MÉTRICAS E INDICADORES
MÉTRICAS E INDICADORES
1.
1. VISIÓN G
VISIÓN GENERAL
ENERAL DE LA
DE LA MEDIC
MEDICIÓN DE
IÓN DE SEGUR
SEGURIDAD D
IDAD DE LA
E LA INFORM
INFORMACIÓN
ACIÓN
1.1
1.1..
Ob
Objet
jetivo
ivos de
s de l !
l !edi
edi"i#
"i#$ de
$ de se%
se%&'i
&'idd
dd de l
de l i$
i$(o
(o'!
'!"i#
"i#$
$
Lo
Los s obobjetjetivivos os de de la la memedicdicióión n de de segseguriuridad dad de de la la infinforormacmación ión dedentrntro o del del concontextexto to del del SGSSGSII incluyen:
incluyen:
a)
a) EvalEvaluar la euar la efectivfectividad didad de los coe los controlntroles o grues o grupos dpos d e e contcontroles iroles implemplemenmentadotadoss b)
b) EvalEvaluar uar la ela efectifectividavidad del d del SGSI iSGSI implemplementamentadodo c)
c) Verificar eVerificar el grado l grado de cumpde cumplimiento limiento de lode los reueris reuerimientos dmientos de segurie seguridad iddad identificadosentificados d)
d) !aci!acilitalitar lr la a mejormejora a del del desedesempe"mpe"o o de de la la segurseguridad idad de de la la inforinformacimación ón en en t#rmit#rminos nos de de loslos riesgos generales de negocio de la organi$ación%
riesgos generales de negocio de la organi$ación% e)
e) &roveer re&roveer resultados sultados de las de las mediciones mediciones para apara asistir a la sistir a la revisión revisión por la apor la alta direcciólta dirección y facilitar n y facilitar lala toma de decisiones relacionada con el SGSI y justificar las necesidades de mejoras del SGSI toma de decisiones relacionada con el SGSI y justificar las necesidades de mejoras del SGSI implementado'
implementado'
Fi%&' 1 ) E$t'ds * slids de ls !edi"io$es e$ &$ "i"lo SGSI+,-VA
Fi%&' 1 ) E$t'ds * slids de ls !edi"io$es e$ &$ "i"lo SGSI+,-VA
de %esti#$ de se%&'idd de l i$(o'!"i#$
de %esti#$ de se%&'idd de l i$(o'!"i#$
Se recomienda ue la organi$ación estable$ca los objetivos de las mediciones basados en una Se recomienda ue la organi$ación estable$ca los objetivos de las mediciones basados en una serie de consideraciones( incluyendo:
serie de consideraciones( incluyendo:
a)
c) Estructura organi$acional'
d) *ostos y beneficios de implementar mediciones de seguridad de la información' e) *riterios de aceptación de riesgos de la organi$ación'
f) La necesidad de comparar varios SGSI+s dentro de la organi$ación'
1..
,'o%'! de !edi"i#$ de l se%&'idd de l i$(o'!"i#$
Se recomienda ue la organi$ación estable$ca y gestione su &rograma de medición de la seguridad de la información( de manera de alcan$ar los objetivos de medición establecidos y adopte el modelo &,V- dentro de sus actividades generales de medición' Se recomienda ue la organi$ación desarrolle e implemente estructuras de medición de manera de obtener resultados repetibles( objetivos y .tiles( basados en el /odelo de medición de la seguridad de la información'
Se recomienda ue el &rograma de medición de la seguridad de la información y la estructura de medición desarrollada( aseguren ue la organi$ación efectivamente alcance sus mediciones objetivas y repetibles( y provea resultados de las mediciones para las partes interesadas correspondientes( de manera de identificar las necesidades de mejora del SGSI implementado( incluyendo su alcance( pol0ticas( objetivos( controles( procesos y procedimientos'
Se recomienda ue un &rograma de medición de la seguridad de la información incluya los siguientes procesos:
a) 1esarrollo de medidas y mediciones b) 2peración de la medición
c) -n3lisis de datos y reporte de los resultados de la medición
d) Valoración y mejora del programa de medición de la seguridad de la información
Se recomienda ue la estructura operacional y organi$acional de un &rograma de medición de la seguridad de la información se determine teniendo en cuenta la escala y complejidad del SGSI del cual es parte' En todos los casos( se recomienda ue los roles y responsabilidades por el &rograma de medición de la seguridad de la información se asignen expl0citamente a personal competente'
Se recomienda ue las medidas seleccionadas e implementadas por el &rograma de medición de la seguridad de la información se relacionen directamente con las operaciones de un SGSI( y con otras medidas( como as0 tambi#n con los procesos de negocio de la organi$ación' Las mediciones pueden integrarse a actividades operativas o reali$arse a intervalos regulares determinados por la alta dirección del SGSI'
1./.
