ISO-IEC 27004-2012 NTP

7/18/2019 ISO-IEC 27004-2012 NTP

http://slidepdf.com/reader/full/iso-iec-27004-2012-ntp 1/79

NORMA TÉCNICA NTP-ISO/IEC 27004PERUANA 2012

Comisión de Normalización y de Fiscalización de Barreras Comerciales No Arancelarias-INDECOPI

Calle de La Prosa 104, San Borja (Lima 41) Apartado 145 Lima, Perú

TECNOLOGÍA DE LA INFORMACIÓN. Técnicas deseguridad. Gestión de la seguridad de la información.Medición

INFORMATION TECHNOLOGY. Security techniques. Information security management. Measurement

(EQV. ISO/IEC 27004:2009 Information technology -- Security techniques -- Information securitymanagement -- Measurement)

2012-09-191ª Edición

R.0084-2012/CNB-INDECOPI. Publicada el 2012-10-12 Precio basado en 72 páginasI.C.S.: 35.040 ESTA NORMA ES RECOMENDABLEDescriptores: Tecnología, información, técnica, seguridad, gestión, medición

PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL

7/18/2019 ISO-IEC 27004-2012 NTP


i

ÍNDICE

página

ÍNDICE i

PREFACIO ii

0. INTRODUCCIÓN iv

1. OBJETO 1

2. REFERENCIAS NORMATIVAS 1

3. TÉRMINOS Y DEFINICIONES 2

4. ESTRUCTURA DE ESTA NORMA TÉCNICA PERUANA 6

5. VISIÓN GENERAL SOBRE LA MEDICIÓN DE LA 7SEGURIDAD DE LA INFORMACIÓN

6. RESPONSABILIDADES DE LA DIRECCIÓN 18

7. DESARROLLO DE MEDIDAS Y MEDICIONES 20

8. OPERACIÓN DE MEDICIÓN 31

9. ANÁLISIS DE DATOS Y REPORTE DE LOS RESULTADOS 33DE LA MEDICIÓN

10. EVALUACIÓN Y MEJORA DEL PROGRAMA DE 36MEDICIÓN DE SEGURIDAD DE LA INFORMACIÓN

ANEXO A (Informativo) PLANTILLA PARA UN 41CONSTRUCTOR DE MEDICION DE SEGURIDAD DELA INFORMACION

ANEXO B (Informativo) EJEMPLOS DE CONSTRUCTORES 43

DE MEDICION


7/18/2019 ISO-IEC 27004-2012 NTP


ii

PREFACIO

A. RESEÑA HISTÓRICA

A.1 La presente Norma Técnica Peruana ha sido elaborada por el ComitéTécnico de Normalización de Codificación e intercambio electrónico de datos, medianteel Sistema 1 o de Adopción, durante los meses de junio a julio de 2012, utilizando comoantecedente a la norma ISO/IEC 27004:2009 Information technology -- Securitytechniques -- Information security management -- Measurement).

A.2 El Comité Técnico de Normalización de Codificación e intercambioelectrónico de datos presentó a la Comisión de Normalización y de Fiscalización de

Barreras Comerciales No Arancelarias –CNB-, con fecha 2012-08-03, el PNTP-ISO/IEC 27004:2012, para su revisión y aprobación, siendo sometido a la etapa dediscusión pública el 2012-08-16. No habiéndose presentado observaciones fueoficializada como Norma Técnica Peruana NTP-ISO/IEC 27004:2012TECNOLOGÍA DE LA INFORMACIÓN. Técnicas de seguridad. Gestión de laseguridad de la información. Medición, 1ª Edición, el 12 de octubre de 2012.

A.3 Esta Norma Técnica Peruana es una adopción de la norma ISO/IEC27004:2009. La presente Norma Técnica Peruana presenta cambios editoriales referidos

principalmente a terminología empleada propia del idioma español y ha sidoestructurada de acuerdo a las Guías Peruanas GP 001:1995 y GP 002:1995.

B. INSTITUCIONES QUE PARTICIPARON EN LA ELABORACIÓNDE LA NORMA TECNICA PERUANA

Secretaría GS1 PERU

Presidente Roberto Puyó

Secretaria Mary Wong


7/18/2019 ISO-IEC 27004-2012 NTP


iii

ENTIDAD REPRESENTANTE

ASSENDA S.A.C. Milagros MontenegroDaniella Orellana

B2IMPROVE S.A.C. Belén Alvarado

CONSEJO NACIONAL DE LA MAGISTRATURA Ricardo Dioses

CONSULTOR Carlos Horna

DELOITTE & TOUCHE S.R.L. Christiam GarrattDiana Lagos

DISTRIBUIDORA MAYORISTA SYMBOL S.A. Adela BarcenasWalter Equizabel

FOLIUM S.A.C. Roberto Huby

INDECOPI Judith BlancoMartha Arce

INTERNATIONAL ANALYTICAL SERVICE S.A.C. Raúl Miranda

OFICINA DE NORMALIZACION PREVISIONAL Roberto Puyó

PONT. UNIV. CATOLICA DEL PERU Viktor KhlebnikovWilly Carrera

PRESIDENCIA DEL CONSEJO Max LázaroDE MINISTROS Cesar Vilchez

SUPERINTENDENCIA DE ADMINISTRACION Daniel LlanosTRIBUTARIA – SUNAT Janet Sánchez

TECNOLOGÍA FLEXOGRAFICA S.A. Luis ChávezRaúl Adriazola

TCI S.A. Renzo Alcántara

WEB TECHNOLOGY Ana Otoya

GS1 PERU Tatiana Peña


7/18/2019 ISO-IEC 27004-2012 NTP


iv

INTRODUCCIÓN(ISO)

0.1 General

Esta Norma Técnica Peruana provee guías para el desarrollo y uso de medidas ymediciones, con el objetivo de evaluar la efectividad de un sistema de gestión deseguridad de la información (SGSI) implantado y los controles o grupo de controlescomo se especifica en ISO/IEC 27001.

Esto incluiría políticas, gestión del riesgo de seguridad de la información, objetivos decontrol, controles, procesos y procedimientos y apoyo al proceso de revisión, ayudando

a determinar si alguno de los procesos o controles del SGSI debe ser cambiado omejorado. Es necesario tener en cuenta que ninguna medida de control puede garantizaruna seguridad completa.

La aplicación de este enfoque constituye un Programa de Medición de Seguridad de laInformación. El Programa de Medición de Seguridad de la Información ayudará a ladirección a identificar y evaluar no conformidades así como controles y procesosineficaces del SGSI pudiendo dar prioridad a las acciones relacionadas con la mejora ocambio de estos procesos o controles. También puede ayudar a la organización ademostrar conformidad con ISO/IEC 27001 y proporcionar evidencia adicional para larevisión por la dirección y los procesos de gestión del riesgo de seguridad de lainformación.

Esta Norma Técnica Peruana asume que el punto de partida para el desarrollo demétricas y mediciones está en una buena comprensión de los riesgos de seguridad de lainformación a los que una organización se enfrenta y que las actividades de evaluacióndel riesgo de una organización se han realizado correctamente (es decir, basadas enISO/IEC 27005), como exige la norma ISO/IEC 27001. El Programa de Medición deSeguridad de la Información fomentará que una organización proporcione informaciónfiable a las partes interesadas sobre sus riesgos de seguridad de la información y lasituación del SGSI implantado para la gestión de estos riesgos.

La aplicación efectiva de un Programa de Medición de Seguridad de la Informaciónaumentará la confianza de las partes interesadas en los resultados de la medición, y

permitirá a estas partes interesadas usar estas medidas para llevar a cabo la mejoracontinua de la seguridad de la información y del SGSI.


7/18/2019 ISO-IEC 27004-2012 NTP


v

Los resultados de la medición acumulada permitirán la comparación del progreso en ellogro de los objetivos de seguridad de la información durante un período de tiempo,como parte de un proceso de mejora continua del SGSI de una organización.

0.2 Visión general de la gestión

ISO/IEC 27001 requiere a la organización "realizar revisiones periódicas de laefectividad del SGSI teniendo en cuenta los resultados de la medición de la eficacia" y"medir la eficacia de los controles para verificar que los requisitos de seguridad se hancumplido". ISO/IEC 27001 también requiere a la organización "definir cómo medir laeficacia de los controles seleccionados o grupos de controles y especificar cómo estasmedidas se van a utilizar para evaluar la eficacia del control para obtener resultadoscomparables y reproducibles".

El enfoque adoptado por una organización para cumplir los requisitos de mediciónespecificados en ISO/IEC 27001 variará en función de una serie de factoressignificativos, incluidos los riesgos de seguridad de la información a los que laorganización se enfrenta, su tamaño, los recursos disponibles y los requisitos legales,reglamentarios y contractuales aplicables. La selección cuidadosa y la justificación delmétodo utilizado para cumplir los requisitos de medición son importantes paragarantizar que no son dedicados recursos excesivos a esta actividad del SGSI endetrimento de otros. De manera ideal, las actividades de medición continua se integranen las operaciones regulares de la organización con requisitos de recursos adicionalesmínimos.

Esta Norma Técnica Peruana se recomienda para una organización que implemente lassiguientes actividades como base para cumplir con los requisitos de mediciónespecificados en ISO/IEC 27001:

a) El desarrollo de medidas (es decir, medidas base, medidas derivados eindicadores);

b) Implementación y operación de un Programa de Medición de Seguridadde la Información

c) Recopilación y análisis de datos;

d) El desarrollo de los resultados de medición;

e) Comunicación de los resultados de las mediciones desarrolladas a las partes interesadas pertinentes;


7/18/2019 ISO-IEC 27004-2012 NTP


vi

f) Uso de resultados de la medición como factores que contribuyen a lasdecisiones relacionadas con el SGSI;

g) Uso de resultados de la medición para identificar necesidades de mejorar

al SGSI implementado, incluyendo su alcance, políticas, objetivos, controles, procesos y procedimientos; y

h) Facilitar la mejora continua del Programa de Medición de Seguridad dela Información.

Uno de los factores que influirán en la capacidad de la organización para lograr unamedición es su tamaño. En general, el tamaño y la complejidad del negocio encombinación con la importancia de la seguridad de la información afecta a la extensiónde la medición necesaria, tanto en términos del número de medidas seleccionadas comoen la frecuencia de recolección y análisis de datos.

Un único Programa de Medición de Seguridad de la Información puede ser suficiente para las organizaciones pequeñas, mientras que para las grandes empresas puede existirla necesidad de múltiples Programas de Medición de Seguridad de la Información.

La orientación proporcionada por esta Norma Técnica Peruana se traducirá en la producción de la documentación que contribuya a demostrar que la eficacia del controlestá siendo medida y evaluada.

---oooOooo---


7/18/2019 ISO-IEC 27004-2012 NTP


NORMA TÉCNICA NTP-ISO/IEC 27004PERUANA 1 de 72

TECNOLOGÍA DE LA INFORMACIÓN. Técnicas deseguridad. Gestión de la seguridad de la información.Medición

1. OBJETO

Esta Norma Técnica Peruana provee guías para el desarrollo y uso de medidas ymediciones, con el objetivo de evaluar la efectividad de un sistema de gestión de seguridadde la información (SGSI) implantado y los controles o grupo de controles tal como seespecifica en ISO/IEC 27001.

Esta Norma Técnica Peruana es aplicable a todo tipo y tamaño de organización

NOTA: El usuario de este documento, debe interpretar correctamente cada una de las formas verbalesde la expresión de las disposiciones (por ejemplo, "debe", "no debe", "debería", "no debería", "puede","no es necesario" y "no puede") según sean requisitos que debe cumplir o recomendaciones cuandoexiste una cierta libertad de elección. Para una mayor aclaración debería ser consultado el Anexo A deISO/IEC 27000.

2. REFERENCIAS NORMATIVAS

Los siguientes documentos referenciados son indispensables para la aplicación de esta Norma Técnica Peruana.

Para las referencias fechadas, sólo se aplica la edición citada. Para las referencias nofechadas, se aplica la última edición del documento referenciado (incluida cualquier

corrección).

ISO/IEC 27000:2009 Tecnología de la Información. Técnicas de seguridad.Sistema de gestión de seguridad de la información. Visióngeneral y vocabulario


7/18/2019 ISO-IEC 27004-2012 NTP



ISO/IEC 27001:2005(*)

Tecnología de la Información. Técnicas de seguridad.Sistema de gestión de seguridad de la información.Requisitos

3. TÉRMINOS Y DEFINICIONES

Para los efectos de esta Norma Técnica Peruana, se aplican los términos y las definicionesde la ISO/IEC 27000 y los siguientes.

3.1 modelo analítico

Algoritmo o cálculo combinando una o más medidas base o derivadas con los criterios dedecisión correspondiente[ISO/IEC 15939:2007]

3.2 atributo

Propiedad o característica de un objeto que se puede distinguir cuantitativa ocualitativamente por medios humanos o automatizados[ISO/IEC 15939:2007]

3.3 medida base

Medida definida en términos de un atributo y el método para su cuantificación[ISO/IEC 15939:2007]

NOTA: Una medida base es funcionalmente independiente de otras medidas.

(*) La NTP-ISO/IEC 27001 es equivalente a la ISO/IEC 27001


7/18/2019 ISO-IEC 27004-2012 NTP



3.4 datos

Colección de valores asignados a las medidas base, medidas derivadas o indicadores[ISO/IEC 15939:2007]

3.5 criterios de decisión

Umbrales, objetivos o patrones utilizados para determinar la necesidad de una acción oinvestigación futura, o para describir el nivel de confianza en un resultado determinado

[ISO/IEC 15939:2007]

3.6 medida derivada

Medida que se define como una función de dos o más valores de las medidas base[ISO/IEC 15939:2007]

3.7 indicador

Medida que provee una estimación o evaluación de atributos específicos derivados de unmodelo analítico con respecto a la necesidad definida de información.

3.8 necesidad de información

Conocimiento necesario para gestionar los objetivos, metas, riesgos y problemas[ISO/IEC 15939:2007]

3.9 medida

Variable a la que se asigna un valor como resultado de la medición [ISO/IEC 15939:2007]

NOTA: El término "medida" se utiliza para referirse colectivamente a las medidas base, medidasderivadas e indicadores.


7/18/2019 ISO-IEC 27004-2012 NTP



EJEMPLO: Una comparación de una tasa de defectos medida con una tasa de defectos prevista junto con una evaluación de si la diferencia no indica un problema.

3.10 medición

Proceso de obtención de información acerca de la eficacia del SGSI y los controlesutilizando un método de medición, una función de medición, un modelo de análisis ycriterios de decisión

3.11 función de medición

Algoritmo o cálculo realizado para combinar dos o más medidas base[ISO/IEC 15939:2007]

3.12 método de medición

Una secuencia lógica de las operaciones, descritas de forma genérica, utilizadas en lacuantificación de un atributo con respecto a una escala específica

[ISO/IEC 15939:2007]

NOTA: El tipo de método de medición depende de la naturaleza de las operaciones utilizadas paracuantificar un atributo. Se pueden distinguir dos tipos:

- subjetivo: cuantificación mediante opinión humana;- objetivo: cuantificación sobre la base de reglas numéricas.

3.13 resultados de la medición

Uno o más indicadores y sus interpretaciones asociadas que conducen a la necesidad deinformación

3.14 objeto

Un elemento caracterizado a través de la medición de sus atributos


7/18/2019 ISO-IEC 27004-2012 NTP



3.15 escala

Conjunto ordenado de valores, continuos o discretos, o un conjunto de categorías a las quese asigna el atributo[ISO/IEC 15939:2007]

NOTA: El tipo de escala depende de la naturaleza de la relación entre los valores de la escala.

Comúnmente se definen cuatro tipos de escala:

- nominal: los valores de medición son categóricos;

- ordinal: los valores de medición se ponderan;

- intervalo: los valores de medición tienen la misma distancia quecorresponden a cantidades iguales de los atributos;

- relación: los valores de medición tienen la misma distancia quecorresponden a cantidades iguales de los atributos, donde el valor de cerocorresponde a ninguno de los atributos.

Estos son sólo ejemplos de los tipos de escala.

3.16 unidad de medida

Cantidad concreta, definida y aprobada por convención, con la cual otras cantidades de lamisma naturaleza se comparan con el fin de expresar su magnitud relativa a la cantidad[ISO/IEC 15939:2007]

3.17 validación

Confirmación, mediante la aportación de evidencia objetiva de que se han cumplido losrequisitos para una utilización o aplicación específica prevista[ISO 9000:2005]


7/18/2019 ISO-IEC 27004-2012 NTP



3.18 verificación

Confirmación mediante la aportación de evidencia objetiva de que se han cumplido losrequisitos especificados [ISO 9000:2005]

NOTA: Esto también podría ser llamado prueba de conformidad.

4. ESTRUCTURA DE ESTA NORMA TÉCNICA PERUANA

Esta Norma Técnica Peruana proporciona una explicación de las medidas y las actividadesde medición necesarias para evaluar la eficacia de los requisitos del SGSI para la gestiónde los controles de seguridad adecuados y proporcionales tal como es requerido enISO/IEC 27001 el apartado 4.2.

Esta Norma Técnica Peruana está estructurada de la siguiente forma:

-

Visión general sobre el Programa de Medición de Seguridad de la

Información y el Modelo de Medición de Seguridad de la Información (Capítulo 5);- Las responsabilidades de la dirección en las mediciones de seguridad de lainformación(Capítulo 6) y

-

Constructores de medición y los procesos (es decir, planificación ydesarrollo, implementación y operación y mejora de las mediciones: comunicandolos resultados de la medición) que se implementarán en el Programa de Medición deSeguridad de la Información (Capítulos 7-10).

