin obtenida con la proporcin previa.
Especificacin del Criterio de Decisin El Objetivo de control se logra y no se requiere accin si la proporcin resultante es superior a 0,9. Si la proporcin resultante est entre 0,8 y 0,9 el objetivo de control no se logra, pero la tendencia positiva indica una mejora. Si la proporcin resultante es inferior a 0,8 se debe tomar una accin inmediata.
Criterio de Decisin
Resultados de la Medicin Interpretacin del indicador 1 debe ser como sigue: El criterio de la organizacin para el cumplimiento de la poltica de contraseas de la organizacin, se cumple satisfactoriamente en la proporcin > 0,9. El criterio de la organizacin para el cumplimiento de la poltica de contraseas de la organizacin, se cumple insatisfactoriamente entre [0,8 la proporcin 0,9]. El criterio de la organizacin para el cumplimiento de la poltica de contraseas de la organizacin, no se cumple en la proporcin < 0,8. Interpretacin del Indicadores 2 debe ser como sigue: La tendencia ascendente indica un mejor cumplimiento, tendencia descendente indica el deterioro de su cumplimiento. El grado de cambio de tendencia puede proporcionar informacin sobre la efectividad de los controles implementados. La tendencia negativa puede exigir ms controles tales como concientizacin, o medios tcnicos para forzar la seleccin de contraseas robustas o cambiar las contraseas peridicamente. Las tendencias positivas deben ser examinadas para estimar los trminos necesarios para cumplir con
ISO/IEC 27004:2009
53
ANTS 35.68.03:13
la norma sobre contraseas de la proporcin actual. El efecto/impacto que los criterios no se cumplan es incrementar el riesgo de violar la confidencialidad. Las potenciales causas de desviacin incluyen la poca concientizacin sobre seguridad, deficiencias tcnicas de ejecucin y la falta de tiempo para la aplicacin en todos los sistemas de TI. La lnea de tendencia que representa la habilidad de descifrar contraseas para todos los registros de prueba esta sobrepuesta a las lneas generadas durante las pruebas anteriores.
Partes Interesadas Cliente para la Medicin Supervisor de la Medicin Propietario de la Informacin Recolector de la Informacin Comunicador de la Informacin Frecuencia/Perodo Frecuencia de Recopilacin de Datos Frecuencia de Anlisis de Datos Frecuencia deInforme de los Resultados de Medicin Revisin de la Medicin Perodo de la Medicin Semanalmente. Semanalmente. Semanalmente. Revisin y actualizacin cada ao. Aplicable durante 3 aos. Gerentes responsables de un SGSI, Gerente de Seguridad. Gerente de Seguridad Administrador del Sistema. Personal de Seguridad. Personal de Seguridad.
54
ISO/IEC 27004:2009
ANTS 35.68.03:13
B.3
Proceso de Revisin del SGSI
Identificacin de la Estructura de la Medicin Nombre de la Estructura de la Medicin Identificador Numrico Propsito de la Estructura de la Medicin Objetivo de Control/Proceso Proceso de Revisin del SGSI Especfico de la Organizacin. Evaluar el grado de cumplimiento de la seguridad de la informacin con una revisin independiente. Administrar la seguridad de informacin dentro de la organizacin A.6.1.8 El enfoque de la organizacin para gestionar la seguridad de la informacin y su implementacin (es decir, objetivos de control, controles, polticas, procesos y procedimientos para la seguridad de la informacin) debe revisarse independientemente a intervalos planificados, o cuando ocurran cambios significativos para la implementacin de la seguridad.(Implementacin) El enfoque de la organizacin para administrar la seguridad de la informacin y su implementacin es revisado trimestralmente por consultores de seguridad actuando como tercera parte.
Objeto de la MedicinObjeto de Medicin y Atributos Objeto de Medicin Atributo Especificacin de la Medida Base Medida Base 1. Nmero de revisiones realizadas por terceros. 2. Nmero total de revisiones planificadas por terceros. 1. Contar el nmero de informes de revisiones regulares realizadas por terceros. 2. Contar el nmero de revisiones planificadas por terceros. 1. Objetivo 2. Objetivo 1. Enteros de cero al infinito 2. Enteros de cero al infinito 1. Ordinal 2. Ordinal 1. Revisin 2. Revisin 1. Informes de revisiones por terceros. 2. Planes de revisiones de terceros. 1. Revisiones reportadas por terceros 2. Revisiones planificadas por terceros
Mtodo de Medicin
Tipo de Mtodo de Medicin Escala Tipo de Escala Unidad de Medicin Especificacin Medida Derivada Medida Derivada
Ninguna
ISO/IEC 27004:2009
55
ANTS 35.68.03:13
Funcin de Medicin Especificacin del Indicador Indicador Modelo Analtico Especificacin del Criterio de Decisin
Ninguna
Proporcin del progreso del cumplimiento de las revisiones independientes. Dividir [Nmero de revisiones realizadas por terceros] entre [Nmero total de revisiones planificadas por terceros].
Proporcin resultante del indicador debe estar principalmente entre 0,8 y 1,1 para cumplir con el objetivo de control y no requerir iere accin alguna. Y debe ser superior a 0,6 si falla al cumplir la condicin principal.
Resultados de la Medicin La interpretacin del indicador debe ser como sigue: El criterio organizacional para la administracin de la seguridad de la informacin dentro de la organizacin a travs de revisiones de terceros, ha sido cumplido satisfactoriamente en 0,8 la proporcin 1,1 El criterio organizacional se cumpli insatisfactoriamente entre [0,6 la proporcin < 0,8 o la proporcin > 1,1]. Se requiere monitoreo para garantizar un progreso apropiado. El criterio organizacional no se cumple entre [0 la proporcin < 0,6]. Se requiere intervencin inmediata para garantizar el progreso apropiado. Si al final del segundo trimestre el indicador es insatisfactorio, se requiere una accin correctiva y debe ser comunicado a la gerencia responsable del SGSI. Si al final del ao el indicador es insatisfactorio, se debe comunicar a la Direccin y solicitar su apoyo. El efecto/impacto de que los el criterios no se cumplan es que los procesos de revisin por la Direccin no son efectivos. Esinefectividad de los procesos de revisin de la administracin. Potenciales causas de la desviacin incluyen bajo presupuesto, planificacin incorrecta y falta de personal crtico/compromiso de la Direccin. Grfico de barras que muestra cumplimiento en varios perodos de informe en relacin con los umbrales definidos por los criterios de decisin.
Formatos de Informes Partes interesadas
56
ISO/IEC 27004:2009
ANTS 35.68.03:13
