27004 Iram Iso Iec

8/13/2019 27004 Iram Iso Iec

1/78

ESQUEMA 1

270042010

Tecnologa de la informacin

Gestin de la seguridad de la informacin - Medicin

Information technologyInformation security managementMeasurement

LAS OBSERVACIONES DEBEN

ENVIARSE CON EL FORMULARIO DE LA

ETAPA DE DISCUSIN PBLICA

DOCUMENTO EN ESTUDIO

DE NORMA IRAM-ISO/IEC 27004

Septiembre de 2010

8/13/2019 27004 Iram Iso Iec

2/78

2

8/13/2019 27004 Iram Iso Iec

3/78

Esquema 1 IRAM-ISO/IEC 27004:2010

3

PrefacioEl Instituto Argentino de Normalizacin y Certificacin (IRAM) esuna asociacin civil sin fines de lucro cuyas finalidades especficas,en su carcter de Organismo Argentino de Normalizacin, sonestablecer normas tcnicas, sin limitaciones en los mbitos queabarquen, adems de propender al conocimiento y la aplicacin dela normalizacin como base de la calidad, promoviendo lasactividades de certificacin de productos y de sistemas de lacalidad en las empresas para brindar seguridad al consumidor.

IRAM es el representante de la Argentina en la InternationalOrganization for Standardization (ISO), en la ComisinPanamericana de Normas Tcnicas (COPANT) y en la AsociacinMERCOSUR de Normalizacin (AMN).

Esta norma IRAM es el fruto del consenso tcnico entre losdiversos sectores involucrados, los que a travs de susrepresentantes han intervenido en los Organismos de Estudio deNormas correspondientes.

Esta norma es una adopcin idntica de la norma

ISO/IEC 27004:2009.Slo se han realizado los cambios editoriales siguientes:

Se agreg un anexo informativo con la bibliografa considerada yotro donde se indican los organismos de estudio de la norma.

8/13/2019 27004 Iram Iso Iec

4/78


4

Prefacio ISOISO (Organizacin Internacional de Normalizacin) e IEC (Comi-sin Electrotcnica Internacional) constituyen el sistemaespecializado para la normalizacin a nivel mundial. Los orga-nismos nacionales que son miembros de ISO o IEC participan enel desarrollo de normas internacionales a travs de comitstcnicos establecidos por las organizaciones respectivas par rea-lizar acuerdos en los campos especficos de la actividad tcnica.Los comits tcnicos de ISO e IEC colaboran en los campos deinters mutuo. Otras organizaciones internacionales, guberna-mentales y no gubernamentales, en colaboracin con ISO e IEC,tambin toman parte en el trabajo. En el campo de la tecnologade la informacin, ISO e IEC han establecido un comit tcnicoconjunto, el denominado ISO/IEC JTC 1.

Las normas internacionales se elaboran de acuerdo a las reglasdadas en las directivas de ISO/IEC, parte 2.

La tarea principal del comit tcnico conjunto es la de prepararnormas internacionales. Los proyectos de normas internacionalesadoptadas por el comit tcnico conjunto son circulados a los or-ganismos nacionales y sometidos a votacin. La publicacin como

Norma Internacional requiere la aprobacin de al menos el 75%de los organismos nacionales.

Es importante sealar la posibilidad de que algunos elementos deesta norma internacional pueden estar sujetos a derechos de pa-tente. ISO e IEC no son responsables de la identificacin dealguno o todos de esos derechos de patentes.

La norma ISO/IEC 27004 fue preparada por el comit tcnico con-junto ISO/IEC JTC1, Tecnologa de la informacin, subcomitSC 27, Tcnicas de seguridad en TI.

8/13/2019 27004 Iram Iso Iec

5/78


5

Introduccin

0.1 General

Esta norma proporciona una gua para el desarrollo y uso de mediciones y medidas para evaluar laefectividad de un Sistema de Gestin de Seguridad de la Informacin (SGSI) y controles o grupos decontrol, segn lo especificado en IRAM-ISO/IEC 27001.

Esto incluira la poltica, gestin de riesgos de seguridad de la informacin, objetivos de control, con-troles, procesos y procedimientos, y respalda al proceso de evaluacin, ayudando a determinar si esnecesario que alguno de los procesos del SGSI o los controles se modifiquen o mejoren. Se reco-mienda tener en cuenta que ninguna medicin de los controles puede garantizar la seguridadcompleta.

La implementacin de este enfoque constituye un Programa de medicin de seguridad de la informa-

cin. Este programa asistir a la alta direccin en la identificacin y evaluacin de los nocumplimiento e ineficacia de los procesos y controles del SGSI, y en la priorizacin de las accionesasociadas con la mejora o cambio de estos procesos y/o controles. Tambin puede asistir a la orga-nizacin para demostrar el cumplimiento con la norma IRAM-ISO/IEC 27001 y proveer evidenciaadicional para la revisin de la alta direccin y los procesos de gestin de riesgos de seguridad de lainformacin.

Esta norma asume que el punto de partida para el desarrollo de medidas y mediciones es un enten-dimiento fehaciente de los riesgos de seguridad de la informacin que enfrenta una organizacin, yque las actividades de evaluacin de riesgo de la organizacin se han realizado de manera correcta(por ejemplo basadas en la norma ISO/IEC 27005), como lo requiere la norma IRAM-ISO/IEC 27001.El Programa de medicin de la seguridad de la informacin impulsar a la organizacin a proveer in-

formacin confiable a las partes interesadas relevantes concernientes a sus riesgos de seguridad dela informacin y el estado del SGSI implementado para manejar esos riesgos.

Efectivamente implementando, el Programa de medicin de la seguridad de la informacin aumen-tar la confianza de las partes interesadas en los resultados de las mediciones y permite a las partesinteresadas hacer uso de stas mediciones para efectuar mejoras continuas a la seguridad de la in-formacin y al SGSI.

Los resultados de medicin acumulados permitirn la comparacin del progreso para alcanzar los ob-jetivos de seguridad de la informacin sobre un perodo de tiempo como parte del proceso de mejoracontinua del SGSI de la organizacin.

0.2 Visin general de la alta direccin

IRAM-ISO/IEC 27001 requiere que la organizacin lleve a cabo revisiones peridicas de la efectiv i-dad del SGSI teniendo en cuenta los resultados de la efectividad de las mediciones y que se midala efectividad de los controles para verificar que se cumpla con los requerimientos de seguridad. LaIRAM-ISO/IEC 27001 tambin requiere que la organizacin defina cmo medir la efectividad de loscontroles o grupo de controles seleccionados; y que especifique cmo estas mediciones se utilizarnpara evaluar la efectividad de los controles para producir resultados comparables y reproducibles.

El enfoque adoptado por la organizacin para cumplir con los requerimientos de mediciones especifi-cados en la IRAM-ISO/IEC 27001 variar basado en un nmero de factores significativos, incluyendolos riesgos de seguridad de la informacin que enfrenta la organizacin, su tamao, los recursos quetiene disponibles y los requerimientos legales, regulatorios y contractuales aplicables. Son importan-

8/13/2019 27004 Iram Iso Iec

6/78


6

tes la cuidadosa seleccin y justificacin de los mtodos utilizados para cumplir con los requerimien-tos de las mediciones, de manera de asegurar que no se dedicarn recursos excesivos a dichasactividades del SGSI en detrimento de otras. Idealmente, las actividades de medicin actuales se in-tegrarn en operaciones regulares de la organizacin con mnimos requerimientos adicionales derecursos.

Esta norma brinda recomendaciones concernientes a las siguientes actividades como base para queuna organizacin cumpla con sus requerimientos de medicin especificados en IRAM-ISO/IEC 27001:

a) Desarrollar mediciones (por ejemplo: mediciones base, mediciones derivadas e indicadores);

b) Implementar y operar un Programa de mediciones de seguridad de la informacin;

c) Recolectar y analizar los datos;

d) Preparar los resultados de las mediciones;

e) Comunicar los resultados de las mediciones desarrolladas a las principales partes interesadas;

f) Utilizar los resultados de las mediciones como factores contribuyentes a las decisiones relacio-nadas con el SGSI.

g) Utilizar los resultados de las mediciones para identificar necesidades de mejorar el SGSI imple-mentado, incluyendo su alcance, polticas, objetivos, controles, procesos y procedimientos; y

h) Facilitar una mejora continua del Programa de mediciones de seguridad de la informacin

El tamao de la organizacin es uno de los factores que impactar en la habilidad para cumplir con el

proceso de medicin. Generalmente, el tamao y la complejidad del negocio, en combinacin con laimportancia de la seguridad de la informacin, afectan el alcance de las mediciones necesarias, tantoen trminos de nmeros de mediciones a seleccionar y en la frecuencia de recoleccin y anlisis delos datos. Por ejemplo, para PyMES (Pequeas y Medianas Empresas) podra ser suficiente un pro-grama de medicin de la seguridad de la informacin menos exhaustivo, mientras que las grandesorganizaciones implementarn y operarn mltiples Programas de medicin de la seguridad de la in-formacin.

Un solo Programa de medicin de la seguridad de la informacin puede ser suficiente para pequeasorganizaciones, mientras que para grandes empresas la necesidad puede ser de mltiples Progra-mas de mediciones de seguridad de la informacin.

La gua provista por esta norma resultar en la produccin de documentacin que contribuir a lademostracin de que se mide y evalua la efectividad de los controles se encuentra medida y evalua-da.

8/13/2019 27004 Iram Iso Iec

7/78


7

ndice

1 ALCANCE ........................................................................................................ 9

2 DOCUMENTOS NORMATIVOS PARA CONSULTA........................................ 9

3 TRMINOS Y DEFINICIONES ........................................................................ 9

4 ESTRUCTURA DE ESTA NORMA ................................................................ 11

5 VISIN GENERAL DE LA MEDICIN DE SEGURIDAD DE LAINFORMACIN ................................................................................................. 11

6 RESPONSABILIDADES DE LA ALTA DIRECCIN ....................................... 19

7 DETERMINACIN DE MEDIDAS Y MEDICIONES ....................................... 20

8 OPERACIN DE MEDICIN ......................................................................... 27

9 ANLISIS DE DATOS E INFORME DE RESULTADOS DELAS MEDICIONES ........................................................................................... 28

10 EVALUACIN Y MEJORA DEL PROGRAMA DE MEDICIN DE LA

SEGURIDAD DE LA INFORMACIN ................................................................ 29

Anexo A (Informativo) Plantilla para estructurar la medicin de la seguridad de lainformacin ........................................................................................................ 32

Anexo B (Informativo) Ejemplos de estructuras de medicin ............................. 35

Bibliografa de la ISO/IEC 27004:2009 ............................................................... 75

Anexo C - IRAM (Informativo) Bibliografa ......................................................... 76

Anexo D - IRAM (Informativo) Integrantes de los organismos de estudio ........... 77

Pgina

8/13/2019 27004 Iram Iso Iec

8/78


8

8/13/2019 27004 Iram Iso Iec

9/78


9

Tecnologa de la informacin

Gestin de la seguridad de la informacin - Medicin

1 ALCANCE

Esta norma provee una gua en el desarrollo yuso de medidas y mediciones, de manera deevaluar la efectividad de un Sistema de Gestinde Seguridad de la Informacin (SGSI) imple-mentado y de los controles o grupos decontroles, como los especificados en la IRAM-ISO/IEC 27001.

