SlideShare una empresa de Scribd logo

ATI_EQ5_UN4_RES_CAP12

C
Coatzozon20
Tecnología
1 de 7
Descargar para leer sin conexión
Administración de las tecnologías de información Cap. 12 EQUIPO 5 Página 1 LAS MÉTRICAS DE SEGURIDAD DE LA INFORMACIÓN SGSI propone una metodología de medición de la eficacia de los controles de seguridad SI implantados que varían, como es obvio, de un entidad a otra en atención al análisis de riesgo previo, de los controles elegidos y efectivamente implantados para mitigarlo y su comportamiento esperado. ¿MÉTRICAS DE SEGURIDAD O MÉTRICAS DE GESTIÓN DE LA SEGURIDAD? El propósito del proceso de métrica de gestión de la seguridad es recoger, analizar y comunicar datos relacionados con los procesos de la seguridad de la información que supone un ámbito de actuaciones diferentes al de las infraestructuras, aplicativas y sistemas o procesos que la soportan. Las métricas de gestión de la seguridad de la información tienen por finalidad conocer, evaluar y gestionar la seguridad de los sistemas de información. La planificación, implantación y mejora de las métricas de gestión de la seguridad nos permitirán: Analizar y comprender el estado de seguridad. Controlar la eficiencia y eficacia de los controles. Predecir el tiempo y el costo de un proyecto. Mejorar la gestión de la seguridad de la información. ¿INDICADORES, MÉTRICAS O MEDIDAS DE SEGURIDAD? En CoBIT 4.0 la cuestión terminológica se complica un tanto de tal modo que en algunos de los términos que se refiere como indicadores serian lo que se denominan métricas en el NIST 800-55. CoBIT requiere un conocimiento de los objetivos de negocio por parte de las organizaciones que pretenden implantarlo. En el modelo CoBIT, una vez que se han fijado los objetivos han de establecer, mediante el uso de indicadores en qué medida se están lográndolos mismo. Y así se definen los dos tipos de indicadores: KEY GOAL INDICATOR (KGIS): COBIT considera este indicador como de “lapso” y lo define como la medida de lo que se ha de cumplirse, la distancia entre lo que se ha realizado y el objetivo a cumplir. KEY PERFORMACE INDICATORS: COBIT considera estos indicadores una indicación o una medida de “como de bien” se están comportando los procesos. COBIT relaciona un indicador con el otro, de la siguiente manera:
Administración de las tecnologías de información Cap. 12 EQUIPO 5 Página 2 COBIT propone tres tipos de mediciones de los procesos (lo que serían los controles en la familia 27001): Rendimiento (performance): Key Performance Indicators. Resultado: Key GoalIndicators. Madurez: MaturityModels. En norma ISO de la familia 27001, como veremos, se ha suprimido el término métrica, por redundante, y se ha sustituido por el de medida en sus dos acepciones en inglés: Measurement: proceso de obtención de información sobre la eficacia del SGSI, sus objetivos de control y controles, usando un método y función de medida, un modelo analítico y un criterio de decisión. Measure: variable que se asigna un valor como resultado de un proceso de medición. CMM, BALANCE SCORICARD Y MÉTRICAS DE ANÁLISIS DE RIESGOS COBIT, por ejemplo, establecer tres sistemas o modos de monitorizar si los controles implantados son los adecuados y si se comportan según lo esperado:
Administración de las tecnologías de información Cap. 12 EQUIPO 5 Página 3 Benclumarkingnde la capacidad de los procesos haciendo uso de los modelos de madurez derivados del “CapabiliryMaturityModel” del software EngineeringInstinate. Definición de objetivos y métricas de los procesos TSI según vimos en el apartado anterior, basados en los “balance businessscorecard” de Norton y Kaplan. ActivityGoals, basados en objetivos de control detallados de COBIT y que permiten mantener un control sobre su eficiencia. Las medidas, por tanto deben integrarse en el ciclo de la gestión de la organización y utilizarse para llevar a cabo l mejora de los procesos y resultados relacionados con la seguridad dentro del seguridad dentro del proyecto u organización. EL PROYECTO DE NORMA ISO 27004 “MEDIDAS DE LA GESTIÓN DE LA SEGURIDAD” La norma ISO 27001 adopta un enfoque de proceso para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar un SGSI de una organización. El “enfoque de proceso” se refiere a la aplicación de un sistema de procesos dentro de una organización, junto con la identificación y la interacción de estos procesos, así como su gestión, adoptando el modelo (PDAC) que se aplica para estructurar todos los procesos del SGSI. VICIÓN GENERAL DE LAS MEDIDAS La medición implica un proceso de obtención de información sobre la eficacia del método SGSI, los objetivos de control individuales y controles que utilizan un método de medición una función de medición y un modelo analítico confrontando la información obtenida a los criterios de decisión.