Cliente para la medicin Supervisor de la medicin Propietario de la Informacin Recolector de la Informacin Comunicador de la Informacin Frecuencia/Perodo Frecuencia de Recopilacin de Datos Frecuencia de Anlisis de Datos Frecuencia de Informe de los Resultados Medicin Revisin de la Medicin Perodo de Medicin
Gerentes responsables de un SGSI, Gerente de la Calidad del Sistema Gerentes responsables de un SGSI. Gerentes responsables de un SGSI. Auditora Interna. Gerente de la Calidad Auditora Interna. Gerente de la Calidad. Gerentes responsables de un SGSI
Trimestral Trimestral Trimestral Revisin y actualizacin cada 2 aos. Aplicable 2 aos.
ISO/IEC 27004:2009
57
ANTS 35.68.03:13
B.4
Mejora Continua de la Gestin de Incidentes de Seguridad de la Informacin del SGSI
B.4.1 Efectividad Identificacin de la Estructura de la Medicin Nombre de la Estructura de la Medicin Identificador Numrico Propsito de la Estructura Medicin Objetivo de Control/Proceso Control (1)/Proceso(1) Efectividad de la gestin de incidentes de seguridad de la informacin. Especfico de la Organizacin Evala efectividad de la gestin de incidentes de seguridad de la informacin. Posibilita la deteccin oportuna de eventos de seguridad y respuesta a incidentes de seguridad. Clusula 4.2.2 h) [27001:2005].
Objeto de la MedicinObjeto de Medicin y Atributos Objeto de Medicin Atributo Especificacin de la Medida Base Medida Base Mtodo de Medicin Tipo de Mtodo de Medicin Escala Tipo de Escala Unidad de Medicin Especificacin Medida Derivada Medida Derivada Funcin de Medicin Especificacin del Indicador Grfica de lneas que muestra la lnea horizontal constante que ilustra el nmero umbral contra el nmero total de incidentes de varios perodos reportados. Rojo, cuando el total de incidentes exceden el umbral (va por sobre la lnea); amarillo, cuando el total de incidentes est dentro del 10% del umbral; verde, cuando el total de incidentes est Incidentes que exceden el umbral. Comparacin del nmero total de incidentes con el umbral. Nmero de umbral predeterminado. Contar las ocurrencias de incidentes de seguridad de informacin reportados a la fecha. Objetivo. Numrico. Ordinal. Incidente. SGSI. Incidente individual.
Indicador
Modelo Analtico
58
ISO/IEC 27004:2009
ANTS 35.68.03:13
bajo el umbral en un 10% o ms. Especificacin del Criterio de Decisin Rojo se requiere investigacin inmediata para determinar causas del incremento en el nmero de incidentes. Amarillo los nmeros necesitan ser monitoreados de cerca y una investigacin debe ser iniciada si los nmeros no mejoran. Verde no se requiere ninguna accin.
Resultados de la Medicin Si en dos ciclos de reporte se observa rojo, se requiere una revisin de los procedimientos de Gestin de incidentes para corregir procedimientos existentes o para identificar procedimientos adicionales. Si la tendencia no se revierte en los siguientes dos perodos de informes, se requiere accin correctiva tal como proponer una ampliacin del alcance del SGSI. Grfico de lneas.
Formatos de Informes Partes interesadas
Cliente para la Medicin
Comit de Gestin del SGSI Gerentes responsables de un SGSI. Gerencia de Seguridad Gerencia de Incidentes Gerentes responsables de un SGSI. Gerentes responsables de un SGSI. Gerente de Gestin de Incidentes. Comit de Gestin del SGSI.
Supervisor de la Medicin Propietario de la Informacin Recolector de la Informacin Comunicador de la Informacin Frecuencia/Perodo Frecuencia de Recopilacin de Datos Frecuencia de Anlisis de Datos Frecuencia de Informes de los Resultados de Medicin Revisin de la Medicin Perodo de Medicin
Mensual Mensual Mensual Seis Meses Mensual
ISO/IEC 27004:2009
59
ANTS 35.68.03:13
B.4.2 Implementacin de Acciones Correctivas Identificacin de la Estructura de la Medicin Nombre de la Estructura de la Medicin Identificador Numrico Propsito de la Estructura de la Medicin Implementacin de accin correctiva. Organizacin-identificador especfico Evaluar el desempeo de la implementacin de la accin correctiva. Clusula 8.2 [27001: 2005]. Accin correctiva. La organizacin debe realizar las acciones para eliminar la causa de las no-conformidades con los requerimientos del SGSI para poder evitar la recurrencia. El Procedimiento documentado para la accin correctiva definir los requisitos para: a) identificacin de no conformidades; b) determinacin de las causas de no conformidades; c) evaluacin de la necesidad de acciones para asegurar que las no conformidades no se repitan; d) determinacin de necesidad e implementacin de accin correctiva; e) registro de resultados de accin tomada (ver 4.3.3); y f) revisin de accin correctiva adoptada. (Implementada)... La organizacin determina acciones correctivas requeridas, y los puntos de control del informe de accin correctiva documentando informacin relativa a la no conformidad, su causa y fecha para tomar accin correctiva. A la recepcin del informe, el gerente responsable del rea donde se detect la no conformidad debe garantizar que las acciones se toman sin demora para eliminar la no conformidad y sus causas. Si la accin correctiva no se ejecuta como se requiere, las causas para no implementarlas deben ser identificadas, al igual que las alternativas a la accin correctiva original que se consideren apropiadas. Las acciones tomadas con la correspondiente fecha y resultados deben documentarse. Si la accin correctiva no se implementa segn lo planificado, se debe documentar la razn y la accin alternativa a tomarse. El reporte se debe proveer al Gerente de Seguridad de la Informacin.
Objeto de la MedicinObjeto de Medicin y Atributos Objeto de Medicin Informes de accin correctiva.
60
ISO/IEC 27004:2009
ANTS 35.68.03:13
Atributo
Registro de la fecha lmite para la finalizacin de la accin correctiva en el informe. Fecha de la accin correctiva registrada en el informe. Causas de la demora y la accin no tomada
Especificacin de Medida Base 1. Nmero de acciones correctivas planificadas a la fecha. 2. Nmero de acciones correctivas implementadas segn lo planificado a la fecha. 3. Nmero de acciones correctivas no implementadas con sus causas a la fecha. 1. Contar acciones correctivas planificadas a ser implementadas a la fecha. 2. Contar acciones correctivas registradas como implementadas a la fecha establecida. 3. Contar acciones correctivas registradas como las acciones planificadas no tomadas y sus causas 1 3 Objetivo 1 3 Enteros de cero al infinito 1 3 Ordinal 1 3 Accin correctiva
