1. METODOLOGÍA PARA RELACIONAR LA
EFECTIVIDAD DEL SISTEMA DE GESTIÓN DE LA
SEGURIDAD DE LA INFORMACIÓN CON LOS
ELEMENTOS DEL NEGOCIO
RICARDO MARIO URBINA MIRANDA
MEMORIA PARA OPTAR AL TÍTULO DE INGENIERO EN INFORMÁTICA Y GESTIÓN
ABRIL, 2012
2. Temario
• Contexto
• Objetivo
• Problemática a resolver
• Marco Conceptual
• Metodología propuesta
• Pasos definidos por metodología
• Aplicación Práctica
• Conclusiones
Abril 2012
3. Contexto
Dado el avance tecnológico que ha permitido uso
masivo de las tecnologías de información se hace
necesario definir metodologías y buenas prácticas para
proteger que la información sea utilizada de manera
correcta y no se haga mal uso de ésta, sea de manera
accidental o intencionada.
La Seguridad de la Información tiene como objetivo el
aportar herramientas para proteger la información.
Abril 2012
4. Objetivo
Proponer una metodología para relacionar la
efectividad de un Sistema de Gestión de la
Seguridad de la Información (SGSI) con los
elementos críticos del negocio de modo que la
Administración pueda visualizar donde están los
riesgos.
Abril 2012
5. Marco Conceptual
Año
Norma Objetivo
publicación
Establece requerimientos a cumplir un Sistema de Gestión de
ISO/IEC 27001 2005
Seguridad de la Información (SGSI). Es certificable.
Código o Guía de buenas prácticas para la Seguridad de la
ISO/IEC 27002 2005 Información, detalla los 133 controles reunidos en 11 grupos,
más 39 “Objetivos de control”.
Guía de Implementación. Describe los aspectos a tener en cuenta
ISO/IEC 27003 2010
para la implantación de un SGSI.
describe todos los aspectos de métricas, indicadores y
ISO/IEC 27004 2009
mediciones que deben realizarse sobre un SGSI.
ISO/IEC 27005 2008/2011 Trata los aspectos relacionados a la Gestión de riesgos.
Especifica los requisitos que debe reunir cualquier organización que
ISO/IEC 27006 2006
desee acreditarse como “Entidad certificadora” de ISO 27001.
Es una guía de auditoría de un SGSI, como complemento a lo
ISO/IEC 27007 2011
especificado en ISO 19011
Es una guía de auditoría de los controles seleccionados en el marco
ISO/IEC TR 27008 2011
de implantación de un SGSI.
Guía de implementación de un SGSI para el sector de
ISO/IEC 27011 2008
Telecomunicaciones.
Directrices para la preparación de las TIC en la Continuidad de
ISO/IEC 27031 2011
Negocio.
Seguridad en redes conceptos generales, corresponde a la parte 1 de
ISO/IEC 27033-1 2009
7.
Seguridad en aplicaciones informáticas, consistente en 5 partes,
ISO/IEC 27034-1 2011
donde 27034-1 corresponde a los conceptos generales.
Guía sobre la gestión de incidentes de seguridad en la información de
ISO/IEC 27035 2011
grandes y medianas empresas
Orientada a la aplicación de un SGSI en el
ISO/IEC 27799 2008
ámbito sanitario.
Abril 2012
6. Problemática a resolver
La familia de normas ISO 27000 plantea qué se debe considerar para
gestionar la Seguridad de la Información, sin embargo, no plantea cómo
hacerlo.
Luego la problemática consiste en presentar desde la visión del negocio
los riesgos existentes a nivel técnico.
P1
E
S
. Pj .
.
E
S
información
Robo de
Abril 2012
7. Metodología propuesta Proceso
Entrada
Salida
Procesos SGSI = { P(1), … , P(m) } (m ≤ n)
5. POLÍTICA DE SEGURIDAD
Procesos
6. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACIÓN
7. GESTIÓN DE ACTIVOS
8. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS
Indicadores Activos
9. SEGURIDAD FÍSICA Y DEL ENTORNO
10. GESTIÓN DE COMUNICACIONES Y OPERACIONES 1
Cs(1,i) ==> I1, I2, …, Ia Activos(i) = { Act(1,i), Act(2,i), … , Act(j,i) }
11. CONTROL DE ACCESO
12. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN
13. GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIÓN
14. GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO
Controles Riesgos
Act(i,j) R(i,j)
15. CUMPLIMIENTO
R(i,j) Cs(i,j)
