• No se han encontrado resultados

Métricas e Indicadores

N/A
N/A
Protected

Academic year: 2021

Share "Métricas e Indicadores"

Copied!
9
0
0

Texto completo

(1)

MÉTRICAS E INDICADORES

MÉTRICAS E INDICADORES

1.

1. VISIÓN G

VISIÓN GENERAL

ENERAL DE LA

DE LA MEDIC

MEDICIÓN DE

IÓN DE SEGUR

SEGURIDAD D

IDAD DE LA

E LA INFORM

INFORMACIÓN

ACIÓN

1.1

1.1..

Ob

Objet

jetivo

ivos de

s de l !

l !edi

edi"i#

"i#$ de

$ de se%

se%&'i

&'idd

dd de l

de l i$

 i$(o

(o'!

'!"i#

"i#$

$

Lo

Los s obobjetjetivivos os de de la la memedicdicióión n de de segseguriuridad dad de de la la infinforormacmación ión dedentrntro o del del concontextexto to del del SGSSGSII incluyen:

incluyen:

a)

a) EvalEvaluar la euar la efectivfectividad didad de los coe los controlntroles o grues o grupos dpos d e e contcontroles iroles implemplemenmentadotadoss b)

b) EvalEvaluar uar la ela efectifectividavidad del d del SGSI iSGSI implemplementamentadodo c)

c) Verificar eVerificar el grado l grado de cumpde cumplimiento limiento de lode los reueris reuerimientos dmientos de segurie seguridad iddad identificadosentificados d)

d) !aci!acilitalitar lr la a mejormejora a del del desedesempe"mpe"o o de de la la segurseguridad idad de de la la inforinformacimación ón en en t#rmit#rminos nos de de loslos riesgos generales de negocio de la organi$ación%

riesgos generales de negocio de la organi$ación% e)

e) &roveer re&roveer resultados sultados de las de las mediciones mediciones para apara asistir a la sistir a la revisión revisión por la apor la alta direcciólta dirección y facilitar n y facilitar lala toma de decisiones relacionada con el SGSI y justificar las necesidades de mejoras del SGSI toma de decisiones relacionada con el SGSI y justificar las necesidades de mejoras del SGSI implementado'

implementado'

Fi%&' 1 ) E$t'ds * slids de ls !edi"io$es e$ &$ "i"lo SGSI+,-VA

Fi%&' 1 ) E$t'ds * slids de ls !edi"io$es e$ &$ "i"lo SGSI+,-VA

de %esti#$ de se%&'idd de l i$(o'!"i#$

de %esti#$ de se%&'idd de l i$(o'!"i#$

Se recomienda ue la organi$ación estable$ca los objetivos de las mediciones basados en una Se recomienda ue la organi$ación estable$ca los objetivos de las mediciones basados en una serie de consideraciones( incluyendo:

serie de consideraciones( incluyendo:

a)

(2)

c) Estructura organi$acional'

d) *ostos y beneficios de implementar mediciones de seguridad de la información' e) *riterios de aceptación de riesgos de la organi$ación'

f) La necesidad de comparar varios SGSI+s dentro de la organi$ación'

1..

,'o%'! de !edi"i#$ de l se%&'idd de l i$(o'!"i#$

Se recomienda ue la organi$ación estable$ca y gestione su &rograma de medición de la seguridad de la información( de manera de alcan$ar los objetivos de medición establecidos y adopte el modelo &,V- dentro de sus actividades generales de medición' Se recomienda ue la organi$ación desarrolle e implemente estructuras de medición de manera de obtener resultados repetibles( objetivos y .tiles( basados en el /odelo de medición de la seguridad de la información'

Se recomienda ue el &rograma de medición de la seguridad de la información y la estructura de medición desarrollada( aseguren ue la organi$ación efectivamente alcance sus mediciones objetivas y repetibles( y provea resultados de las mediciones para las partes interesadas correspondientes( de manera de identificar las necesidades de mejora del SGSI implementado( incluyendo su alcance( pol0ticas( objetivos( controles( procesos y procedimientos'

Se recomienda ue un &rograma de medición de la seguridad de la información incluya los siguientes procesos:

a) 1esarrollo de medidas y mediciones b) 2peración de la medición

c) -n3lisis de datos y reporte de los resultados de la medición

d) Valoración y mejora del programa de medición de la seguridad de la información

Se recomienda ue la estructura operacional y organi$acional de un &rograma de medición de la seguridad de la información se determine teniendo en cuenta la escala y complejidad del SGSI del cual es parte' En todos los casos( se recomienda ue los roles y responsabilidades por el &rograma de medición de la seguridad de la información se asignen expl0citamente a personal competente'

Se recomienda ue las medidas seleccionadas e implementadas por el &rograma de medición de la seguridad de la información se relacionen directamente con las operaciones de un SGSI( y con otras medidas( como as0 tambi#n con los procesos de negocio de la organi$ación' Las mediciones pueden integrarse a actividades operativas o reali$arse a intervalos regulares determinados por la alta dirección del SGSI'

1./.