Esta norma es aplicable a organizaciones detodo tipo y tamao.

NOTA. El presente documento utiliza las formas verbalespara la expresin de provisiones( por ejemplo: debe, nodebe, se recomienda, no se recomienda, no necesita, pue-

de y no puede) que estn especificadas en las directivasISO-IEC, Parte 2, 2004, Anexo H. Ante cualquier duda, serecomienda consultar IRAM-ISO/IEC 27000 anexo A.

NOTA IRAM. Shall y shall notse han traducido del inglscomo debe y no debe. (VerISO/IEC 27000).

2 DOCUMENTOS NORMATIVOS PARACONSULTA

Todo documento normativo que se menciona acontinuacin es indispensable para la aplica-cin de este documento.

Cuando en el listado se mencionan documen-tos normativos en los que se indica el ao de

publicacin, esto significa que se debe aplicardicha edicin, en caso contrario, se debe apli-car la edicin vigente, incluyendo todas susmodificaciones.

IRAM-ISO/IEC 27001:2007 - Tecnologa de laInformacin. Tcnicas de Seguridad. Sistemasde gestin de seguridad de la informacin. Re-quisitos.

ISO/IEC 27000:2009 - Information technology.Security techniques. Information security

management systems. Overview and vocabulary.

3 TRMINOS Y DEFINICIONES

Para los propsitos de este documento, se apli-can los trminos y definiciones deISO/IEC 27000 y los siguientes.

3.1 modelo analtico (analytical model)clculo o algoritmo asociado con los criterios dedecisin, que combina una o ms medidas ba-

se y/o derivadas.

[ISO/IEC 15939:2007]

3.2 atributo(attribute)propiedad o caracterstica de un objeto quepuede distinguirse cuantitativa o cualitativa-mente por medios manuales o automatizados

[ISO/IEC 15939:2007]

3.3 medida base(base measure)

medida definida en trminos de un atributo y elmtodo para cuantificarlo

[ISO/IEC 15939:2007]

NOTA. Una medida base es funcionalmente independien-te de otras medidas.

3.4 dato(data)grupo de valores asignados a mediciones base,derivadas y/o indicadores.

[ISO/IEC 15939:2007]

3.5 criterios de decisin(decisin criteria)umbrales, objetivos o patrones utilizados paradeterminar la necesidad de una accin o de in-vestigacin adicional, o para describir el nivelde confianza de un resultado dado

[ISO/IEC 15939:2007]

3.6 medida derivada(derived measure)medida que se define como la funcin de dos o

ms valores de medidas base

8/13/2019 27004 Iram Iso Iec

10/78


10

[ISO/IEC 15939:2007]

3.7 indicador[indicator]medida que provee una estimacin o evalua-cin de atributos especficos, derivados de unmodelo analtico con respecto a la necesidadde informacin definida

3.8 necesidad de informacin (informationneed)criterio necesario para manejar objetivos, me-tas, riesgos y problemas

[ISO/IEC 15939:2007]

3.9 medida(measure)

variable a la cual se le asigna un valor como elresultado de una medicin

[ISO/IEC 15939:2007]

NOTA. El trmino medidasse utiliza para referirse de ma-nera colectiva a las medidas base, medidas derivadas eindicadores.

Ejemplo: Una comparacin entre una tasa de defectosmedida y una tasa de defectos planificada, junto con laevaluacin de si la diferencia indica o no un problema.

3.10 medicin(measurement)proceso de obtencin de informacin sobre laefectividad del SGSI y de los controles utilizan-do un mtodo de medicin, una funcin demedicin, un modelo analtico y criterios de de-cisin

3.11 funcin de medicin(measurementfunction)algoritmo o clculo realizado para combinar doso ms medidas base.

[ISO/IEC 15939:2007]

3.12 mtodo de medicin(measurementmethod)secuencia lgica de operaciones, descritas demanera genrica, utilizados para cuantificar unatributo con respecto a una escala especificada[ISO/IEC 15939:2007]

NOTA. El tipo de mtodo de medicin depende de la natu-raleza de las operaciones utilizadas para cuantificar unatributo. Se pueden distinguir dos tipos:

subjetivo: la cuantificacin involucra el juicio humano;

objetivo: la cuantificacin se basa en reglas numri-cas.

3.13 resultados de la medicin(measurement results)

uno o ms indicadores y su interpretacin aso-ciada, dirigidos a una necesidad de informacin

3.14 objeto(object)elemento caracterizado a travs de la medicinde sus atributos

3.15 escala(scale)conjunto de valores ordenados, continuos odiscretos, o un conjunto de categoras con lascuales se relaciona el atributo

[ISO/IEC 15939:2007]

NOTA. El tipo de escala depende de la naturaleza de larelacin entre los valores en la escala. Normalmente sedefinen cuatro tipos de escala:

nominal: los valores de la medicin son categricos;

ordinal: los valores de la medicin son clasificados;

intervalo: los valores de la medicin tienen iguales dis-tancias correspondientes a iguales cantidades delatributo;

proporcin: los valores de la medicin tienen igualesdistancias correspondientes a iguales cantidades delatributo, donde a ningn atributo le puede correspon-der el valor cero.

Estos son slo ejemplos de tipos de escala.

3.16 unidad de medicin(unit ofmeasurement)cantidad particular, definida y adoptada porconvencin, con la cual se comparan otras can-tidades del mismo tipo de manera de expresar

su magnitud relativa a dicha cantidad

[ISO/IEC 15939:2007]

3.17 validacin(validation)confirmacin, a travs de la provisin de evi-dencia objetiva, de que se han cumplido conlos requerimientos relativos a un uso o aplica-cin especficos.

8/13/2019 27004 Iram Iso Iec

11/78


11

3.18 verificacin(verification)confirmacin, a travs de la provisin de evi-dencia objetiva, de que se han cumplido conrequerimientos especficados

[IRAM-ISO 9000:2005]

NOTA. Esto tambin se puede llamar prueba de cumpli-miento.

4 ESTRUCTURA DE ESTA NORMA

Esta norma provee una explicacin de las me-didas y actividades de medicin necesariaspara evaluar la efectividad de los requisitos delSGSI, para la gestin de controles de seguri-dad adecuados y proporcionales como losrequeridos por IRAM-ISO/IEC 27001:2007, 4.2.

Esta norma se encuentra estructurada de la si-guiente manera:

visin general del Programa de medicin dela seguridad de la informacin y el modelode medicin de la seguridad de la informa-cin (captulo 5);

responsabilidades de la alta direccin por lasmediciones de seguridad de la informacin(captulo 6); y

estructuras de medicin y procesos a serimplementados en el Programa de medicinde la seguridad de la informacin (captulos7 al 10). Por ejemplo:

planificacin .y desarrollo;

implementacin y operacin;

mejora de los procesos de medicin; y

comunicacin de los resultados de lamedicin.

Adems, el anexo A provee una plantilla deejemplo de estructura de medicin cuyos com-ponentes son los elementos del Modelo demedicin de la seguridad de la informacin (ver

captulo 7). El anexo B provee ejemplos de es-

tructuras de medicin para controles espec-ficos o procesos de un SGSI, utilizando la plan-plantilla provista en el anexo A.

El objetivo de estos ejemplos es ayudar a la or-ganizacin sobre cmo implementar lasMediciones de seguridad de la informacin ycmo registrar las actividades de medicin ysus resultados.

5 VISIN GENERAL DE LA MEDICINDE SEGURIDAD DE LA INFORMACIN

5.1 Objetivos de la medicin de seguridad

de la informacin

Los objetivos de la medicin de seguridad de lainformacin dentro del contexto del SGSI inclu-yen:

a) evaluar la efectividad de los controles ogrupos de controles implementados (ver4.2.2 d) en la figura 1);

b) evaluar la efectividad del SGSI implemen-tado (ver 4.2.3 b) en la figura 1);

c) verificar el grado de cumplimiento de los re-querimientos de seguridad identificados (ver4.2.3 c) en la figura 1);

d) facilitar la mejora del desempeo de la se-guridad de la informacin en trminos delos riesgos generales de negocio de la or-ganizacin;

e) proveer resultados de las mediciones paraasistir a la revisin por la alta direccin y fa-cilitar la toma de decisiones relacionada conel SGSI y justificar las necesidades de me-joras del SGSI implementado;

La figura 1 ilustra la relacin cclica entrada-salida de las actividades de medicin en relacinal ciclo Planear-Hacer-Verificar-Actuar (PHVA),especificado en IRAM-ISO/IEC 27001. Losnmeros de cada figura representan los sub-captulos correspondientes de IRAM-ISO/IEC 27001:2007.

8/13/2019 27004 Iram Iso Iec

12/78


12

Figura 1Entradas y salidas de las mediciones en un ciclo SGSI-PHVA degestin de seguridad de la informacin

Se recomienda que la organizacin establezcalos objetivos de las mediciones basados en unaserie de consideraciones, incluyendo:

a) el rol de la seguridad de la informacin co-mo soporte de las actividades de negociode la organizacin y los riesgos a los questa se enfrenta;

b) requerimientos legales, regulatorios y con-tractuales aplicables;

c) estructura organizacional;

d) costos y beneficios de implementar medi-ciones de seguridad de la informacin;

e) criterios de aceptacin de riesgos de la or-

ganizacin; y

f) la necesidad de comparar varios SGSIsdentro de la organizacin.

5.2 Programa de medicin de la seguridadde la informacin

Se recomienda que la organizacin establezcay gestione su Programa de medicin de la se-guridad de la informacin, de manera dealcanzar los objetivos de medicin establecidosy adopte el modelo PHVA dentro de sus activi-dades generales de medicin. Se recomiendaque la organizacin desarrolle e implementeestructuras de medicin de manera de obtenerresultados repetibles, objetivos y tiles, basa-dos en el Modelo de medicin de la seguridadde la informacin (ver 5.4).