Medida Base
Mtodo de Medicin
Funcin de Medicin
a) Accin correctiva no implementada a la fecha b) Accin correctiva no implementada sin causa legtima a) Restar [Acciones correctivas tomadas segn lo planificado a la fecha] de [Acciones correctivas planificadas a la fecha] b) Restar [Accin correctiva no implementada a la fecha] de [Acciones correctivas planificadas no tomadas, con sus causas a la fecha]
Especificacin del Indicador a) Estado expresado como una proporcin de accin correctiva no implementada. b) Estado expresado como una proporcin de accin correctiva no implementada sin causa c) Tendencia de los estados a) Dividir [Accin correctiva no implementada a la fecha] entre [Acciones correctivas planificadas a la fecha] b) Dividir [Accin correctiva no implementada sin razn] entre [Acciones correctivas planificadas a la fecha] c) Comparar Estados con Estados Previos.
Indicador
Modelo Analtico
ISO/IEC 27004:2009
61
ANTS 35.68.03:13
Especificacin del Criterio de Decisin A fin de concluir el logro de objetivos y ninguna accin, la proporcin del indicador a) y b) deben estar respectivamente entre 0,4 y 0,0 y entre 0,2 y 0,0, y la Tendencia del indicador c) debe haber declinado por al menos los 2 ltimos perodos del informe. El indicador c) debe presentarse comparando con indicadores previos de tal manera que la tendencia en la implementacin de la accin correctiva puede ser examinada.
Resultados de la Medicin La interpretacin de los indicadores a) y b) debe ser de la siguiente manera: las acciones correctivas planeadas deben ser implementadas a menos que las prioridades de la organizacin hayan cambiado, lo que dara lugar a la necesidad de implementar diferentes acciones correctivas o re direccionar los recursos asignados a la implementacin de acciones correctivas. Si ms del 40% de acciones correctivas no son implementadas sin razn alguna, la accin gerencial es requerida. Si ms del 20% de las acciones correctivas no han sido implementadas sin una buena justificacin, la accin gerencial es requerida. Las acciones correctivas que no se implementaron deben ser examinadas para identificar las causas de la no implementacin. Dependiendo del porcentaje general no aplicado y las causas de la no implementacin, medidas adicionales pueden ser requeridas. La Interpretacin del indicador c) debe ser como sigue: Una tendencia en la implementacin de acciones correctivas debe ser examinada por un deterioro general en el rendimiento o la mejora significativa en el rendimiento. Si el porcentaje de acciones correctivas implementadas ha ido disminuyendo en el informe de los dos ltimos perodos de, la accin gerencial es requerida, independientemente de las justificaciones de su incumplimiento. El efecto/impacto de que los criterios no sean alcanzados es una falta potencial de la mejora continua del SGSI. Si los efectos/impactos de criterios no se cumplen debido a la potencial carencia de la mejora continua del SGSI. Las causas posibles pueden ser la falta de recursos, incorrecta planificacin y la falta de compromiso del personal crtico y de gestin.
62
ISO/IEC 27004:2009
ANTS 35.68.03:13
Grfico de barras apiladas con la declaracin de los resultados de medicin, incluyendo un resumen ejecutivo de las conclusiones y las posibles medidas de gestin, que representa el Nmero total de acciones correctivas, separadas entre implementadas, no implementadas sin una justificacin legtima y no implementadas con una justificacin legtima.
Partes Interesadas Cliente para la Medicin Supervisorde la Medicin Propietario de la Informacin Recolector de la Informacin Comunicador de la Informacin Frecuencia/Perodo Frecuencia de Recopilacin de Datos Frecuencia de Anlisis de Datos Frecuencia de Informe Resultado de Medicin Revisin de Medicin Perodo de Medicin Trimestral. Trimestral. Trimestral. Revisin anual. Aplicable 1 ao. Gerentes Responsables del SGSI. Gerente de Seguridad de la Informacin. Gerentes Responsables del SGSI. Gerentes Responsables del SGSI. Gerentes Responsables del SGSI. Gerentes Responsables del SGSI.
ISO/IEC 27004:2009
63
ANTS 35.68.03:13
B.5
Compromiso de la Direccin
Identificacin de la Estructura de la medicin Nombre de la Estructura de la Medicin Identificador Numrico Frecuencia de la revisin por la Direccin. Organizacin Especifico Lograr el compromiso de la Direccin, as como las actividades de revisin de la seguridad de la informacin, independientemente de las actividades de la revisin por la Direccin. A.6.1 Gestionar la seguridad de la informacin dentro de la organizacin (planificado). Gestionar la seguridad de la informacin dentro de la organizacin, a travs de la realizacin de revisiones peridicas por la Direccin A.6.1.1 El compromiso de la Direccin con la seguridad de la informacin. La Direccin debe apoyar activamente la seguridad dentro de la organizacin a travs de directrices claras, un compromiso demostrado, asignacin explcita y reconocimiento de las responsabilidades de la seguridad de la informacin. (como hacer referencia a 27001) La organizacin debe tener una reunin de revisin de la gestin mensualmente para proveer respaldo a la seguridad dentro de la organizacin, a travs de una direccin clara, compromiso demostrado, asignacin explcita y conocimiento de seguridad de la informacin. Revisin de la Gestin del SGSI debera combinarse con la del Sistema de Gestin de la Calidad SGC (Quality Management System QMS) A.6.1.2 Coordinacin de la seguridad de la informacin Las actividades de seguridad de la informacin deben ser coordinadas por representantes de las diferentes partes de la organizacin con las funciones y roles laborales pertinentes. (Implementado). (como hacer referencia a 27001) Los representantes de los diferentes departamentos con roles y responsabilidades especficos deben coordinar y participar en la revisin por la Direccin.
Propsito de la Estructura de la Medicin
Objeto de la MedicinObjeto de Medicin y Atributos Objeto de Medicin Atributo 1. Revisar el plan/cronograma de la Gestin de la seguridad de la informacin. 2. Revisar el registro de actas de la gestin. 1.1 Gestin de las fechas de las reuniones de revisin previstas en el plan
64
ISO/IEC 27004:2009
ANTS 35.68.03:13
