Métricas e Indicadores

MÉTRICAS E INDICADORES 1. VISIÓN GENERAL GENERAL DE LA MEDICIÓN MEDICIÓN DE SEGURIDAD SEGURIDAD DE DE LA INFORMACIÓN INFORMACIÓN 1.1.. 1.1

Objet Objetivo ivos s de l !edi !edi"i# "i#$ $ de se%&'i se%&'idd dd de l l i$(o i$(o'! '!"i# "i#$ $

Los Los objet objetiv ivos os de la medic medició ión n de seguri seguridad dad de la infor informac mación ión dentr dentro o del contex contexto to del SGSI SGSI incluyen: a) b) c) d)

Evaluar Evaluar la efectiv efectividad idad de de los control controles es o grupos grupos d e controles controles imple implemen mentado tados s Evaluar Evaluar la efecti efectivida vidad d del SGSI imple implementa mentado do Verificar el el grado de cumplimiento cumplimiento de los los reuerimientos reuerimientos de de seguridad seguridad identificados identificados !acilita !acilitarr la la mejora mejora del desempe" desempe"o o de la seguridad seguridad de la informaci información ón en t#rminos t#rminos de los riesgos generales de negocio de la organi$ación% e) &roveer resultados resultados de las mediciones para asistir asistir a la revisión por la alta alta dirección dirección y facilitar la toma de decisiones relacionada con el SGSI y justificar las necesidades de mejoras del SGSI implementado'

Fi%&' 1 ) E$t'ds * slids de ls !edi"io$es e$ &$ "i"lo SGSI+,-VA de %esti#$ de se%&'idd de l i$(o'!"i#$ Se recomienda ue la organi$ación estable$ca los objetivos de las mediciones basados en una serie de consideraciones( incluyendo: a) El rol de la segurid seguridad ad de la info

ció

rte de las activida actividades des de negocio negocio de la

c) d) e) f)

Estructura organi$acional' *ostos y beneficios de implementar mediciones de seguridad de la información' *riterios de aceptación de riesgos de la organi$ación' La necesidad de comparar varios SGSI+s dentro de la organi$ación'

1..

,'o%'! de !edi"i#$ de l se%&'idd de l i$(o'!"i#$

Se recomienda ue la organi$ación estable$ca y gestione su &rograma de medición de la seguridad de la información( de manera de alcan$ar los objetivos de medición establecidos y adopte el modelo &,V- dentro de sus actividades generales de medición' Se recomienda ue la organi$ación desarrolle e implemente estructuras de medición de manera de obtener resultados repetibles( objetivos y .tiles( basados en el /odelo de medición de la seguridad de la información' Se recomienda ue el &rograma de medición de la seguridad de la información y la estructura de medición desarrollada( aseguren ue la organi$ación efectivamente alcance sus mediciones objetivas y repetibles( y provea resultados de las mediciones para las partes interesadas correspondientes( de manera de identificar las necesidades de mejora del SGSI implementado( incluyendo su alcance( pol0ticas( objetivos( controles( procesos y procedimientos' Se recomienda ue un &rograma de medición de la seguridad de la información incluya los siguientes procesos: a) b) c) d)

1esarrollo de medidas y mediciones 2peración de la medición -n3lisis de datos y reporte de los resultados de la medición Valoración y mejora del programa de medición de la seguridad de la información Se recomienda ue la estructura operacional y organi$acional de un &rograma de medición de la seguridad de la información se determine teniendo en cuenta la escala y complejidad del SGSI del cual es parte' En todos los casos( se recomienda ue los roles y responsabilidades por el &rograma de medición de la seguridad de la información se asignen expl0citamente a personal competente' Se recomienda ue las medidas seleccionadas e implementadas por el &rograma de medición de la seguridad de la información se relacionen directamente con las operaciones de un SGSI( y con otras medidas( como as0 tambi#n con los procesos de negocio de la organi$ación' Las mediciones pueden integrarse a actividades operativas o reali$arse a intervalos regulares determinados por la alta dirección del SGSI'

1./.

F"to'es de 0ito

Los siguientes son factores ue contribuyen al #xito del &rograma de medición de la seguridad de la información de manera de facilitar la mejora continua del SGSI: a) *ompromiso de la alta dirección soportado por los recursos apropiados b) Existencia de los procesos y procedimientos del SGSI c) 4n proceso repetible capa$ de capturar y reportar datos significativos de manera de proveer  tendencias sobre un per0odo de tiempo d) /edidas cuantificables basadas en los objetivos del SGSI e) 1atos de f3cil obtención ue puedan ser utili$ados en las mediciones f) Valoración de la efectividad del &rograma de medición de la seguridad de la información y la implementación de mejoras identificadas

5) 4so de los resultados de las mediciones por las partes interesadas correspondientes( para identificar necesidades de mejora del SGSI implementado( incluyendo su alcance( pol0ticas( objetivos( controles( procesos y procedimientos i) -ceptación de la respuesta de los resultados de las mediciones por las partes interesadas correspondientes  j) Evaluaciones de la utilidad de los resultados de las mediciones y de las implementaciones de las mejoras identificadas' 4na ve$ implementado de manera exitosa( un &rograma de medición de la seguridad de la información puede: 6) 1emostrar el cumplimiento de la organi$ación con los reuerimientos legales y regulatorios aplicables y con las obligaciones contractuales 7) 1ar soporte a la identificación de problemas de seguridad de la información desconocidos o no detectados previamente 8) -sistir en satisfacer las necesidades de reportes de la alta dirección( al establecer medidas para actividades 5istóricas y actuales% 9) Ser utili$ado como datos de entrada para el proceso de gestión de seguridad de la información( las auditor0as internas del SGSI y las revisiones de la alta dirección' )

1.2. Modelo de !edi"i#$ de l se%&'idd de l i$(o'!"i#$ 1.2.1. Visi#$ %e$e'l ;) ) El modelo de medición de seguridad de la información describe cómo los atributos concernientes son cuantificados y convertidos en indicadores( los cuales proveen la base para la toma de decisiones' 6?) 66) 67)

68) 69) 6) Fi%&'  ) Modelo de !edi"i#$ de l se%&'idd de l i$(o'!"i#$ 6;)

1.2.. Medids bse * !0todo de !edi"i#$ 6) 7?) 4n m#todo de medición es una secuencia lógica de operaciones utili$ado para cuantificar  un atributo con respecto a una escala espec0fica' La operación puede envolver actividades como contar las ocurrencias u observar el paso del tiempo' 76) 77) 4n m#todo de medición se puede aplicar a atributos de un objeto de medición' Ejemplos de objetos de medición incluyen @pero no se limitan a): 78) endimiento de los controles implementados en el SGSI Estado de los activos de información protegidos por los controles endimiento de los procesos implementados en el SGSI *omportamiento del personal ue forma parte del SGSI implementado  -ctividades de las unidades organi$acionales responsables por la seguridad de la información Grado de satisfacción de las partes interesadas' • • • • •

•

79) 7) 4n m#todo de medición puede utili$ar objetos de medición de mediciones y atributos de una variedad de fuentes( tales como: 7;)

• •

• •

•

eportes de auditor0a internos yAo externos egistros de eventos( tales como eventos del sistema( reportes estad0sticos y pistas de auditor0as eportes de incidentes( particularmente auellos de mayor impacto% esultados de pruebas( por ejemplo: pruebas de penetración( ingenier0a social( 5erramientas de cumplimiento y de auditor0a de seguridad% o egistros de la seguridad de la información de la organi$ación relacionados con los procedimientos y los programas( por ejemplo( los resultados del entrenamiento de concienti$ación en seguridad de la información'

7