F"to'es de 0ito
Los siguientes son factores ue contribuyen al #xito del &rograma de medición de la seguridad de la información de manera de facilitar la mejora continua del SGSI:
a) *ompromiso de la alta dirección soportado por los recursos apropiados b) Existencia de los procesos y procedimientos del SGSI
c) 4n proceso repetible capa$ de capturar y reportar datos significativos de manera de proveer tendencias sobre un per0odo de tiempo
d) /edidas cuantificables basadas en los objetivos del SGSI
e) 1atos de f3cil obtención ue puedan ser utili$ados en las mediciones
f) Valoración de la efectividad del &rograma de medición de la seguridad de la información y la implementación de mejoras identificadas
5) 4so de los resultados de las mediciones por las partes interesadas correspondientes( para identificar necesidades de mejora del SGSI implementado( incluyendo su alcance( pol0ticas( objetivos( controles( procesos y procedimientos
i) -ceptación de la respuesta de los resultados de las mediciones por las partes interesadas correspondientes
j) Evaluaciones de la utilidad de los resultados de las mediciones y de las implementaciones de las mejoras identificadas'
4na ve$ implementado de manera exitosa( un &rograma de medición de la seguridad de la información puede:
6) 1emostrar el cumplimiento de la organi$ación con los reuerimientos legales y regulatorios aplicables y con las obligaciones contractuales
7) 1ar soporte a la identificación de problemas de seguridad de la información desconocidos o no detectados previamente
8) -sistir en satisfacer las necesidades de reportes de la alta dirección( al establecer medidas para actividades 5istóricas y actuales%
9) Ser utili$ado como datos de entrada para el proceso de gestión de seguridad de la información( las auditor0as internas del SGSI y las revisiones de la alta dirección'
)
1.2.
Modelo de !edi"i#$ de l se%&'idd de l i$(o'!"i#$
1.2.1. Visi#$ %e$e'l
;)
<) El modelo de medición de la seguridad de la información es una estructura ue vincula una necesidad de información con los objetos de medición pertinentes y sus atributos' Los objetos de medición pueden incluir procesos( procedimientos( proyectos y recursos planificados o implementados'
=)
>) El modelo de medición de seguridad de la información describe cómo los atributos concernientes son cuantificados y convertidos en indicadores( los cuales proveen la base para la toma de decisiones'
6?) 66) 67)
68) 69)
6)
Fi%&' ) Modelo de !edi"i#$ de l se%&'idd de l i$(o'!"i#$
6;)1.2.. Medids bse * !0todo de !edi"i#$
6<)
6=) 4na medida base es la medida m3s simple ue se puede obtener' La misma resulta de la aplicación de m#todos de medición sobre los atributos seleccionados de un objeto de medición' 4n objeto de medición puede tener muc5os atributos( de los cuales sólo algunos pueden tener valores .tiles a ser asignados a una medida base' 4n dado atributo puede ser utili$ado por muc5as medidas base( diferentes'
6>)
7?) 4n m#todo de medición es una secuencia lógica de operaciones utili$ado para cuantificar un atributo con respecto a una escala espec0fica' La operación puede envolver actividades como contar las ocurrencias u observar el paso del tiempo'
76)
77) 4n m#todo de medición se puede aplicar a atributos de un objeto de medición' Ejemplos de objetos de medición incluyen @pero no se limitan a):
78)
• endimiento de los controles implementados en el SGSI
• Estado de los activos de información protegidos por los controles • endimiento de los procesos implementados en el SGSI
• *omportamiento del personal ue forma parte del SGSI implementado