Administración de las tecnologías de información Cap. 12 EQUIPO 5 Página 4 La finalidad del proceso de implantación y desarrollo de medidas de la gestión de seguridad de la información es crear una base en cada organización que permite recoge, analizar y comunicar datos relacionados con procesos SGSI. El propio sistema de medida de la gestión debe utilizarse para la toma de decisiones relacionadas con la seguridad respecto a la mejor del SGSI o los cambios dentro del mismo. Los objetivos del proceso de medida son: Evaluar la eficacia de la implantación de los controles de seguridad. Evaluar la eficacia del sistema de gestión de seguridad de la información incluyendo la mejora continua. Proporcionar un estado de seguridad para distinguir la revisión de la gestión, facilita las mejoras de la seguridad y contribuir a auditorias de seguridad. Comunicar el valor de la seguridad a la organización. Servir como aportación al plan de tratamiento de riesgo y de evaluación de riesgos. Tipos de medidas La norma propone la siguiente categorización: a) Derivada b) Base Dentro de cada una de las categorías, las medidas pueden tener dos variedades: a) Cumplimiento b) Rendimiento Las medidas de cumplimiento ayudan a la identificación de lagunas en la implantación y la gestión y la gestión de la política, controles individuales, objetivos de control y proceso de ISMS en la organización. Las medidas de rendimiento evalúan la eficacia de los controles implementados utilizados para proteger los activos de información de la organización.
Administración de las tecnologías de información Cap. 12 EQUIPO 5 Página 5 EL PROCESO DE MEDICIÓN Las organizaciones deben limitar la cantidad de medidas que utilizan dentro del mismo periodo de tiempo con el fin de garantizar su capacidad de adoptar los cambios pertinentes como resultado de la información obtenida. Las medidas deben revisarse para verificar que continúan suministrando información valida ala organización: que las fuentes y otros aspectos relacionados con sus atributos son correctos y que los beneficios frente al esfuerzo dan un saldo positivo. COMO SE DESARROLLA UNA “MEDIDA” El proceso para desarrollar una medida ha de planificarse y documentarse, y comienza con la selección de controles y objetivos de control específico para la medición, continúa con la identificación de objetivos de medición, especificación de medidas y finaliza con el establecimiento de recogida y análisis de datos e informes de procesos y herramientas. La selección de controles específicos incluyen los siguientes pasos. a) Identificar los controles y objetivos de control que fueron seleccionados como resultado del análisis de riesgo, como se describe en la ISO 27001. b) Establecer prioridades entre controles y objetivos de control seleccionados como base en los siguientes criterios: Los requisitos de stakeholders. La política de seguridad se la información de la organización. La información necesaria para satisfacer los requisitos legales, regulatorios y contractuales.
Administración de las tecnologías de información Cap. 12 EQUIPO 5 Página 6 Lo religión coste-beneficio del rendimiento de cada control individual u objetivo de control. c) Seleccionar los controles y objetivos de control específicos a incluir en el programa de medición según las prioridades identificadas. Los métodos de medición puede ser subjetivos u objetivos, dependiendo del grado de automatización de la actividad de recogida de datos, tales como: a) Auditorías internas o externas. b) Evaluación de riesgo y análisis de riesgo. c) Cuestionario y preguntas. d) Utilización del riesgo de acontecimientos. e) Producción de registros, informes y pistas de auditoria. f) Informes de incidentes, en particular aquellos tienen como resultado un impacto. g) Muestra de estadísticas. h) Pruebas. Las medidas validas deben de contar con varios indicadores: Estratégica Cuantitativa Razonable Interpretativa Verificable Evolutiva Útil Indivisible Repetible El proceso de medición deberá documentarse: a) Los controles y objetivos de control a ser sometidos a medición. b) Los objetivos de medición. c) Los objetivos de negocio sometidos a medición d) Las medidas individuales a ser recogidas y utilizadas. e) El proceso de análisis y recogida de datos. f) El proceso y formato de informes. g) Las funciones y responsabilidades de los stakeholders La operación de las medidas conlleva la recogida y el análisis de los datos utilizados para generarse e incluye actividades que son esenciales para asegurar que las misma se utilizan para competir el estado de SGSI e identificar las acciones de mejoras adecuadas. Esto incluye:
Administración de las tecnologías de información Cap. 12 EQUIPO 5 Página 7 a) Integrar los procedimientos de medidas en la operación global de SGSI b) Recoger, almacenar y verificar datos. ¿COMO GENERAR INDICADORES? Los indicadores de gestión se generan al interpretar las medidas derivadas a la luz de los criterios de decisión o las necesidades de información de la organización. Los formatos de informes han de representar de manera visual las medidas y facilitar una explicación verbal de los indicadores. La mecánica del establecimiento de criterios de decisiones es diferente si se trata de mediciones de cumplimiento o de rendimiento.