Además, el anexo A proporciona un ejemplo de modelo para el constructor de mediciónque contiene los elementos del Modelo de Medición de Seguridad de la Información (véasecapítulo 7).

El Anexo B proporciona ejemplos de constructores de medición para controles o procesosespecíficos de un SGSI, utilizando el modelo que figura en el Anexo A.


7/18/2019 ISO-IEC 27004-2012 NTP



Estos ejemplos intentan brindar ayuda a una organización sobre cómo implementar laMedición de la Seguridad de la Información y cómo registrar las actividades de medición ylos resultados de las mismas.

5. VISIÓN GENERAL SOBRE LA MEDICIÓN DE LA SEGURIDADDE LA INFORMACIÓN

5.1 Objetivos de medición de la seguridad de la información

Los objetivos de medición de la seguridad de la información en el contexto de un SGSIincluyen:

a) evaluar la eficacia de los controles o grupos de controles implementados(véase el apartado "4.2.2 d)" en la figura 1);

b) evaluar la eficacia del SGSI implementado (véase el apartado"4.2.3 b)" en lafigura 1);

c) verificar el grado en que los requisitos de seguridad identificados se han

cumplido (véase el apartado"4.2.3 c)" en la figura 1);

d) facilitar la mejora del desempeño de la seguridad de la información entérminos de riesgos de negocios generales de la organización;e) proporcionar entradas para la revisión por la dirección para facilitar la tomade decisiones relacionada con el SGSI y justificar mejoras necesarias al SGSIimplementado.

La Figura 1 ilustra la relación cíclica de entradas y salidas de las actividades de mediciónen relación con el ciclo Planificar-Hacer-Verificar-Actuar (PHVA), especificado enISO/IEC 27001. Los números en cada figura representan los apartados pertinentes de

ISO/IEC 27001.


7/18/2019 ISO-IEC 27004-2012 NTP



FIGURA 1 - Entradas y salidas de la medición en el ciclo PHVA de un SGSI para lagestión de la seguridad de la información

La organización debería establecer los objetivos de medición basado en una serie deconsideraciones, entre ellas:

a) El rol de la seguridad de la información en apoyo a las actividades del

negocio generales de la organización y los riesgos que enfrenta; b) Requisitos legales, reglamentarios, y contractuales aplicables.

c) Estructura organizacional;

d) Costos y beneficios de la implementación de medidas de seguridad de lainformación;

Hacer Verificar

ActuarPlanificar

4.2.1 g) Seleccionar los objetivosde control y los controles para eltratamiento de los riesgos.Los objetivos de control y loscontroles se deben seleccionar eimplementar de manera quecumplan los requisitosidentificados en el proceso deevaluación y tratamiento deriesgos.

4.2.1 e) 2) Evaluar la posibilidad realista de que ocurra una falla en l a seguridad,considerando las amenazas, lasvulnerabilidades, los impactos asociadoscon estos activos, y los controlesimplementados actualmente.

4.2.4 a) Implementar las mejorasidentificadas en el SGSI

4.2.2 c) Implementar loscontroles seleccionados paracumplir los objetivos de control.

4.2.2 d) Definir cómo medir laeficacia de los controles o gruposde controles seleccionados

4.2.3 b) Emprender revisionesregulares de la eficacia del SGSI

4.2.3 d) Revisar las evaluaciones delos riesgos a intervalos planificados, yrevisar el nivel de riesgo residual yriesgo aceptable identificado, teniendoen cuenta los cambios en la eficacia delos controles implementados

7.2 a), f) Las entradas para la revisiónpor la dirección deben incluir:resultados de las mediciones deeficacia y revisiones del SGSI

Los resultados de la revisión por la

dirección deben incluir cualquierdecisión y acción relacionada con:7.3 b) La actualización de laevaluación de riesgos y del plan detratamiento de riesgos.7.3 e) La mejora a la manera en que semide la eficacia de los controles.

4.2.3 f) Emprender una revisión delSGSI, realizada por la dirección, enforma regular para asegurar que elalcance siga siendo suficiente y que seidentifiquen mejoras al proceso deSGSI

4.2.3 c) Medir la eficacia de loscontroles para verificar que sehan cumplido los requisitos deseguridad.


7/18/2019 ISO-IEC 27004-2012 NTP



e) Los criterios de aceptación del riesgo para la organización y

f) La necesidad de comparar varios SGSI dentro de la misma organización.

5.2 Programa de Medición de Seguridad de la Información

Una organización debería establecer y gestionar un Programa de Medición de Seguridad dela Información a fin de lograr los objetivos de medición establecidos y adoptar el modeloPHVA dentro de las actividades de medición global de la organización. Una organizacióntambién debería desarrollar e implementar constructores de mediciones con el fin de

obtener resultados de medición repetibles, objetivos y útiles basados en el Modelo deMedición de Seguridad de la Información (véase el apartado 5.4).

El Programa de Medición de Seguridad de la Información y los constructores demediciones desarrolladas deberían asegurar que una organización alcanza eficazmentemediciones objetivas y reproducibles y proporciona resultados de medición a las partesinteresadas (stakeholders) para determinar las necesidades de mejora al SGSIimplementado, incluyendo su alcance, políticas, objetivos, controles, procesos y

procedimientos.

Un Programa de Medición de Seguridad de la Información debería incluir los siguientes procesos:

a) Desarrollo de medidas y mediciones (véase Capítulo 7) ;

b) Operación de la medición (véase Capítulo 8);

c) Análisis de datos e informe de los resultados de la medición (véase Capítulo9) y

d) Evaluación y mejora del Programa de Medición de la Seguridad de la

Información (véase Capítulo 10).

La estructura de organización y funcionamiento de un Programa de Medición de Seguridadde la Información debería determinarse teniendo en cuenta la escala y complejidad delSGSI del que forma parte. En todos los casos, los roles y responsabilidades sobre elPrograma de Medición de Seguridad de la Información deberían ser expresamenteasignados al personal competente (véase el apartado 7.5.8).


7/18/2019 ISO-IEC 27004-2012 NTP



Las medidas seleccionadas e implementadas por el Programa de Medición de Seguridad dela Información deberían estar directamente relacionadas con la operación de un SGSI, otrasmedidas, así como los procesos de negocio de la organización. La medición puede serintegrada en las actividades operacionales habituales o realizadas a intervalos regularesdeterminados por la gestión del SGSI.

5.3 Factores de éxito

Los siguientes son algunos factores que contribuyen al éxito del Programa de Medición deSeguridad de la Información como facilitador de la mejora continua del SGSI:

a) Compromiso de la dirección apoyado por los recursos adecuados;

b) Existencia de procesos y procedimientos del SGSI;

c) Un proceso repetible capaz de capturar e informar datos significativos para proporcionar tendencias pertinentes durante un período de tiempo;

d) medidas cuantificables basadas en los objetivos del SGSI;

e) Datos que puedan ser obtenidos fácilmente los cuales puedan ser utilizados

para la medición;

f) Evaluación de la eficacia del Programa de Medición de Seguridad de laInformación y la implementación de las mejoras identificadas;

g) Recolección periódica y consistente, análisis e informe de los datos demedición de una manera útil;

h) El uso de los resultados de medición por las partes interesadas(stakeholders) para determinar las necesidades para la mejora del SGSIimplementado, incluyendo su alcance, políticas, objetivos, controles, procesos y

procedimientos;

i) Aceptación de la retroalimentación de las partes interesadas (stakeholders) pertinentes, acerca de los resultados de la medición y

j) Evaluaciones de la utilidad de los resultados de la medición eimplementación de las mejoras identificadas.


7/18/2019 ISO-IEC 27004-2012 NTP



Una vez implementado con éxito, un Programa de Medición de Seguridad de laInformación puede:

1) Demostrar el cumplimiento de una organización con los requisitos legales oreglamentarios y las obligaciones contractuales;

2) Apoyo a la identificación de aspectos de seguridad no detectados previamente o desconocidos;

3) Ayudar a satisfacer las necesidades de información de gestión al declarar lasmedidas de actividades históricas y actuales y

4) Ser utilizado como insumo en el proceso de gestión de riesgos de seguridadde la información, auditorías internas del SGSI y revisiones por la dirección.

5.4 Modelo de medición de seguridad de la información

NOTA: Los conceptos de modelo de medición de seguridad de la información y los constructores demedición adoptados en esta Norma Técnica Peruana están basados en los de la norma ISO/IEC 15939.El término "producto de información", utilizada en ISO/IEC 15939 es sinónimo de "resultados de lamedición" en esta Norma Técnica Peruana y el "proceso de medición", utilizada en ISO/IEC 15939 esun sinónimo de "Programa de Medición" en esta Norma Técnica Peruana.

5.4.1 Visión General

El modelo de medición de seguridad de la información es una estructura que une unanecesidad de información con los objetos pertinentes de medición y sus atributos. Objetosde medición pueden incluir procesos, procedimientos, proyectos y recursos, planificados oimplementados.

El modelo de medición de seguridad de la información describe cómo los atributos pertinentes son cuantificados y convertidos a indicadores que proporcionan una base parala toma de decisiones.

La Figura 2 muestra el modelo de medición de seguridad de la información.


7/18/2019 ISO-IEC 27004-2012 NTP



FIGURA 2 - Modelo de medición de seguridad de la información

Los siguientes apartados introducen elementos individuales del modelo. También se proporcionan ejemplos de cómo se utilizan estos elementos individuales.

Las necesidades de información o el propósito de medición utilizados en los ejemplosincluidos en las tablas 1 a 4 de los siguientes apartados es evaluar el estado deconcientización del cumplimiento de la política de seguridad de la organización entre el

personal correspondiente (Objetivo de control A.8.2 y controles A.8.2.1 y A.8.2.2. deISO/IEC 27001:2005)

5.4.2 Medida base y método de medición

Una medida base es la medida más simple que puede obtenerse. Una medida base resultade aplicar un método de medición a los atributos seleccionados de un objeto de medición.Un objeto de medición puede tener muchos atributos, de los cuales sólo algunos pueden

proporcionar valores útiles a ser asignados a una medida base. Un atributo dado puedeusarse para diferentes medidas base.

Resultados de medición Procesos de Gestión deSeguridad de la Información

Objetivos de control

Controles

Procesos,Procedimientos deimplementación

Necesidad de información

Eficacia

Objeto de medición

Atributo

Atributo

Atributo Medición

Indicador

Criterio de decisión

Medida derivada

Medida base

Función demedición

Modeloanalítico

Método deMedición


7/18/2019 ISO-IEC 27004-2012 NTP



Un método de medición es una secuencia lógica de operaciones usadas para cuantificar unatributo con respecto a una escala específica. La operación puede involucrar actividadestales como conteo de ocurrencias u observar el paso del tiempo.

Un método de medición puede aplicar atributos a un objeto de medición. Ejemplos de unobjeto de medición incluyen, pero no está limitado a:

- Desempeño de los controles implementados en el SGSI;

- Estado de los activos de información protegidos por los controles;

- Desempeño de procesos implementados en el SGSI;

- Comportamiento del personal responsable del SGSI implementado;

- Actividades de las unidades organizacionales responsables de la seguridadde la información y

- Grado de satisfacción de las partes interesadas

Un método de medición puede utilizar objetos de medición y atributos provenientes de una

variedad de fuentes, tales como:

- Resultados de análisis y valoración de riesgo;

- Cuestionarios y entrevistas personales;

- Reportes de auditoría interna y/o externa;

- Registro de eventos tales como logs, estadísticas, y pistas de auditoría;

- Reportes de incidentes, en particular aquellos que resultan en la ocurrenciade un impacto;

- Resultados de pruebas, como por ejemplo test de penetración, ingenieríasocial, herramientas de cumplimiento, y herramientas de auditoría de seguridad;


7/18/2019 ISO-IEC 27004-2012 NTP



- Registros provenientes de procedimientos y programas relacionados con laseguridad de la información de la organización, como por ejemplo: resultados deentrenamientos en concientización en seguridad de la información.

Las tablas 1-4 de abajo presentan la aplicación del modelo de seguridad de la información para los siguientes controles:

- “Control 1” se refiere al control A.8.2.2 “Concientización, educación yformación en seguridad de la información” de la norma ISO/IEC 27001/2005(“Todos los empleados de la organización, y en donde sea pertinente, los contratistas

y usuarios de terceras partes, deben recibir formación adecuada en concientización yactualizaciones regulares en políticas y procedimientos organizacionales, relevantes

para su función laboral.”); que se implementa como sigue: “Todo el personalrelevante para el SGSI debe recibir formación en concientización en seguridad de lainformación antes de que se le otorgue acceso a un sistema de información”.

- “Control 2” se refiere al control A.8.2.1 “Responsabilidades de la dirección”de la norma ISO/IEC 27001/2005 (“La dirección debe exigir a los empleados,contratistas y usuarios de terceras partes aplicar la seguridad de acuerdo con las

políticas y procedimientos establecidos por la organización.”); que se implementacomo sigue: “Todo el personal relevante para el SGSI debe firmar acuerdos deusuario antes de que se le otorgue acceso a un sistema de información”;

El constructor de medición correspondiente está contenida en B.1 en el Anexo B.

NOTA: Las tablas 1-4 consisten en varias columnas (Tabla 1, cuatro columnas; Tabla 2-4, trescolumnas) las cuales se designan con una letra. A cada caja dentro de una columna individual se leasigna un número que lo designa. Las combinaciones de las designaciones con letra y número seutilizan en las subsiguientes cajas para referirse a las cajas previas. Las flechas designan los flujos dedatos entre elementos individuales del modelo de medición de seguridad de la información dentro delejemplo específico.

La tabla 1 incluye un ejemplo de las relaciones entre objetos de medición, atributos,método de medición y medida básica para medir los objetos establecidos para los controlesimplementados descritos arriba.


7/18/2019 ISO-IEC 27004-2012 NTP



Objeto de medición(O) Atributo (A) Método de medición(M) Medida base (B)

Control 1:

Control 2:

TABLA 1 - Ejemplo de medida base y método de medición

5.4.3 Medida derivada y función de medición

Una medida derivada es una agregación de dos o más medidas base. Una medida base dada puede servir como entrada para varias medidas derivadas.

Una función de medición es un cálculo utilizado para combinar medidas base para crearuna medida derivara.

O.1.1 Plan deconcientización enseguridad de lainformación

A.1.1 Personalidentificado en el

plan (O.1.1)

M.1 Contar el personal programado parafirmar (A.2.1) yque debiera habercompletado laformación a lafecha (A.1.1)

B.1 Personal planificado hastala fecha (A.2.1,A.1.1)

O.1.2 Personalcuya formación se

ha completado oestá en curso

A.1.2 Estado del personal con

respecto a laformación (O.1.2)

M.2 Pedir alresponsable el

porcentaje del personal que hacompletado laformación (A.1.2)y ha firmado(A.2.2)

B.2 Personal queha firmado,

porcentajecompletado(A.1.2, A.2.2)

O.2.1 Plan para lafirma de acuerdosde usuario

O.2.2 Personal

que tieneacuerdos firmados

A.2.1 Personalidentificado en el

plan que debefirmar acuerdos deusuario (O.2.1)

A.2.2 Estado del

personal conrespecto a la firmade los acuerdos(O.2.2)

M.3 Contar el personal programado parafirmar a esta fecha(A.2.1)

B.3 Personal planeado parafirmar a la fecha(A.2.1)

M.4 Contar el

personal que hafirmado a estafecha (A.2.2)

B.4 Personal que

ha firmado a lafecha (A.2.2)


7/18/2019 ISO-IEC 27004-2012 NTP



La escala y unidad de la medida derivada depende de las escalas y unidades de las medidas base de las cuales está compuesta y también de cómo se combinan por la función demedición.

La función de medición puede involucrar una variedad de técnicas tales como promediarmedidas base, aplicar pesos a medidas base, o asignar valores cualitativos a medidas base.La función de medición puede combinar medidas base usando diferentes escalas, talescomo porcentajes y resultados de valoraciones cualitativas.

Un ejemplo de la relación de los elementos adicionales de la aplicación del modelo de

medición de la seguridad de la información, es decir, medida base, función de medición ymedida derivada, se presenta en la Tabla 2.

Medida base (B) Función de medición (F) Medida derivada (D)

TABLA 2- Ejemplo de medida derivada y función de medición

F.1 Agregar estado

de todo el personalque ha firmado,planificado y porcompletar a la fecha(B.2)

F.2 Dividir elpersonal que hafirmado a la fecha(B.4) por elpersonalplanificado a lafecha (B.3)

D.1 Progreso a lafecha (B.2)

Va directamente al modelo analítico (ver Tabla 3)

D.2 Progreso a lafecha de las firmas(B.4, B.3)

B.2 Personal que hafirmado, porcentajecompletado (A.1.2,A.2.2)

B.1 Personalplanificado hastala fecha (A.2.1A.1.1)

B.3 Personalplaneado parafirmar a la fecha(A.2.1)

B.4 Personal que hafirmado a la fecha(A.2.2)


7/18/2019 ISO-IEC 27004-2012 NTP



5.4.4 Indicadores y modelo analítico

Un indicador es una medida que provee una estimación o evaluación de atributosespecíficos derivados de un modelo analítico con respecto a la necesidad definida deinformación. Los indicadores se obtienen aplicando un modelo analítico a una medida baseo derivada y combinándolos con criterios de decisión. La escala y método de mediciónafectan la elección de técnicas analíticas usadas para producir indicadores.

Un ejemplo de la relación entre medidas derivadas, modelo analítico e indicadores para laaplicación del modelo de medición de seguridad de la información se presenta en la Tabla

3.