8/13/2019 27004 Iram Iso Iec

13/78


13

Se recomienda que el Programa de medicin dela seguridad de la informacin y la estructura demedicin desarrollada, aseguren que la organi-zacin efectivamente alcance sus medicionesobjetivas y repetibles, y provea resultados de lasmediciones para las partes interesadas corres-pondientes, de manera de identificar lasnecesidades de mejora del SGSI implementado,incluyendo su alcance, polticas, objetivos, con-troles, procesos y procedimientos.

Se recomienda que un Programa de medicinde la seguridad de la informacin incluya los si-guientes procesos:

a) desarrollo de medidas y mediciones (ver

captulo 7);

b) operacin de la medicin (ver captulo 8);

c) anlisis de datos y reporte de los resultadosde la medicin (ver captulo 9); y

d) valoracin y mejora del Programa de medi-cin de la seguridad de la informacin (vercaptulo 10).

Se recomienda que la estructura operacional y

organizacional de un Programa de medicin dela seguridad de la informacin se determine te-niendo en cuenta la escala y complejidad delSGSI del cual es parte. En todos los casos, serecomienda que los roles y responsabilidadespor el Programa de medicin de la seguridadde la informacin se asignen explcitamente apersonal competente.

Se recomienda que las medidas seleccionadase implementadas por el Programa de medicinde la seguridad de la informacin se relacionen

directamente con las operaciones de un SGSI,y con otras medidas, como as tambin con losprocesos de negocio de la organizacin. Lasmediciones pueden integrarse a actividadesoperativas o realizarse a intervalos regularesdeterminados por la alta direccin del SGSI.

5.3 Factores de xito

Los siguientes son factores que contribuyen alxito del Programa de medicin de la seguridadde la informacin de manera de facilitar la me-jora continua del SGSI:

a) compromiso de la alta direccin soportadopor los recursos apropiados;

b) existencia de los procesos y procedimientosdel SGSI;

c) un proceso repetible capaz de capturar yreportar datos significativos de manera deproveer tendencias sobre un perodo detiempo;

d) medidas cuantificables basadas en los ob-jetivos del SGSI;

e) datos de fcil obtencin que puedan ser uti-lizados en las mediciones;

f) valoracin de la efectividad del Programade medicin de la seguridad de la informa-cin y la implementacin de mejorasidentificadas;

g) recoleccin, anlisis, y reporte peridico yconsistente de datos de mediciones de unaforma que sea significativa;

h) uso de los resultados de las mediciones porlas partes interesadas correspondientes,

para identificar necesidades de mejora delSGSI implementado, incluyendo su alcance,polticas, objetivos, controles, procesos yprocedimientos;

i) aceptacin de la respuesta de los resulta-dos de las mediciones por las partesinteresadas correspondientes; y

j) evaluaciones de la utilidad de los resultadosde las mediciones y de las implemen-taciones de las mejoras identificadas.

Una vez implementado de manera exitosa, unPrograma de medicin de la seguridad de la in-formacin puede:

1) demostrar el cumplimiento de la organiza-cin con los requerimientos legales yregulatorios aplicables y con las obligacio-nes contractuales;

2) dar soporte a la identificacin de problemasde seguridad de la informacin desconoci-dos o no detectados previamente;

8/13/2019 27004 Iram Iso Iec

14/78

8/13/2019 27004 Iram Iso Iec

15/78


15

NOTA. El captulo 7 provee informacin detallada sobrelos elementos individuales del modelo de medicin de laseguridad de la informacin.

Los subcaptulos que siguen dan una introduc-

cin a los elementos individuales del modelo.Ellos tambin proveen ejemplos de cmo seutilizan stos elementos individuales.

Las necesidades de informacin o propsito demedicin utilizados en los ejemplos de las tablas1 a 4 de los subcaptulos siguientes, son paraevaluar el nivel de concientizacin del personalcorrespondiente respecto del cumplimiento delas polticas de seguridad organizacionales (obje-tivo de control A.8.2, y controles A.8.2.1 y A.8.2.2de IRAM-ISO/IEC 27001: 2007).

5.4.2 Medidas base y mtodo de medicin

Una medida base es la medida ms simple quese puede obtener. La misma resulta de la apli-cacin de mtodos de medicin sobre losatributos seleccionados de un objeto de medi-cin. Un objeto de medicin puede tenermuchos atributos, de los cuales slo algunospueden tener valores tiles a ser asignados auna medida base. Un dado atributo puede serutilizado por muchas medidas base diferentes.

Un mtodo de medicin es una secuencia lgi-ca de operaciones utilizado para cuantificar unatributo con respecto a una escala especfica.La operacin puede envolver actividades comocontar las ocurrencias u observar el paso deltiempo.

Un mtodo de medicin se puede aplicar a atri-butos de un objeto de medicin. Ejemplos deobjetos de medicin incluyen (pero no se limi-

tan a):

rendimiento de los controles implementadosen el SGSI;

estado de los activos de informacin prote-gidos por los controles;

rendimiento de los procesos implementadosen el SGSI;

comportamiento del personal que forma par-

te del SGSI implementado;

actividades de las unidades organizaciona-les responsables por la seguridad de lainformacin; y

grado de satisfaccin de las partes interesa-das.

Un mtodo de medicin puede utilizar objetosde medicin de mediciones y atributos de unavariedad de fuentes, tales como:

resultados de la evaluacin y el anlisis deriesgos;

cuestionarios y entrevistas personales;

reportes de auditora internos y/o externos;

registros de eventos, tales como eventos delsistema, reportes estadsticos y pistas deauditoras;

reportes de incidentes, particularmenteaquellos de mayor impacto;

resultados de pruebas, por ejemplo: pruebasde penetracin, ingeniera social, herramien-tas de cumplimiento y de auditora deseguridad; o

registros de la seguridad de la informacinde la organizacin relacionados con los pro-cedimientos y los programas, por ejemplo,los resultados del entrenamiento de concien-tizacin en seguridad de la informacin.

Las tablas 1 a 4, presentan la aplicacin delmodelo de seguridad de la informacin para lossiguientes controles:

El Control 1 se refiere a que el controlA.8.2.1 Responsabilidad de la alta direc-cin de la IRAM-ISO/IEC 27001:2007 (Laalta direccin debe requerir a los empleados,contratistas y usuarios de terceras partes,aplicar seguridad de acuerdo con las polti-cas y procedimientos establecidos por laorganizacin); se implemente de la siguientemanera: Todo el personal relacionado con elSGSI debe firmar acuerdos de usuario antesde que se le permita acceso a un sistema de

informacin;

8/13/2019 27004 Iram Iso Iec

16/78


16

El Control 2 se refiere a que el controlA.8.2.2 Concientizacin, educacin y entre-namiento en seguridad de la informacindela IRAM-ISO/IEC 27001:2007 (Todos los

empleados de la organizacin, y, donde seapertinente, contratistas y usuarios de terce-ras partes deben recibir el entrenamiento enconcientizacin apropiados y actualizacionesregulares en polticas y procedimientos or-ganizacionales, como sea pertinente para lafuncin de su trabajo); se implemente de lasiguiente manera: Todo el personal relacio-nado con el SGSI debe recibir entrena-miento en concientizacin de la seguridadde la informacin antes de que se le permitael acceso a un sistema de informacin.

Las estructuras de medicin correspondientesest contenida en B.1.

NOTA. Las tablas 1 a 4 consisten en varias columnas (ta-bla 1, cuatro columnas, tabla 2 a la 4, tres columnas) a las

cuales se les asigna una letra. A cada espacio dentro delas columnas individuales se le asigna un nmero. Lascombinaciones de letras y nmeros se utilizan en espa-cios subsiguientes para referirse a espacios anteriores.Las flechas designan los flujos de datos entre elementosindividuales del modelo de medicin de seguridad de la in-formacin, dentro del ejemplo especfico.

La tabla 1 incluye un ejemplo de las relacionesentre un objeto de medicin, un atributo, unmtodo de medicin y una medida base paramedir los objetos establecidos por los controlesimplementados descriptos anteriormente.

Tabla 1Ejemplo de medida base y mtodo de medicin

8/13/2019 27004 Iram Iso Iec

17/78


17

5.4.3 Medida derivada y funcin de medi-cin

Una medida derivada es una combinacin dedos o ms medidas base. Una medida basedada puede servir como entrada para variasmedidas derivadas.

Una funcin de medicin es un clculo utilizadopara combinar medidas base de manera decrear una medida derivada.

La escala y unidad de la medida derivada de-pende de las escalas y unidades de lasmedidas base de las cuales se compone, ascomo tambin de cmo se encuentren combi-

nadas por la funcin de medicin.

La funcin de medicin puede involucrar unavariedad de tcnicas, tales como promediar lasmedidas base, aplicando ponderacin a lasmedidas base, o asignando valores cualitativosa las medidas base. La funcin de medicinpuede combinar medidas base utilizando dife-rentes escalas, tales como resultados deevaluaciones porcentuales o cualitativas.

En la tabla 2 se presenta un ejemplo de la rela-cin de ms elementos de la aplicacin delmodelo de medicin de seguridad de la infor-macin, por ejemplo medida base, funcin demedicin y medida derivada.

Tabla 2Ejemplo de medida derivada y funcin demedicin

8/13/2019 27004 Iram Iso Iec

18/78


18

5.4.4 Indicadores y modelo analtico

Un indicador es una medida que provee unaestimacin o valoracin de atributos especficosderivados de un modelo analtico con respectoa necesidades de informacin definidas. Losindicadores se obtienen aplicando un modeloanaltico a las medidas base y/o derivadas, ycombinndolas con los criterios de decisin. Laescala y el mtodo de medicin afectan la elec-

cin de tcnicas analticas utilizadas para pro-ducir los indicadores.

En la tabla 3 se presenta un ejemplo de las re-laciones entre las medidas derivadas, elmodelo analtico y los indicadores, para la apli-cacin del modelo de medicin de la seguridadde la informacin.

Tabla 3Ejemplo de un indicador y un modelo analtico

NOTA. Si un indicador se representa en forma grfica ocuando se utilizan copias monocromticas, se recomiendaque sea utilizable por personas con limitaciones visuales.Para hacer eso posible se recomienda que se agregueuna descripcin del color, de las formas, la tipografa uotros mtodos visuales.