Recomendados

ATI_EQ5_UN4_RES_CAP12
ATI_EQ5_UN4_RES_CAP12ATI_EQ5_UN4_RES_CAP12
ATI_EQ5_UN4_RES_CAP12Coatzozon20
 
Resumen capitulo 12
Resumen capitulo 12Resumen capitulo 12
Resumen capitulo 12danferwan
 
Programa de medición en un sistema de gestión bajo la ISO 27004
Programa de medición en un sistema de gestión bajo la ISO 27004Programa de medición en un sistema de gestión bajo la ISO 27004
Programa de medición en un sistema de gestión bajo la ISO 27004PECB
 
Admon publicaypolitcasinfo
Admon publicaypolitcasinfoAdmon publicaypolitcasinfo
Admon publicaypolitcasinfoAdalinda Turcios
 
Programa de concienciación, el eslabón mas débil de la cadena de seguridad: L...
Programa de concienciación, el eslabón mas débil de la cadena de seguridad: L...Programa de concienciación, el eslabón mas débil de la cadena de seguridad: L...
Programa de concienciación, el eslabón mas débil de la cadena de seguridad: L...PECB
 
Politicas
PoliticasPoliticas
PoliticasJannina Lamber
 
Presentación Administración y Política
Presentación Administración y PolíticaPresentación Administración y Política
Presentación Administración y PolíticaGengali
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionCinthia Yessenia Grandos
 

Recomendados

ATI_EQ5_UN4_RES_CAP12
ATI_EQ5_UN4_RES_CAP12ATI_EQ5_UN4_RES_CAP12
ATI_EQ5_UN4_RES_CAP12Coatzozon20
 
Resumen capitulo 12
Resumen capitulo 12Resumen capitulo 12
Resumen capitulo 12danferwan
 
Programa de medición en un sistema de gestión bajo la ISO 27004
Programa de medición en un sistema de gestión bajo la ISO 27004Programa de medición en un sistema de gestión bajo la ISO 27004
Programa de medición en un sistema de gestión bajo la ISO 27004PECB
 
Admon publicaypolitcasinfo
Admon publicaypolitcasinfoAdmon publicaypolitcasinfo
Admon publicaypolitcasinfoAdalinda Turcios
 
Programa de concienciación, el eslabón mas débil de la cadena de seguridad: L...
Programa de concienciación, el eslabón mas débil de la cadena de seguridad: L...Programa de concienciación, el eslabón mas débil de la cadena de seguridad: L...
Programa de concienciación, el eslabón mas débil de la cadena de seguridad: L...PECB
 
Politicas
PoliticasPoliticas
PoliticasJannina Lamber
 
Presentación Administración y Política
Presentación Administración y PolíticaPresentación Administración y Política
Presentación Administración y PolíticaGengali
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionCinthia Yessenia Grandos
 