Medida derivada (D) Modelo analítico (AM) Indicador (I)

De B.1 (véase Tabla2)

TABLA 3- Ejemplo de indicador y modelo analítico

NOTA: si un indicador se representa en forma gráfica, debería ser utilizable por usuarios impedidosvisualmente o cuando se usen copias monocromáticas. Para hacerlo posible la descripción delindicador debe incluir colores, tonos, fuentes otros métodos visuales

AM.1 [Dividirprogreso a la fecha(D.1) por personalplanificado a la

fecha (B.1) 100veces] y progreso ala fecha con las firmas (D.2)

AM.2 Compararestado I.1 con elvalor previo de I.1

D.1 Progreso a lafecha (B.2)

D.2 Progreso a lafecha de las firmas(B.4, B.3)

I.1 Estadoexpresado como

una combinaciónde ratios(D.1/B.1*100, D.2)

I.2 Tendencia (I.1 ylos valores previosde I.1)


7/18/2019 ISO-IEC 27004-2012 NTP



5.4.5 Resultados de la medición y criterios de decisión

Los resultados de la medición se desarrollan con indicadores de interpretación aplicables, basados en criterios de decisión definidos y deberían ser considerados en el contexto delconjunto de objetivos de medición para evaluar la efectividad del SGSI. Los criterios dedecisión se utilizan para determinar la necesidad de acción o investigación adicional, asícomo describir el nivel de confianza de los resultados de la medición. Los criterios dedecisión se pueden aplicar a una serie de indicadores, como por ejemplo para conduciranálisis de tendencias basados en indicadores recibidos en diferentes puntos en el tiempo.

Los objetivos proveen especificaciones de desempeño detalladas, aplicables a laorganización o partes derivadas de los objetivos de seguridad de la información, tales comolos objetivos del SGSI y de control, y que necesitan ser establecidos y alcanzados paralograr esos objetivos.

En la Tabla 4 se presenta un ejemplo de la relación de los elementos finales de laaplicación del modelo de medición de seguridad de la información.

Indicador (I) Criterio de Decisión (CD) Resultados de medición

TABLA 4- Ejemplo de medición de resultados y modelo analítico

DC.1 ratiosresultantes (I.1 –D.1/B.1, D.2) debenestarrespectivamenteentre 0.9 y 1.1 yentre 0.99 y 1.01para concluir ellogro del objetivode control; de locontrario senecesita una acciónde gestión

AM.2 Compararestado I.1 con el

valor previo de I.1

I.1 Estadoexpresado comouna combinaciónde ratios(D.1/B.1*100, D2)

I.2 Tendencia (I.1 ylos valores previosde I.1)

Interpretación para I.1: Se cumplesatisfactoriamente el criterio

organizacional sobre el cumplimientode la política de concientización enseguridad de la organización si 0.9 ≤ D.1 / B.1 ≤ 1.1 y 0.99 ≤ D.2 ≤ 1.01

El criterio de la organización no se haalcanzado satisfactoriamente siD.1/B.1<0.9 o el primer valor D.1/B.1>1.1 y si 0.99 ≤ D.2 ≤ 1.01

No se cumple con el criterioorganizacional si D.2<0.99 o D.2 >1.01

Interpretación para I.2: una

tendencia ascendente indica mejoraen el cumplimiento, una descendenteindica deterioro. El grado de cambioen la tendencia puede proporcionarelementos para entender laefectividad del control


7/18/2019 ISO-IEC 27004-2012 NTP



6. RESPONSABILIDADES DE LA DIRECCIÓN

6.1 Visión General

La dirección es responsable de: establecer el Programa de Medición de Seguridad de laInformación, involucrando las partes interesadas (stakeholders) pertinentes (véase 7.5.8) enlas actividades de medición; aceptar los resultados de las mediciones como insumos para larevisión por la dirección y utilizar los resultados de las mediciones en actividades demejora del SGSI.

Para lograr esto, la dirección debería:

a) Establecer objetivos para el Programa de Medición de Seguridad de laInformación;

b) Establecer una política para el Programa de Medición de Seguridad de laInformación;

c) Establecer las funciones y responsabilidades para el Programa de Mediciónde Seguridad de la Información;

d) Proporcionar los recursos adecuados para llevar a cabo la medición, incluidoel personal, la financiación, las herramientas y la infraestructura;

e) Asegurar que se alcanzan los objetivos del Programa de Medición deSeguridad de la Información;

f) Asegurar que las herramientas y equipos utilizados para recopilar los datosson mantenidos adecuadamente;

g) Establecer el propósito de la medición para cada constructor de medición;

h) Asegurar que la medición proporciona información suficiente a las partesinteresadas (stakeholders) con respecto a la eficacia del SGSI y las necesidades paramejorar el SGSI implementado, incluyendo su alcance, políticas, objetivos,controles, procesos y procedimientos, y

i) Asegurar que la medición proporciona información suficiente a las partesinteresadas (stakeholders) con respecto a la eficacia de los controles o grupo decontroles y las necesidades para la mejora de los controles implementados.


7/18/2019 ISO-IEC 27004-2012 NTP



A través de la asignación adecuada de los roles y las responsabilidades de medición, ladirección debería garantizar que los resultados de la medición no estén influenciados porlos propietarios de la información (véase 7.5.8). Esto puede lograrse a través de lasegregación de tareas o, si esto no es posible, a través de la utilización de documentacióndetallada que permita controles independientes.

6.2 Gestión de recursos

La dirección debería asignar y proporcionar recursos para apoyar las actividades esencialesde medición, tales como recopilación de datos, análisis, almacenamiento, reporte y

distribución. La asignación de recursos debería incluir la asignación de:

a) Las personas con responsabilidad para todos los aspectos del Programa deMedición de Seguridad de la Información;

b) Apoyo financiero adecuado y

c) Apoyo de infraestructura apropiado, como ser la infraestructura física y lasherramientas utilizadas para llevar a cabo el proceso de medición.

NOTA: el apartado 5.2.1 de ISO/IEC 27001 especifica el requisito de provisión de recursos para laimplementación y operación de un SGSI.

6.3 Competencia, toma de conciencia y formación en medición

La dirección debería asegurar que:

a) Las partes interesadas (véase 7.5.8) están capacitados adecuadamente parael logro de sus funciones y responsabilidades en la implementación del Programa deMedición de Seguridad de la Información, y están debidamente calificados paradesempeñar sus funciones y responsabilidades, y

b) Las partes interesadas entienden que sus tareas incluyen formularsugerencias para la mejora del Programa de Medición de Seguridad de laInformación implementado.


7/18/2019 ISO-IEC 27004-2012 NTP



7. DESARROLLO DE MEDIDAS Y MEDICIONES

7.1 Visión General

Este capítulo da una orientación sobre cómo desarrollar medidas y la medición con el finde evaluar la efectividad del SGSI implementado y los controles o grupo de controles, y laidentificación de conjuntos específicos de constructores de medición de la organización. Serecomienda que sean establecidas y documentadas las actividades necesarias paradesarrollar medidas y mediciones, incluyendo las siguientes:

a) Definición del alcance de la medición (véase 7.2);

b) Identificación de la necesidad de información (véase 7.3);

c) Selección del objeto de medición y sus atributos (véase 7.4);

d) Desarrollo de constructores de medición (véase 7.5);

e) Aplicación de constructores de medición (véase 7.6);

f) Establecimiento de la recolección de datos, procesos de análisis yherramientas (véase 7.7), y

g) Establecimiento del enfoque de aplicación de la medición y ladocumentación (véase 7.8).

Se recomienda que al establecer estas actividades, la organización tenga en cuenta losrecursos financieros, humanos y de infraestructura (física y herramientas).

7.2 Definiendo el alcance de la medición

Dependiendo de las capacidades y los recursos de una organización, el alcance inicial delas actividades de medición de una organización estará limitado a elementos tales comocontroles específicos, activos de información protegidos por controles específicos,actividades específicas de seguridad de la información a las que la gerencia concede lamáxima prioridad. Con el tiempo, el alcance de las actividades de medición se ampliará

para hacer frente a otros elementos del SGSI implementado, controles o grupos decontroles, teniendo en cuenta las prioridades de las partes interesadas.


7/18/2019 ISO-IEC 27004-2012 NTP



Las partes interesadas pertinentes deberían identificarse y deberían participar en ladefinición del alcance de la medición. Las partes interesadas pueden ser internas o externasa las unidades organizativas, tales como directores de proyectos, administradores desistema de información, o responsables de seguridad de la información. Deberían definirsey comunicarse a las partes interesadas, los resultados concretos de la medición de laeficacia de los controles individuales o del grupo de los controles.

La organización puede considerar limitar el total de los resultados de medición que seinformen a los tomadores de decisión dentro de un período de tiempo determinado paraasegurar la capacidad de mejora del SGSI basado en los resultados de la medicióninformados. Un número excesivo de resultados de medición podría impactar en la

capacidad de los tomadores de decisión de centrar los esfuerzos y priorizar las actividadesde mejora futuras. Los resultados de la medición deben ser priorizados sobre la base de laimportancia correspondiente a las necesidades de información y asociados a los objetivosdel SGSI.

NOTA: El alcance de la medición está relacionado con el alcance del SGSI establecido deconformidad con el apartado 4.2.1 a) de la norma ISO / IEC 27001.

7.3 Identificando la necesidad de información

Cada constructor de medición debería corresponderse, al menos, con una necesidad deinformación. Un ejemplo de necesidad de información, describiendo el punto de partidacomo el objetivo de la medición y terminando con los criterios de decisión pertinentesfigura en el anexo A.

Para identificar las necesidades de información pertinentes deberían realizarse lassiguientes actividades:

a) Examinar el SGSI y sus procesos, tales como:

1) La política y los objetivos del SGSI, los objetivos de control y los controles;

2) Los requisitos legales, reglamentarios, contractuales y organizacionales parala seguridad de la información;

3) La información resultante del proceso de gestión de riesgos de seguridad dela información, como se describe en ISO/IEC 27001.


7/18/2019 ISO-IEC 27004-2012 NTP



b) Priorizar la identificación de la necesidad de información basados encriterios tales como:

1) Prioridades en el tratamiento del riesgo;

2) La capacidad y los recursos de la organización;

3) Los intereses de las partes interesadas (stakeholders);

4) La política de seguridad de la información;

5) La información necesaria para cumplir los requisitos legales, regulatorios y

contractuales;

6) El valor de la información en relación con el coste de la medición;

c) Seleccionar un subconjunto de la información que debe considerarse en lasactividades de medición de la lista de prioridades y;

d) Documentar y comunicar la necesidad de información a todos losinteresados pertinentes.

Todas las medidas pertinentes aplicadas a un SGSI implementado, controles o grupos de

controles deben aplicarse sobre la base de la necesidad de información seleccionada.

7.4 Seleccionando el objeto y sus atributos

El objeto de medición y sus atributos deben ser identificados en el contexto general y elalcance de un SGSI. Cabe señalar que un objeto de medición puede tener varios atributosaplicables.

El objeto y los atributos a utilizarse en la medición deben ser seleccionados basados en la

prioridad de la información correspondiente.

Los valores que se asignarán a una medida de referencia base se obtienen mediante laaplicación de un método de medición adecuado a los atributos seleccionados. Estaselección también debería asegurar que:


7/18/2019 ISO-IEC 27004-2012 NTP



- Puedan identificarse la medida de referencia base y un método de mediciónadecuado, y

- Basados en los valores obtenidos y en las medidas desarrolladas puedandesarrollarse resultados significativos.

Las características de los atributos seleccionados determinan qué tipo de método demedición debe utilizarse para obtener los valores que se asignarán a las medidas de base(por ejemplo, cualitativos o cuantitativos).

Debería documentarse el objeto seleccionado y sus atributos, junto con la justificación dela selección.

Deberían utilizarse como valores a asignarse a las medidas de base, los datos describiendoel objeto de la medición y los atributos correspondientes. Ejemplos de objetos de mediciónincluyen, pero no están limitados a:

- Productos y servicios;

- Procesos;

- Activos aplicables tales como instalaciones, aplicaciones y sistemas deinformación como identifica la ISO/IEC 27001:2005 (Inventario de activos, A.7.1.1);

- Unidades de negocio;

- Localizaciones geográficas y

- Servicios de Terceras Partes.

Los atributos deben revisarse para asegurar que:

a) Los atributos apropiados han sido seleccionados para la medición y

b) La recopilación de datos ha sido definida para garantizar que se encuentreun número suficiente de atributos para permitir una medición efectiva.


7/18/2019 ISO-IEC 27004-2012 NTP



Sólo deben seleccionarse los atributos que son pertinentes para la medida de base. Aunquela selección de los atributos debería tener en cuenta el grado de dificultad en la obtenciónde los atributos a medir, no debería hacerse solo en los datos que se obtienen fácilmente, oel atributo es fácil de medir.

7.5 Desarrollo del constructor de medición

7.5.1 Visión General

Este apartado (7.5) guía el desarrollo del constructor de medición desde 7.5.2 (selección dela medida) hasta 7.5.8 (partes interesadas).

7.5.2 Selección de la Medida

Deberían identificarse las medidas que podrían satisfacer la necesidad de informaciónseleccionada. Las medidas identificadas deben definirse con el detalle suficiente para

permitir la selección de las medidas que deban implementarse. Las medidas reciénidentificadas pueden suponer una adaptación de una medida existente.

NOTA: La identificación de las medidas de base está estrechamente relacionada con la identificaciónde los objetos de medición y sus atributos.

Deberían seleccionarse las medidas identificadas que podrían satisfacer la necesidad deinformación seleccionada. Además debe considerarse la información de contexto necesaria

para interpretar o normalizar las medidas.

NOTA: para hacer frente a una necesidad de información específica pueden ser seleccionadas muchascombinaciones diferentes de medidas (medidas de base, medidas derivadas e indicadores).

Las medidas seleccionadas deben reflejar la prioridad de la necesidad de información.Ejemplos de los criterios que pueden ser utilizados para la selección de medidas incluyen:

- Facilidad de recolección de datos;

- Disponibilidad de recursos humanos para recoger y gestionar los datos;


7/18/2019 ISO-IEC 27004-2012 NTP



- Disponibilidad de herramientas adecuadas;

- Número de indicadores potencialmente pertinentes basados en la medida de base;

- Facilidad de interpretación;

- Número de usuarios de los resultados de la medición desarrollada;

- La evidencia sobre la aptitud de la medida para el propósito o la necesidadde información, y

- Los costos de obtener, gestionar y analizar los datos.

7.5.3 Método de medición

Para cada medida de base debe ser definido un método de medición. Este método demedición se utiliza para cuantificar un objeto de medición a través de la transformación delos atributos en el valor asignado en a la medida de base.

Un método de medición puede ser subjetivo u objetivo. Los métodos subjetivos se basan

en la cuantificación, recabando la opinión humana, mientras que los métodos objetivosutilizan cuantificación base de reglas numéricas como el recuento de lo que puede seraplicado a través de medios humanos o automatizados.

El método de medición cuantifica los atributos como valores mediante la aplicación de unaescala adecuada. Cada escala utiliza unidades de medida. Sólo las cantidades expresadas enla misma unidad de medida son comparables directamente.

Para cada método de medición, debería establecerse y documentarse un proceso deverificación.

Esta verificación debería garantizar un nivel de confianza en el valor que va a obtenerseaplicando un método de medición a un atributo del objeto de la medición y asignarse a unamedida de base.


7/18/2019 ISO-IEC 27004-2012 NTP



Cuando sea necesario para obtener un valor válido, las herramientas utilizadas para obtenerlos atributos deben ser normalizadas y verificarse a intervalos especificados.

Debería tenerse en cuenta la precisión del método de medición y registrarse la desviación ovariación asociada.

Un método de medición debe ser coherente (consistente) en el tiempo para que seancomparables los valores tomados en diferentes momentos y asignados a una medida base y

para que también sean comparables los valores asignados a una medida derivada y a unindicador.

7.5.4 Función de medición

Para cada medida derivada debería definirse una función de medición que se aplique a doso más valores asignados a las medidas base. Esta función de medición es utilizada paratransformar los valores asignados a una o más medidas base en el valor a asignar a unamedida derivada. En algunos casos, una medida base puede contribuir directamente almodelo de análisis, además de a una medida derivada.

Una función de medición (por ejemplo, un cálculo) puede implicar una variedad detécnicas, como el promedio de todos los valores asignados a las medidas base, aplicar

ponderaciones a los valores asignados a las medidas base, o la asignación de valorescualitativos a los valores asignados a las medidas base antes de agregarlo en el valor que seasignará a una medida derivada. La función de medición puede combinar medidas baseusando diferentes escalas, tales como porcentajes y resultados de valoraciones cualitativas.

7.5.5 Modelo analítico

Para cada indicador, debería definirse un modelo de análisis con el propósito de latransformación de uno o más valores asignados a una medida base y / o derivada en elvalor a asignar a un indicador.

El modelo de análisis combina las medidas pertinentes de forma de producir una salida quesea significativo para partes interesadas.


7/18/2019 ISO-IEC 27004-2012 NTP



Al definir el modelo de análisis también deberían considerarse los criterios de decisión quese aplican a un indicador.

A veces, un modelo de análisis puede ser tan simple como la transformación de un valorúnico asignado a una medida derivada en el valor que se asigna a un indicador.

7.5.6 Indicadores

Los valores que se asignan a los indicadores serán producidos por la agregación de los

valores asignados a la medida derivada e interpretando esos valores basados en los criteriosde decisión.

Como parte del formato del informe por cada indicador que debería se informado al clientedebería definirse un formato de presentación del indicador (véase el apartado 7.7)

Los formatos para la presentación de indicadores deberían representar visualmente lasmedidas y proporcionar una explicación verbal de los indicadores. Para satisfacer lanecesidad de información del cliente los formatos para la presentación de indicadoresdeberían personalizarse.