1.2 Gerentes programados para asistir a las reuniones de revisin 2.1 Reunin para la revisin de las actas en las fechas acordadas. 2.2 Registro de asistencia de Gerentes a las reuniones de revisin de la gestin. Especificacin de Medida Base 1.1 nmero de reuniones de revisin por la Direccin planificadas a la fecha. 1.2 Nmero de Gerentes programados para asistir a las reuniones de revisin por la Direccin. 2.1.1 Nmero de reuniones planificadas de revisin por la Direccin sostenidas a la fecha. 2.1.2 Nmero de reuniones no planificadas de revisin por la Direccin sostenidas a la fecha. 2.1.3 Nmero de reuniones re programadas de revisin por la Direccin sostenidas a la fecha. 2.23 Nmero de Gerentes que asistieron a las reuniones de revisin por la Direccin a la fecha. 1.1 Contar las reuniones de revisin de la Direccin programadas a la fecha 1.2 Reuniones de revisin por Direccin a la fecha, contra gerentes planificados a asistir y agregar nuevos ingresos con un valor por defecto para reuniones no planificadas de manera ad hoc 2.1.1 Contar reuniones planificadas de revisin por la Direccin realizadas a la fecha 2.1.2 Contar reuniones no planificadas para revisin por la Direccin realizadas a la fecha 2.1.3 Contar reuniones reprogramadas de revisin por la Direccin realizadas a la fecha 2.2 Contar el nmero de gerentes que asistieron a las reuniones realizadas de revisin por parte de la Direccin 1.1 Objetivo 1.2 Objetivo o subjetivo 2.1.1 Objetivo 2.1.2 Objetivo 2.1.3 Objetivo 2.2 Objetivo 1.1 Enteros de cero al infinito 1.2 Enteros de cero al infinito 2.1.1 Enteros de cero al infinito 2.1.2 Enteros de cero al infinito 2.1.3 Enteros de cero al infinito 2.2 Enteros de cero al infinito 1.1 Ordinal 1. 2 Ordinal 2.1.1 Ordinal 2.1.2 Ordinal 2.1.3 Ordinal
Medida Base
Mtodo de Medicin
Escala
Tipo de Escala
ISO/IEC 27004:2009
65
ANTS 35.68.03:13
2.2 Ordinal 1.1 Reunin 1.2 Personal 2.1.1 Reunin 2.1.2 Reunin 2.1.3 Reunin 2.2 Personal
Unidad de Medicin
Especificacin Medida Derivada a) Nmero de reuniones de revisin por la Direccin realizadas a la fecha. b) Tasas de participacin en reuniones de revisin por la Direccin realizadas a la fecha. a) Sumar [Nmero de reuniones planificadas de revisin por la Direccin a la fecha] y [Nmero de reuniones no planificadas para revisin por la Direccin a la fecha] y [Nmero de reuniones reprogramadas a la fecha] b) Para cada reunin de revisin por la Direccin dividir [Nmero de gerentes que atendieron a la reunin de revisin por la Direccin] entre [Nmero de gerentes programados para asistir a las reuniones de revisin por la Direccin].
Medida Derivada
Funcin de Medicin
Especificacin del Indicador a) Reuniones de revisin por la Direccin cumplidas a la fecha b) Promedio tasas de participacin en reuniones de revisin a la fecha a) Divida [reuniones de revisin por la Direccin realizados] entre [reuniones de revisin por la Direccin programados] b) Calcule la media y desviacin estndar de todas las tasas de participacin para reuniones de revisin.
Indicador
Modelo Analtico
Especificacin del Criterio de Decisin La proporcin resultante del indicador a) debe estar entre 0,7 y 1,1 para concluir el logro del objetivo del control y no accin. Aunque este falle, debe an estar sobre 0,5 para concluir al menos el objetivo. Con relacin al indicador b), Calculados los lmites de la confianza basados en la desviacin estndar indica la probabilidad de que un resultado actual cercano al promedio de la tasa de participacin ser lograda. Muy amplia confianza de los lmites sugiere potencialmente una alta desercin y la necesidad de un plan de contingencia para tratar estos resultados.
Resultados de la Medicin
66
ISO/IEC 27004:2009
ANTS 35.68.03:13
Interpretacin para el indicador a) debe ser como sigue: Los criterios de la organizacin para la Gestin de la seguridad de la informacin dentro de la organizacin a travs de la revisin ha sido cumplida satisfactoriamente entre 0.,7 las proporciones 1.,1; Los criterios de la organizacin no se han cumplido satisfactoriamente [0,5 la proporcin < 0,7 o la proporcin > 1,1]. Este resultado puede indicar posible falta de compromiso de la Direccin y puede requerir una accin correctiva. Posteriores resultados de medicin deben ser monitoreados y evaluados para mejora. Los criterios de la organizacin no se cumplen en [0 la proporcin < 0,5]. Este resultado demuestra falta de compromiso de la Direccin y requiere una intervencin inmediata para poner en prctica una accin correctiva apropiada. La alta Direccin debe ser notificada del resultado. La proporcin cercana a 0 indica falta de compromiso de la alta Direccin. Si los gerentes del SGSI no visualizan la gestin del SGSI como una prioridad, pueden estar influenciados por la alta Direccin. Los efectos/impactos de que los criterios no se cumplan es posible que se deba a la falta de un proceso de gestin de revisin continuo y eficaz. Entre las posibles causas de desviacin en el indicador b) pueden estar la planificacin incorrecta, la falta de compromiso de los Gerentes responsables de un SGSI, las prioridades en conflicto y/o exceso de trabajo que afecta a los Gerentes del SGSI. Grfico de lneas que representa indicadores con criterios sobre recopilacin de muchos datos y perodos de reporte con la declaracin de resultados de la medicin. El nmero de perodos para la recopilacin de datos e informes deben ser definidos por la organizacin.
Partes Interesadas Cliente para la medicin Supervisor de la medicin Gerentes Responsables del SGSI. Gerente Sistema de Calidad. de
Autoridad del programa de auditora interna del SGSI. Gerente del Sistema de Calidad. Responsabilizndose de la combinacin del Sistemas de Gestin de la Calidad SGC (QMS por sus siglas en ingls) y del Sistema de Gestin de la Seguridad de la Informacin SGSI (ISMS por sus siglas en ingls) Gerente de Calidad. Gerente de Seguridad de la Informacin. Gerente de Seguridad de la Informacin. Gerente de Calidad
Propietario de la Informacin
Recolector de la Informacin Comunicador de la Informacin
ISO/IEC 27004:2009
67
ANTS 35.68.03:13
Frecuencia/Perodo Frecuencia de Recopilacin de Datos Frecuencia de Anlisis de Datos Frecuencia de Informe de los Resultados de Medicin Revisin de la Medicin Perodo de Medicin Mensual Trimestral. Trimestral. Revisin y actualizacin cada 2 aos Aplicable 2 aos.
68
ISO/IEC 27004:2009
ANTS 35.68.03:13
B.6
Proteccin contra Cdigo Malicioso