5.4.5 Resultados de las mediciones y crite-rios de decisin

Los resultados de la medicin se desarrollan in-terpretando los indicadores aplicados, basadosen criterios de decisin definidos, y se reco-

mienda que se considere en el contexto de los

objetivos de medicin generales de evaluacinde la efectividad del SGSI. Los criterios de de-cisin se utiliza para determinar la necesidadde una accin o de ms investigacin, as co-mo tambin para describir el nivel deconfiabilidad de los resultados medidos. Loscriterios de decisin se podra aplicar a una se-rie de indicadores, por ejemplo, para realizaranlisis de tendencia basado en indicadoresrecibidos en diferentes puntos en el tiempo.

Las metas proveen especificaciones detalladas

de rendimiento, aplicables a la organizacin o a

8/13/2019 27004 Iram Iso Iec

19/78


19

partes de la misma, derivadas de los objetivosde seguridad de la informacin y que necesitanser establecidas y cumplidas de manera de al-canzar dichos objetivos.

La tabla 4 presenta un ejemplo de la relacinde los elementos finales de la aplicacin delmodelo de medicin de seguridad de la infor-macin (por ejemplo: indicador, criterios dedecisin y resultados de medicin).

Tabla 4Ejemplo de resultados de medicin y modelo analtico

6 RESPONSABILIDADES DE LA ALTADIRECCIN

6.1 Visin general

La alta direccin es responsable por el estable-cimiento del Programa de medicin de laseguridad de la informacin, incluyendo a lasdiferentes partes interesadas (ver 7.5.8) en lasactividades de medicin, por la aceptacin delos resultados de la medicin como entrada pa-ra la revisin de la alta direccin y por suutilizacin en las actividades de mejora dentrodel SGSI.

Para alcanzar esto, se recomienda que la altadireccin:

a) establezca objetivos para el Programa demedicin de la seguridad de la informacin;

b) establezca una poltica para el Programade medicin de seguridad de la informa-cin;

c) establezca los roles y responsabilidadespara el Programa de medicin de la segu-ridad de la informacin;

d) proporcione recursos adecuados para rea-

lizar las mediciones, incluido el personal,

8/13/2019 27004 Iram Iso Iec

20/78


20

los fondos, las herramientas y la infraes-tructura;

e) asegure que se alcancen los objetivos delPrograma de medicin de la seguridad dela informacin;

f) asegure que las herramientas y el equipoutilizado para recolectar datos se manten-ga de manera adecuada;

g) establezca el propsito de medicin paracada estructura de medicin;

h) asegure que la medicin provea suficienteinformacin para las partes interesadas re-

lacionadas, en cuanto a la efectividad delSGSI y las necesidades de mejora delSGSI implementado, incluyendo su alcan-ce, polticas, objetivos, controles, procesosy procedimientos; y

i) asegure que la medicin provea suficienteinformacin a las partes interesadas conrespecto a la efectividad de los controles ogrupos de controles implementados y susnecesidades de mejora.

Se recomienda que la alta direccin asegure,mediante una apropiada asignacin de roles yresponsabilidades de medicin, que los resul-tados de la gestin no se vean influenciadospor los propietarios de la informacin (ver7.5.8). Esto se puede alcanzar mediante la se-gregacin de tareas o, de no ser posible, apartir del uso de documentacin detallada quepermita revisiones independientes.

6.2 Gestin de los recursos

Se recomienda que la alta direccin asigne yprovea los recursos para dar soporte a las fun-ciones esenciales de medicin, tales como larecoleccin, el anlisis, el almacenamiento, elreporte y la distribucin de los datos. Se reco-mienda que la asignacin de recursos incluya:

a) individuos con responsabilidad por todoslos aspectos del Programa de medicin dela seguridad de la informacin;

b) soporte financiero apropiado; y

c) soporte de infraestructura apropiado, comola infraestructura fsica y las herramientasutilizadas para realizar el proceso de medi-cin.

NOTA. El captulo 5.2.1 de la IRAM-ISO/IEC 27001:2007especifica los requerimientos concernientes a la provisinde recursos para la implementacin de un SGSI.

6.3 Entrenamiento, concientizacin y com-petencia en mediciones

Se recomienda que la alta direccin asegureque:

a) las partes interesadas (ver 7.5.8) se entre-ne adecuadamente para cumplir con sus

roles y responsabilidades en el Programade medicin de la seguridad de la informa-cin implementado, y se encuentren cali-ficados apropiadamente para cumplir consus roles y responsabilidades; y

b) las partes interesadas entiendan que sustareas incluyen el hacer sugerencias demejora en el Programa de medicin de laseguridad de la informacin implementado.

7 DETERMINACIN DE MEDIDAS YMEDICIONES

7.1 Visin general

Este captulo provee una gua sobre cmo des-arrollar medidas y mediciones con el propsitode evaluar la efectividad del SGSI implementa-do y los controles o grupos de controles, eidentificando conjuntos especficos de estructu-

ras de medicin. Se recomienda que seestablezcan y documenten las actividades ne-cesarias para desarrollar medidas y medicio-nes, incluyendo las siguientes:

a) definicin del alcance de la medicin (ver7.2);

b) identificacin de una necesidad de infor-macin (ver 7.3);

c) seleccin del objeto de medicin y sus atri-

butos (ver 7.4);

8/13/2019 27004 Iram Iso Iec

21/78


21

d) desarrollo de las estructuras de medicin(ver 7.5);

e) aplicacin de las estructuras de medicin(ver 7.6);

f) establecimiento de los procesos y herra-mientas de recoleccin de datos y anlisis(ver 7.7); y

g) establecimiento del enfoque y la documen-tacin de la implementacin de las medi-ciones (ver 7.8).

Cuando se establezcan stas actividades, serecomienda que la organizacin tenga en cuen-

ta los recursos financieros, humanos y deinfraestructura (fsicos y herramientas).

7.2 Definicin del alcance de las medicio-nes

Dependiendo de las capacidades y recursos deuna organizacin, el alcance inicial de las acti-vidades de medicin de la organizacin estarlimitado a elementos tales como controles es-pecficos, activos de informacin protegidos porestos controles, actividades especficas para la

seguridad de la informacin a las cuales la altadireccin le otorga mayor prioridad. Con eltiempo, se ampliar el alcance de las activida-des de medicin de manera de incluir mselementos del SGSI implementado y controleso grupos de control, teniendo en cuenta lasprioridades de las partes interesadas.

Se recomienda que se identifiquen las partesinteresadas relacionadas y que las mismas par-ticipen en la definicin del alcance de lamedicin. Las partes interesadas relacionadas

pueden ser unidades organizacionales internaso externas a la organizacin, como gerentes deproyecto, gerentes de sistemas de informacin,o quienes toman las decisiones sobre la segu-ridad de la informacin. Se recomienda que sedefinan y comuniquen a estas partes interesa-das, los resultados de las mediciones espec-ficas, que tengan que ver con la efectividad delos controles individuales o grupos de contro-les.

La organizacin puede considerar definir unlmite al nmero de resultados de las medicio-

nes a ser informadas a quienes toman las deci-siones, dentro de un perodo de tiempodeterminado, de manera de asegurar su capa-cidad de afectar a la mejora del SGSI, basadosen los resultados de las mediciones informa-dos. Un excesivo nmero de resultados demediciones informados impactar en la habili-dad de quienes toman las decisiones paraconcentrar esfuerzos y priorizar futuras activi-dades de mejora. Se recomienda priorizar losresultados de las mediciones basado en la im-portancia de las necesidades de informacincorrespondientes y en los objetivos asociadosdel SGSI.

NOTA. El alcance de la medicin se relaciona con el al-cance del SGSI establecido de acuerdo con IRAM-ISO/IEC 27001:2007 4.2.1 a).

7.3 Identificacin de necesidad de informa-cin

Se recomienda que cada estructura de medi-cin corresponda a, por lo menos, unanecesidad de informacin. En el anexo A sepresenta un ejemplo de necesidad de informa-cin, describiendo como punto de inicio elpropsito de la medicin y como fin los criteriosde decisin relevantes.

Se recomienda que para identificar las necesi-dades de informacin pertinentes se desarro-llen las siguientes actividades:

a) examinar el SGSI y sus procesos, talescomo las siguientes:

1) polticas y objetivos del SGSI, objeti-vos de control y controles;

2) requerimientos legales, regulatorios,contractuales y organizacionales deseguridad de la informacin;

3) resultados del proceso de gestin deriesgos de la seguridad de la informa-cin, como los descriptos en IRAM-ISO/IEC 27001.

b) priorizar las necesidades de informacinidentificadas, basadas en criterios, talescomo las siguientes:

8/13/2019 27004 Iram Iso Iec

22/78


22

1) prioridades del tratamiento de los ries-gos;

2) recursos y capacidades de una orga-nizacin;

3) intereses de las partes interesadas;

4) poltica de seguridad de la informa-cin;

5) informacin requerida para cumplir conlos requerimientos legales, regulato-rios y contractuales;

6) valor de la informacin en relacin con

el costo de la medicin;

c) seleccionar un subconjunto de informacinrequerida a ser utilizada en actividades demedicin a partir de la lista de prioridades;y

d) documentar y comunicar las necesidadesde informacin seleccionada a todas laspartes interesadas relevantes.

Se recomienda que todas las mediciones apli-

cadas a un SGSI, controles o grupos de contro-les implementados, se realicen basados en lanecesidad de informacin seleccionada.

7.4 Seleccin de objeto y atributos

Se recomienda que se identifiquen cada objetode medicin y sus atributos se identifiquen enel contexto general y el alcance del SGSI. Serecomienda que se haga notar que un objetode medicin puede tener varios atributos apli-cables.

Se recomienda que el objeto y sus atributosque se van a utilizar para la medicin, se selec-cionen en base a la prioridad de las necesi-dades de informacin correspondientes.

Los valores que se asignen a una medida basese obtienen aplicando un mtodo de medicinapropiado para los atributos seleccionados. Serecomienda que dicha seleccin asegure que:

se puede identificar una medida base perti-nente y un mtodo de medicin apropiado; y

se pueden desarrollar resultados de medi-ciones significativos, basados en los valoresobtenidos y las medidas desarrolladas.

Las caractersticas de los atributos selecciona-dos determinan el tipo del mtodo de medicina utilizar para obtener los valores que se van aasignar a las medidas base (ejemplo, cualitati-vos o cuantitativos).

Se recomienda que se documenten el objeto ylos atributos seleccionados, junto con las razo-nes para dicha seleccin.