7.5.7 Criterios de decisión

Los criterios de decisión correspondientes a cada indicador deberían definirse ydocumentarse en base a los objetivos de seguridad de la información, para proporcionar alos interesados pautas concretas. Para iniciar acciones de mejora basadas en el indicadorestas pautas deberían atender a las expectativas de progreso y los umbrales. Los criteriosde decisión establecen un objetivo (meta) por el cual se mide el éxito (véase el apartado5.3) y proporcionar orientación sobre la interpretación del indicador en relación con su

proximidad al objetivo (meta).

Para cada elemento deberían establecerse los objetivos (metas) mirando el rendimiento delos procesos y controles del SGSI, el logro de los objetivos, y la eficacia del SGSI a serevaluado.


7/18/2019 ISO-IEC 27004-2012 NTP



La dirección no puede decidir qué objetivos establecer para los indicadores hasta que losdatos iniciales sean recogidos. Una vez basadas en los datos iniciales son identificadas lasacciones correctivas, pueden definirse los criterios de decisión adecuados y las fases deaplicación realistas para un SGSI específicos. Si en este punto no pueden establecerse loscriterios de decisión, la dirección debe evaluar si el objeto de medición y lascorrespondientes medidas están aportando el valor esperado por la organización.

Puede facilitarse el establecimiento de criterios de decisión si están disponibles los datoshistóricos referidos a países desarrollados o a las medidas seleccionadas. Las tendenciasobservadas en el pasado ofrecerán información detallada de los rangos de rendimiento quehan existido anteriormente y orientar para la creación de criterios de decisión realista. Los

criterios de decisión pueden calcularse o basarse en una comprensión conceptual delcomportamiento esperado. Los criterios de decisión pueden derivarse de los datoshistóricos, los planes, y la heurística, o calcularse como los límites de control estadístico ode los límites de confianza estadística.

7.5.8 Partes interesadas (stakeholders)

Deberían identificarse y documentarse las partes interesadas pertinentes para cada medida base y / o derivada. Partes interesadas pueden incluir lo siguiente:

a) Cliente de la medición: la dirección u otras partes interesadas que soliciten oque requieran información acerca de la eficacia de un SGSI, los controles o el grupode los controles;

b) Revisor de la medición: la persona o unidad organizativa que valida que elconstructor de medición desarrollado es apropiado para evaluar la eficacia de unSGSI, los controles o el grupo de los controles;

c) propietario de la Información: la persona o unidad organizativa que posee lainformación sobre un objeto de medición y los atributos y es responsable de lamedición;

d) Colector de información: la persona o unidad organizativa responsable derecopilar, registrar y almacenar los datos, y

e) Comunicador de información e): la persona o unidad organizativaresponsable de analizar los datos y comunicar los resultados de la medición.


7/18/2019 ISO-IEC 27004-2012 NTP



7.6 Constructor de medición

Como mínimo, la especificación del constructor de medición debería contener la siguienteinformación:

a) Propósito de la medición;

b) Objetivo de control que debería alcanzarse con los controles y los controlesespecíficos, el grupo de los controles y procesos del SGSI que debe medirse;

c) Objeto de la medición;

d) Los datos a recoger y utilizar;

e) Procesos para la recogida de datos y el análisis;

f) Proceso para informar de los resultados de la medición, incluyendo losformatos de los informes;

g) Los roles y responsabilidades de las partes interesadas pertinentes, y

h) Un ciclo de revisión de la medición para garantizar su utilidad en relación

con una necesidad de información.

El Anexo A proporciona un ejemplo de constructor de medición genérico que incorpora los puntos a) al h). El Anexo B proporciona ejemplos de constructores de medición aplicados ala medición de los procesos y los controles del SGSI.

7.7 La recolección de datos, análisis y presentación de informes

Deberían establecerse procedimientos para la recolección y análisis de datos, y los

procesos para informar los resultados de la medición desarrollada. Si es necesario tambiéndeberían establecerse herramientas de apoyo, equipos de medición y tecnologías. Estos procedimientos, herramientas, equipos de medición y tecnologías deberían guiar lassiguientes actividades:

a) La recopilación de datos, incluyendo el almacenamiento de datos y laverificación (véase el apartado 8.3). Los procedimientos deberían identificar cómolos datos serán recogidos por el método de medición, la función de medición y el


7/18/2019 ISO-IEC 27004-2012 NTP



modelo de análisis, así como y dónde se almacenarán junto con cualquierinformación de contexto necesaria para comprender y comprobar los datos. Laverificación de los datos puede realizarse mediante la inspección de los datos contrauna lista de control que se construye para verificar que los datos faltantes sonmínimos, y que el valor a ser asignado a cada medida es válido.

NOTA: La verificación de los valores que se asignarán a las medidas de base está estrechamenterelacionada con la verificación del método de medición (véase el apartado 7.5.3).

b) Análisis de datos y presentación de informes de los resultados de lamedición desarrollada. Los procedimientos deberán especificar las técnicas deanálisis de datos (véase el aparatado 9.2), y la frecuencia, el formato y los métodos

para informar de los resultados de la medición. Deberían identificarse la variedad deherramientas que pueden ser necesarias para realizar el análisis de datos.Ejemplos de formatos de informes incluyen:

-

Tableros para proporcionar información estratégica mediante la integraciónde indicadores de alto nivel;

-

Cuadros de mando ejecutivos y operacionales menos centrados en losobjetivos estratégicos y más ligados a la eficacia de los controles y procesosespecíficos;

-

Informes, desde los simples y estáticos por la naturaleza, hasta reportes mássofisticados de tablas cruzadas una lista de medidas para un período de tiempodeterminado, para cruzar más sofisticados con la agrupación anidada, resúmenesde rodadura y de perforación dinámica a través de o vinculación. Los informes seutiliza mejor cuando el usuario tiene que mirar los datos en bruto en un formatofácil de leer el formato, y

-

Indicadores para representar valores dinámicos incluidas las alertas, otroselementos gráficos y etiquetado de los puntos finales (extremos.)

7.8 Implementación y documentación de la medición

En un plan de implementación debería documentarse el enfoque global de la medición. El plan de implementación debería incluir como mínimo la siguiente información:

a) El Programa de Medición de Seguridad de la Información implementado para la organización;


7/18/2019 ISO-IEC 27004-2012 NTP



b) Especificación de la medición incluyendo:

c) constructores de mediciones genéricos de la organización;

d) constructores de mediciones individuales de la organización, y

e) definición del alcance y los procedimientos para la recopilación y análisis dedatos;

f) el calendario (cronograma) de plan para llevar a cabo actividades demedición;

g) Los registros creados realizando actividades de medición, incluidos losdatos recopilados y el análisis de los registros; y

h) los formatos de los informes de presentación de resultados de la medición aser informados a la dirección / partes interesadas (véase ISO / IEC 27001:2005 elcapítulo 7, "Revisión de la gestión").

8. OPERACIÓN DE MEDICIÓN

8.1 Visión general

La operación de medición de la seguridad de la información incluye actividades que sonesenciales para asegurar que los resultados de la medición desarrollada proporcionaninformación precisa con respecto a la eficacia del SGSI implementado, los controles o elgrupo de los controles y las necesidades de acciones de mejora apropiadas.

Esta actividad incluye lo siguiente:

a) Integrar procedimientos de medición en el funcionamiento general delSGSI.

b) Recolectar, almacenar y verificar los datos.


7/18/2019 ISO-IEC 27004-2012 NTP



8.2 Procedimiento de integración

El Programa de Medición de Seguridad de la Información debe estar plenamente integradoy ser utilizado por el SGSI. Los procedimientos de medición deberían coordinarse con elfuncionamiento del SGSI, incluyendo:

a) Definición y documentación de las funciones, autoridad y responsabilidad,viendo el desarrollo, implementación y mantenimiento de la medición de laseguridad de la información;

b) Recolección de los datos y, en caso necesario, modificación delfuncionamiento actual del SGSI para dar cabida a la generación de datos y recogidade las actividades;

c) Comunicación de los cambios en las actividades de recolección de datos alas partes interesadas;

d) Mantenimiento de la competencia de los recolectores de la información y lacomprensión de los tipos de datos necesarios, herramientas de recolección de datos y

procedimientos de recolección;e) Desarrollo de políticas y procedimientos que definen el uso de la medicióndentro de la organización, la difusión de la información de la medición, auditoría y

revisión del Programa de Medición de Seguridad de la información;

f) Integración del análisis de datos y la presentación de informes en los procesos pertinentes para asegurar su funcionamiento regular;

g) Seguimiento, revisión y evaluación de los resultados de la medición;

h) Establecimiento de un proceso para la eliminación de las medidas y elagregado de nuevas medidas para garantizar que evolucionan con la organización, y

i) Establecimiento de un proceso para determinar la vida útil de los datoshistóricos para el análisis de tendencias.

8.3 Recolección, almacenamiento y verificación de Datos

Las actividades de recolección, almacenamiento y verificación de los datos incluyen:


7/18/2019 ISO-IEC 27004-2012 NTP



a) Recolectar los datos requeridos en intervalos regulares utilizando un métodode medición designado;

b) Documentar la recolección de datos, incluyendo:

1) fecha, hora y lugar de la recolección;

2) recolector de la información;

3) propietario de la información;

4) cualquier situación que ocurra durante la recolección de datos que pueda ser

útil;

5) información para la verificación de datos y validación de medición; y

c) Verificación de los datos recolectados contra el criterio de mediciónseleccionado y el criterio de validación del constructor de medición.

Los datos recolectados y cualquier información de contexto necesaria deberían serconsolidados y almacenados en un formato de almacenamiento propicio para el análisis dedatos.

9. ANÁLISIS DE DATOS Y REPORTE DE LOS RESULTADOS DE LAMEDICIÓN

9.1 Visión general

Los datos recolectados deberían ser analizados para desarrollar resultados de la medición ylos resultados de la medición desarrollados deberían ser comunicados.Esta actividad incluye lo siguiente:

a) Analizar los datos y desarrollar los resultados de las mediciones; y

b) Comunicar los resultados de las mediciones a las partes interesadas pertinentes.


7/18/2019 ISO-IEC 27004-2012 NTP



9.2 Analizar los datos y desarrollar resultados de las mediciones

Los datos recolectados deberían ser analizados e interpretados en términos de los criteriosde decisión. Los datos deberían ser agregados, transformados o re-codificados previo alanálisis.

Durante esta tarea, los datos deberían ser procesados para producir los indicadores. Puedenser aplicadas un número de técnicas de análisis. La profundidad del análisis debería serdeterminado por la naturaleza de los datos y de la necesidad de información.

NOTA: Una guía para la realización de análisis estadístico puede encontrarse en la norma ISO TR10017 (Guía de técnicas estadísticas para la norma ISO 9001).

El resultado del análisis de los datos debería ser interpretado. La persona analizando losresultados (comunicador) debería ser capaz de sacar algunas conclusiones iniciales basadoen los resultados. Sin embargo, como el comunicador puede no estar directamenteinvolucrado en el proceso técnico y de gestión, estas conclusiones necesitan ser revisadas

por las partes interesadas. Todas las interpretaciones deberían tener en cuenta el contextode las mediciones.

El análisis de los datos debe identificar “distancias/diferencias”(gaps) entre los resultadosde las mediciones esperadas y las actuales, de un SGSI implementado, controles o gruposde controles.

Las distancias identificadas indicarán las necesidades de mejora de el SGSI implementado,incluyendo su alcance, políticas, objetivos, controles, procesos y procedimientos.

Aquellos indicadores que demuestren no-conformidad o un pobre rendimiento deberían seridentificados y pueden ser clasificados como sigue:

a) Falla en la implementación del plan de tratamiento de riesgos o enimplementar, operar y gestionar los controles o procesos del SGSI suficientemente.(e.j., controles y procesos del SGSI pueden ser “bypassed” por las amenazas);

b) Falla en la evaluación del riesgo:


7/18/2019 ISO-IEC 27004-2012 NTP



1) Los controles o procesos del SGSI son inefectivos porque son insuficientes para contar las amenazas estimadas (Por ejemplo: porque la probabilidad de lasamenazas fue subestimada) o las nuevas amenazas;2) Controles o procesos del SGSI no fueron implementados, porque se pasaron

por alto amenazas.

Los reportes que son usados para comunicar los resultados de las mediciones a las partesinteresadas pertinentes, deberían ser preparados utilizando formatos de reporte apropiados(véase el apartado 7.7) de acuerdo con el plan de implementación del Programa deMedición de Seguridad de la Información.

Las conclusiones del análisis deberían ser revisadas por las partes interesadas pertinentes para asegurar la apropiada interpretación de los datos. Los resultados del análisis de losdatos deberían ser documentados para la comunicación a las partes interesadas.

9.3 Comunicar los resultados de las mediciones

Los comunicadores de la información deberían determinar cómo comunicar los resultadosde las mediciones de seguridad, tales como:

- Cuáles resultados de medición serán reportados internamente yexternamente;

- Listar las medidas correspondientes a las partes interesadas individuales y partes interesadas;

- Resultados de mediciones específicos a ser provistos, y el tipo de presentación, adaptado a las necesidades de cada grupo; y

- Medios para la obtención de retroalimentación de las partes interesadas, aser utilizadas para la evaluación de la utilidad de los resultados de las mediciones y

de la efectividad del Programa de Medición de Seguridad de la Información.

Los resultados de las mediciones deberían ser comunicados a una variedad de partesinteresadas incluyendo pero no limitándose a:

- Clientes de la medición (véase el apartado 7.5.8);


7/18/2019 ISO-IEC 27004-2012 NTP



- Dueños de la información (véase el apartado 7.5.8);

- Personal a cargo de la gestión de seguridad de la información,especialmente donde se han identificado fallas en la evaluación de riesgo; y

- Personal responsable de las áreas identificadas con necesidad de mejora.

Se puede requerir, en algunos casos, a la organización la distribución de los reportes deresultados de las mediciones a partes externas, incluyendo autoridades reguladoras,accionistas, clientes, y proveedores. Es recomendable que los reportes de los resultados delas mediciones sean aprobados por la dirección y por las partes interesadas pertinentes,

antes de ser liberados.

10. EVALUACIÓN Y MEJORA DEL PROGRAMA DE MEDICIÓN DESEGURIDAD DE LA INFORMACIÓN

10.1 Visión general

La organización debería evaluar a intervalos planificados lo siguiente:

a) La efectividad del Programa de Medición de Seguridad de la Informaciónimplementado para asegurar que el mismo:

1) Produce resultados de las mediciones de forma efectiva;

2) Se ejecuta según lo planificado;

3) Considera los cambios en el SGSI y/o controles implementados;

4) Considera los cambios en el entorno (e.j. Requerimientos, legislación, otecnología); y

b) Utilidad de los resultados de las mediciones desarrolladas para garantizarque satisfacen las necesidades de la información pertinente.

La dirección debería especificar la frecuencia de esta evaluación, planificarrevisiones periódicas y establecer los mecanismos para hacer estas revisiones

posibles (véase el apartado 7.2 de la norma ISO/IEC 27001:2005).


7/18/2019 ISO-IEC 27004-2012 NTP



Las actividades pertinentes deberían ser las siguientes:

1) Identificar los criterios de evaluación para el Programa de Medición deSeguridad de la Información (véase el apartado 10.2);

2) Monitorear, revisar y evaluar las mediciones (véase el apartado 10.3); e

3) Implementar las mejoras (véase el apartado 10.4).

10.2 Identificación de criterios de evaluación para el Programa de Mediciónde Seguridad de la Información

La organización debería definir el criterio para evaluar la efectividad del Programa deMedición de Seguridad de la Información, así como la utilidad de los resultados de lasmediciones desarrolladas. El criterio debería definirse al comienzo de la implementacióndel Programa de Medición de Seguridad de la Información, teniendo en cuenta el contextode los objetivos técnicos y de negocio de la organización.

Los criterios más probables cuando las organizaciones deben evaluar y mejorar elPrograma de Medición de Seguridad de la Información implementado son:

- Cambios en los objetivos del negocio de la organización;

- Cambios en requerimientos legales o reguladores y obligacionescontractuales en seguridad de la información;

- Cambios en los requerimientos de seguridad de la información de laorganización;

- Cambios en los riesgos de seguridad de la información de la organización;

- Incremento en la disponibilidad de datos y/o métodos más refinados o

adecuados para la recolección de datos para propósitos de medición; y

- Cambios en el objeto de la medición y/o sus atributos;

Los siguientes criterios pueden aplicar para evaluar los resultados de las medicionesdesarrolladas:


7/18/2019 ISO-IEC 27004-2012 NTP



a) Los resultados de las mediciones son:

1) Fáciles de entender;

2) Comunicados en tiempo; y

3) Objetivos, comparables y reproducibles.

b) Los procesos establecidos para el desarrollo de las mediciones son:

1) Bien definidos;

2) Fáciles de operar; y

3) Seguidos correctamente.

c) Los resultados de las mediciones son útiles para mejorar la seguridad de lainformación

d) Los resultados de las mediciones consideran las correspondientesnecesidades de la información.

10.3 Monitorear, revisar y evaluar el Programa de Medición de Seguridad

de la Información

La organización debería monitorear, revisar y evaluar su Programa de Medición deSeguridad de la Información con el criterio establecido (véase 10.2).

La organización debería identificar sus necesidades de mejora del Programa de Mediciónde Seguridad de la Información, incluyendo:

a) Revisar o remover los constructores de medida adoptados que ya no sonadecuados; y

b) Re-ubicar los recursos para soportar el Programa de Medición de Seguridadde la Información.

La organización debería identificar las necesidades potenciales de mejora del SGSIimplementado, incluyendo su alcance, políticas, objetivos, controles, procesos y


7/18/2019 ISO-IEC 27004-2012 NTP



procedimientos; y documentar las decisiones de gestión para permitir comparar y analizarla tendencia durante las revisiones subsecuentes.