Identificacin de la Estructura de la Medicin Nombre de la Estructura de la Medicin Identificador Numrico Propsito de la Estructura de la Medicin Proteccin contra software malicioso. Especfico de la Organizacin. Para evaluar eficacia de proteccin contra ataques de software. Objetivo de Control A.10.4 [27001:2005]. Proteger la integridad del software e informacin. (planificado) Proteger la integridad del software y la informacin contra software malicioso. Control 10.4.1 [27001:2005]. Controles contra software malicioso. Deteccin, prevencin, control y recuperacin para proteger contra software malicioso y se llevar a cabo procedimientos apropiados de sensibilizacin de los usuarios. Que sern incrementados.
Objeto de la MedicinObjeto de Medicin y Atributos Objeto de Medicin Atributo Especificacin de la Medida Base 1. Nmero de incidentes de seguridad causados por software malicioso. 2 Bloqueo de ataques totales causados por software malicioso. 1 Contar el nmero de incidentes de seguridad causados por software malicioso en los Informes de Incidentes. 2 Contar el nmero de registros de ataques bloqueados. 1. Objetivo 2. Objetivo 1. Enteros de cero al infinito 2. Enteros de cero al infinito 1 Ordinal 2 Ordinal 1. Incidente de Seguridad 2. Registros 1. Informes de incidentes. 2. Registros de programas de contramedidas para software malicioso Incidentes causados por software maliciosos.
Medida Base
Mtodo de Medicin
Fortaleza de proteccin de software malicioso.
ISO/IEC 27004:2009
69
ANTS 35.68.03:13
Funcin de Medicin
Nmero de incidentes de seguridad causados por software malicioso / nmero de ataques detectados y bloqueados causados por software malicioso.
Especificacin del Indicador Indicador Modelo Analtico Especificacin del Criterio de Decisin Criterios de Decisin Resultado de la Medicin La tendencia al alza indica un deterioro del cumplimiento, la tendencia a la baja indica la mejora del cumplimiento; y Cuando la tendencia aumenta notablemente, se requiere investigar la causa y el espacio para las futuras contramedidas que pueden ser requeridas. La lnea de tendencia que representa la relacin de deteccin del software malicioso y prevencin con las lneas producidas durante los periodos anteriores. Las lneas de tendencia deben permanecer bajo nmero especificado. La tendencia resultante debera ser a la baja o constante. Tendencia de ataques detectados que no fueron bloqueados sobre en mltiples periodos de informes. Comparar proporcin con el Porcentaje previo.
Formatos de Informe
Partes Interesadas Cliente para la medicin Supervisor de la Medicin Propietario de la Informacin Recolector de la Informacin Comunicador de la Informacin Frecuencia/Perodo Frecuencia de Recopilacin de Datos Frecuencia de Anlisis de Datos Frecuencia de Informe de los Resultados de la Medicin Revisin de la Medicin Perodo de Medicin Diario. Mensual. Mensual. Revisin Anual Aplicable 1 ao. Gerente de Seguridad Gerente de Seguridad Administrador del Sistema Gerente Seguridad; Administrador del Sistema; Gerente de Red. Coordinacin de Servicio.
70
ISO/IEC 27004:2009
ANTS 35.68.03:13
B.7
Controles de Acceso Fsico
Identificacin de la Estructura de la Medicin Nombre de la Estructura de la Medicin Identificador Numrico Propsito de la Estructura de la Medicin Control de entrada fsica con tarjetas de acceso Especfico de cada Organizacin Mostrar la existencia, alcance y calidad del sistema usado para el control de acceso. Objetivo del Control A.9.1 [27001:2005]. Prevenir el acceso fsico no autorizado, dao e intromisin a las instalaciones y a la informacin de la organizacin. Control A.9.1.2 [27001:2005]. Controles de entrada fsicos. Las reas seguras deben estar protegidas por controles de entrada adecuados, para asegurar que nicamente se permite el acceso al personal autorizado.
Objeto de la MedicinObjeto de Medicin y Atributos Objeto de Medicin Atributo Especificacin de la Medida Base Medida Base Control de ingresos fsicos con tarjetas de acceso. Mtodo de medicin relativo en donde la calificacin de cada subconjunto es parte de la calificacin del nivel anterior. Controlar el tipo de sistema de control de acceso y verificar los siguientes aspectos: - Existencia de la tarjeta de control de acceso del sistema; - Uso del cdigo PIN; - Funcionalidad de bitcora del control de acceso; - Autenticacin Biomtrica. Subjetivo 0-5 0. No existe sistema de control de acceso 1. Existe un sistema de acceso en donde el cdigo PIN (un sistema de un factor) se usa para el control de acceso. 2. Existe un sistema de control de acceso de tarjetas, en donde la tarjeta (un sistema de un factor) es utilizada para el control de acceso. reas Seguras. Registros de Gestin de identidades
Mtodo de Medicin
Escala
ISO/IEC 27004:2009
71
ANTS 35.68.03:13
3. Existe un sistema de tarjeta de acceso en donde la tarjeta y el cdigo PIN se utiliza para control de acceso. 4. Anterior + la funcionalidad de bitcora del control de acceso activado. 5. Anterior + el cdigo PIN es reemplazado por autenticacin biomtrica (huella digital, reconocimiento de voz, escaneo de retina, etc.) Tipo de Escala Unidad de Medicin Especificacin Medida Derivada Medida Derivada Funcin de Medicin Especificacin del Indicador Indicador Modelo Analtico Especificacin del Criterio de Decisin Criterios de Decisin Resultados de la Medicin Bajo 3 no satisfactorio, donde (3 nivel actual = brecha de seguridad), acciones a ser tomadas en base al tamao de la brecha de seguridad. Sobre 3 satisfactorio con excelencia, donde el grado puede indicar alta inversin en relacin al asunto medido. Grficos. Valor 3 = satisfactorio. Barras de Progreso: Rojo hasta 0,8, Verde entre 0,8 y 1,0 Anlisis de medidas. Ninguna Ninguna Ordinal N/D (No disponible)
Formatos de Informes Partes Interesadas Cliente para la Medicin Supervisor de la Medicin Propietario de la Informacin Recolector de la Informacin Comunicador de la Informacin Frecuencia/Perodo
Comit Gerencial. Auditor interno / auditor externo. Gerente de Instalaciones. Auditor interno / auditor externo. Auditor Interno y Gerencia de Seguridad.
72
ISO/IEC 27004:2009
ANTS 35.68.03:13
Frecuencia de Recopilacin de Datos Frecuencia de Anlisis de Datos Frecuencia de Informe de los Resultados de Medicin Revisin de la Medicin Perodo de Medicin
Anual Anual Anual 12 meses. Aplicable 12 meses.
ISO/IEC 27004:2009
73
ANTS 35.68.03:13
B.8
Revisin de Archivos de Bitcoras