Se recomienda que se utilicen datos que des-criban el objeto de medicin y los atributos

correspondientes, como los valores a ser asig-nados a las medidas base. Ejemplos de objetosde medicin incluyen pero no se limitan a:

productos y servicios;

procesos;

activos aplicables como instalaciones, apli-caciones y sistemas de informacin comolos identificados en la IRAM-ISO/IEC 27001:2005, (Inventario de activos, A.7.1.1);

unidades de negocio;

ubicaciones geogrficas; y

servicios provistos por terceras partes.

Se recomienda que se revisen los atributos demanera de asegurar que:

a) se han seleccionado atributos apropiados

para medir; yb) se ha definido la recoleccin de datos para

asegurar que se encuentre presente unnmero suficiente de atributos que permitauna medicin efectiva.

Se recomienda que slo se seleccionen losatributos que son pertinentes a la medida base.A pesar de que se recomienda que la seleccintome en consideracin el grado de dificultad enobtener los atributos a ser medidos, es conve-

niente que la misma no se realice nicamente

8/13/2019 27004 Iram Iso Iec

23/78


23

sobre datos de fcil obtencin o sobre los atri-butos fciles de medir.

7.5 Desarrollo de la estructura de medicin

7.5.1 Visin general

Este subcaptulo (7.5) describe el desarrollo dela estructura de medicin, desde 7.5.2 (la se-leccin de la medida) hasta 7.5.8 (las partesinteresadas).

7.5.2 Seleccin de la medida

Se recomienda identificar las medidas que sa-tisfagan potencialmente la necesidad de

informacin seleccionada, y que ellas se defi-nan con detalle suficiente de manera decolaborar con la seleccin de medidas a serimplementadas. Las medidas recientementeidentificadas pueden involucrar la adaptacinde medidas existentes.

NOTA. La identificacin de medidas base se encuentramuy relacionada con la identificacin del objeto de medi-cin y sus atributos.

Se recomienda seleccionar las medidas identi-ficadas que satisfagan potencialmente lasnecesidades de informacin. Se recomiendaque tambin se considere la informacin de con-texto necesaria para interpretar o normalizar lasmedidas.

NOTA. Se pueden seleccionar muchas combinaciones di-ferentes de medidas (por ejemplo: medidas base,medidas derivadas e indicadores) para cubrir necesidadesde informacin especficas.

Se recomienda que las medidas seleccionadasreflejen la prioridad de las necesidades de in-

formacin. Los ejemplos de criterios quepodran utilizarse para la seleccin de medidasincluyen:

facilidad para la recoleccin de los datos;

disponibilidad de los recursos humanos pararecolectar y gestionar los datos;

disponibilidad de las herramientas apropia-das;

nmero de indicadores potencialmente co-rrespondientes respaldados por las medidasbase;

facilidad para la interpretacin; nmero de usuarios de los resultados de

medicin desarrollados;

evidencia de cmo las medidas se adecuana los propsitos o necesidad de informacin;y

costos de recolectar, gestionar y analizar losdatos.

7.5.3 Mtodo de medicin

Se recomienda que para cada medida base in-dividual se defina un mtodo de medicin.Dicho mtodo de medicin se utiliza para cuan-tificar un objeto de medicin, a travs de latransformacin de los atributos en que se van aasignar a la medida base.

Un mtodo de medicin puede ser subjetivo uobjetivo. Los mtodos subjetivos se basan en lacuantificacin, involucrando el juicio humano,mientras que los mtodos objetivos utilizan lacuantificacin basada en reglas numricas, elcual se puede implementar por medios huma-nos o automticos.

El mtodo de medicin cuantifica los atributoscomo valores al aplicar la escala apropiada.Cada escala utiliza unidades de medicin. Slose comparan directamente las cantidades ex-presadas en la misma unidad de medicin.

Para cada mtodo de medicin, se recomiendaque se establezca y documente un proceso demedicin. Se recomienda que dicha verificacinasegure un nivel de confianza en el valor queser obtenido al aplicar el mtodo de medicinal atributo del objeto de medicin, y asignarlo auna medida base. Donde sea necesario asegu-rar validez de los valores, se recomienda quese normalicen y verifiquen a intervalos defini-dos las herramientas utilizadas para mediratributos.

8/13/2019 27004 Iram Iso Iec

24/78


24

Se debe tener en cuenta la precisin del mto-do de medicin y se recomienda registrar ladesviacin o varianza asociada.

Se recomienda que el mtodo de medicin seaconsistente a travs del tiempo, de manera quelos valores asignados a la medida base, toma-das en tiempos distintos, sean comparables, yque los valores asignados a una medida deri-vada y a un indicador tambin sean compa-rables.

7.5.4 Funcin de medicin

Por cada medida derivada individual, se reco-mienda que se defina una funcin de medicin,

la cual sea aplicable a dos o ms valores asig-nados a medidas base. Dicha funcin demedicin se utiliza para transformar los valoresasignados a una o ms medidas base, al valorque se va asignar a una medida derivada. Enalgunos casos, una medida base puede contri-buir directamente al modelo analtico ademsde una medida derivada.

Una funcin de medicin (por ejemplo, unclculo) puede involucrar una variedad detcnicas, tales como:promediar todos los valo-

res asignados a las medidas base, aplicarponderaciones a los valores asignados a lasmedidas base, o asignar valores cualitativos alos valores asignados a las medidas base, an-tes de utilizarlas para calcular el valor a serasignado a una medida derivada. La funcin demedicin puede combinar valores a ser asigna-dos a medidas base utilizando diferentesescalas, como porcentajes o resultados de eva-luaciones cualitativas.

7.5.5 Modelo analtico

Por cada indicador, se recomienda que se defi-na un modelo analtico con el propsito detransformar uno o ms valores asignados a unamedida base y/o derivada, en valores que sevan a asignar al indicador.

El modelo analtico combina medidas relevan-tes, de una manera que produzca una salidaque tenga significado para las partes interesa-das.

Se recomienda que se tenga en consideracinlos criterios de decisin que se aplicarn a unindicador, cuando se defina el modelo analtico.

Algunas veces un modelo analtico puede sertan simple como transformar un valor asignadoa una medida derivada, en un valor a ser asig-nado a un indicador.

7.5.6 Indicadores

Los valores a ser asignados a los indicadoresse producirn agregando valores establecidosa las medidas derivadas e interpretando stosvalores basados en los criterios de decisin. Serecomienda que se defina un formato para la

presentacin del indicador como parte del for-mato del informe (ver 7.7), por cada indicadorque se informe al cliente.

Los formatos para la presentacin de los indi-cadores presentarn visualmente las medidas yproveern una explicacin detallada de los in-dicadores. Se recomienda que se adapten losformatos para la presentacin de los indicado-res para cumplir con las necesidades deinformacin del cliente.

7.5.7 Criterios de decisin

Se recomienda que se definan y documentenlos criterios de decisin correspondiente a cadaindicador, basado en los objetivos de seguridadde la informacin, para proveer una gua de ac-cin a las partes interesadas. Se recomiendaque dicha gua se enfoque hacia las expectati-vas de progreso y los umbrales para iniciaracciones de mejora, basados en el indicador.

Los criterios de decisin establecen una meta a

travs de la cual se mide el xito (ver 5.3) yproveen una gua para interpretar el indicadoren relacin con su proximidad con dicha meta.

Es necesario definir las metas para cada temcon respecto al rendimiento de los procesos delSGSI y los controles, para el cumplimiento deobjetivos, y para la efectividad del SGSI que seest evaluado.

La alta direccin puede decidir no definir metaspara los indicadores hasta tanto no se recolec-ten los datos iniciales. Una vez que se

8/13/2019 27004 Iram Iso Iec

25/78


25

identifiquen las acciones correctivas basadasen los datos iniciales, se pueden definir los cri-terios de decisin apropiados y los hitos deimplementacin que sean realistas para elSGSI especfico. Si los criterios de decisin nose pueden establecer en este punto, se reco-mienda que la alta direccin evale si el objetode medicin y las medidas correspondientesrealmente proveen el valor esperado por la or-ganizacin.

Se puede facilitar el establecimiento de los cri-terios de decisin si se encuentran disponibleslos datos histricos que corresponden a lasmedidas desarrolladas o seleccionadas. Lastendencias observadas en el pasado proveern

la percepcin de los rangos de rendimiento quehan existido previamente y una gua en la crea-cin de criterios de decisin realistas. Loscriterios de decisin se pueden calcular o basaren un entendimiento conceptual de un compor-tamiento esperado. Los criterios de decisin sepueden derivar de datos histricos, planes, yheurstica, o calcular como lmites de controlestadsticos o intervalos de confianza estadsti-cos.

7.5.8 Partes interesadas

Por cada medida base y/o derivada, se reco-mienda que se identifiquen y documenten laspartes interesadas apropiadas. Las partes inte-resadas pueden incluir a los siguientes:

a) cliente de la medicin: la alta direccin uotras partes interesadas que solicitan o re-quieren informacin sobre la efectividad deun SGSI, controles o grupo de controles;

b) revisor de la medicin: la persona o unidad

organizacional que valida que las estructu-ras de medicin desarrolladas sonapropiadas para evaluar la efectividad deun SGSI, controles o grupo de controles;

c) propietario de la informacin: la persona ounidad organizacional que es responsablepor la informacin sobre un objeto de me-dicin y sus atributos y es responsable desu medicin;

d) recolector de informacin: la persona ounidad organizacional responsable por la

recoleccin, registro y almacenamiento delos datos; y

e) comunicador de la informacin: la personao unidad organizacional responsable por elanlisis de los datos y la comunicacin delos resultados medidos.

7.6 Estructura de medicin

Se recomienda que la especificacin de la es-tructura de medicin incluya como mnimo, lainformacin siguiente:

a) el propsito de la medicin;

b) el objetivo de control a alcanzar mediantelos controles, y controles especficos, gru-pos de control y procesos del SGSI a sermedidos;

c) el objeto de medicin;

d) los datos a recolectar y utilizar;

e) los procesos para la recoleccin y anlisisde los datos;

f) los procesos para informar los resultadosde las mediciones, incluyendo los formatosde los informes;

g) los roles y las responsabilidades de laspartes interesadas correspondientes; y

h) un ciclo para revisar las mediciones demanera de asegurar su utilidad en relacina la necesidad de informacin.

El anexo A provee un ejemplo de estructura de

medicin que incorpora todos los puntos antesmencionados [de a) a h)]. El anexo B proveeejemplos de estructuras de medicin aplicadaspara medir los procesos y controles de unSGSI.