5. POLÍTICA DE SEGURIDAD
5.1 Política de seguridad de la información.
6. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACIÓN
6.1 Organización interna.
6.2 Terceros.
7. GESTIÓN DE ACTIVOS
7.1 Responsabilidad sobre los activos.
7.2 Clasificación de la información.
8. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS
8.1 Antes del empleo.
R = D * p(D)
8.2 Durante el empleo.
8.3 Cese del empleo o cambio de puesto de trabajo.
9. SEGURIDAD FÍSICA Y DEL ENTORNO
9.1 Áreas seguras.
9.2 Seguridad de los equipos.
10. GESTIÓN DE COMUNICACIONES Y OPERACIONES
10.1 Responsabilidades y procedimientos de operación.
10.2 Gestión de la provisión de servicios por terceros.
10.3 Planificación y aceptación del sistema.
10.4 Protección contra el código malicioso y descargable.
10.5 Copias de seguridad.
Abril 2012
8. Metodología propuesta -continuación-
P(i) Act(j,i) R(j,i) Cs(j,i) It, Is, In, …
5. POLÍTICA DE SEGURIDAD
6. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACIÓN
7. GESTIÓN DE ACTIVOS ID Medida C_Act_P ID CONTROL
Proceso Act P
8. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS Nombre Nombre Activo
9. SEGURIDAD FÍSICA Y DEL ENTORNO Equipamiento para diseñar Desarrollo 50 4 2
I1 Antivirus en servidores actualizado C50(4,2)
10. GESTIÓN DE COMUNICACIONES Y OPERACIONES de parches críticos en servidores
I2 Cantidad 1
C50(4,2) Equipamiento para diseñar Desarrollo 50 4 2
11. CONTROL DE ACCESO I3 Antivirus en estaciones actualizado C50(7,1) Detalle del producto vendido Venta 50 7 1
Detalle del producto vendido Desarrollo 50 1 2
12. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DEen estaciones actualizado
I3 Antivirus SISTEMAS DE INFORMACIÓN C50(1,2)
I3 Antivirus en estaciones actualizado C50(5,2) Diseño del producto Desarrollo 50 5 2
13. GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIÓN Diseño del producto Moldeo 50 1 3
I3 Antivirus en estaciones actualizado C50(1,3)
14. GESTIÓN DE LA CONTINUIDAD DEL NEGOCIOAntivirus en estaciones actualizado
I3 C50(6,1) Cotización Venta 50 6 1
15. CUMPLIMIENTO I4 Cantidad de parches críticos en estaciones de trabajo C50(7,1) Detalle del producto vendido Venta 50 7 1
I4 Cantidad de parches críticos en estaciones de trabajo C50(1,2) Detalle del producto vendido Desarrollo 50 1 2
I4 Cantidad de parches críticos en estaciones de trabajo C50(5,2) Diseño del producto Desarrollo 50 5 2
I4 Cantidad de parches críticos en estaciones de trabajo C50(1,3) Diseño del producto Moldeo 50 1 3
I4 Cantidad de parches críticos en estaciones de trabajo C50(6,1) Cotización Venta 50 6 1
I5 Política de intercambio de información con terceros C59(3,1) Ejecutivos de venta Venta 59 3 1
I5 Política de intercambio de información con terceros C59(3,2) Equipo de diseño Desarrollo 59 3 2
I5 Política de intercambio de información con terceros C59(3,3) Personal de moldeo Moldeo 59 3 3
I6 Perfilamiento de usuarios en aplicaciones C94(3,1) Ejecutivos de venta Venta 94 3 1
I6 Perfilamiento de usuarios en aplicaciones C94(3,2) Equipo de diseño Desarrollo 94 3 2
I6 Perfilamiento de usuarios en aplicaciones C94(3,3) Personal de moldeo Moldeo 94 Abril 2012
3 3
9. Pasos definidos por metodología
1. Identificación y ordenamiento de procesos (n)
2. Definición alcance del SGSI (m)
3. Identificación de activos por proceso
4. Asociación de relación Proceso <-> Activo
5. Evaluación de riesgos
6. Selección de controles
7. Definición de indicadores
8. Generación del Panel de Control
Abril 2012
10. Aplicación Práctica
Empresa productiva que fabrica envases de vidrio, dado que
sólo tiene un objetivo académico todas las consideraciones
serán simplificaciones de la realidad.