SGSI 27001
SGSI 27001SGSI 27001
SGSI 27001Marvin Joel Diaz Navarro
 
Segunda parte
Segunda parteSegunda parte
Segunda parteBlue Delacour
 
Iso27001 Porras Guevara Carlos
Iso27001 Porras Guevara CarlosIso27001 Porras Guevara Carlos
Iso27001 Porras Guevara Carlosuniversidad cesar vallejo
 
SGSI
SGSISGSI
SGSIAngelica Lopez
 
Presentación politicas juan jose mejia
Presentación politicas juan jose mejiaPresentación politicas juan jose mejia
Presentación politicas juan jose mejiajjm5212
 
Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Jhonny Javier Cantarero
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionDarwin Calix
 
ISO 27001
ISO 27001ISO 27001
ISO 27001Diego Cueva Córdova
 
Iso 27001 E Iso 27004
Iso 27001 E Iso 27004Iso 27001 E Iso 27004
Iso 27001 E Iso 27004dcordova923
 
Indicadores de gestión icontec
Indicadores de gestión icontecIndicadores de gestión icontec
Indicadores de gestión icontecEl Es
 
Trabajo Auditoria
Trabajo AuditoriaTrabajo Auditoria
Trabajo AuditoriaChristopher Ticeran Lopez
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000Carlos Pineda Pinto
 
.Auditoria de sistemas
.Auditoria de sistemas.Auditoria de sistemas
.Auditoria de sistemasfranyelis23
 
Unidad 2 temas1y2 v3
Unidad 2 temas1y2 v3Unidad 2 temas1y2 v3
Unidad 2 temas1y2 v3Carlos Andres Perez Cabrales
 
Modelo plan auditoria
Modelo plan auditoriaModelo plan auditoria
Modelo plan auditoriaPaola Prada
 
Tisax - Ingertec
Tisax - IngertecTisax - Ingertec
Tisax - IngertecGrupo Ingertec
 
Unidad VI Medición y seguimiento de procesos.
Unidad VI Medición y seguimiento de procesos. Unidad VI Medición y seguimiento de procesos.
Unidad VI Medición y seguimiento de procesos. Ricardo Ruiz de Adana
 
Resumen capitulo 12
Resumen capitulo 12Resumen capitulo 12
Resumen capitulo 12danferwan
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Internet Security Auditors
 
Gabriel auditoria
Gabriel auditoriaGabriel auditoria
Gabriel auditoriaGABRIELCARRASQUEL1
 
Introducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadIntroducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadJhonny Javier Cantarero
 
Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Jhonny Javier Cantarero
 

Más contenido relacionado

La actualidad más candente

Presentación politicas juan jose mejia
Presentación politicas juan jose mejiaPresentación politicas juan jose mejia
Presentación politicas juan jose mejiajjm5212
 
Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Jhonny Javier Cantarero
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionDarwin Calix
 
Iso 27001 E Iso 27004
Iso 27001 E Iso 27004Iso 27001 E Iso 27004
Iso 27001 E Iso 27004dcordova923
 
Indicadores de gestión icontec
Indicadores de gestión icontecIndicadores de gestión icontec
Indicadores de gestión icontecEl Es
 
.Auditoria de sistemas
.Auditoria de sistemas.Auditoria de sistemas
.Auditoria de sistemasfranyelis23
 
Modelo plan auditoria
Modelo plan auditoriaModelo plan auditoria
Modelo plan auditoriaPaola Prada
 
Unidad VI Medición y seguimiento de procesos.
Unidad VI Medición y seguimiento de procesos. Unidad VI Medición y seguimiento de procesos.
Unidad VI Medición y seguimiento de procesos. Ricardo Ruiz de Adana
 

La actualidad más candente (17)

SGSI 27001
SGSI 27001SGSI 27001
SGSI 27001
 
Segunda parte
Segunda parteSegunda parte
Segunda parte
 
Iso27001 Porras Guevara Carlos
Iso27001 Porras Guevara CarlosIso27001 Porras Guevara Carlos
Iso27001 Porras Guevara Carlos
 