7.7 Recoleccin, anlisis y reporte de losdatos

Se recomienda que se establezcan procedi-mientos para la recoleccin y anlisis de losdatos, y procesos para informar los resultadosdel desarrollo de las mediciones. Se recomien-

8/13/2019 27004 Iram Iso Iec

26/78


26

da que tambin se establezcan, de ser requeri-do, herramientas de soporte, equipamiento demedicin y tecnologas. Dichos procedimientos,herramientas, equipamiento para medicin ytecnologas se comprendern las siguientes ac-tividades:

a) la recoleccin de los datos, incluyendo elalmacenamiento y verificacin de ellos (ver8.3). Se recomienda que los procedimien-tos identifiquen cmo se colectan los datosa travs del mtodo de medicin utilizado,la funcin de medicin y el modelo analti-co. Se recomienda tambin indicar cmo ydnde se almacenarn los datos junto contoda la informacin de contexto necesaria

para entender y verificarlos. La verificacinse puede realizar contrastando los datoscon una lista de control, la cual se constru-ye para verificar que los datos faltantes sonmnimos, y que el valor que se asigna acada medida es vlido;

NOTA. La verificacin de los valores a ser asignadosa las medidas base se relaciona estrechamente conla verificacin del mtodo de medicin (ver 7.5.3).

b) el anlisis de los datos e informe de los re-sultados de las mediciones desarrolladas.

Se recomienda que el procedimiento espe-cifique las tcnicas de anlisis de datos(ver 9.2), y la frecuencia, formato y mto-dos para el reporte de los resultados de lasmediciones. Se recomienda que se identi-fique el conjunto de herramientas nece-sario para realizar el anlisis de datos.

Los ejemplos de formatos de reportes incluyen:

tablero de control para proveer informacin

estratgica a travs de la integracin de in-dicadores de alto nivel;

tablero de ejecucin y operaciones, menosenfocado a objetivos estratgicos y ms li-gado a la efectividad de controles y proce-sos especficos;

reportes, simples y estticos, por ejemplouna lista de medidas para un perodo detiempo dado, como tambin reportes mssofisticados con agrupamiento anidado,

resmenes rodantes, con hipervnculos

dinmicos. Los reportes se utilizan de mejormanera cuando el usuario necesita mirar adatos en crudo en un formato de fcil lectu-ra; y

indicadores para representar valores din-micos, incluyendo alertas, elementosgrficos adicionales y etiquetas de los pun-tos finales.

7.8 Implementacin y documentacin de lamedicin

Se recomienda que el enfoque general de lamedicin se documente en un plan de imple-mentacin, y que incluya, como mnimo, la

siguiente informacin:

a) la implementacin del Programa de medi-cin de la seguridad de la informacin parala organizacin;

b) las especificaciones de medicin siguien-tes:

1) la estructura de medicin genrica dela organizacin;

2) la estructura de medicin individual dela organizacin; y

3) la definicin del rango y procedimien-tos para la recoleccin y el anlisis delos datos;

c) el calendario planificado para desarrollarlas actividades de medicin;

d) los registros generados a travs de la rea-lizacin de las actividades de medicin,incluyendo los datos recolectados y los re-gistros analizados; y

e) los formatos de reporte para los resultadosde las mediciones a ser informados a la al-ta direccin / partes interesadas (ver IRAM-ISO/IEC 27001:2007 captulo 7 Revisinpor la alta direccin).

8/13/2019 27004 Iram Iso Iec

27/78


27

8 OPERACIN DE MEDICIN

8.1 Visin general

La operacin de medicin de la seguridad de lainformacin comprende actividades que sonesenciales para asegurar que los resultados delas mediciones proporcionan informacin preci-sa con respecto a la efectividad de un SGSI,controles o grupos de controles implementadosy la necesidad de acciones apropiadas de me-jora.

Esta actividad incluye lo siguiente:

a) integrar procedimientos de medicin dentrode la operacin general del SGSI;

b) recolectar, almacenar y verificar los datos.

8.2 Integracin del procedimiento

Se recomienda que el Programa de medicinde la seguridad de la informacin se integre yuse por completo dentro del SGSI. Se reco-mienda que los procedimientos de medicin secoordinen con la operacin del SGSI, incluyen-

do:a) la definicin y documentacin de roles, au-

toridades y responsabilidades, con respec-to al desarrollo, implementacin ymantenimiento de la medicin de la seguri-dad de la informacin;

b) la recoleccin de datos, y, cuando sea ne-cesario, la modificacin de la operacinhabitual del SGSI para alinear las activida-des de generacin y recoleccin de datos;

c) la comunicacin a las partes interesadaspertinentes de los cambios en las activida-des de recoleccin de datos;

d) el mantenimiento de la competencia de losrecolectores de informacin y el entendi-miento de los tipos de datos requeridos,herramientas y procedimientos de recolec-cin de datos;

e) el desarrollo de polticas y procedimientos,

que defina el uso de mediciones dentro de

la organizacin, la distribucin de la infor-macin de medicin, la auditora y larevisin del Programa de la medicin de laseguridad de la informacin;

f) la integracin del anlisis y los reportes dedatos dentro de procesos relevantes, paraasegurar su rendimiento regular;

g) el seguimiento y control, la revisin y laevaluacin de los resultados de la medi-cin;

h) el establecimiento de un proceso que eli-mine y agregue mediciones, para asegurarque se ajuste a la evolucin de la organi-

zacin; y

i) el establecimiento de un proceso para de-terminar la vida til de los datos histricosy los anlisis de tendencias.

8.3 Recoleccin, almacenamiento y verifi-cacin de los datos

Las actividades de recoleccin, almacenamien-to y verificacin de los datos incluyen losiguiente:

a) recoleccin de los datos requeridos dentrode intervalos regulares utilizando un mto-do de medicin definido;

b) documentacin de la recoleccin de datos,incluyendo:

1) fecha, hora y ubicacin de la recolec-cin de los datos;

2) recolector de la informacin;

3) propietario de la informacin;

4) cualquier asunto que haya ocurrido du-rante la recoleccin de los datos quepueda ser til;

5) informacin para la verificacin de losdatos y validacin de la medicin.

c) verificar los datos recolectados contra loscriterios de seleccin de las mediciones y

8/13/2019 27004 Iram Iso Iec

28/78


28

criterios de validacin de las estructurasde medicin.

Se recomienda que los datos recolectados ycualquier informacin de contexto necesaria seconsolide y almacene en un formato registrablepropicio para un anlisis de los datos.

9 ANLISIS DE DATOS E INFORME DERESULTADOS DE LAS MEDICIONES

9.1 Visin general

Se recomienda que los datos recolectados se

analicen para desarrollar resultados de las me-diciones y que estos se comuniquen.

Dicha actividad incluye lo siguiente:

a) anlisis de datos y desarrollo de resultadosde las mediciones; y

b) comunicacin de los resultados de las me-diciones a las partes interesadas corres-pondientes.

9.2 Anlisis datos y generacin de resulta-dos de las mediciones

Se recomienda que los datos recolectados seanalicen e interpreten dentro de los trminos delos criterios de decisin. Los datos pueden seragregados, transformados o codificados nue-vamente antes de su anlisis. Durante estatarea, se recomienda que se procesen los da-tos para producir los indicadores. Se puedenaplicar varias tcnicas de anlisis. Se reco-mienda que la profundidad del anlisis sedetermine por la naturaleza de los datos y lanecesidad de informacin.

NOTA. En la ISO/TR 10017 (Guidance on statistical tech-niques for ISO 9001) se puede encontrar una gua para eldesarrollo del anlisis estadstico.

Se recomienda que se interpreten los resulta-dos de los anlisis. Se recomienda que lapersona que analiza los resultados (comunica-dor), sea capaz de generar conclusionesiniciales basadas en ellos. Sin embargo, debido

a que el/los comunicador/es pueden no estar

directamente involucrados en los procesostcnicos y de gestin, tales conclusiones necesi-tan ser revisadas por otras partes interesadas.Se recomienda que todas las interpretacionestengan en cuenta el contexto de las medidas.

Se recomienda que el anlisis de datos identifi-que brechas entre los resultados esperados demediciones de un SGSI implementado, contro-les o grupos de controles, y los resultadosreales. Las brechas identificadas indicarn lasnecesidades de mejora del SGSI implementa-do, incluyendo su alcance, polticas, objetivos,controles, procesos y procedimientos.

Se recomienda que se identifiquen aquellos in-

dicadores que demuestran incumplimiento obajo rendimiento y puedan ser clasificados dela manera siguiente:

a) falla del plan de tratamiento de riesgos pa-ra implementar (o implementar satisfac-toriamente), operar y gestionar controles oprocesos del SGSI (por ejemplo, que unaamenaza pase por alto controles y proce-sos del SGSI);

b) falla en la evaluacin de riesgos:

1) los controles o los procesos del SGSIson inefectivos debido a que son insu-ficientes para, contrarrestar amenazasestimadas (por ejemplo, debido a laprobabilidad de que una amenazahaya sido subestimada) o para contra-rrestar nuevas amenazas;

2) los controles o los procesos del SGSIno se encuentran implementados, de-bido a haber pasado por alto

amenazas.

Se recomienda que los informes que son utili-zados para comunicar los resultados de lasmediciones a las partes interesadas, se prepa-ren utilizando formatos de informes apropiados(ver 7.7) de acuerdo con el plan de implemen-tacin del Programa de medicin de laseguridad de la informacin.

Se recomienda que las conclusiones de losanlisis sean revisadas por las partes interesa-das relevantes, de manera de asegurar la

8/13/2019 27004 Iram Iso Iec

29/78


29

interpretacin apropiada de los datos. Se re-comienda que el resultado del anlisis de datosse documente para ser comunicado a las par-tes interesadas.

9.3 Comunicacin de los resultados de lasmediciones

Se recomienda que el comunicador de la infor-macin determine cmo comunicar los resulta-dos de la medicin de la seguridad de lainformacin, tales como:

cules resultados de mediciones se van a in-formar interna y externamente;

hacer listados de las mediciones correspon-dientes a partes interesadas individuales, yotras partes interesadas;

proveer resultados de mediciones especfi-cos, y el tipo de presentacin, adaptada alas necesidades de cada grupo; y

establecer los medios para obtener respues-tas de las partes interesadas, que se van autilizar para evaluar la utilidad de los resul-tados de las mediciones y la efectividad del

Programa de medicin de la seguridad de lainformacin.