Identificacin de la Estructura de la Medicin Nombre Estructura de la Medicin Identificador Numrico Propsito de la Estructura de la Medicin Revisin de archivos de bitcoras. Identificador numrico nico y especifico de la organizacin. Evaluar el estado de cumplimiento de la revisin regular de los archivos de bitcoras crticas del sistema. Objetivo de Control A.10.10 [27001:2005]. Detectar actividades de procesamiento de informacin no autorizadas. (planificadas) Detectar actividades de procesamiento no autorizado de informacin en los sistemas crticos a partir de la bitcora del sistema. Control A.10.10.2. [27001:2005]. Se deben establecer procedimientos para monitorear el uso de los medios de procesamiento de la informacin y se deben revisar peridicamente los resultados de las actividades de monitoreo.
Control (1) / Proceso (1)
Objeto la de Medicin y Atributos Objeto de Medicin Atributo Especificacin de Medida Base (1) Medida Base Mtodo de Medicin Tipo de Mtodo de Medicin Escala Tipo de Escala Unidad de Medicin Especificacin Medida Base (2) Medida Base Mtodo de Medicin Tipo de Mtodo de Medicin Nmero de archivos de bitcora revisados. Suma total del nmero de archivos de bitcora en todo el sistema dentro del mbito de aplicacin del SGSI. Objetivo. Nmero de archivos de bitcora. Suma total del nmero de archivos de bitcora presentes en la lista de revisin de bitcoras Objetivo. Enteros de cero al infinito Ordinal. Archivo de bitcora. Sistema. Archivos de bitcora individuales.
74
ISO/IEC 27004:2009
ANTS 35.68.03:13
Escala Tipo de Escala Unidad de Medicin Especificacin Medida Base (3) Medida Base Mtodo de Medicin Tipo de Mtodo de Medicin Escala Tipo de Escala Unidad de Medicin Especificacin Medida Derivada Medida Derivada
Numrico. Proporcin. Archivo de bitcora.
Nmero de sistemas dentro del mbito de aplicacin del SGSI. Identificar nmero de archivos de bitcora revisados. Objetivo. Numrico. Proporcin. Archivo de bitcora.
Funcin de Medicin Especificacin del Indicador Indicador Modelo Analtico Especificacin del Criterio de Decisin Criterios de Decisin Resultado de la Medicin
Porcentaje de archivos de bitcora de auditora revisados, cuando sea requerido por perodo de tiempo. (# de archivos de bitcora revisados dentro de un perodo de tiempo especificado) / (# total de archivos de bitcora) * 100.
Grfico de lnea de la tendencia en el perodo de tiempo de la proporcin de la revisin de las bitcoras de auditoria 10.5. Tendencia al alza hacia 100% es deseable
Resultados por debajo del 20% deben ser examinados para determinar las causas de bajo rendimiento.
Los valores por debajo del valor definido por la organizacin no son satisfactorios (definidos por organizacin - valor real = brecha de seguridad). Se requiere accin de la Direccin en base al tamao de la brecha de seguridad. Valores por encima del valor definido por la organizacin pueden indicar exceso de inversin a menos que estos mecanismos de control de acceso sean requeridos por la evaluacin de riesgos.
ISO/IEC 27004:2009
75
ANTS 35.68.03:13
Formatos de Informes Partes Interesadas Cliente para la Medicin Supervisor de la Medicin Propietario de la Informacin Recolector de la Informacin Comunicador de la Informacin Frecuencia/Perodo Frecuencia de Recopilacin de Datos Frecuencia de Anlisis de Datos Frecuencia de Informe de los Resultados de Medicin Revisin de la Medicin Perodo de Medicin
Grfica de lneas que representa la tendencia con un resumen de los resultados y acciones sugeridas para la Direccin.
Gerentes Responsables de un SGSI, Gerente de Seguridad. Gerente de Seguridad. Gerente de Seguridad. Personal de Seguridad. Personal de Seguridad.
Mensual. Mensual. Trimestral. Revisin y actualizacin cada 2 aos. Aplicable 2 aos
76
ISO/IEC 27004:2009
ANTS 35.68.03:13
B.9
Gestin de Mantenimiento Peridico
Identificacin de la Estructura de la Medicin Nombre de la Estructura de la Medicin Identificador Numrico Propsito de la Estructura de la Medicin Gestin de Mantenimiento Peridico. Especfico de la Organizacin. Evaluar la puntualidad de las actividades de mantenimiento en relacin a lo programado. Objetivo de Control A.9.2 [27001:2005]. Prevenir la prdida, dao, robo o exposicin de los activos y la interrupcin de las actividades de la organizacin. (planificado) Para evitar la prdida, dao, robo o comprometer activos y la interrupcin de las actividades de la organizacin mediante el mantenimiento peridico del sistema. Control A.9.2.4 [27001:2005]. El equipo debe recibir un correcto mantenimiento para asegurar su continuidad, disponibilidad e integridad.
Objetivo de Control / Proceso
Objeto de la MedicinObjeto de Medicin y Atributos Objeto de Medicin 1. Plan/calendario de mantenimientos del sistema. 2. Registros de mantenimientos del sistema. 1. Fechas planificadas/calendarizadas del mantenimiento del sistema. 2. Fechas de finalizacin del mantenimiento del sistema.
Atributo
Especificacin de la Medida Base (1-4) 1. Fechas de mantenimiento calendarizados. 2. Fechas de finalizacin del mantenimiento. 3. Nmero total de eventos planificados de mantenimiento. 4. Nmero total de eventos finalizados de mantenimiento. 1. Obtener fechas previstas del plan de mantenimiento del sistema. 2. Obtener fechas de finalizacin de registros de mantenimiento del sistema. 3. Contar el nmero de eventos de mantenimiento calendarizados en el plan de mantenimiento del sistema. 4. Contar los registros de mantenimiento Objetivo 1. Tiempo 2. Tiempo 3. Entero de cero al infinito
Medida Base
Mtodo de Medicin
Tipo de Mtodo de Medicin Escala
ISO/IEC 27004:2009
77
ANTS 35.68.03:13
4. Entero de cero al infinito 1. Lista 2. Lista 3. Ordinal 4. Ordinal 1. Intervalo 2. Intervalo 3. Eventos de Mantenimiento. 4. Eventos de Mantenimiento.
Tipo de Escala
Unidad de Medicin
Especificacin Medida Derivada Medida Derivada Funcin de Medicin Especificacin del Indicador 1. Demora promedio de mantenimiento. 2. Proporcin de eventos finalizados de mantenimiento. 3. Tendencia del promedio de la demora de mantenimiento. 4. Tendencia de la proporcin de eventos de mantenimiento finalizados. 1. Divida (suma de [Demora en mantenimiento por evento de mantenimiento finalizado ) entre [Nmero de eventos de mantenimiento finalizados] 2. Divida [Nmero de eventos de mantenimientos finalizados] entre [Nmero de eventos de mantenimiento planificados] 3. Compare indicador 1 sobre mltiples perodos de tiempo. 4. Compare indicador 2 sobre mltiples perodos de tiempo. Demora en mantenimiento por evento de mantenimiento finalizado. Para cada evento concluido, reste [Fecha del actual mantenimiento] menos [Fecha de mantenimiento calendarizado].
Indicador
Modelo Analtico