1. Identificación y ordenamiento de procesos
Venta
Desarrollo de productos
Generación de moldes
Producción del envase n=7
Embalaje
Distribución
Facturación
Abril 2012
11. Aplicación Práctica
2. Definición alcance del SGSI
Procesos SGSI={ 1 Venta, 2 Desarrollo de productos, 3 Proceso de moldeo}
m=3
3. Identificación de activos por proceso
P(1) venta ==> Activos={ Listado clientes (1,1), Listado productos (2,1),
Ejecutivos (3,1), Estudios mercado (4,1), Planes venta (5,1),
Cotización (6,1), Detalle producto (7,1)}
P(2) desarrollo ==> Activos={ Detalle producto (1,2), Productos
desarrollados (2,2), Equipo diseño (3,2), Equipamiento
diseño (4,2), Diseño producto (5,2)}
P(3) moldeo ==> Activos={ Diseño producto (1,3), Materias moldeo (2,3),
Personal moldeo (3,3), Horno (4,3), Molde producto (5,3)}
Existen 17 activos, solo 15 son distintos, por lo tanto, j=15.
Abril 2012
16. Aplicación Práctica
5. Evaluación de riesgos -continuación-
Para el ejemplo se considera Mitigar los riesgos aplicando
controles y se define nivel de aceptación para el valor 4,0
Abril 2012
17. Aplicación Práctica
6. Selección de controles
Falla de los servicios de comunicaciones
Fuga información
– Virus - Gusanos
Actos Malintencionados - Vandalismo
Código malicioso -Malicioso
Código Virus - Gusanos -
Código malicioso - Virus - Gusanos -
TRATAMIENTO
Interrupción de las actividades y
Acceso no autorizados a la red
Falta / Ausencia de personal
Acceso físico no autorizado
RIESGO
DEL
ID Riesgo Control seleccionado Cod. #
Fuga de información
Fuga de información
procesos de negocio
Fallas del hardware
Errores humanos
Inundaciones
Terremoto
Troyanos
Troyanos
Incendio
Proceso Activo ID CONTROL
Desarrollo (2) Equipamiento para diseñar (4,2) MITIGAR 2 20
0 1 0
1 1 10.4.11Controles contra el código malicioso.
1 0 1 1 0 1 50 C50(4,2)
(7,1) C50(7,1)
Venta (1) Detalle del producto vendido 2 0 10.4.1 Controles contra el código malicioso. 50
(1,2) MITIGAR 2 0 0 1 0 0 0 0 1 1 1 0 1 C50(1,2)
(5,2) C50(5,2)
Desarrollo (2) Diseño del producto 2 0 10.4.1 Controles contra el código malicioso. 50
(1,3) MITIGAR 2 0 0 1 0 0 0 0 1 1 1 0 1 C50(1,3)
10.8.1 Políticas y procedimientos de intercambio de
59 C59(3,1)
Venta (1) Ejecutivos de venta (3,1) MITIGAR 0 01
2 0 2
1 0 información. 1 0
0 1 0 0 0
94 C94(3,1)
11.6.1 Restricción del acceso a la información.
10.8.1 Políticas y procedimientos de intercambio de
59 C59(3,2)
Desarrollo (2) Equipo de diseño (3,2) MITIGAR 0 01
2 0 2
0 0 información. 1 0
0 1 0 0 0
94 C94(3,2)
11.6.1 Restricción del acceso a la información.
10.8.1 Políticas y procedimientos de intercambio de
59 C59(3,3)
Moldeo (3) Personal de moldeo (3,3) MITIGAR 0 01
2 0 2
0 0 información. 1 0
0 1 0 0 0
94 C94(3,3)
11.6.1 Restricción del acceso a la información.
Venta (1) Cotización (6,1) MITIGAR 2 20
0 1 0
0 0 10.4.11Controles contra el código malicioso.