Los resultados de esta evaluación y las necesidades potenciales de mejora identificados,deberían ser comunicados a las partes interesadas relevantes para permitir la toma dedecisiones con respecto a las mejoras necesarias.

La organización debería garantizar la retroalimentación de las partes interesadas, en losresultados de esta evaluación y en las necesidades potenciales de mejora identificadas. Laorganización debería comprender que la retroalimentación es una de las entradas

relacionadas con la efectividad del Programa de Medición de Seguridad de la información.

10.4 Implementar mejoras

La organización debería garantizar que las partes interesadas relevantes identificaran lasmejoras necesarias del Programa de Medición de Seguridad de la Información (véase elapartado 7.3 e) de la norma ISO/IEC 27001). Las mejoras identificadas deberían seraprobadas por la gerencia. El plan aprobado debería ser documentado y comunicado a las

partes interesadas apropiadas.

La organización debería garantizar que las mejoras aprobadas del Plan de Medición deSeguridad de la Información se implementen según lo planificado.

La organización podría aplicar técnicas de gestión de proyectos para lograr las mejoras.


7/18/2019 ISO-IEC 27004-2012 NTP



ANEXO A(INFORMATIVO)

PLANTILLA PARA UN CONSTRUCTOR DE MEDICIÓNDE SEGURIDAD DE LA INFORMACIÓN

El anexo A provee una plantilla ejemplo para un constructor de medición que incluye todoslos componentes identificados en el apartado 7.5 como se describen en el apartado 5.4. Lasorganizaciones pueden modificar la plantilla de acuerdo a sus requerimientos.

Identificación del Constructor de Medición Nombre del Constructor deMedición

Nombre de la Medición

Identificador Numérico Identificador numérico único, específico para la organizaciónPropósito del Constructor deMedición

Describe las razones para introducir la medición.

Objetivo de control/proceso Objetivo de control/proceso bajo medición (planificado oimplementado)

Control (1)/proceso (1) Control/proceso bajo mediciónControl (2)/proceso (2) Opcional: controles/procesos adicionales dentro de la agrupación incluido en

la misma medida, si aplica (planificado o implementado).Objeto de la Medición y Atributos Objeto de la Medición Objeto (entidad) que se caracteriza a través de la medición de sus atributos. Un

objeto puede incluir procesos, planes, proyectos, recursos, y sistemas ocomponentes de sistemas.

Atributo Propiedad o característica de un objeto de medición que se puede distinguircuantitativamente o cualitativamente por medios humanos o automatizados.

Especificación de la Medida Base (para cada medida [1...n]) Medida Base Una medida base se define en términos de un atributo y el método de medición

especificado para cuantificarlo (por ejemplo, número de personas capacitadas,número de sitios, costo acumulado a la fecha). Según se recogen los datos, seasigna un valor a la medida base.

Método de Medición Secuencia lógica de operaciones utilizada para cuantificar un atributo conrespecto a una escala especificada.

Tipo de Método de Medición Dependiendo de la naturaleza de las operaciones utilizadas para cuantificar unatributo, se pueden distinguir dos tipos de métodos:- Subjetivo: cuantificación que involucra el juicio humano.- Objetivo: cuantificación basada en reglas numéricas, como contar.

Escala Conjunto ordenado de valores o categorías a las cuales se asigna el atributo delas medidas base.

Tipo de Escala Se definen comúnmente cuatro tipos de escala, dependiendo de la naturalezade la relación entre los valores de la escala: Nominal, Ordinal, Intervalo yRatio.

Unidad de Medida Cantidad particular, definida y adoptada por convención, con la cual cualquierotra cantidad del mismo tipo puede ser comparada para expresar la relación delas dos cantidades como un número.


7/18/2019 ISO-IEC 27004-2012 NTP



Especificación de la Medida Derivada Medida Derivada Una medida que es derivada como una función de dos o másmedidas base.

Función de Medición Algoritmo o cálculo realizado para combinar dos o más medidas. La escala yunidad de la medida derivada depende de las escalas y unidades de lasmedidas base, de las cuales está compuesta así como también de cómo soncombinadas por la función.

Especificación del Indicador Indicador Medida que provee una estimación o evaluación de los atributos especificados

derivados de un modelo analítico con respecto a una definida necesidad deinformación. Los indicadores son la base para el análisis y la toma dedecisiones.

ModeloAnalítico

Algoritmo o cálculo que combina una o más medidas base o derivada con uncriterio de decisión asociado. Se basa en la comprensión, o la suposición de,

la relación esperada entre la medida base o derivada o su comportamiento a lolargo del tiempo. Un modelo analítico produce estimaciones o evaluacionesrelevantes a una definida necesidad de información.

Especificación de los Criterios de Decisión Criterio de Decisión Umbrales, objetivos o modelos utilizados para determinar la necesidad de una

acción o investigación, o para describir el nivel de confianza en undeterminado resultado. Criterios de decisión para ayudar a interpretar losresultados de la medición.

Resultados de la Medición Interpretación del Indicador Un descriptor de cómo el indicador de la muestra (véase figura de la muestra

en descripción del indicador) debería ser interpretado.Formatos de Reporte Los formatos de reporte deberían ser identificados y documentados. Describen

las observaciones que la organización o el propietario de la información pueden querer registrar. Los formatos de los reportes mostrarán visualmente

las medidas y proveerán una explicación verbal de los indicadores. Losformatos de los reportes deberían ser personalizados para la información delcliente.

Partes interesadas Cliente de la medición La dirección u otra parte interesada que solicite o requiera información sobre

la efectividad del SGSI, controles o grupos de controles.Revisor de medición Persona o unidad organizacional que valida que los Constructores de Medición

desarrollados son apropiados para evaluar la efectividad de un SGSI, controleso grupos de controles.

Dueño de la Información Persona o unidad organizacional que es dueña de la información sobre unobjeto de medición y sus atributos, y es responsable por la medición.

Recolector de la información Persona o unidad organizacional responsable de recolectar, registrar yalmacenar los datos.

Comunicador de la información Persona o unidad organizacional responsable de analizar los datos y comunicarlos resultados de las mediciones.

Frecuencia/Periodo Frecuencia de la Recolección deDatos

Con que frecuencia se recolectan los datos.

Frecuencia del Análisis de losDatos

Con que frecuencia se analizan los datos

Frecuencia de reporte de losresultados de las mediciones

Con que frecuencia se reportan los resultados de las mediciones (esto puedeser menos frecuente que la recolección de datos).

Revisión de la Medición Fecha de revisión de la medición ( (vencimiento o renovación de validez de lamedición)

Período de Medición Define el período que se mide.


7/18/2019 ISO-IEC 27004-2012 NTP



ANEXO B(INFORMATIVO)

EJEMPLOS DE CONSTRUCTORES DE MEDICIÓN

Los siguientes apartados proveen ejemplos de Constructores de Medición. Estos ejemplostienen la finalidad de mostrar cómo aplicar esta Norma Técnica Peruana utilizando la

plantilla provista en el Anexo A.

Tabla de contenidos

B.1 Formación en SGSIB.1.1 Personal formado en SGSIB.1.2 Formación en Seguridad de la InformaciónB.1.3 Cumplimiento de la Concientización en Seguridad de la InformaciónB.2 Políticas de ContraseñasB.2.1 Calidad de las contraseñas - manualB.2.2 Calidad de las contraseñas - automatizadoB.3 Proceso de revisión del SGSIB.4 Mejora continua del SGSI

B.4.1 Efectividad de la Gestión de Incidentes de Seguridad de la InformaciónB.4.2 Implementación de Acciones CorrectivasB.5 Compromiso de la DirecciónB.6 Protección Contra Código MaliciosoB.7 Controles de Acceso FísicoB.8 Revisión de Archivos de RegistroB.9 Gestión de Mantenimiento PeriódicoB.10 Seguridad en Acuerdos con Terceras Partes

Procesos y Controles Relacionados (Apartado de ISO/IEC 27001:2005 onúmero de control en Anexo A)

Ejemplos deConstructor de

Mediciónrelacionados

(referencias a esteAnexo)

Ejemplo de nombres de Constructores deMedición

Apartado 4.2.2 h) B.4.1 Efectividad de la Gestión de Incidentes deSeguridad de la Información

Apartado 5.2.2 d) B.1.1 Personal formado en SGSIApartado 8.2 B.4.2 Implementación de Acciones CorrectivasControl A.6.1.8 B.3 Proceso de Revisión del SGSIControl A.6.1.1 y A.6.1.2 B.5 Compromiso de la Dirección


7/18/2019 ISO-IEC 27004-2012 NTP



Control A.6.2.3 B.10 Seguridad en los acuerdos con terceras partesControl A.8.2. y A.8.2.2 B.1.2 Formación en Seguridad de la InformaciónControl A.8.2. y A.8.2.2 B.1.3 Cumplimiento con la concientización en

seguridad de la informaciónControl A.9.1.2 B.7 Controles de acceso físicoControl A.9.2.4 B.9 Gestión del mantenimiento

periódicoControl A.10.4.1 B.6 Protección contra código maliciosoControl A.10.10.1 y A.10.10.2 B.8 Revisión de archivos de registroControl A.11.3.1 B.2.1 Calidad de las contraseñas - manualesControl A.11.3.1 B.2.2 Calidad de las contraseñas - automatizadas

B.1 Formación en SGSI

B.1.1 Personal formado en SGSI


Personal formado en SGSI

Identificador numérico Específico de la OrganizaciónPropósito del Constructor deMedición

Para establecer conformidad con la política de seguridad de lainformación de la organización.

Proceso /Objetivo de control Apartado 5.2.2 [27001:2005]. Formación, toma de conciencia y

competenciaControl (1)/proceso (1) Apartado 5.2.2.d [27001:2005]. Formación, toma de conciencia y

competencia. La organización debe asegurar que todo el personal alque se asigne responsabilidades definidas en el SGSI sea competente

para realizar las tareas exigidas, mediante: d) el mantenimiento deregistros de la educación, formación, habilidades, experiencia ycalificaciones.

Objeto de la Medición y Atributos Objeto de la Medición Base de datos de empleadosAtributo Registros de capacitaciónEspecificación de la Medida Base (1) Medida Base Número de empleados que recibieron capacitación en SGSI de acuerdo

al plan anual de capacitación del SGSI. Número de empleados que deben recibir capacitación en SGSI.

Método de Medición Contar registros/logs en los cuales el campo/filacapacitación esté identificado como “Recibido”.

Tipo de Método de Medición ObjetivoEscala NuméricoTipo de escala RatioUnidad de Medida EmpleadoEspecificación de la Medida Derivada Medida Derivada Porcentaje de personal capacitado en SGSIFunción de Medición Número de empleados que reciben capacitación en SGSI/número de

empleados que tienen que recibir capacitación en SGSI * 100.


7/18/2019 ISO-IEC 27004-2012 NTP



Especificación del indicador Indicador Uso de código de colores con identificadores de colores. Gráfica de barras representando el cumplimiento a lo largo de varios períodos dereporte en relación con los umbrales (rojo, amarillo, verde) definidos

por el Modelo Analítico. El número de períodos de reporte que seutilizará en la gráfica debería ser definido por la organización.

ModeloAnalítico

0-60 %-Rojo; 60-90 %-Amarillo; 90-100 %Verde. Para el Amarillo, sino se logra un progreso de al menos un 10 % por trimestre, laclasificación se pasa a Rojo en forma automática

Especificación de los Criterios de Decisión Criterios de Decisión Rojo - requiere intervención, se debe conducir un análisis de

causalidad para determinar las razones de no cumplimiento y bajodesempeñoAmarillo - el indicador debe ser vigilado de cerca debido a posibles

desplazamiento al RojoVerde - no se requieren accionesResultados de la Medición Interpretación del Indicador Específicos de la organización.Formatos de reporte Gráfica de barras con barras de código de colores basados en los

criterios de decisión. Se deberían adjuntar a la gráfica de barras, pequeños resúmenes del significado de las medidas y las posiblesacciones de la dirección.

Partes interesadasCliente de la Medición Gerentes responsables del SGSIRevisor de la medición Gerentes responsables del SGSIDueño de la información Gerente de capacitación – Recursos HumanosRecolector de la información Gerencia de Capacitación – Departamento de Recursos Humanos.Comunicador de la información Gerentes responsables del SGSI

Frecuencia/Período Frecuencia de la Recolección dedatos

Mensualmente, el primer día laboral del mes.


Trimestral


Trimestral

Revisión de la medición Revisión anualPeríodo de Medición Anual

B.1.2 Formación en seguridad de la información


Formación en seguridad de la información


Evaluar el cumplimiento con los requisitos de formación enconcientización de seguridad de la información

Objetivo de control/proceso A.8.2 Durante el empleo

Objetivo: asegurar que los empleados, contratistas y usuarios deterceras partes sean conscientes de las amenazas y la pertinencia de la


7/18/2019 ISO-IEC 27004-2012 NTP



seguridad de la información, de sus responsabilidades y obligaciones,y estén equipados para sustentar la política de seguridad de laorganización en el curso de su trabajo normal, y para reducir el riesgode errores humanos.

Control (1)/proceso (1) A.8.2.2 [27001:2005]. Concientización, educación y formación enseguridad de la información

Todos los empleados de la organización, y en donde sea pertinente, loscontratistas y usuarios de terceras partes, deben recibir formaciónadecuada en concientización y actualizaciones regulares en políticas y

procedimientos organizacionales, relevantes para su función laboral.Control (2)/proceso (2) Objeto de la Medición y Atributos Objeto de la Medición Base de datos de empleadosAtributo Registros de formación

Especificación de la Medida Base (1) Medida Base Número de empleados que han recibido anualmente formación de

concientización en seguridad de la información Número de empleados que necesitan recibir formación anual deconcientización en seguridad de la información

Método de Medición Contar logs/registro con el campo/fila correspondiente aformación anual de concientización en seguridad de lainformación completado como "Recibido"

Tipo de Método de Medición ObjetivoEscala NuméricoTipo de escala RatioUnidad de Medida EmpleadoEspecificación de Medida Derivada Medida Derivada Porcentaje del personal que ha recibido entrenamiento anual de

concientización en seguridad de la informaciónFunción de Medición Número de empleados que han recibido entrenamiento anual de

concientización en seguridad de la información/número de empleadosque necesitan recibir entrenamiento anual de concientización enseguridad de la información * 100

Especificación del indicador Indicador Gráfico de barras que represente el cumplimiento durante varios

períodos en relación a los umbrales (rojo, amarillo, verde, conidentificador de color) definidos por el Modelo analítico. El número de

períodos de reporte a usar en el gráfico debería ser definido por laorganización

ModeloAnalítico

0-60%-Rojo; 60-90%-Amarillo; 90-100%Verde. Para el Amarillo, sino se logra un progreso de al menos un 10% por trimestre, la

clasificación se pasa a Rojo en forma automática

Especificación de los Criterios de Decisión Criterios de Decisión Rojo - requiere intervención, se debe conducir un análisis de

causalidad para determinar las razones de no cumplimiento y bajodesempeñoAmarillo - el indicador debe ser vigilado de cerca debido a posiblesdesplazamiento al RojoVerde - no se requieren acciones


7/18/2019 ISO-IEC 27004-2012 NTP



Resultados de la Medición Interpretación del Indicador Específicos de la organización.Formatos de reporte Grafica de barras con barras de código de colores basados en los

criterios de decisión. Se deberían adjuntar a la gráfica de barras, pequeños resúmenes del significado de las medidas y las posiblesacciones de la dirección.

Partes interesadasCliente de la Medición Gerentes responsables del SGSI. Gerente de Seguridad. Gerente de

capacitaciónRevisor de la medición Gerente de SeguridadDueño de la información Oficial de Seguridad de la Información y Gerente de capacitaciónRecolector de la información Gerente de capacitación - Departamento de Recursos HumanosComunicador de la información Gerentes responsables del SGSIFrecuencia/Período

Frecuencia de la Recolección dedatos Mensualmente, el primer día laboral del mes.


Trimestral


Trimestral


B.1.3 Cumplimiento de la Concientización en Seguridad de la Información


Cumplimiento con la política de concientización en seguridad de lainformación


Evaluar el estado del cumplimiento con la política de concientizaciónen seguridad de la organización entre el personal relevante

Objetivo de control/proceso A.8.2 Durante el empleoObjetivo: asegurar que los empleados, contratistas y usuarios deterceras partes sean conscientes de las amenazas y la pertinencia de laseguridad de la información, de sus responsabilidades y obligaciones,y estén equipados para sustentar la política de seguridad de laorganización en el curso de su trabajo normal, y para reducir el riesgo

de errores humanos.Control (1)/proceso (1) A.8.2.2 Todos los empleados de la organización, y en donde sea pertinente, los contratistas y usuarios de terceras partes, deben recibirformación adecuada en concientización y actualizaciones regulares en

políticas y procedimientos organizacionales, relevantes para su funciónlaboral.

(Implementación) Todo el personal relevante para el SGSI debe recibirformación de concientización en seguridad de la información antes deque se le conceda acceso a sistemas de información. La formaciónincluye.....


7/18/2019 ISO-IEC 27004-2012 NTP



Control (2)/proceso (2) A.8.2.1 La dirección debe exigir a los empleados, contratistas yusuarios de terceras partes aplicar la seguridad de acuerdo con las políticas y procedimientos establecidos por la organización.