Se recomienda que los resultados de las medi-ciones se comuniquen a una variedad departes interesadas internas incluyendo, comomnimo, a:

clientes de la medicin (ver 7.5.8);

propietarios de la informacin (ver 7.5.8);

personal a cargo de la gestin del riesgo dela seguridad de la informacin, especialmen-te donde se han identificado fallas en laevaluacin del riesgo; y

personal que es responsable por las reasen las que se ha identificado una necesidadde mejora.

La organizacin puede requerir en algunos ca-sos distribuir informes de resultados de

mediciones a partes externas, incluyendo auto-

ridades reguladoras, accionistas, clientes yproveedores. Se recomienda que los informesde los resultados de las mediciones que se dis-tribuyan externamente, contengan slo datosque sean apropiados para ser entregados ex-ternamente, y que sean aprobados por la altadireccin y por las partes interesadas corres-pondientes antes de su entrega.

10 EVALUACIN Y MEJORA DELPROGRAMA DE MEDICIN DE LASEGURIDAD DE LA INFORMACIN

10.1 Visin general

Se recomienda que la organizacin evale a in-tervalos planificados lo siguiente:

a) la efectividad del Programa de medicin dela seguridad de la informacin de manerade asegurar que:

1) produce resultados de mediciones deuna manera efectiva;

2) se ejecuta segn lo planificado;

3) trata los cambios en el SGSI imple-mentado y/o en los controles;

4) trata los cambios en el ambiente (porejemplo, requerimientos, legislacin otecnologa); y

b) la utilidad de los resultados de medicionesdesarrolladas, para asegurar que los mis-mos satisfacen las necesidades de infor-macin relevantes.

Se recomienda que la alta direccin especifiquela frecuencia de dicha evaluacin, planifique re-visiones peridicas y establezca los mecanismospara hacer posibles dichas mediciones (ver cap-tulo 7.2 de IRAM-ISO/IEC 27001:2007).

Se recomienda que las actividades relevantessean las siguientes:

8/13/2019 27004 Iram Iso Iec

30/78


30

1) identificacin de los criterios de evaluacindel Programa de medicin de la seguridadde la informacin (ver 10.2);

2) seguimiento, control, revisin y evaluacinde las mediciones (ver 10.3); e

3) implementacin de las mejoras (ver 10.4).

10.2 Identificacin del criterio de evaluacindel Programa de medicin de la seguridadde la informacin

Se recomienda que la organizacin defina crite-rios para evaluar la efectividad del Programa demedicin de la seguridad de la informacin, as

como la utilidad de los resultados de las medi-ciones desarrolladas. Se recomienda que elcriterio se defina al inicio de la implementacindel PMSI, teniendo en cuenta el contexto de losobjetivos tcnicos y de negocio de la organiza-cin.

Cuando las organizaciones tienen que evaluary mejorar el Programa de medicin de la segu-ridad de la informacin, los criterios msprobables a utilizar son:

cambios en los objetivos de negocio de laorganizacin;

cambios de requerimientos legales o regula-torios y obligaciones contractuales en laseguridad de la informacin;

cambios en los requerimientos de la organi-zacin sobre la seguridad de la informacin;

cambios en los riesgos de la seguridad de lainformacin de la organizacin;

aumento en la disponibilidad de datos msrefinados o adecuados, y/o mtodos pararecolectar datos con el propsito de medir; y

cambios en el objeto de medicin y/o susatributos.

Para evaluar los resultados de medicin des-arrollados se pueden aplicar los criteriossiguientes:

a) los resultados de medicin son:

1) sencillos de entender;

2) comunicados a tiempo; y

3) objetivos, comparables y reproduci-bles.

b) los procesos establecidos para desarrollarresultados de las mediciones son:

1) bien definidos;

2) sencillos de operar; y

3) seguidos apropiadamente.

c) los resultados de las mediciones son tilespara mejorar la seguridad de la informa-cin;

d) los resultados de las mediciones tratan lasnecesidades de informacin correspon-dientes.

10.3 Seguimiento, control, revisin y eva-luacin del Programa de medicin de la

seguridad de la informacin

Se recomienda que la organizacin siga, con-trole, revise y evale su Programa de medicinde la seguridad de la informacin contra los cri-terios establecidos (ver 10.2).

Se recomienda que la organizacin identifiquepotenciales necesidades de mejora del Pro-grama de medicin de la seguridad de lainformacin, incluyendo:

a) revisar o remover estructuras de medicinadoptadas que ya no son apropiadas; y

b) reasignar recursos para dar soporte alPrograma de gestin de la seguridad de lainformacin.

Se recomienda que la organizacin tambinidentifique necesidades potenciales de mejoradel SGSI implementado, incluyendo su alcance,polticas, objetivos, controles, procesos y pro-cedimientos; y documente las decisiones de laalta direccin para permitir la comparacin y el

8/13/2019 27004 Iram Iso Iec

31/78


31

anlisis de tendencias durante las revisionessubsecuentes.

Se recomienda que el resultado de dicha eva-luacin y las potenciales necesidades demejora identificadas, se comuniquen a las par-tes interesadas relevantes de manera depermitir la toma de decisiones con respecto amejoras necesarias.

Se recomienda que la organizacin asegure laobtencin de respuesta de las partes interesa-das sobre los resultados de esta evaluacin ysobre las potenciales necesidades de mejoraidentificadas, as como tambin, que la organi-zacin entienda que dicha respuesta es uno de

los datos de entrada con respecto a la efectivi-dad del Programa de medicin de la seguridadde la informacin.

10.4 Implementar mejoras

Se recomienda que la organizacin asegure quelas partes interesadas correspondientes identifi-quen las necesidades de mejora del Programade medicin de la seguridad de la informacin(ver 7.3 e) de la IRAM-ISO/IEC 27001:2007). Serecomienda que las mejoras identificadas seanaprobados por la alta direccin y que los planesaprobados se documenten y comuniquen a laspartes interesadas apropiadas.

Se recomienda que la organizacin asegureque las mejoras aprobadas del Programa demedicin de la seguridad de la informacin seimplementen segn lo planificado.

La organizacin puede aplicar tcnicas de ges-tin de proyectos para cumplir con las mejoras.

8/13/2019 27004 Iram Iso Iec

32/78


32

Anexo A(Informativo)

Plantilla para estructurar la medicin de la seguridad de la informacin

El anexo A provee una plantilla de ejemplo de una estructura de medicin de la seguridad de la in-formacin que incluye todos los componentes identificados en 7.5 como los descriptos en 5.4. Lasorganizaciones pueden modificar la plantilla de acuerdo a sus necesidades.

Identificacin de la estructura de medicin

Nombre de la estructurade medicin

Nombre de la medicin

Identificador numrico Identificador numrico nico especfico de la organizacin

Propsito de la estructu-

ra de medicin

Describe las razones para introducir la medicin

Objetivo del control /proceso

Objetivo del control/proceso bajo medicin (planificado o imple-mentado)

Control(1)/proceso(1) Control/proceso bajo medicin

Control(2)/proceso(2)Opcional: controles/procesos adicionales dentro del agrupamien-to, incluidos en la misma medida, de ser aplicable (planificadas oimplementadas).

Objeto de medicin y atributos

Objeto de medicinObjeto (entidad) que se caracteriza a travs de la medicin desus atributos. Un objeto puede incluir procesos, planes, proyec-tos, recursos y sistemas o componentes de sistemas.

AtributoPropiedad o caracterstica de un objeto de medicin que puededistinguirse cuantitativa o cualitativamente, por medios manualeso automatizados.

Especificacin de medidas base (para cada medida base [1n])

Medida base

Una medida base es definida en trminos de un atributo y elmtodo de medicin especificado para cuantificarlo (por ejemplola cantidad de personas entrenadas, cantidad de ubicaciones,costo acumulativo a la fecha). A medida de que los datos son re-colectados, se asigna un valor a la medida base

Mtodo de medicin Secuencia lgica de operaciones utilizadas para cuantificar unatributo con respecto a la escala especificada.

Tipo de mtodo de me-dicin

Dependiendo de la naturaleza de las operaciones utilizadas paracuantificar un atributo, se pueden identificar dos tipos de mto-dos:

- Subjetivo: cuantificacin que involucra el juicio humano

- Objetivo: cuantificacin basada en reglas numricas tal co-mo contar.

Escala Conjunto ordenado de valores o categoras con las cuales semapean los atributos de las medidas base.

Tipo de escala Dependiendo de la naturaleza de la relacin entre los valores en

8/13/2019 27004 Iram Iso Iec

33/78


33

la escala, normalmente se definen cuatro tipos de escalas: nomi-nal, ordinal, intervalo y ratios.

Unidad de medicinCantidad particular, definida y adoptada por convencin, con lacual cualquier otra cantidad del mismo tipo se puede comparar

para expresar la proporcin de dos cantidades como un nmero.Especificacin de medida derivada

Medida derivadaUna medida que se obtiene en funcin de dos o ms medidasbase

Funcin de medicin

Algoritmo o clculo realizado para combinar dos o ms medidasbase. La escala y unidad de la medida derivada depende de lasescalas y unidades de las medidas base que la componen, ascomo tambin de cmo se combinan las mismas en la funcin.

Especificacin del indicador

Indicador

Medida que provee una estimacin o evaluacin de atributos es-

pecficos, derivados de un modelo analtico con respecto a unadeterminada necesidad de informacin. Los indicadores son labase para el anlisis y la toma de decisiones.

Modelo analtico

Algoritmo o clculo que combina una o muchas medidas base y/oderivadas con criterios de decisin asociados. Se basa en un en-tendimiento o suposicin sobre las relaciones esperadas entre lamedida base y/o la medida derivada y/o su comportamiento en eltiempo. Un modelo analtico produce estimaciones o evaluacio-nes que corresponde a una necesidad de informacin definida.

Especificacin de los criterios de decisin

Criterios de decisinUmbrales, objetivos o patrones utilizados para determinar la ne-cesidad de una accin o investigacin adicional, o para describirel nivel de confianza en un resultado dado. Los criterios de deci-sin son tiles para interpretar los resultados de la medicin.

Resultados de medicin

Interpretacin de un in-dicador

Una descripcin de cmo se recomienda interpretar el indicadorde la muestra (ver la figura de muestra en la descripcin del indi-cador).

Formatos de los infor-mes

Se recomienda que los formatos de los informes se identifiquen ydocumenten. Describen las observaciones que la organizacin oel propietario de la informacin pueden querer en los registros.

Los formatos de los informes representarn visualmente las me-didas y proveern una explicacin verbal de los indicadores. Serecomienda que los formatos de los informes se adapten al clien-te de la informacin.

Partes interesadas

Cliente de la medicinLa alta direccin u otra parte interesada que requiera o solicite in-formacin sobre la efectividad del SGSI, controles o grupos decontrol.