0 0 1 1 1 1 50 C50(6,1)
Siete activos con riesgos a mitigar, considerando dos amenazas, se
seleccionaron los controles 50, 59 y 94. Abril 2012
18. Aplicación Práctica
7. Definición de indicadores
Nombre Id. Responsable de la Periodo de
ID Activo
Nombre
Control seleccionado ID CONTROL
Id. Indicador Indicador
Medida
medida
Responsable de
medición
Descripción
Periodo de
Rango
Activo Control seleccionado Medida > =98% bueno
Descripción Rango
CONTROL
Equipamiento para
diseñar malicioso.
Indicador
10.4.1 Controles contra el código
Indicador
C50(4,2)
Antivirus en servidores
actualizado
I1
Porcentaje de servidores con
antivirus actualizado
Administración
servidores la medida
Semanalmente
Corresponde a la validación que el
antivirus está actualizado a la última
versión liberada por el fabricante
medición
96% ó 97% Regular
< =95% es malo
> =98% bueno
C50(4,2)
Cantidad de parches
críticos en servidores
I2
Cantidad de parches críticos de
seguridad instalados en los
servidores Microsoft
Administración
servidores
Por cada parche
crítico
El período de instalación considerado es
5 días luego de liberado el parche crítico
de seguridad.
96% ó 97% Regular > =98% bueno
Corresponde a la validación que
< =95% es malo
10.4.1 Controles contra el código Antivirus en servidores Porcentaje de servidores Administración
> =98% bueno
Equipamiento para diseñar C50(4,2)
Detalle del producto
vendido
10.4.1 Controles contra el código
malicioso.
C50(7,1)
C50(1,2)
I1
Antivirus en estaciones
actualizado
I3 antivirus actualizadoSemanalmente el antivirus está actualizado a la 96% ó 97% Regular
Porcentaje de estaciones con Administración
estaciones
Semanalmente
Corresponde a la validación que el
antivirus está actualizado a la última 96% ó 97% Regular
malicioso. actualizado con antivirus actualizado servidores
versión liberada por el fabricante
última versión liberada por el < =95% es malo
fabricante
> =98% bueno
Cantidad de parches Cantidad de estaciones de El período de instalación considerado es
C50(7,1) Por cada parche Por cada parche
C50(1,2)
críticos en estaciones I4 trabajo actualizadas del último
crítico crítico
5 días luego de liberado el parche crítico 96% ó 97% Regular
< =95% es malo
de trabajo parche crítico de MS de seguridad.
< =95% es malo
> =98% bueno
10.4.1 Controles contra el código C50(5,2) Antivirus en estaciones Porcentaje de estaciones con Administración Corresponde a la validación que el
Diseño del producto malicioso. C50(1,3) actualizado
I3 antivirus actualizado estaciones
Semanalmente antivirus está actualizado a la última 96% ó 97% Regular
> =98% bueno
versión liberada por el fabricante
< =95% es malo
> =98% bueno
El período de instalación
Cantidad de parches Cantidad de estaciones de El período de instalación considerado es
C50(5,2)
C50(1,3)
trabajo Cantidad de parches
críticos en estaciones de I4 trabajo actualizadas del último
parche crítico de MS
Por cada parche
crítico
Por cada parche
crítico
5 días luego de liberado el parche crítico
de seguridad.
96% ó 97% Regular
< =95% es malo
Cantidad de parches críticos de seguridad Administración Por cada parche considerado es 5 días luego de
C50(4,2) 10.8.1 Políticas y procedimientos de
intercambio de información.
críticos en servidores
C59(3,1)
I2
Política de intercambio de
información con terceros
I5 Revisión/actualización política OSI Trimestralmente
servidores
Corresponde a la verificación que la
crítico liberado el parche crítico de
SI
96% ó 97% Regular
instalados en los
política haya sido revisada y/o
actualizada
NO
Ejecutivos de venta
11.6.1 Restricción del acceso a la
Perfilamiento de
servidores Microsoft
Porcentaje de aplicaciones con Responsable de
seguridad.
Verificar existencia de perfiles de
> = 96% bueno
C94(3,1) usuarios en I6 perfilamiento de usuarios aplicaciones
Trimestralmente usuarios dentro de las aplicaciones 90% al 95% Regular
información.
aplicaciones
< =95% es malo
< = 89% es malo
10.8.1 Políticas y procedimientos de Política de intercambio de
intercambio de información.