(Implementación) Todo el personal relevante para el SGSI debe firmaracuerdos de usuario antes de garantizarle acceso a un sistema deinformación

Objeto de la Medición y Atributos Objeto de la Medición 1.1 Plan/agenda de formación de concientización en seguridad de la

información1.2 Personal cuya formación se ha completado o está en curso2.1 Plan/agenda para firmar acuerdos de usuario2.2 Personal que tiene acuerdos firmados

Atributo 1.1 Personal identificado en el plan1.2 Estado del personal con respecto a la formación

2.1 Personal identificado en el plan para firmar2.2 Estado del personal respecto de la firma de acuerdos

Especificación de la Medida Base (1) Medida Base 1.1 Número de empleados planificados hasta la fecha

1.2 Número de empleados que han firmado2.1 Número de empleados planificados para firmar hasta la fecha2.2 Número de empleados que han firmado hasta la fecha

Método de Medición 1.1 Contar el número de empleados agendados para firmar y completarla formación hasta la fecha1.2 Preguntar al responsable por el porcentaje del personal que hacompletado la formación y ha firmado2.1 Contar el número de empleados agendados para firmar hasta lafecha2.2 Contar el número de empleados que han firmado el acuerdo de

usuario Tipo de Método de Medición 1.1 Objetivo

1.2 Subjetivo2.1 Objetivo2.2 Objetivo

Escala 1.1 Enteros de cero a infinito1.2 Enteros de cero a cien2.1 Enteros de cero a infinito2.2 Enteros de cero a infinito

Tipo de escala 1.1 Ordinal1.2 Razón2.1 Ordinal2.2 Ordinal

Unidad de Medida 1.1 Personal

1.2 Porcentaje2.1 Personal2.2 Personal

Especificación de Medida Derivada Medida Derivada 1. Progreso hasta la fecha

2. Progreso de firmados hasta la fecha Función de Medición 1. Agregar el estado a todo el personal que ha firmado, planificado y

por completar hasta la fecha2. Dividir el personal que ha firmado hasta la fecha por el personal

planificado para firmar hasta la fecha


7/18/2019 ISO-IEC 27004-2012 NTP



Especificación del indicador Indicador a) Estado expresado como una combinación de razones y b) Tendencias

ModeloAnalítico

a) [(Dividir el progreso hasta la fecha por personal planificado hasta lafecha) * 100] y progreso hasta la fecha con firmados

b) Comparar el estado con estados anteriores

Especificación de los Criterios de Decisión Criterios de Decisión a) Las razones resultantes deben caer entre 0.9 y 1.1 y entre 0.99 y

1.01 respectivamente para concluir que el objetivo de control se halogrado y que no se necesitan acciones y

b) La tendencia debe ser ascendente o estable Resultados de la Medición Interpretación del Indicador La interpretación del indicador a) debe realizarse como sigue:

-El criterio de la organización para el cumplimiento con la política deconcientización en seguridad de la organización se ha logrado enforma satisfactoria en 0.9≤1er razón≤1.1 y 0.99≤2da razón≤1.01;

correspondientes a la fuente estándar-El criterio de la organización no se ha logrado satisfactoriamente entre[1er razón<0.9 o 1er razón>1.01] y 0.99≤2da razón≤1.01;

correspondiente a fuente itálica-El criterio de la organización no se ha logrado entre [2da razón<0.99o 2da razón>1.01]; correspondiente a fuente en negritaLa interpretación del indicador b) debe realizarse como sigue:-Una tendencia ascendente indica una mejora en el cumplimiento, unatendencia descendente indica un deterioro en el cumplimiento. Elgrado de cambio de la tendencia puede proveer una idea de laefectividad de la implementación del control. Cambios bruscos en

cualquier dirección indica que la implementación del control requiereun examen cercano para determinar la causa. Las tendencias negativas pueden requerir intervención de la gerencia. Las tendencias positivasdeben ser examinadas para identificar buenas prácticas potenciales.

Formatos de reporte Fuente estándar = el criterio ha sido logrado satisfactoriamenteFuente itálica = el criterio no ha sido logrado satisfactoriamenteFuente negrita = el criterio no ha sido logrado

Partes interesadasCliente de la Medición Gerentes responsables del SGSI. Gerente de seguridad. Gerente de

capacitaciónRevisor de la medición Gerente de SeguridadDueño de la información Oficial de Seguridad de la Información y Gerente de capacitaciónRecolector de la información Gerente de capacitación - Departamento de Recursos HumanosComunicador de la información Gerentes responsables del SGSI


Mensualmente, el primer día laboral del mes.


Trimestral


Trimestral



7/18/2019 ISO-IEC 27004-2012 NTP



B.2 Políticas de contraseñas

B.2.1 Calidad de las contraseñas - manual


Calidad de las contraseñas


Evaluar la calidad de las contraseñas utilizadas por los usuarios paraacceder a los sistemas de TI de la organización

Objetivo de control/proceso Evitar que el usuario selecciones contraseñas poco seguras Control (1)/proceso (1) A.11.3.1 Se debe exigir a los usuarios el cumplimiento de buenas

prácticas de seguridad en la selección y uso de las contraseñas.ImplementaciónTodos los usuarios deben seleccionar, para cada sistema, contraseñassólidas que:

1) su largo sea superior a 8;2) no se basen en algo que alguien pueda adivinar

fácilmente o usando información relacionada con la persona, por ejemplo, nombres, números telefónicos,fechas de nacimiento, etc.;

3) no se trata de palabras incluidas en los diccionarios;4) libres de caracteres idénticos sucesivos ya sean todos

numéricos o alfabéticos;Todas las cuentas de usuario y contraseñas para los sistemas de TI dela organización deben ser controladas por el sistema empleado.

Objeto de la Medición y Atributos Objeto de la Medición Base de datos de contraseñas de usuarioAtributo Contraseñas individualesEspecificación de la Medida Base Medida Base 1 Número de contraseñas registradas

2 Número de contraseñas que cumplen la política de calidad decontraseñas de la organización para cada usuario.

Método de Medición 1 Contar el número de contraseñas en la base de datos de contraseñasde usuarios2 Preguntar a cada usuario sobre el número de contraseñas quecumplen la política de contraseñas de la organización

Tipo de Método de Medición 1 Objetivo2 Subjetivo

Escala 1 Enteros de cero a infinito2 Enteros de cero a infinito

Tipo de escala 1 Ordinal2 Ordinal

Unidad de Medida 1 Contraseñas2 Contraseñas

Especificación de Medida Derivada Medida Derivada Total de número de contraseñas que cumplen la política de calidad de

contraseñas de la organizaciónFunción de Medición de [Total de número de contraseñas que cumplen la política de

calidad de contraseñas de la organización para cada usuario]


7/18/2019 ISO-IEC 27004-2012 NTP



Especificación del indicador Indicador a) Ratio de contraseñas que cumplen la política de calidad decontraseñas de la organización.

b) Tendencias de la situación de cumplimiento en relación con la política de calidad de contraseñas.

ModeloAnalítico

a) Dividir [Número total de contraseñas que cumplen la política decalidad de contraseñas de la organización] por [Número de contraseñasregistradas].

b) Comparar el ratio con el ratio previo.Especificación de los Criterios de Decisión Criterios de Decisión Si el ratio resultante es superior a 0,9 se ha alcanzado el objetivo de

control y no se requiere ninguna acción. Si el ratio resultante es deentre 0,8 y 0,9 el objetivo de control no se logra, pero la tendencia

positiva indica mejora. Si el ratio resultante es inferior a 0,8 se

deberían tomar acciones inmediatas.Resultados de la Medición Interpretación del Indicador La interpretación del indicador a) debería ser la siguiente:

El criterio de la organización para el cumplimiento de la política decontraseñas de la organización se ha logrado satisfactoriamente en losratios > 0,9.El criterio de la organización para el cumplimiento de la política decontraseñas de la organización no se ha logrado satisfactoriamente en[0,8 ≤ ratio ≤ 0,9].

El criterio de la organización para el cumplimiento de la política decontraseñas de la organización no se ha logrado en los ratios < 0,8.La interpretación del indicador b) debería ser la siguiente:La tendencia al alza indica un mejor cumplimiento, tendencia a la bajaindica el deterioro del cumplimiento.El grado de cambio de tendencia puede dar una idea de la eficacia delos controles implantados.Tendencia negativa puede requerir más controles, tales comoconcientización, o medios técnicos para forzar la selección decontraseñas robustas o cambiar las contraseñas periódicamente.Las tendencias positivas deberían ser examinadas para estimar losmedios necesarios para cumplir con la política de contraseñas desde elratio actual.El efecto/impacto de los criterios no cumplidos incrementa el riesgo deviolaciones a la confidencialidad.Entre las posibles causas de desviación se encuentra, la falta deconcientización en seguridad, deficiencias en la implementacióntécnica y la falta de tiempo para la implementación en todos lossistemas de TI.

Formatos de reporte La línea de tendencia que muestra el número de contraseñas conformecon la política de calidad de contraseñas de la organización,superpuestas con las líneas de tendencia producidas durante los

periodos anteriores.Partes interesadasCliente de la Medición Gerentes responsables del SGSI. Gerente de seguridad.Revisor de la medición Gerente de seguridad.Dueño de la información Administrador de sistema.Recolector de la información Personal de seguridad.Comunicador de la información Personal de seguridad.


7/18/2019 ISO-IEC 27004-2012 NTP




Anual.


Anual.


Anual.

Revisión de la medición Revisión y actualización todos los añosPeríodo de Medición Anual.

B.2.2 Calidad de las contraseñas - automatizado


Calidad de las contraseñas

Identificador numérico Específico de la organización.Propósito del Constructor deMedición

Evaluar la calidad de las contraseñas utilizadas por los usuarios paraacceder a los sistemas de TI de la organización

Objetivo de control/proceso Evitar que el usuario seleccione contraseñas poco segurasControl (1)/proceso (1) A.11.3.1 Se debe exigir a los usuarios el cumplimiento de buenas

prácticas de seguridad en la selección y uso de las contraseñas.

ImplementaciónTodos los usuarios deben seleccionar, para cada sistema, contraseñassólidas que:

a. su largo sea superior a 8; b. no se basen en algo que alguien pueda adivinar

fácilmente o usando información relacionada con la persona, por ejemplo, nombres, números telefónicos,fechas de nacimiento, etc.;

c. no se trata de palabras incluidas en los diccionarios;d. libres de caracteres idénticos sucesivos ya sean todos

numéricos o alfabéticos;Todas las cuentas de usuario y contraseñas para los sistemas de TI dela organización deben ser controladas por el sistema empleado.La robustez de la contraseña debe ser examinada por un software decraqueo de contraseña.

Objeto de la Medición y Atributos Objeto de la Medición Base de datos de cuentas de sistemas de empleadosAtributo Contraseñas individuales almacenadas en registros de cuentas de

sistemas de empleados

Especificación de la Medida BaseMedida Base 1 Número total de contraseñas.

2 Número total de contraseñas no craqueables.Método de Medición 1 Ejecutar una consulta sobre los registros de cuentas de empleados.

2 Ejecutar un software de craqueo de contraseñas sobre los registros decuentas de empleados usando ataques híbridos.

Tipo de Método de Medición 1 Objetivo2 Objetivo



7/18/2019 ISO-IEC 27004-2012 NTP



Tipo de escala 1 Ordinal2 OrdinalUnidad de Medida 1 Contraseñas

2 ContraseñasEspecificación de Medida Derivada Medida Derivada NingunaFunción de Medición NingunaEspecificación del indicador Indicador a) Ratio de contraseñas craqueables en 4 horas.

b) Tendencia del ratio a).ModeloAnalítico

a) Dividir [Número de contraseñas no craqueables] por [Número totalde contraseñas].

b) Comparar el ratio con el ratio previo.Especificación de los Criterios de Decisión

Criterios de Decisión Si el ratio resultante es superior a 0,9 se ha alcanzado el objetivo decontrol y no se requiere ninguna acción. Si el ratio resultante es deentre 0,8 y 0,9 el objetivo de control no se logra, pero la tendencia

positiva indica mejora. Si el ratio resultante es inferior a 0,8 sedeberían tomar acciones inmediatas.

Resultados de la Medición Interpretación del Indicador La interpretación del indicador a) debería ser la siguiente:

El criterio de la organización para el cumplimiento de la política decontraseñas de la organización se ha logrado satisfactoriamente en losratios > 0,9.El criterio de la organización para el cumplimiento de la política decontraseñas de la organización no se ha logrado satisfactoriamente en[0,8 ≤ ratio ≤ 0,9].

El criterio de la organización para el cumplimiento de la política de

contraseñas de la organización no se ha logrado en los ratios < 0,8.La interpretación del indicador b) debería ser la siguiente:La tendencia al alza indica un mejor cumplimiento, tendencia a la bajaindica el deterioro del cumplimiento.El grado de cambio de tendencia puede dar una idea de la eficacia delos controles implantados.Tendencia negativa puede requerir más controles, tales comoconcientización, o medios técnicos para forzar la selección decontraseñas robustas o cambiar las contraseñas periódicamente.Las tendencias positivas deberían ser examinadas para estimar losmedios necesarios para cumplir con la política de contraseñas desde elratio actual.El efecto/impacto de los criterios no cumplidos incrementa el riesgo decomprometer la contraseña lo que puede conducir al acceso no

autorizado de sistemas.Entre las posibles causas de desviación se encuentra, la falta deconcientización en seguridad, deficiencias en la implementacióntécnica y la falta de tiempo para la implementación en todos lossistemas de TI.

Formatos de reporte La línea de tendencia que representa la facilidad de craquear lacontraseña para todos los registros probados, superpuestas con laslíneas de tendencia producidas durante pruebas anteriores.


7/18/2019 ISO-IEC 27004-2012 NTP



Partes interesadasCliente de la Medición Gerentes responsables del SGSI. Gerente de seguridad.Revisor de la medición Gerente de seguridad.Dueño de la información Administrador de sistema.Recolector de la información Personal de seguridad.Comunicador de la información Personal de seguridad.Frecuencia/Período Frecuencia de la Recolección dedatos

Semanal.


Semanal.


Semanal.

Revisión de la medición Revisión y actualización todos los años

Período de Medición Aplicable a los 3 años.


7/18/2019 ISO-IEC 27004-2012 NTP



B.3 Proceso de revisión del SGSI


Proceso de revisión del SGSI


Evaluar el grado de realización de una revisión independiente de laseguridad de la información

Objetivo de control/proceso Gestionar la seguridad de la información dentro de la organización

Control (1)/proceso (1) A.6.1.8 El enfoque de la organización para la gestión de la seguridadde la información y su implementación (es decir, objetivos de control,controles, políticas, procesos y procedimientos para seguridad de la

información) se debe revisar independientemente a intervalos planificados, o cuando ocurran cambios significativos en laimplementación de la seguridad.

(Implementación)El enfoque de la organización para la gestión de la seguridad de lainformación y su implementación es revisado por un consultor deseguridad externo trimestralmente.

Objeto de la Medición y Atributos Objeto de la Medición 1 Informes de las revisiones de terceras partes

2 Planes de las revisiones de terceras partesAtributo 1 Revisiones de terceras partes informadas

2 Revisiones de terceras partes planificadasEspecificación de la Medida Base

Medida Base 1 Número de revisiones de terceras partes llevadas a cabo.2 Número total de revisiones de terceras partes planificadas.Método de Medición 1 Contar el número de informes de revisiones periódicas realizadas por

terceras partes.2 Contar el número total de revisiones de terceras partes planificadas.

Tipo de Método de Medición 1 Objetivo2 Objetivo


Tipo de escala 1 Ordinal2 Ordinal

Unidad de Medida 1 Revisión2 Revisión

Especificación de Medida Derivada

Medida Derivada NingunaFunción de Medición NingunaEspecificación del indicador Indicador Ratio de progreso de revisiones independientes llevadas a caboModeloAnalítico

Dividir [Número de revisiones de terceras partes llevadas a cabo] por[Total de número de revisiones de terceras partes planificadas].

Especificación de los Criterios de Decisión Criterios de Decisión El ratio resultante del indicador debería caer primariamente entre 0,8 y

1,1 para concluir que el objetivo de control se ha logrado y no serequiera acción. Si no cumple la condición primaria debería estar sobre0,6.


7/18/2019 ISO-IEC 27004-2012 NTP



Resultados de la Medición Interpretación del Indicador La interpretación del indicador debería ser la siguiente:El criterio de la organización para gestionar la seguridad de lainformación dentro de la organización a través de revisiones deterceras partes ha sido logrado satisfactoriamente en [0,8 ≤ ratio ≤ 1,1]. El criterio de la organización no se ha logrado satisfactoriamente en

[0.6≤ ratio<0.8 o ratio>1.1]. Se requiere seguimiento para asegurar que se realice la mejora adecuada.El criterio de la organización no se ha logrado en [0≤ ratio<0.6]. Se

requiere intervención inmediata para asegurar que se realice la mejoraadecuada.Si al final del segundo trimestre, el indicador a) no es satisfactorio, esnecesaria una acción correctiva y debería comunicarse a la gerenciaresponsable del SGSI. Si al final del año el indicador a) no es

satisfactorio, la alta dirección tiene que ser informada y deberíasolicitársele apoyo.El efecto/impacto de los criterios no cumplidos está en un ineficaz

proceso de revisión de la gestión.

Entre las posibles causas de desviación se encuentran, bajo presupuesto, planificación incorrecta y falta de personalcrítico/compromiso de la dirección.

Formatos de reporte Gráfico de barras que representa el cumplimiento a lo largo de varios períodos de presentación de informes en relación con los umbralesdefinidos por los criterios de decisión.

Partes interesadasCliente de la Medición Gerentes responsables del SGSI. Responsable del Sistema de Calidad.Revisor de la medición Gerentes responsables del SGSI.Dueño de la información Gerentes responsables del SGSI.Recolector de la información Auditoría interna. Gerente de Calidad.Comunicador de la información Auditoría interna. Gerente de Calidad. Gerentes responsables del

SGSI.Frecuencia/Período Frecuencia de la Recolección dedatos

Trimestral.