Especificacin del Criterio de Decisin 1. Especficos de la organizacin, por ejemplo, si la demora promedio se mantiene consistente por ms de 3 das, las causas deben ser examinadas. 2. La proporcin de eventos de mantenimiento finalizados debe ser mayor a 0,9. 3. Tendencia debe ser estable o cercana a 0. 4. Tendencia debe ser estable o al alza.
Resultados de la Medicin Interpretacin del Indicador Formatos de Informes El indicador ayuda a medir la calidad del proceso de mantenimiento de equipos. La grfica de lneas representa el promedio de la desviacin del retraso de mantenimiento,
78
ISO/IEC 27004:2009
ANTS 35.68.03:13
comparados con las lneas producidas durante periodos de reporte anteriores y la cantidad de los sistemas dentro del mbito de aplicacin. Una explicacin de los resultados y la recomendacin de las potenciales acciones de la Direccin. Partes interesadas Clientes para la Medicin Supervisor de la Medicin Propietario de la Informacin Recolector de la Informacin Comunicador de la Informacin Frecuencia/Perodo Frecuencia de Recopilacin de Datos Frecuencia de Anlisis de Datos Frecuencia de Informe de los Resultados de Medicin Revisin de la Medicin Perodo de Medicin Anual. Anual. Anual. Anual. Anual. Gerentes Responsables de un SGSI, Gerente de Seguridad. Gerente de Seguridad. Administrador del Sistema. Personal de Seguridad. Personal de Seguridad.
ISO/IEC 27004:2009
79
ANTS 35.68.03:13
B.10 Seguridad en Acuerdos con Terceras Partes Identificacin de la Estructura de la Medicin Nombre de la Estructura de la Medicin Identificador Numrico Propsito de la Estructura de la Medicin Seguridad en acuerdos con terceras partes. Especfico de la Organizacin. Evaluar el grado en que la seguridad del procesamiento de la informacin personal es abordada en los acuerdos con terceras partes. Objetivo de Control A.6.2 [27001:2005]. Mantener la seguridad de la informacin de la organizacin y los medios de procesamiento de informacin que son accesados, procesados, comunicados o gestionados por entidades externas. Control A.6.2.3 [27001:2005]. Los acuerdos con terceros que involucren acceso, tratamiento, comunicacin o gestin, ya sea de la informacin de la organizacin, o de los medios de tratamiento de la informacin, as como la incorporacin de productos o servicios a los medios de tratamiento de la informacin, deben cubrir todos los requerimientos de seguridad pertinentes.
Objetivo del Control/ Proceso
Objeto de la MedicinObjeto de Medicin y Atributos Objeto de Medicin Atributo Especificacin de la Medida Base (1) Medida Base Mtodo de Medicin Tipo del Mtodo de Medicin Escala Tipo de Escala Unidad de Medicin Especificacin de la Medida Base (2) Medida Base Nmero de requisitos de las normas de seguridad requeridos para los acuerdos con terceras partes. Nmero de acuerdos con terceras partes. Revisar acuerdos con terceras partes, contar el nmero de acuerdos. Objetivo. Enteros de cero al infinito Ordinal. Acuerdo con terceras partes Acuerdos con terceras partes. Clusulas de Seguridad o requisitos dentro de cada acuerdo con terceras partes.
80
ISO/IEC 27004:2009
ANTS 35.68.03:13
Mtodo de Medicin Tipo del Mtodo de Medicin Escala Tipo de Escala Unidad de Medicin Especificacin de la Medida Base (3) Medida Base
Identificar el nmero de requisitos de seguridad que deben ser incluidos en cada acuerdo en concordancia con la poltica. Objetivo. Enteros de cero al infinito. Ordinal. Requisito.
Mtodo de Medicin Tipo del Mtodo de Medicin Escala Tipo de Escala Unidad de Medicin Especificacin Medida Derivada Medida Derivada Funcin de Medicin Especificacin del Indicador Indicador
Nmero de requisitos de seguridad que deben estar incluidos en cada acuerdo con terceras partes. Revisar los acuerdos con terceras partes, contar el nmero de requisitos de seguridad que estn incluidos en cada acuerdo. Objetivo. Enteros de cero al infinito. Ordinal. Requisito.
Porcentaje promedio de requisitos relevantes que estn incluidos en acuerdos con terceras partes. Suma de (para cada acuerdo (Nmero de requisitos requeridos - Nmero de requisitos incluidos)) / Nmero de acuerdos.
Modelo Analtico
1. Promedio de la proporcin de la diferencia de requisitos estndar con requisitos incluidos. 2. Tendencia de la proporcin. 1. Suma de (para cada acuerdo ([Total requisitos de seguridad incluidos] [Total requisitos estndar de seguridad.])) / [Nmero de acuerdos con terceras partes]. 2. Compare con indicador anterior 1.
Especificacin del Criterio de Decisin Criterios de Decisin Resultados de la Medicin Interpretacin del Indicador Este indicador proporciona informacin de la habilidad de las terceras partes para cumplir con 1. Indicador 1 debe ser ms alto que 0,9. 2. Indicador 2 debe ser estable o al alza.
ISO/IEC 27004:2009
81
ANTS 35.68.03:13
los requisitos de seguridad. Grfica de lneas que representa una tendencia en varios periodos. Corto resumen de las conclusiones y las posibles medidas de accin de la Direccin.
Partes interesadas Cliente para la Medicin Supervisor de la medicin Propietario de la Informacin Recolector de la Informacin Comunicador de la Informacin Frecuencia/Perodo Frecuencia de Recopilacin de Datos Frecuencia de Anlisis de Datos Frecuencia de Informe de los Resultados de Medicin Revisin de la Medicin Perodo de Medicin Mensual. Trimestral. Trimestral. 2 aos. Aplicable 2 aos. Gerentes responsables de un SGSI, Gerente de Seguridad. Gerente de Seguridad. Oficina de contratos/acuerdos. Personal de Seguridad. Personal de Seguridad.
82
ISO/IEC 27004:2009
ANTS 35.68.03:13
BIBLIOGRAFA [1] [2] NTS ISO 9000:2005, Quality management systems Fundamentals and vocabulary; NTS ISO/IEC 27002:2005, Information technology Security techniques Code ofpractice for information security management; ISO/IEC 15504-3:2004, Information technology Process assessment Part 3: Guidance on performing an assessment; ISO/IEC 15939:2007, Systems and software engineering Measurement process NTSISO/IEC 27005:2008, Information technology Security techniques Informationsecurity risk management; ISO/TR 10017:2003, Guidance on statistical techniques for ISO 9001:2000; ISO Guide 99:2007, International vocabulary of metrology Basic and generalconcepts and associated terms (VIM); NIST Special Publication 800-55, Revision 1, Performance Measurement Guide for Information Security, July 2008; ISO/IEC TR 18044:2004, Information technology Security techniques Information security incident management
[3]
[4] [5]
[6] [7]
[8]
[9]
ISO/IEC 27004:2009
83