C59(3,2)
información con terceros
I5 Revisión/actualización política OSI Trimestralmente Corresponde a la verificación que la SI
política haya sido revisada y/o
actualizada
NO
Equipo de diseño > = 96% bueno
11.6.1 Restricción del acceso a la Verificar existencia de perfiles de
Perfilamiento de usuarios Porcentaje de aplicaciones con Responsable de
C94(3,2) I6 Trimestralmente usuarios dentro de las aplicaciones 90% al 95% Regular
Política de intercambio
información. en aplicaciones perfilamiento de usuarios aplicaciones
10.8.1 Políticas y procedimientos de Revisión/actualización
< = 89% es malo
Ejecutivos de venta
intercambio de información.
C59(3,1) de información con
10.8.1 Políticas y procedimientos de
intercambio de información.
C59(3,3)
I5
Política de intercambio de
información con terceros
política
I5 Revisión/actualización política OSI Trimestralmente
OSI Trimestralmente Corresponde a la verificación
Corresponde a la verificación que la
política haya sido revisada y/o
actualizada
SI
NO
SI
terceros
Personal de moldeo
11.6.1 Restricción del acceso a la
C94(3,3)
Perfilamiento de usuarios
I6
Porcentaje de aplicaciones con
perfilamiento de usuarios
Responsable de
aplicaciones
Trimestralmente
Verificar existencia de perfiles de
> = 96% bueno
que la política haya sido revisada
90% al 95% Regular
información. en aplicaciones usuarios dentro de las aplicaciones
y/o actualizada
< = 89% es malo
NO
> =98% bueno
10.4.1 Controles contra el código Antivirus en estaciones Porcentaje de estaciones con Administración Corresponde a la validación que el
Cotización malicioso.
C50(6,1)
actualizado
I3 antivirus actualizado estaciones
Semanalmente antivirus está actualizado a la última 96% ó 97% Regular
versión liberada por el fabricante
< =95% es malo
Para los 7 activos. C50(6,1)
Cantidad de parches
críticos en estaciones de I4
Cantidad de estaciones de
trabajo actualizadas del último
Por cada parche
crítico
Por cada parche
crítico
El período de instalación considerado es
5 días luego de liberado el parche crítico
> =98% bueno
96% ó 97% Regular
Se definen 6 indicadores del I1 al I6.
trabajo parche crítico de MS de seguridad.
< =95% es malo
Tanto los controles como los indicadores asociados se aplican a dos o más activos. Abril 2012