Trimestral.


Trimestral.

Revisión de la medición Revisión y actualización cada 2 añosPeríodo de Medición Aplicable a los 2 años.

B.4 Mejora continua del SGSI

B.4.1 Efectividad de la Gestión de Incidentes de Seguridad de la Información


Efectividad de la Gestión de Incidentes de Seguridad de laInformación


7/18/2019 ISO-IEC 27004-2012 NTP




Evaluar la efectividad de la gestión de incidentes de seguridad de lainformación

Objetivo de control/proceso Posibilitar la detección temprana de eventos de seguridad y darrespuesta a los incidentes de seguridad.

Control (1)/proceso (1) Apartado 4.2.2 h) [27001:2005]Objeto de la Medición y Atributos Objeto de la Medición SGSI.Atributo Incidentes individuales.Especificación de la Medida Base Medida Base Número pre-determinado como umbral.Método de Medición Contar las ocurrencias de incidentes de seguridad de la información

reportadas por fechaTipo de Método de Medición Objetivo

Escala NuméricaTipo de escala OrdinalUnidad de Medida IncidentesEspecificación de Medida Derivada Medida Derivada Incidentes que exceden el umbralFunción de Medición Comparación del número total de incidentes con el umbral.Especificación del indicador Indicador Gráfico de línea que representa la línea horizontal constante que ilustra

el umbral contra el número total de incidentes durante varios períodosexaminados.

ModeloAnalítico

Rojo cuando el número total de incidentes supera el umbral (supera lalínea); amarillo cuando el número total de incidentes está dentro del10% del umbral; verde cuando el número total de incidentes es inferioral umbral en 10% o más.

Especificación de los Criterios de Decisión Criterios de Decisión Rojo – se requiere una investigación inmediata de las causas delaumento del número de incidentes. Amarillo – Los números necesitanser controlados estrechamente y debería iniciarse una investigación silos números no están mejorando. Verde - no se requieren acciones.

Resultados de la Medición Interpretación del Indicador Si se observan rojos en dos ciclos de presentación de informes, se

requiere una revisión de los procedimientos de gestión de incidentes para corregir los procedimientos existentes o para identificar procedimientos adicionales. Si la tendencia no se invierte durante los próximos dos períodos de presentación de informes se requierenmedidas correctivas, como la de proponer la ampliación del alcancedel SGSI.

Formatos de reporte Gráfico de líneas.

Partes interesadasCliente de la Medición Comité de gestión del SGSI.Gerentes responsables del SGSI.Gerente de seguridad.Gerente de Incidentes.

Revisor de la medición Gerentes responsables del SGSI.Dueño de la información Gerentes responsables del SGSI.Recolector de la información Gerencia de gestión de incidentes.Comunicador de la información Comité de gestión del SGSI.Frecuencia/Período


7/18/2019 ISO-IEC 27004-2012 NTP



Frecuencia de la Recolección dedatos Mensual.Frecuencia del Análisis de losDatos

Mensual.


Mensual.

Revisión de la medición Semestral.Período de Medición Mensual.

B.4.2 Implementación de Acciones Correctivas


Implementación de acciones correctivas


Evaluar el desempeño de la implementación de acciones correctivas

Objetivo de control/proceso Apartado 8.2 [27001:2005]. Acción correctiva.La organización debe emprender acciones para eliminar la causa de noconformidades asociadas con los requisitos del SGSI, con el fin de

prevenir que ocurran nuevamente.Control (1)/proceso (1) El procedimiento documentado para la acción correctiva debe definir

requisitos para:a) identificar las no conformidades;

b) determinar las causas de las no conformidades;

c) evaluar la necesidad de acciones que aseguren que las noconformidades no vuelven a ocurrir;d) determinar e implementar la acción correctiva necesaria;e) registrar los resultados de la acción tomada (véase el apartado

4.3.3); yf) revisar la acción correctiva tomada.

(implementación)

La organización determina las acciones correctivas necesarias, y emiteel informe de acción correctiva documentando la información acercade la no conformidad, sus causas y la fecha de vencimiento de lasacciones correctivas que deban adoptarse.Al recibir el informe, es necesario que el gerente responsable del áreadonde la no conformidad fue detectada se asegure que se adopten, sindemora, acciones para eliminar las no conformidades detectadas y sus

causas.Si la acción correctiva no se ha implementado como se ha requerido, lacausa de la no implantación tiene que ser identificada, así como lasalternativas a la acción correctiva original determinada comoapropiada.Deberían estar documentados las acciones adoptadas con la fechacorrespondiente y los resultados. Si la acción correctiva no se aplicasegún lo previsto las razones y las acciones alternativas tienen que serdocumentadas. El informe debería ser proporcionado al Gerente deSeguridad de la Información.


7/18/2019 ISO-IEC 27004-2012 NTP



Objeto de la Medición y Atributos Objeto de la Medición Informes de acciones correctivasAtributo Fechas de vencimiento de las acciones correctivas en el informe

Fechas de adopción de las acciones correctivas registradas en elinformeRazones de demoras y acciones no tomadas

Especificación de la Medida Base Medida Base 1. Número de acciones correctivas planificadas hasta la fecha.

2. Número de acciones correctivas implementadas según lo planificadohasta la fecha.3. Número de acciones correctivas que no se han implementado con

justificación, hasta la fecha.Método de Medición 1. Contar las acciones correctivas planificadas hasta la fecha.

2. Contar las acciones correctivas registradas como implementadas por

fecha de vencimiento3. Contar las acciones correctivas registradas como acciones planificadas no tomadas con la justificación

Tipo de Método de Medición 1-3 ObjetivoEscala 1-3 Enteros de cero a infinitoTipo de escala 1-3 OrdinalUnidad de Medida 1-3 Acciones correctivasEspecificación de Medida Derivada Medida Derivada a) Acciones correctivas no implementadas hasta la fecha

b) Acciones correctivas no implementadas sin justificación legítimaFunción de Medición a) Restar [acciones correctivas tomadas según lo planificado hasta la

fecha] de[acciones correctivas planificadas hasta la fecha]

b) Restar [acciones correctivas no implementadas hasta la fecha] de

[acciones correctivas no tomadas según lo planificado, con justificación, hasta la fecha]Especificación del indicador Indicador a) Estado, expresado como ratio, de las acciones correctivas no

implementadas. b) Estado, expresado como ratio, de las acciones correctivas noimplementadas sin justificación.

ModeloAnalítico

a) Dividir [Acciones correctivas no implementadas hasta la fecha] por[Acciones correctivas planificadas hasta la fecha].

b) Dividir [Acciones correctivas no implementadas sin justificación] por [Acciones correctivas planificadas hasta la fecha].c) Comparar los estados con los estados previos.

Especificación de los Criterios de Decisión Criterios de Decisión Para concluir el logro de los objetivos y no requerir acción, los ratios

de los indicadores a) y b) deberían situarse, respectivamente, entre el0,4 y 0,0 y entre 0,2 y 0,0, y la tendencia del indicador c) debería haberdisminuido en los últimos 2 períodos reportados. El indicador c)debería presentarse en comparación con los indicadores anteriores,

para que la tendencia en la implementación de acciones correctivas pueda ser examinada.


7/18/2019 ISO-IEC 27004-2012 NTP



Resultados de la Medición Interpretación del Indicador La interpretación de los indicadores a) y b) debería ser la siguiente:Las acciones correctivas planificadas deben implementarse a menosque las prioridades de la organización hayan cambiado lo quedetermina la necesidad de implementar acciones correctivas diferenteso la reorientación de los recursos destinados a la implementación deacciones correctivas. Si más del 40% de las acciones correctivas noestán implementadas independientemente de la justificación, esnecesario adoptar medidas de gestión. Si más del 20% de las accionescorrectivas no están implementadas sin una buena razón, es necesarioadoptar medidas de gestión.Las acciones correctivas que no se hayan implementado deberían serexaminadas para identificar las razones de la no implementación.Dependiendo del porcentaje global no implementado y las razones de

la no implementación, otras medidas pueden ser necesarias.La interpretación del indicador c) debería ser la siguiente:La tendencia sobre la implementación de las acciones correctivasdebería ser examinada por un deterioro global en el desempeño o unamejora significativa en el desempeño.Si el porcentaje de acciones correctivas implementadas ha idodisminuyendo en los últimos 2 períodos reportados, es necesarioadoptar medidas de gestión, independientemente de las razones de suincumplimiento.El efecto/impacto de los criterios no cumplidos está en una potencialfalta de mejora continua del SGSI.Las posibles causas pueden incluir la falta de recursos, incorrecta

planificación y la falta de personal crítico y compromiso de ladirección.

Formatos de reporte Gráfico de barras apiladas con la declaración de los resultados demedición, incluyendo un resumen ejecutivo con las conclusiones y

posibles acciones de gestión, que represente el número total deacciones correctivas, separadas en implementadas, no implementadassin una razón legítima, y no implementada con una razón legítima.

Partes interesadasCliente de la Medición Gerentes responsables del SGSI. Gerente de Seguridad de la

Información.Revisor de la medición Gerentes responsables del SGSI.Dueño de la información Gerentes responsables del SGSI.Recolector de la información Gerentes responsables del SGSI.Comunicador de la información Gerentes responsables del SGSI.Frecuencia/Período

Frecuencia de la Recolección dedatos Trimestral.Frecuencia del Análisis de losDatos

Trimestral.


Trimestral.

Revisión de la medición Revisión anualPeríodo de Medición Aplicable 1 año.


7/18/2019 ISO-IEC 27004-2012 NTP



B.5 Compromiso de la Dirección


Frecuencia de la revisión por la dirección


Evaluar el compromiso de la dirección y las actividades de revisión dela seguridad de la información relativas a las actividades de revisión

por la direcciónObjetivo de control/proceso A.6.1 Gestionar la seguridad de la información dentro de la

organización (planificado).Gestionar la seguridad de la información dentro de la organización através de periódicas revisiones por la dirección.

Control (1)/proceso (1) A.6.1.1 Compromiso de la dirección con la seguridad de lainformaciónLa dirección debe apoyar activamente la seguridad dentro de laorganización a través de una orientación clara, compromisodemostrado, y la asignación explícita de las responsabilidades deseguridad de la información y su reconocimiento.(implantación)La organización debe mantener reuniones de revisión por la direcciónmensualmente para apoyar a la seguridad dentro de la organización através de una orientación clara, compromiso demostrado, y laasignación explícita de las responsabilidades de seguridad de lainformación y su reconocimiento.La revisión por la dirección del SGSI debería combinarse con larevisión por la dirección del SGC.

Control (2)/proceso (2) A.6.1.2 Coordinación de la seguridad de la informaciónLas actividades referentes a la seguridad de la información deben estarcoordinadas por representantes de diferentes partes de la organizacióncon funciones y roles pertinentes.(implantación)Los representantes de los diferentes departamentos que ocupan rolesde relevancia y tienen responsabilidades deberían coordinar y

participar en la revisión por la dirección.Objeto de la Medición y Atributos Objeto de la Medición 1. Plan/cronograma de revisión por la dirección de la seguridad de la

información.2. Registro de minutas de revisión por la dirección

Atributo 1.1 Fechas de las reuniones de revisión por la dirección previstas en el plan

1.2 Planificación de los gerentes para atender las reuniones de revisión por la dirección2.1 Fechas de las reuniones de revisión por la dirección registradas enlas minutas de reunión2.2 Registro de asistencia de los gerentes a las reuniones de revisión

por la direcciónEspecificación de la Medida Base Medida Base 1.1 Número de reuniones de revisión por la dirección planificadas

hasta la fecha1.2 Número planificado de gerentes que asistirán a las reuniones derevisión por la dirección


7/18/2019 ISO-IEC 27004-2012 NTP



2.1.1 Número de reuniones de revisión por la dirección planificadasmantenidas hasta la fecha2.1.2 Número de reuniones de revisión por la dirección no planificadasmantenidas hasta la fecha2.1.3 Número de reuniones de revisión por la dirección re-planificadashasta la fecha2.2 Número de gerentes que han asistido a las reuniones de revisión

por la dirección hasta la fechaMétodo de Medición 1.1 Contar las reuniones de revisión por la dirección planificadas hasta

la fecha1.2 Por reuniones de revisión por la dirección hasta la fecha, contargerentes planificados para asistir y añadir una nueva entrada con elvalor por defecto para las reuniones no planificadas realizadas deforma ad-hoc

2.1.1 Contar reuniones de revisión por la dirección planificadasmantenidas hasta la fecha2.1.2 Contar reuniones de revisión por la dirección no planificadasmantenidas hasta la fecha2.1.3 Contar reuniones de revisión por la dirección re-planificadashasta la fecha2.2 Para todas la reuniones de revisión por la dirección que han sidomantenidas, contar el número de gerentes que ha asistido.

Tipo de Método de Medición 1.1 Objetivo1.2 Objetivo o subjetivo2.1.1 Objetivo2.1.2 Objetivo2.1.3 Objetivo2.2 Objetivo.

Escala 1.1 Enteros de cero a infinito1.2 Enteros de cero a infinito2.1.1 Enteros de cero a infinito2.1.2 Enteros de cero a infinito2.1.3 Enteros de cero a infinito2.2 Enteros de cero a infinito

Tipo de escala 1.1 Ordinal1.2 Ordinal2.1.1 Ordinal2.1.2 Ordinal2.1.3 Ordinal2.2 Ordinal

Unidad de Medida 1.1 Reuniones1.2 Personal2.1.1 Reuniones2.1.2 Reuniones2.1.3 Reuniones2.2 Personal

Especificación de Medida Derivada Medida Derivada a) Número de reuniones de revisión por la dirección mantenidas hasta

la fecha b) Ratio de participación en las reuniones de revisión por la direcciónmantenidas hasta la fecha

Función de Medición a) Sumar [número de reuniones de revisión por la dirección planificadas hasta la fecha] y [número de reuniones de revisión por la


7/18/2019 ISO-IEC 27004-2012 NTP



dirección no planificadas hasta la fecha] y [número de reuniones derevisión por la dirección re-planificadas hasta la fecha] b) Para cada reunión de revisión por la dirección dividir [número degerentes que ha asistido a la reunión de revisión por la dirección] por[número de gerentes planificado para asistir a la reunión de revisión

por la dirección]Especificación del indicador Indicador a) Reuniones de revisión por la dirección completadas hasta la fecha.

b) Ratios promedios de participación en las reuniones de revisión porla dirección hasta la fecha.

ModeloAnalítico

a) Dividir [reuniones de revisión por la dirección mantenidas] por[reuniones de revisión por la dirección planificadas].

b) Calcular la desviación media y estándar de todos los ratios de participación en las reuniones de revisión por la dirección.

Especificación de los Criterios de Decisión Criterios de Decisión El ratio resultante del indicador a) debería situarse entre 0.7 y 1.1 paraconcluir que el objetivo de control se ha alcanzado y que no serequiere ninguna acción. Incluso si esto falla, debería estar sobre 0,5

para celebrar un menor logro.Con respecto al indicador b), los límites de confianza calculados sobrela base de la desviación estándar indican la probabilidad de que sealcance un resultado próximo al promedio de participación. Límites deconfianza muy amplios sugieren una salida potencialmente grande y lanecesidad de un plan de contingencia para hacer frente a este resultado.

Resultados de la Medición Interpretación del Indicador La interpretación del indicador a) debería ser la siguiente:

El criterio de la organización para la gestión de la seguridad de la

información dentro de la organización a través de revisiones por ladirección se ha logrado satisfactoriamente en [0,7 ≤ ratio ≤ 1,1]

El criterio de la organización no se ha logrado satisfactoriamente en[0,5 ≤ ratio < 0,7 o ratio > 1,1]. Este resultado puede indicar posible

pérdida de compromiso de la dirección y puede requerir una accióncorrectiva. Los resultados de mediciones posteriores deberían sersupervisados y evaluados para la mejora

El criterio de la organización no se ha logrado en [0 ≤ ratio < 0,5]. Este

resultado indica la falta de compromiso de la dirección y requiere unaintervención inmediata para poner en práctica una acción correctivaapropiada. La alta dirección debe ser notificada del resultado. Un ratiocercano a 0 puede indicar la falta de compromiso de la alta dirección.Si los gerentes responsables del SGSI no ven las revisiones del SGSI

por la dirección como una prioridad, puede estar influenciado por laalta dirección.

Los efectos / impactos de los criterios no alcanzados son la posiblefalta de un continuo y efectivo proceso de revisión por la dirección.Entre las posibles causas de la desviación en el indicador b) puedeincluirse la planificación incorrecta, insuficiente compromiso de losgerentes responsables del SGSI, prioridades encontradas o sobrecargade trabajo sobre los gerentes responsables del SGSI.


7/18/2019 ISO-IEC 27004-2012 NTP



Formatos de reporte Gráfico de líneas que representan el indicador con los criterios sobre larecolección de datos y varios periodos de información con ladeclaración de los resultados de la medición. El número de datosrecogidos y los periodos de información deberían ser definidos por laorganización.

Partes interesadasCliente de la Medición Gerentes responsables del SGSI. Responsable del Sistema de Calidad.Revisor de la medición Autoridad sobre el programa de auditoría interna del SGSI.Dueño de la información Responsable del Sistema de Calidad.

Responsable de los sistemas de gestión conjunta, SGC y SGSI.Recolector de la información Gerente de Calidad. Gerente de Seguridad de la InformaciónComunicador de la información Gerente de Seguridad de la Información. Gerente de Calidad.Frecuencia/Período Frecuencia de la Recolección de

datos

Mensual.


Trimestral.