Iec-27004 Base 20092013

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Iec-27004 Base 20092013

Diunggah oleh

Hak Cipta:

Format Tersedia

ANTEPROYECTO DE NORMA TCNICA SALVADOREA

ANTS ISO/IEC 27004:2009

Tecnologa de la informacin. Tcnicas de Sseguridad. Gestin de la seguridad de la Iinformacin. Medicin.

Nmero de Referencia ISO/IEC 27004:2009

ANTEPROYECTO DE NORMA TCNICA SALVADOREA

ANTEPROYECTO DE NORMA TCNICA SALVADOREA

ANTEPROYECTO DE NORMA TCNICA SALVADOREA

ANTEPROYECTO DE NORMA TCNICA SALVADOREA

ANTEPROYECTO DE NORMA TCNICA SALVADOREA

ANTEPROYECTO DE NORMA TCNICA SALVADOREA

ANTEPROYECTO DE NORMA TCNICA SALVADOREA

ANTEPROYECTO DE NORMA TCNICA SALVADOREA

ANTEPROYECTO DE NORMA TCNICA SALVADOREA

ANTEPROYECTO DE NORMA TCNICA SALVADOREA

ANTEPROYECTO DE NORMA TCNICA SALVADOREA

Estos son algunos ejemplos de los tipos de escala.

ESTRUCTURA DE ESTA NORMA

ANTEPROYECTO DE NORMA TCNICA SALVADOREA

DESCRIPCIN GENERAL DE LA MEDICIN DE LA SEGURIDAD DE LA INFORMACIN

ANTEPROYECTO DE NORMA TCNICA SALVADOREA

4.2.4. a) Implementar las mejoras identificadas en el SGSI.

HACER 4.2.2. c) Implementar controles seleccionados para cumplir objetivos de control.

regulares de la efectividad del SGSI

4.2.2. d) definir cmo medir la efectividad de los controles o grupos de controles

la evaluacin del riesgo y el plan de tratamiento del riesgo.

Formatted: Left, Line spacing: single, Tab stops: Not at 0.39"

ANTEPROYECTO DE NORMA TCNICA SALVADOREA

ANTEPROYECTO DE NORMA TCNICA SALVADOREA

ANTEPROYECTO DE NORMA TCNICA SALVADOREA

5.4 Modelo de medicin de Seguridad de la informacin

ANTEPROYECTO DE NORMA TCNICA SALVADOREA

Figura 2 - Describe el modelo de medicin de seguridad de la informacin.

ANTEPROYECTO DE NORMA TCNICA SALVADOREA

ANTEPROYECTO DE NORMA TCNICA SALVADOREA

Las correspondientes medidas construidas se encuentran en B.1.

ANTEPROYECTO DE NORMA TCNICA SALVADOREA

O.1.1 Plan de capacitacin y concientizacin en seguridad de la informacin

A.1.1 Personal identificado en el plan (O.1.1)

B.1 Personal planificado a la fecha (A.2.1, A.1.1)

O.1.2 Personal completo o en progreso en entrenamiento

A.1.2 Estado del personal respecto al entrenamiento

B.2 Personal que ha firmado, porcentaje completo (A.1.2, A.2.2)

O.2.1 Plan para firma de acuerdos con el usuario

A.2.1 Personal identificado en el plan para firmar (O.2.1)

B.3 Personal planificado para firmar a la fecha. (A.2.1)

O.2.2 Personal que firm los acuerdos

A.2.2 Estado del personal respecto a la firma de los acuerdos

B.4 Personal que ha firmado a la fecha (A.2.2)

ANTEPROYECTO DE NORMA TCNICA SALVADOREA

B.2 Personal que ha firmado porcentaje completo (A.1.2, A.2.2)

D.1 Progreso a la fecha (B.2)

B.3 Personal planificado para firmar a la fecha (A.2.1)

D.2 Progreso a la fecha con firmas (B.4, B.3)

B.4 Personal que ha firmado a la fecha (A.2.2)

ANTEPROYECTO DE NORMA TCNICA SALVADOREA

(De B1-ver Tabla 2)

D.1 Progreso a la fecha (B.2)

D.2 Progreso a la fecha con firmas (B.4, B.3)

AM.2 Comparar Estado I.1 con valores previos de I.1

I.2 Tendencia (I.1 y previos de I.1)

ANTEPROYECTO DE NORMA TCNICA SALVADOREA

1.2 Tendencia (I.1 y previos de I.1 )

ANTEPROYECTO DE NORMA TCNICA SALVADOREA