• -ctividades de las unidades organi$acionales responsables por la seguridad de la información
• Grado de satisfacción de las partes interesadas' 79)
7) 4n m#todo de medición puede utili$ar objetos de medición de mediciones y atributos de una variedad de fuentes( tales como:
• eportes de auditor0a internos yAo externos
• egistros de eventos( tales como eventos del sistema( reportes estad0sticos y pistas de auditor0as
• eportes de incidentes( particularmente auellos de mayor impacto%
• esultados de pruebas( por ejemplo: pruebas de penetración( ingenier0a social( 5erramientas de cumplimiento y de auditor0a de seguridad% o
• egistros de la seguridad de la información de la organi$ación relacionados con los procedimientos y los programas( por ejemplo( los resultados del entrenamiento de concienti$ación en seguridad de la información'
7<)
7=)
Tbl 1 ) Eje!3lo de !edid bse * !0todo de !edi"i#$
7>)30)
86)
1.2./. Medid de'ivd * (&$"i#$ de !edi"i#$
87)
88) 4na medida derivada es una combinación de dos o m3s medidas base' 4na medida base dada puede servir como entrada para varias medidas derivadas'
89) 4na función de medición es un c3lculo utili$ado para combinar medidas base de manera de crear una medida derivada'
8;) La escala y unidad de la medida derivada depende de las escalas y unidades de las medidas base de las cuales se compone( as0 como tambi#n de cómo se encuentren combinadas por la función de medición'
8<) La función de medición puede involucrar una variedad de t#cnicas( tales como promediar las medidas base( aplicando ponderación a las medidas base( o asignando valores cualitativos a las medidas base' La función de medición puede combinar medidas base utili$ando diferentes escalas( tales como resultados de evaluaciones porcentuales o cualitativas'
/45
/65
Tbl ) Eje!3lo de !edid de'ivd * (&$"i#$ de !edi"i#$
9?) 96) 97)
1.2.2. I$di"do'es * !odelo $l7ti"o
99)
9) 4n indicador es una medida ue provee una estimación o valoración de atributos espec0ficos derivados de un modelo anal0tico con respecto a necesidades de información definidas' Los indicadores se obtienen aplicando un modelo anal0tico a las medidas base yAo derivadas( y combin3ndolas con los criterios de decisión' La escala y el m#todo de medición afectan la elección de t#cnicas anal0ticas utili$adas para producir los indicadores'
9;)
9<)
Tbl / ) Eje!3lo de &$ i$di"do' * &$ !odelo $l7ti"o
9=)9>)
?) B2C-' Si un indicador se representa en forma gr3fica o cuando se utili$an copias monocrom3ticas( se recomienda ue sea utili$able por personas con limitaciones visuales' &ara 5acer eso posible se recomienda ue se agregue una descripción del color( de las formas( la tipograf0a u otros m#todos visuales'
6)
1.2.8. Res<dos de ls !edi"io$es * "'ite'ios de de"isi#$
7)
8) Los resultados de la medición se desarrollan interpretando los indicadores aplicados( basados en criterios de decisión definidos( y se recomienda ue se considere en el contexto de los objetivos de medición generales de evaluación de la efectividad del SGSI' Los criterios de decisión se utili$an para determinar la necesidad de una acción o de m3s investigación( as0 como tambi#n para describir el nivel de confiabilidad de los resultados medidos' Los criterios de decisión se podr0an aplicar a una serie de
9) Las metas proveen especificaciones detalladas de rendimiento( aplicables a la organi$ación o a partes de la misma( derivadas de los objetivos de seguridad de la información y ue necesitan ser establecidas y cumplidas de manera de alcan$ar dic5os objetivos'
;)