Revisor de la medicinPersona o unidad organizacional que valida que las estructurasde medicin desarrolladas son apropiadas para evaluar la efecti-

vidad del SGSI, controles o grupo de controles.

8/13/2019 27004 Iram Iso Iec

34/78

8/13/2019 27004 Iram Iso Iec

35/78


35

Anexo B(Informativo)

Ejemplos de estructuras de medicin

Los siguientes captulos proveen ejemplos de estructuras de medicin. stos ejemplos tienen la in-tencin de demostrar como aplicar esta Norma Internacional utilizando la plantilla provista en elanexo A.

Tabla de contenidos

B.1 Entrenamiento del SGSIB.1.1 Personal entrenado en el SGSIB.1.2 Entrenamiento en Seguridad de la Informacin

B.1.3 Concientizacin en el Cumplimiento de la Seguridad de laInformacinB.2 Polticas de contraseasB.2.1 Calidad de las contraseasmanualB.2.2 Calidad de las contraseasautomticaB.3 Proceso de revisin del SGSIB.4 Mejora continua de la gestin de incidentes de la seguridad

de la informacin del SGSIB.4.1 EfectividadB.4.2 Implementacin de acciones correctivasB.5 Compromiso de la alta direccinB.6 Proteccin contra cdigo malicioso

B.7 Controles fsicos de entradaB.8 Revisin de los archivos de registro de actividadesB.9 Gestin de la periodicidad del mantenimientoB.10 Seguridad en acuerdos con terceras partes

Procesos y controles relacionados

(captulo en IRAM-ISO/IEC 27001:2007 o nmero de control

en el anexo A)

Ejemplos deestructurasde medicinrelacionadas

(referencia eneste anexo)

Nombres de los ejemplos deestructuras de medicin

Captulo 4.2.2 h) B.4.1 Efectividad de la gestin deincidentes de la seguridad dela informacin

Captulo 5.2.2 d) B.1.1 Personal entrenado en elSGSI

Captulo 8.2 B.4.2 Implementacin de una accincorrectiva

Control A.6.1.8 B.3 Proceso de revisin del SGSI

Control A.6.1.1 y A.6.1.2 B.5 Compromiso de la alta direc-cin

Control A.6.2.3 B.10 Seguridad en acuerdos con

8/13/2019 27004 Iram Iso Iec

36/78


36

terceras partes

Control A.8.2 y A.8.2.2 B.1.2 Entrenamiento en seguridadde la informacin

Control A.8.2 y A.8.2.2 B.1.3 Concientizacin en el cumpli-miento de la seguridad de lainformacin

Control A.9.1.2 B.7 Controles fsicos de entrada

Control A.9.2.4 B.9 Gestin del mantenimiento pe-ridico

Control A.10.4.1 B.6 Proteccin contra cdigo mali-cioso

Control A.10.10.1 y A.10.10.2 B.8 Revisin de los archivos deregistro de actividades

Control A.11.3.1 B.2.1 Calidad de las contraseas manual

Control A.11.3.1 B.2.2 Calidad de las contraseas automtica

B.1 Entrenamiento en el SGSI

B.1.1 Personal entrenado en el SGSI

Identificacin de la estructura de la medicin

Nombre de la estructura de

medicinPersonal entrenado en el SGSI

Identificacin numrica Especfica de la organizacin

Propsito de la construc-cin de medicin

Establecer el cumplimiento del control con las polticas deseguridad de la informacin de la organizacin

Objetivo de control/procesoCaptulo 5.2.2 [27001:2007]. Formacin, toma de con-ciencia y competencia

Control (1)/proceso (1)

Captulo 5.2.2.d [27001:2007]. Formacin, toma de con-ciencia y competencia.

La organizacin debe asegurar que todo el personal alque se asigne responsabilidades definidas en el SGSI

sea competente para realizar las tareas exigidas, me-diante:

d) el mantenimiento de registros de la educacin, forma-cin, habilidades, experiencia y calificaciones.

Control (2)/proceso (2)Opcional: controles adicionales dentro del agrupamientoincluidos en la misma medida, si son aplicable (planeadao implementada)


Objeto de medicin Base de datos de empleados

Atributo Registros de entrenamiento

8/13/2019 27004 Iram Iso Iec

37/78


37

Especificacin de la medida base (1)

Medida base

Nmero de empleados que recibieron entrenamiento enel SGSI de acuerdo al plan anual de entrenamiento.

Nmero de empleados que deben recibir entrenamientoen el SGSI.

Mtodo de medicinCantidad de registros con columnas/filas de formacin enSGSI rellenas como Recibidas

Tipo de mtodo de medi-cin Objetivo

Escala Numrica

Tipo de escala Proporcin

Unidad de medicin Empleados

Especificacin de la medida derivada

Medida derivada Porcentaje del personal entrenado en el SGSSI

Funcin de medicinLa cantidad de empleados que recibieron formacin en elSGSI / la cantidad de empleados que tienen que recibirformacin en el SGSI * 100


Indicador

Uso de identificadores de color. Grfico de barras querepresenta cumplimiento en varios perodos de reportecon respecto a los umbrales (rojo, amarillo, verde) defini-dos por el Modelo analtico. Se recomienda que elnmero de perodos informados a usar en la tabla los de-

fina la organizacin.

Modelo analtico0-60% - Rojo; 60-90% - Amarillo; 90-100% Verde. ParaAmarillo, si el progreso es menor a 10% por trimestre, lacalificacin pasa automticamente a ser roja.

Especificacin de los criterios de decisin

Criterios de decisin

Rojo - se requiere intervencin, es necesario efectuar unanlisis de las causas para determinar las razones del nocumplimiento o rendimiento pobre

Amarillose recomienda que se siga de cerca este indi-cador por la posibilidad de que se deslice a Rojo

Verde - no se requiere accin.

Medicin del resultado

Interpretacin del indicador Especifico de la organizacin.

Formatos de reporte

Grfico de barras con codificacin de colores en funcina los criterios de decisin. Se recomienda adjuntar algrfico de barras una breve descripcin del significado dela medida y las posibles acciones de la alta direccin.

Partes Interesadas

Cliente de la medicin Gerentes responsables del SGSI

Revisor de la medicin Gerentes responsables del SGSI

8/13/2019 27004 Iram Iso Iec

38/78


38

Propietario de la Informa-cin

Responsable de entrenamiento - Recursos humanos.

Recolector de la informa-cin

Departamento de gestin de entrenamiento - Recursoshumanos

Comunicador de la infor-macin

Gerentes responsables del SGSI

Frecuencia/Perodo

Frecuencia de la recolec-cin de datos

Mensualmente, primer da hbil de cada mes.

Frecuencia del anlisis dedatos

Trimestral

Frecuencia de informe delos resultados de la medi-cin

Trimestral

Revisin de la medicin Revisar anualmente

Periodo de medicin Anual

B.1.2 Entrenamiento en seguridad de la informacin

Identificacin de la estructura de medicin

Nombre de la estructura demedicin

Entrenamiento en seguridad de la informacin

Identificador numrico Especfico de la organizacin

Propsito de la estructurade medicin

Evaluar el cumplimiento de los requerimientos sobre en-trenamiento anual en concientizacin sobre Seguridad dela informacin

Objetivo delcontrol/proceso

A.8.2 Durante el empleo

Objetivo: asegurar que los empleados, contratistas yusuarios de terceras partes sean conscientes de lasamenazas y preocupaciones de la seguridad de la infor-macin, sus responsabilidades y obligaciones, y estnpreparados para respaldar las polticas de seguridad or-ganizacional en el curso de su trabajo normal, y parareducir el riesgo de error humano.

Control(1)/proceso(1)

A.8.2.2 [27001:2007] Concientizacin, educacin y entre-namiento en seguridad de la informacin.

Todos los empleados de la organizacin y, cuando seapertinente, los contratistas y usuarios de terceras partesdeben recibir una apropiada concientizacin y actualiza-ciones regulares en las polticas y procedimientosorganizacionales, que sean importantes para su tarea.


Objeto de medicin Base de datos de empleados

Atributo Registros de entrenamientos

8/13/2019 27004 Iram Iso Iec

39/78


39

Especificacin de medida base(1)

Medida base

Cantidad de empleados que recibieron entrenamientoanual sobre concientizacin en seguridad de la informa-cin.

Nmero de empleados que necesitan recibir entrena-miento anual sobre concientizacin en seguridad de lainformacin.

Mtodo de medicinCantidad de registros / registros con campo sobre el en-trenamiento anual en concientizacin sobre seguridad dela informacin / registros marcados como Recibidos.

Tipo de mtodo de medi-cin

Objetivo

Escala Numrica

Tipo de escala Proporcin

Unidad de medicin Empleado

Especificacin de medida derivada

Medida derivadaPorcentaje del personal que ha recibido el entrenamientoanual sobre concientizacin en seguridad de la informa-cin

Funcin de medicin

Nmero de empleados que han recibido entrenamientoanual en concientizacin sobre seguridad de la informa-cin / nmero de empleados que necesitan recibirentrenamiento anual en concientizacin sobre seguridadde la informacin * 100


Indicador

Grfico de barras mostrando cumplimiento sobre variosperodos de reporte, en relacin con los umbrales (rojo,verde, amarillo, con identificadores de colores) definidospor el Modelo analtico. Se recomienda que la organiza-cin defina el nmero de perodos de reporte a utilizar enel grfico.

Modelo analtico

0-60% - Rojo; 60-90% - Amarillo; 90-100% - Verde. ParaAmarillo, si no se alcanza un progreso de al menos 10%por trimestre, la calificacin pasa a ser automticamente

roja.Especificacin de los criterios de decisin

Criterios de decisin

Rojose requiere intervencin, se debe conducir unanlisis de las causas para determinar las razones delno-cumplimiento o del rendimiento pobre.

Amarillose recomienda que el indicador se observe decerca por posible movimiento a rojo

Verdeno se requiere ninguna accin.

Resultados de la medicin

Interpretacin del indicador Especfico de la organizacin

8/13/2019 27004 Iram Iso Iec

40/78


40

Formatos de reporte

Grfico de barras con los colores de las barras codifica-dos en base a los criterios de decisin. Se recomiendaque se adjunte al grfico de barras un resumen de lo quesignifica la medicin y las posibles acciones de la alta di-

reccin.Partes interesadas

Cliente de la medicinGerentes responsables por el SGSI. Gerencia

27004 Iram Iso Iec

Documents

Transcript of 27004 Iram Iso Iec