F"to'es de 0ito

Los siguientes son factores ue contribuyen al #xito del &rograma de medición de la seguridad de la información de manera de facilitar la mejora continua del SGSI:

a) *ompromiso de la alta dirección soportado por los recursos apropiados b) Existencia de los procesos y procedimientos del SGSI

c) 4n proceso repetible capa$ de capturar y reportar datos significativos de manera de proveer  tendencias sobre un per0odo de tiempo

d) /edidas cuantificables basadas en los objetivos del SGSI

e) 1atos de f3cil obtención ue puedan ser utili$ados en las mediciones

f) Valoración de la efectividad del &rograma de medición de la seguridad de la información y la implementación de mejoras identificadas

(3)

5) 4so de los resultados de las mediciones por las partes interesadas correspondientes( para identificar necesidades de mejora del SGSI implementado( incluyendo su alcance( pol0ticas( objetivos( controles( procesos y procedimientos

i) -ceptación de la respuesta de los resultados de las mediciones por las partes interesadas correspondientes

 j) Evaluaciones de la utilidad de los resultados de las mediciones y de las implementaciones de las mejoras identificadas'

4na ve$ implementado de manera exitosa( un &rograma de medición de la seguridad de la información puede:

6) 1emostrar el cumplimiento de la organi$ación con los reuerimientos legales y regulatorios aplicables y con las obligaciones contractuales

7) 1ar soporte a la identificación de problemas de seguridad de la información desconocidos o no detectados previamente

8) -sistir en satisfacer las necesidades de reportes de la alta dirección( al establecer medidas para actividades 5istóricas y actuales%

9) Ser utili$ado como datos de entrada para el proceso de gestión de seguridad de la información( las auditor0as internas del SGSI y las revisiones de la alta dirección'

)

1.2.

Modelo de !edi"i#$ de l se%&'idd de l i$(o'!"i#$

1.2.1. Visi#$ %e$e'l

;)

<) El modelo de medición de la seguridad de la información es una estructura ue vincula una necesidad de información con los objetos de medición pertinentes y sus atributos' Los objetos de medición pueden incluir procesos( procedimientos( proyectos y recursos planificados o implementados'

=)

>) El modelo de medición de seguridad de la información describe cómo los atributos concernientes son cuantificados y convertidos en indicadores( los cuales proveen la base para la toma de decisiones'

6?) 66) 67)

(4)

68) 69)

6)

Fi%&'  ) Modelo de !edi"i#$ de l se%&'idd de l i$(o'!"i#$

6;)

1.2.. Medids bse * !0todo de !edi"i#$

6<)

6=) 4na medida base es la medida m3s simple ue se puede obtener' La misma resulta de la aplicación de m#todos de medición sobre los atributos seleccionados de un objeto de medición' 4n objeto de medición puede tener muc5os atributos( de los cuales sólo algunos pueden tener  valores .tiles a ser asignados a una medida base' 4n dado atributo puede ser utili$ado por  muc5as medidas base( diferentes'

6>)

7?) 4n m#todo de medición es una secuencia lógica de operaciones utili$ado para cuantificar  un atributo con respecto a una escala espec0fica' La operación puede envolver actividades como contar las ocurrencias u observar el paso del tiempo'

76)

77) 4n m#todo de medición se puede aplicar a atributos de un objeto de medición' Ejemplos de objetos de medición incluyen @pero no se limitan a):

78)

• endimiento de los controles implementados en el SGSI

• Estado de los activos de información protegidos por los controles • endimiento de los procesos implementados en el SGSI

• *omportamiento del personal ue forma parte del SGSI implementado

•  -ctividades de las unidades organi$acionales responsables por la seguridad de la información

• Grado de satisfacción de las partes interesadas' 79)

7) 4n m#todo de medición puede utili$ar objetos de medición de mediciones y atributos de una variedad de fuentes( tales como:

(5)

• eportes de auditor0a internos yAo externos

• egistros de eventos( tales como eventos del sistema( reportes estad0sticos y pistas de auditor0as