19. Aplicación Práctica
8. Generación del Panel de Control
10. GESTIÓN DE COMUNICACIONES Y OPERACIONES 1
10.4 Protección contra el código malicioso y descargable. 1
10.4.1 Controles contra el código malicioso.
I1 Antivirus en servidores actualizado 2
I2 Cantidad de parches críticos en servidores 1
I3 Antivirus en estaciones actualizado 3
I4 Cantidad de parches críticos en estaciones de trabajo 2
10.8 Intercambio de información. 1
10.8.1 Políticas y procedimientos de intercambio de información.
I5 Política de intercambio de información con terceros 1
11. CONTROL DE ACCESO 2
11.6 Control de acceso a las aplicaciones y a la información. 2
11.6.1 Restricción del acceso a la información.
I6 Perfilamiento de usuarios en aplicaciones 2
Abril 2012
20. Aplicación Práctica
Uso de Tabla de relación
ID Medida C_Act_P ID CONTROL
Proceso Act P
Nombre Nombre Activo (Act,P)
I1 Antivirus en servidores actualizado C50(4,2) Equipamiento para diseñar Desarrollo 50 4 2 (4,2)
I2 Cantidad de parches críticos en servidores C50(4,2) Equipamiento para diseñar Desarrollo 50 4 2 (4,2)
ID Medida Antivirus en estaciones actualizado
I3 C50(7,1)
C_Act_P Detalle del producto vendido Venta
Proceso 50
ID CONTROL 7
Act 1
P (7,1)
I3 Nombre
Antivirus en estaciones actualizado C50(1,2) Detalle del productoActivo
Nombre vendido Desarrollo 50 1 2 (Act,P)
(1,2)
I3 Antivirus en estaciones actualizado C50(5,2) Diseño del producto Desarrollo 50 5 2 (5,2)
I5
I3 Antivirus de intercambioactualizado
Política en estaciones de información con terceros C59(3,1)
C50(1,3) Ejecutivos de venta
Diseño del producto Venta
Moldeo 59
50 3
1 1
3 (3,1)
(1,3)
I5
I3 Antivirus de intercambioactualizado
Política en estaciones de información con terceros C59(3,2)
C50(6,1) Cotización diseño
Equipo de Desarrollo
Venta 59
50 3
6 2
1 (3,2)
(6,1)
I5
I4 Cantidadde intercambio de información con terceros
Política de parches críticos en estaciones de trabajo C59(3,3)
C50(7,1) Personal de moldeo
Detalle del producto vendido Moldeo
Venta 59
50 3
7 3
1 (3,3)
(7,1)
I4 Cantidad de parches críticos en estaciones de trabajo C50(1,2) Detalle del producto vendido Desarrollo 50 1 2 (1,2)
I4 Cantidad de parches críticos en estaciones de trabajo C50(5,2) Diseño del producto Desarrollo 50 5 2 (5,2)
I4 Cantidad de parches críticos en estaciones de trabajo C50(1,3) Diseño del producto Moldeo 50 1 3 (1,3)
I4 Cantidad de parches críticos en estaciones de trabajo C50(6,1) Cotización Venta 50 6 1 (6,1)
I5 I5 de intercambio de informaciónintercambio deEjecutivos de venta
Política Política de con terceros C59(3,1) información con terceros
Venta 59 3 1 1
(3,1)
I5 Política de intercambio de información con terceros C59(3,2) Equipo de diseño Desarrollo 59 3 2 (3,2)
Política de intercambio
I5 Política de intercambio de información con terceros
Revisión/actualización
C59(3,3) Personal de moldeo Moldeo 59 3 3 (3,3)
I6 Perfilamiento I5
de información con de usuarios en aplicaciones
política C94(3,1) OSI Trimestralmente Corresponde a la verificación
Ejecutivos de venta Venta 94 3 SI
1 (3,1)
terceros que la política haya sido revisada
I6 Perfilamiento de usuarios en aplicaciones C94(3,2) Equipo de diseño Desarrollo 94 3 2 (3,2)
y/o actualizada
I6 Perfilamiento de usuarios en aplicaciones C94(3,3) Personal de moldeo Moldeo 94 3 3
NO (3,3)
Abril 2012
21. Conclusiones
La metodología presentada relaciona todos los elementos que
forman parten del Sistema de Gestión de la Seguridad de la
información.
Se evidencio que es factible alcanzar el objetivo utilizando
como herramienta una planilla Excel.
Se puede concluir que la metodología propuesta permite
relacionar la efectividad de un SGSI con los elementos del
negocio y así apoyar la toma de decisiones para proteger los
activos críticos de la Organización.
Abril 2012
26. ISO/IEC 27005:2008 Gestión de Riesgos
Proceso
Entrada
Salida
R = D * p(D)
Evitar -- Mitigar -- Transferir -- Aceptar
La norma no proporciona metodología alguna para la gestión de riesgos
Cada Organización debe elegir la que le acomode
Abril 2012
27. ISO/IEC 27002:2005 Controles (133)
Política de Seguridad (2)
Aspectos Organizativos de la Seguridad (11)
Gestión de activos (5)
Seguridad ligada a los RRHH (9)
Seguridad física y del entorno (13)
Gestión de comunicaciones y operaciones (32)
Control de acceso (25)
Adquisición, desarrollo y mantenimiento de sistemas de
información (16)
Gestión de incidentes de seguridad de la información (5)
Gestión de la continuidad del negocio (5)
Cumplimiento (10)
Abril 2012
28. ISO/IEC 27004:200 Indicadores
Evaluar la efectividad de la implementación de los controles de
seguridad.
Evaluar la eficiencia del SGSI, incluyendo continuas mejoras.
Verificar que los requerimientos de seguridad fueron logrados
Servir como entradas al plan de análisis y tratamiento de
riesgos.
Proveer estados de seguridad que guíen las revisiones
Gerenciales del SGSI, facilitando mejoras a la seguridad y
nuevas entradas para el SGSI.
Se debe desarrollar un programa de mediciones que considera:
• Desarrollo de medidas y mediciones
• Proceso de medición
• Análisis y reporte de resultados
• Evaluación y mejora del programa de medición de seguridad de la información
Abril 2012