Professional Documents
Culture Documents
Los objetivos de la medicin de seguridad de la informacin dentro del contexto del SGSI
incluyen:
a)
b)
c)
d)
c)
d)
e)
f)
Estructura organizacional.
Costos y beneficios de implementar mediciones de seguridad de la informacin.
Criterios de aceptacin de riesgos de la organizacin.
La necesidad de comparar varios SGSIs dentro de la organizacin.
1.2.
1.3.
Factores de xito
Los siguientes son factores que contribuyen al xito del Programa de medicin de la seguridad
de la informacin de manera de facilitar la mejora continua del SGSI:
a) Compromiso de la alta direccin soportado por los recursos apropiados
b) Existencia de los procesos y procedimientos del SGSI
c) Un proceso repetible capaz de capturar y reportar datos significativos de manera de proveer
tendencias sobre un perodo de tiempo
d) Medidas cuantificables basadas en los objetivos del SGSI
e) Datos de fcil obtencin que puedan ser utilizados en las mediciones
f) Valoracin de la efectividad del Programa de medicin de la seguridad de la informacin y la
implementacin de mejoras identificadas
g) Recoleccin, anlisis, y reporte peridico y consistente de datos de mediciones de una forma
que sea significativa
h) Uso de los resultados de las mediciones por las partes interesadas correspondientes, para
identificar necesidades de mejora del SGSI implementado, incluyendo su alcance, polticas,
objetivos, controles, procesos y procedimientos
i) Aceptacin de la respuesta de los resultados de las mediciones por las partes interesadas
correspondientes
j) Evaluaciones de la utilidad de los resultados de las mediciones y de las implementaciones de
las mejoras identificadas.
Una vez implementado de manera exitosa, un Programa de medicin de la seguridad de la
informacin puede:
1) Demostrar el cumplimiento de la organizacin con los requerimientos legales y regulatorios
aplicables y con las obligaciones contractuales
2) Dar soporte a la identificacin de problemas de seguridad de la informacin desconocidos o no
detectados previamente
3) Asistir en satisfacer las necesidades de reportes de la alta direccin, al establecer medidas
para actividades histricas y actuales;
4) Ser utilizado como datos de entrada para el proceso de gestin de seguridad de la informacin,
las auditoras internas del SGSI y las revisiones de la alta direccin.
5)
1.4.
Modelo de medicin de la seguridad de la informacin
1.4.1. Visin general
6)
7)
El modelo de medicin de la seguridad de la informacin es una estructura que vincula
una necesidad de informacin con los objetos de medicin pertinentes y sus atributos. Los objetos
de medicin pueden incluir procesos, procedimientos, proyectos y recursos planificados o
implementados.
8)
9)
El modelo de medicin de seguridad de la informacin describe cmo los atributos
concernientes son cuantificados y convertidos en indicadores, los cuales proveen la base para la
toma de decisiones.
10)
11)
12)
13)
14)
15) Figura 2 Modelo de medicin de la seguridad de la informacin
16)
1.4.2. Medidas base y mtodo de medicin
17)
18)
Una medida base es la medida ms simple que se puede obtener. La misma resulta de la
aplicacin de mtodos de medicin sobre los atributos seleccionados de un objeto de medicin.
Un objeto de medicin puede tener muchos atributos, de los cuales slo algunos pueden tener
valores tiles a ser asignados a una medida base. Un dado atributo puede ser utilizado por
muchas medidas base, diferentes.
19)
20)
Un mtodo de medicin es una secuencia lgica de operaciones utilizado para cuantificar
un atributo con respecto a una escala especfica. La operacin puede envolver actividades como
contar las ocurrencias u observar el paso del tiempo.
21)
22)
Un mtodo de medicin se puede aplicar a atributos de un objeto de medicin. Ejemplos
de objetos de medicin incluyen (pero no se limitan a):
23)
Rendimiento de los controles implementados en el SGSI
Estado de los activos de informacin protegidos por los controles
Rendimiento de los procesos implementados en el SGSI
Comportamiento del personal que forma parte del SGSI implementado
Actividades de las unidades organizacionales responsables por la seguridad de la
informacin
Grado de satisfaccin de las partes interesadas.
24)
25)
Un mtodo de medicin puede utilizar objetos de medicin de mediciones y atributos
de una variedad de fuentes, tales como:
26)
Resultados de la evaluacin y el anlisis de riesgos
Cuestionarios y entrevistas personales
27)
28)
29)
30)
31)
36)
La escala y unidad de la medida derivada depende de las escalas y unidades de las
medidas base de las cuales se compone, as como tambin de cmo se encuentren combinadas
por la funcin de medicin.
37)
La funcin de medicin puede involucrar una variedad de tcnicas, tales como promediar
las medidas base, aplicando ponderacin a las medidas base, o asignando valores cualitativos a
las medidas base. La funcin de medicin puede combinar medidas base utilizando diferentes
escalas, tales como resultados de evaluaciones porcentuales o cualitativas.
38)
39)
Tabla 2 Ejemplo de medida derivada y funcin de medicin
40)
41)
42)
43)
50)
NOTA. Si un indicador se representa en forma grfica o cuando se utilizan copias
monocromticas, se recomienda que sea utilizable por personas con limitaciones visuales. Para hacer
eso posible se recomienda que se agregue una descripcin del color, de las formas, la tipografa u otros
mtodos visuales.
51)
1.4.5. Resultados de las mediciones y criterios de decisin
52)
53)
Los resultados de la medicin se desarrollan interpretando los indicadores aplicados, basados
en criterios de decisin definidos, y se recomienda que se considere en el contexto de los objetivos de
medicin generales de evaluacin de la efectividad del SGSI. Los criterios de decisin se utilizan para
determinar la necesidad de una accin o de ms investigacin, as como tambin para describir el nivel
de confiabilidad de los resultados medidos. Los criterios de decisin se podran aplicar a una serie de
indicadores, por ejemplo, para realizar anlisis de tendencia basado en indicadores recibidos en
diferentes puntos en el tiempo.
54)
Las metas proveen especificaciones detalladas de rendimiento, aplicables a la organizacin o a
partes de la misma, derivadas de los objetivos de seguridad de la informacin y que necesitan ser
establecidas y cumplidas de manera de alcanzar dichos objetivos.
55)
56)
57)
58)