Trimestral.

Revisión de la medición Revisión y actualización cada 2 añosPeríodo de Medición Aplicable 2 años.

B.6 Protección contra Código Malicioso

Identificación del Constructor de Medición

Nombre del Constructor deMedición Protección contra código malicioso


Evaluar la eficacia del sistema de protección contra software maliciosoy ataques de software.

Objetivo de control/proceso Objetivo de control A.10.4 [27001:2005]. Proteger la integridad delsoftware y la información.(planificado)Proteger la integridad del software y la información de softwaremaliciosos.

Control (1)/proceso (1) Control 10.4.1 [27001:2005]. Controles contra código malicioso.Deben implantarse controles de detección, prevención y recuperación

para protegerse contra códigos maliciosos, junto a procedimientosadecuados para concientizar a los usuarios.

Objeto de la Medición y Atributos Objeto de la Medición 1 Reportes de incidentes

2 Registros del software de salvaguarda contra el software maliciosoAtributo Incidentes causados por software maliciosoEspecificación de la Medida Base Medida Base 1 Número de incidentes de seguridad causados por software malicioso.

2 Total de ataques bloqueados causados por software malicioso.Método de Medición 1 Contar el número de incidentes de seguridad causados por software

malicioso en el Reporte de incidentes.2 Contar el número de registros de ataques bloqueados


7/18/2019 ISO-IEC 27004-2012 NTP



Tipo de Método de Medición 1 Objetivo2 ObjetivoEscala 1 Enteros de cero a infinito

2 Enteros de cero a infinitoTipo de escala 1 Ordinal

2 OrdinalUnidad de Medida 1 Incidentes de seguridad

2 RegistrosEspecificación de Medida Derivada Medida Derivada Fortaleza de la protección contra software malicioso.Función de Medición Número de incidentes de seguridad causados por software

malicioso/número de ataques detectados y bloqueados causados porsoftware malicioso.

Especificación del indicador

Indicador Tendencia de los ataques detectados que no fueron bloqueadas durantevarios períodos reportados.ModeloAnalítico

Comparar el ratio con el porcentaje previo.

Especificación de los Criterios de Decisión Criterios de Decisión Las líneas de tendencia deberían mantenerse bajo el número

especificado. La tendencia resultante debería ser a la baja o constante.Resultados de la Medición Interpretación del Indicador Una tendencia al alza indica deterioro del cumplimiento, una tendencia

a la baja indica mejora del cumplimiento; y cuando la tendencia seeleva notablemente, debería ser necesaria la investigación de la causa yespacio para salvaguardas adicionales.

Formatos de reporte Línea de tendencia que representa ratio de detección y prevención desoftware malicioso junto a las líneas generadas durante los periodos

anteriores reportados.Partes interesadasCliente de la Medición Gerente de seguridad.Revisor de la medición Gerente de seguridad.Dueño de la información Administrador de sistema.Recolector de la información Gerente de seguridad; Administrador de sistema; Administrador de

red.Comunicador de la información Coordinación del servicio.Frecuencia/Período Frecuencia de la Recolección dedatos

Diaria.


Mensual.

Frecuencia de reporte de los

resultados de las mediciones

Mensual.

Revisión de la medición Revisión anualPeríodo de Medición Aplicable 1 año.


7/18/2019 ISO-IEC 27004-2012 NTP



B.7 Controles de Acceso Físico


Controles de Acceso Físico mediante tarjetas de acceso


Demostrar la existencia, alcance y calidad del sistema utilizado para elcontrol de acceso.

Objetivo de control/proceso Objetivo de control A.9.1 [27001:2005]. Evitar accesos físicos noautorizados, daños e interferencias contra las instalaciones y lainformación de la organización.

Control (1)/proceso (1) Control A.9.1.2 [27001:2005]. Controles de acceso físico. Las áreasseguras deben estar protegidas por controles de entrada apropiados que

aseguren que sólo se permite el acceso a personal autorizado.Objeto de la Medición y Atributos Objeto de la Medición Áreas segurasAtributo Registros de la gestión de identidad.Especificación de la Medida Base Medida Base Control de acceso físico mediante tarjetas de acceso.Método de Medición Método de medición relativo donde cada nivel es una parte del nivel

anterior. Controlar el tipo de sistema de control de acceso einspeccionar los siguientes aspectos:- Sistema de control de acceso mediante tarjeta existente;- uso del código PIN;- Registro de funcionalidad;- Autenticación biométrica.

Tipo de Método de Medición SubjetivoEscala 0-50 No hay sistema de control de acceso. 1 Existe un sistema de acceso donde se utiliza un código PIN (sistema de un factor) para control de entrada.2 Existe un sistema de control de acceso mediante tarjeta donde seutiliza la tarjeta de acceso (sistema de un factor) para control deentrada.3 Existe un sistema de control de acceso mediante tarjeta donde seutiliza la tarjeta de acceso y un código PIN para control de entrada.4 Los controles previos + registro de funcionalidad activado.5 Los controles previos + el código PIN es remplazado porautenticación biométrica (huellas digitales, reconocimiento de voz,escaneo de retina, etc.).

Tipo de escala OrdinalUnidad de Medida N/AEspecificación de Medida Derivada Medida Derivada NingunaFunción de Medición ningunaEspecificación del indicador Indicador Barra de progreso. Rojo hasta 0,8, Verde entre 0,8 y 1.ModeloAnalítico

Análisis de las medidas.

Especificación de los Criterios de Decisión Criterios de Decisión Valor 3 = satisfactorio.


7/18/2019 ISO-IEC 27004-2012 NTP



Resultados de la Medición Interpretación del Indicador Por debajo de 3 insatisfactoria, donde (3 – nivel real = brecha deseguridad), deberían adoptarse medidas basadas en la magnitud de la

brecha de seguridad. Por encima de 3 satisfactoria con excelencia, loque puede indicar exceso de inversión sobre posibles medidas.

Formatos de reporte Graficas.Partes interesadasCliente de la Medición Comité de dirección.Revisor de la medición Auditor interno / auditor externo.Dueño de la información Responsable edilicio.Recolector de la información Auditor interno / auditor externo.Comunicador de la información Auditoría interna y Gerencia de Seguridad.Frecuencia/Período Frecuencia de la Recolección de

datos

Anual.


Anual.


Anual.

Revisión de la medición 12 mesesPeríodo de Medición Aplicable 12 meses.

B.8 Revisión de archivos de registro


Revisión de archivos de registro(logs)

Identificador numérico Identificador numérico único específico de la organizaciónPropósito del Constructor deMedición

Evaluar el estado de conformidad de las revisiones regulares a losarchivos de registro (logs) de sistemas críticos.

Objetivo de control Objetivo de Control A.10.10 [27001:2005]. Detectar actividades de procesamiento de información no autorizadas.(planificado)Detectar actividades de procesamiento de información no autorizadasen sistemas críticos a partir de los sistemas de registros(logs)

Control (1) Control A.10.10.2 [27001:2005]. Se deben establecer procedimientos para hacer el seguimiento al uso de las instalaciones de procesamientode la información se deben revisar regularmente los resultados de lasactividades de seguimiento.

Objeto de la Medición y Atributos Objeto de la Medición Sistema.

Atributo Archivo de registro(log) individualEspecificación de la Medida Base (1) Medida Base Número de archivos de registro (logs).Método de Medición Sume el número total de archivos de registro que figuran en la lista de

registros de revisiónTipo de Método de Medición Objetivo.Escala Enteros de cero a infinito.Tipo de escala Ordinal.Unidad de Medida Archivo de registro(log)Especificación de la Medida Base (2)


7/18/2019 ISO-IEC 27004-2012 NTP



Medida Base Número de archivos de registro (logs) revisados.Método de Medición Sume el número total de archivos de registro para todos los sistemasdentro del alcance del SGSI

Tipo de Método de Medición Objetivo.Escala Numérica.Tipo de escala Ratio.Unidad de Medida Archivo de registro(log)Especificación de la Medida Base (3) Medida Base Número de sistemas dentro del alcance del SGSI.Método de Medición Número de identificación de los archivos de registro (logs) revisados.Tipo de Método de Medición Objetivo.Escala Numérica.Tipo de escala Ratio.Unidad de Medida Archivo de registro(log)

Especificación de Medida Derivada Medida Derivada Porcentaje de archivos de registro de auditoría revisados cuando esrequerido por período de tiempo

Función de Medición (# de archivos de registro revisados dentro del período de tiempoespecificado)/(# total de archivos de registro)*100.

Especificación del indicador Indicador Gráfica de líneas de la tendencia en un período de tiempo del índice de

revisión de los registros de auditoría.ModeloAnalítico

Es deseable una tendencia al alza hacia el 100 % .

Especificación de los Criterios de Decisión Criterios de Decisión Resultados por debajo de un 20 % deberían ser examinados para

analizar las causas del bajo rendimiento.Resultados de la Medición

Interpretación del Indicador Los valores por debajo del valor definido por la organización no sonsatisfactorios cuando (valor definido por la organización - valor real = brecha de seguridad). Son necesarias acciones basadas en la magnitudde la brecha de seguridad. Valores por encima del valor definido por laorganización pueden indicar exceso de inversión a menos que estosmecanismos de control de acceso sean requeridos por la evaluación deriesgos.

Formatos de reporte Gráfico de líneas que muestra la tendencia con un resumen de losresultados y cualquier acción de gestión propuesta.

Partes interesadasCliente de la Medición Gerentes responsables del SGSI. Gerente de seguridad.Revisor de la medición Gerente de seguridad.Dueño de la información Gerente de seguridad.Recolector de la información Personal de seguridad.

Comunicador de la información Personal de seguridad.Frecuencia/Período Frecuencia de la Recolección dedatos

Mensual.


Mensual.


Trimestral.

Revisión de la medición Revisión y actualización cada 2 añosPeríodo de Medición Aplicable 2 años.


7/18/2019 ISO-IEC 27004-2012 NTP



B.9 Gestión de Mantenimiento Periódico


Gestión de Mantenimiento Periódico


Evaluar el cumplimiento del cronograma de las actividades demantenimiento en relación a lo programado.

Objetivo de control Objetivo de control A.9.2 [27001:2005]. Prevenir pérdidas, daños,hurtos o comprometer los activos así como la interrupción de lasactividades de la organización.

(planificado)

Prevenir pérdidas, daños, hurtos o comprometer los activos así como lainterrupción de las actividades de la organización a través delmantenimiento periódico de sistemas.

Control (1) Control A.9.2.4 [27001:2005]. El equipamiento debe recibir elmantenimiento correcto para asegurar su permanente disponibilidad eintegridad.

Objeto de la Medición y Atributos Objeto de la Medición 1 Plan/cronograma de mantenimientos de sistemas.

2 Registros de mantenimientos de sistemas.Atributo 1 Fechas del plan/cronograma de mantenimientos de sistemas.

2 Fechas de mantenimientos de sistemas completados.Especificación de la Medida Base (1-4) Medida Base 1 Fechas de mantenimientos programados.

2 Fechas de mantenimientos completados.3 Número total de eventos de mantenimiento planificados.4 Número total de eventos de mantenimiento completados.

Método de Medición 1 Recoger las fechas programadas del plan de mantenimiento desistemas.2 Recoger las fechas completadas de los registros de mantenimiento desistemas.3 Contar el número de eventos de mantenimiento programados en el

plan de mantenimiento de sistemas.4 Contar registros de mantenimiento.

Tipo de Método de Medición ObjetivoEscala 1 Tiempo

2 Tiempo3 Enteros de cero a infinito

4 Enteros de cero a infinitoTipo de escala 1 Lista

2 Lista3 Ordinal4 Ordinal

Unidad de Medida 1 Intervalo2 Intervalo3 Eventos de mantenimiento4 Eventos de mantenimiento


7/18/2019 ISO-IEC 27004-2012 NTP



Especificación de Medida Derivada Medida Derivada Mantenimientos retrasados por eventos de mantenimientocompletados.

Función de Medición Para cada evento completado, restar [Fecha de mantenimientoefectivo] a [Fecha de mantenimiento programado]

Especificación del indicador Indicador 1 Promedio de mantenimientos retrasados.

2 Ratio de eventos de mantenimiento completados.3 Tendencia del promedio de mantenimientos retrasados.4 Tendencia del ratio de eventos de mantenimiento completados.

ModeloAnalítico

1 Dividir (suma de [Mantenimiento retrasados por eventos demantenimiento completados]) por [Número de eventos demantenimientos completados]2 Dividir [Número de eventos de mantenimientos completados] por

[Número de eventos de mantenimientos planificados]3 Comparar indicador 1 en múltiples períodos de tiempo.4 Comparar indicador 2 en múltiples períodos de tiempo.

Especificación de los Criterios de Decisión Criterios de Decisión 1. Específico de la organización, por ejemplo, si el promedio de retraso

se muestra constantemente por sobre 3 días, las causas deben serexaminados.2. El ratio de los eventos de mantenimiento completados debería sersuperior a 0,93. La tendencia debe ser estable o cercana a 0.4. La tendencia debe ser estable o al alza.

Resultados de la Medición Interpretación del Indicador Los indicadores ayudan a evaluar la calidad del proceso de

mantenimiento de los equipos

Formatos de reporte Gráfica de líneas que muestra la desviación media del retraso demantenimiento, con líneas superpuestas producidas durante los periodos anteriores y el número de sistemas dentro del alcance.Una explicación de los resultados y recomendaciones sobre potencialesacciones de gestión.

Partes interesadasCliente de la Medición Gerentes responsables del SGSI. Gerente de seguridad.Revisor de la medición Gerente de seguridad.Dueño de la información Administrador de sistema.Recolector de la información Personal de seguridad.Comunicador de la información Personal de seguridad.Frecuencia/Período Frecuencia de la Recolección dedatos

Anual.

Frecuencia del Análisis de losDatos Anual.


Anual.

Revisión de la medición Anual.Período de Medición Anual.


7/18/2019 ISO-IEC 27004-2012 NTP



B.10 Seguridad en acuerdos con terceras partes


Seguridad en acuerdos con terceras partes


Evaluar el grado en que la seguridad es abordada en los acuerdos conterceras partes para personal que procesa información.

Objetivo de control/proceso Objetivo de Control A.6.2 [27001:2005]. Mantener la seguridad de lainformación de la organización y de las instalaciones de procesamientode información a las que tienen acceso las partes externas, o que son

procesadas, comunicadas o gestionadas por éstas.Control (1)/proceso (1) Control A.6.2.3 [27001:2005]. Los acuerdos con terceros que

involucren acceso, procesamiento,comunicación o gestión de la información de la organización o de lasinstalaciones de procesamiento de información, o el agregado de

productos o servicios a las instalaciones de procesamiento deinformación, deben cubrir todos los requisitos de seguridad

pertinentes.Objeto de la Medición y Atributos Objeto de la Medición Acuerdos con terceras partes.Atributo Requisitos o cláusulas de seguridad dentro de cada acuerdo con

terceras partes.Especificación de la Medida Base (1) Medida Base Número de acuerdos con terceras partes.Método de Medición Revisar acuerdos con terceras partes, contar el número de acuerdos.Tipo de Método de Medición Objetivo

Escala Enteros de cero a infinitoTipo de escala OrdinalUnidad de Medida Acuerdos con terceras partesEspecificación de la Medida Base (2) Medida Base Número de requisitos de seguridad estándar requeridos en acuerdos

con terceras partes.Método de Medición Identificar el número de requisitos de seguridad que tienen que ser

considerados en cada acuerdo por política.Tipo de Método de Medición ObjetivoEscala Enteros de cero a infinitoTipo de escala OrdinalUnidad de Medida RequisitoEspecificación de la Medida Base (3) Medida Base Número de requisitos de seguridad considerados en cada acuerdo con

terceras partes.Método de Medición Revisar acuerdos con terceras partes, contar el número de requisitos de

seguridad considerados en cada acuerdo.Tipo de Método de Medición ObjetivoEscala Enteros de cero a infinitoTipo de escala OrdinalUnidad de Medida Requisito


7/18/2019 ISO-IEC 27004-2012 NTP



Especificación de Medida Derivada Medida Derivada Porcentaje promedio de requisitos de seguridad relevantesconsiderados en acuerdos con terceras partes.

Función de Medición Sumar (por cada acuerdo (número de requisitos requeridos – númerode requisitos considerados)) / número de acuerdos.

Especificación del indicador Indicador 1 Ratio promedio de la diferencia de requisitos estándar y requisitos

considerados.2 Tendencia del ratio.

ModeloAnalítico

1 Sumar (para cada acuerdo ([Total de requisitos de seguridadconsiderados] – [Total de requisitos de seguridad estándar]))/[Númerode acuerdos con terceras partes].2 Comparar con el indicador 1 previo.

Especificación de los Criterios de Decisión

Criterios de Decisión 1 Indicador 1 debería ser mayor que 0,9.2 Indicador 2 debería ser estable o al alza.Resultados de la Medición Interpretación del Indicador Este indicador proporciona información detallada sobre la capacidad

de la contratación externa para hacer frente a los requisitos deseguridad.

Formatos de reporte Gráfico de líneas que representan una tendencia a través de múltiples períodos reportados. Breve resumen de las conclusiones y las posiblesmedidas de gestión.

Partes interesadasCliente de la Medición Gerentes responsables del SGSI. Gerente de seguridad.Revisor de la medición Gerente de seguridad.Dueño de la información Oficina de contratos.Recolector de la información Personal de seguridad.

Comunicador de la información Personal de seguridad.Frecuencia/Período Frecuencia de la Recolección dedatos

Mensual.


Trimestral.


Trimestral.

Revisión de la medición 2 años.Período de Medición Aplicable 2 años.

Documents

ISO-IEC 27004-2012 NTP