• eportes de incidentes( particularmente auellos de mayor impacto%

• esultados de pruebas( por ejemplo: pruebas de penetración( ingenier0a social( 5erramientas de cumplimiento y de auditor0a de seguridad% o

• egistros de la seguridad de la información de la organi$ación relacionados con los procedimientos y los programas( por ejemplo( los resultados del entrenamiento de concienti$ación en seguridad de la información'

7<)

7=)

Tbl 1 ) Eje!3lo de !edid bse * !0todo de !edi"i#$

7>)

30)

86)

1.2./. Medid de'ivd * (&$"i#$ de !edi"i#$

87)

88) 4na medida derivada es una combinación de dos o m3s medidas base' 4na medida base dada puede servir como entrada para varias medidas derivadas'

89) 4na función de medición es un c3lculo utili$ado para combinar medidas base de manera de crear una medida derivada'

(6)

8;) La escala y unidad de la medida derivada depende de las escalas y unidades de las medidas base de las cuales se compone( as0 como tambi#n de cómo se encuentren combinadas por la función de medición'

8<) La función de medición puede involucrar una variedad de t#cnicas( tales como promediar  las medidas base( aplicando ponderación a las medidas base( o asignando valores cualitativos a las medidas base' La función de medición puede combinar medidas base utili$ando diferentes escalas( tales como resultados de evaluaciones porcentuales o cualitativas'

/45

/65

Tbl  ) Eje!3lo de !edid de'ivd * (&$"i#$ de !edi"i#$

9?) 96) 97)

(7)

1.2.2. I$di"do'es * !odelo $l7ti"o

99)

9) 4n indicador es una medida ue provee una estimación o valoración de atributos espec0ficos derivados de un modelo anal0tico con respecto a necesidades de información definidas' Los indicadores se obtienen aplicando un modelo anal0tico a las medidas base yAo derivadas( y combin3ndolas con los criterios de decisión' La escala y el m#todo de medición afectan la elección de t#cnicas anal0ticas utili$adas para producir los indicadores'

9;)

9<)

Tbl / ) Eje!3lo de &$ i$di"do' * &$ !odelo $l7ti"o

9=)

9>)

?) B2C-' Si un indicador se representa en forma gr3fica o cuando se utili$an copias monocrom3ticas( se recomienda ue sea utili$able por personas con limitaciones visuales' &ara 5acer  eso posible se recomienda ue se agregue una descripción del color( de las formas( la tipograf0a u otros m#todos visuales'

6)

1.2.8. Res&ltdos de ls !edi"io$es * "'ite'ios de de"isi#$

7)

8) Los resultados de la medición se desarrollan interpretando los indicadores aplicados( basados en criterios de decisión definidos( y se recomienda ue se considere en el contexto de los objetivos de medición generales de evaluación de la efectividad del SGSI' Los criterios de decisión se utili$an para determinar la necesidad de una acción o de m3s investigación( as0 como tambi#n para describir el nivel de confiabilidad de los resultados medidos' Los criterios de decisión se podr0an aplicar a una serie de

(8)

9) Las metas proveen especificaciones detalladas de rendimiento( aplicables a la organi$ación o a partes de la misma( derivadas de los objetivos de seguridad de la información y ue necesitan ser  establecidas y cumplidas de manera de alcan$ar dic5os objetivos'

(9)

;)

Tbl 2 ) Eje!3lo de 'es&ltdos de !edi"i#$ * !odelo $l7ti"o

<)

Referencias

Documento similar

τ = -k’ θ Cuando el disco se suelta, el par de restitución produce una aceleración angular que es directamente proporcional al desplazamiento angular.. El periodo del

Where possible, the EU IG and more specifically the data fields and associated business rules present in Chapter 2 –Data elements for the electronic submission of information

The 'On-boarding of users to Substance, Product, Organisation and Referentials (SPOR) data services' document must be considered the reference guidance, as this document includes the

In medicinal products containing more than one manufactured item (e.g., contraceptive having different strengths and fixed dose combination as part of the same medicinal

Products Management Services (PMS) - Implementation of International Organization for Standardization (ISO) standards for the identification of medicinal products (IDMP) in

Products Management Services (PMS) - Implementation of International Organization for Standardization (ISO) standards for the identification of medicinal products (IDMP) in

This section provides guidance with examples on encoding medicinal product packaging information, together with the relationship between Pack Size, Package Item (container)

Package Item (Container) Type : Vial (100000073563) Quantity Operator: equal to (100000000049) Package Item (Container) Quantity : 1 Material : Glass type I (200000003204)