SGSI
SGSISGSI
SGSI
 
Presentación politicas juan jose mejia
Presentación politicas juan jose mejiaPresentación politicas juan jose mejia
Presentación politicas juan jose mejia
 
Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacion
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Iso 27001 E Iso 27004
Iso 27001 E Iso 27004Iso 27001 E Iso 27004
Iso 27001 E Iso 27004
 
Indicadores de gestión icontec
Indicadores de gestión icontecIndicadores de gestión icontec
Indicadores de gestión icontec
 
Trabajo Auditoria
Trabajo AuditoriaTrabajo Auditoria
Trabajo Auditoria
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000
 
.Auditoria de sistemas
.Auditoria de sistemas.Auditoria de sistemas
.Auditoria de sistemas
 
Unidad 2 temas1y2 v3
Unidad 2 temas1y2 v3Unidad 2 temas1y2 v3
Unidad 2 temas1y2 v3
 
Modelo plan auditoria
Modelo plan auditoriaModelo plan auditoria
Modelo plan auditoria
 
Tisax - Ingertec
Tisax - IngertecTisax - Ingertec
Tisax - Ingertec
 
Unidad VI Medición y seguimiento de procesos.
Unidad VI Medición y seguimiento de procesos. Unidad VI Medición y seguimiento de procesos.
Unidad VI Medición y seguimiento de procesos.
 

Similar a ATI_EQ5_UN4_RES_CAP12

Resumen capitulo 12
Resumen capitulo 12Resumen capitulo 12
Resumen capitulo 12danferwan
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Internet Security Auditors
 
Introducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadIntroducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadJhonny Javier Cantarero
 
Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Jhonny Javier Cantarero
 
Indicadores de gestión y cuadro de mando integral para el SG-SST
Indicadores de gestión y cuadro de mando integral para el SG-SSTIndicadores de gestión y cuadro de mando integral para el SG-SST
Indicadores de gestión y cuadro de mando integral para el SG-SSTHolding Consultants de Colombia
 
indicadores de gestion y cuadro de mando integral.pptx
indicadores de gestion y cuadro de mando integral.pptxindicadores de gestion y cuadro de mando integral.pptx
indicadores de gestion y cuadro de mando integral.pptxFedericoAguilar25
 
Trabajo de sistemas calidad
Trabajo de sistemas calidadTrabajo de sistemas calidad
Trabajo de sistemas calidadOmar Hernandez
 
Auditoria de certificacion
Auditoria de certificacionAuditoria de certificacion
Auditoria de certificacionAlexander Cruz
 
Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióNmartin
 
Auditoria inf.
Auditoria inf.Auditoria inf.
Auditoria inf.Fer22P
 
Objetivos_e_Indicadores_de_gestion_SG-SST_680_2016_08_01_14_54_01.pdf
Objetivos_e_Indicadores_de_gestion_SG-SST_680_2016_08_01_14_54_01.pdfObjetivos_e_Indicadores_de_gestion_SG-SST_680_2016_08_01_14_54_01.pdf
Objetivos_e_Indicadores_de_gestion_SG-SST_680_2016_08_01_14_54_01.pdfdanielroldn17
 
Presentación Norma UNE-ISO/IEC 27001
Presentación Norma UNE-ISO/IEC 27001Presentación Norma UNE-ISO/IEC 27001
Presentación Norma UNE-ISO/IEC 27001Orlin Jose Reyes
 
Indicadores de gestion
Indicadores de gestionIndicadores de gestion
Indicadores de gestionMailyn Vergara
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Reynaldo Quintero
 
Resumenes Cap. Gobierno De Las Tsi
Resumenes Cap. Gobierno De Las TsiResumenes Cap. Gobierno De Las Tsi
Resumenes Cap. Gobierno De Las Tsisantosperez
 
Presentación inspecciones de seguridad (1)
Presentación inspecciones de seguridad (1)Presentación inspecciones de seguridad (1)
Presentación inspecciones de seguridad (1)WilliamalbertoArroya
 
C O B I T - Sistema de Investigación
C O B I T - Sistema de InvestigaciónC O B I T - Sistema de Investigación
C O B I T - Sistema de InvestigaciónJasik
 
COBIT JASIK
COBIT JASIKCOBIT JASIK
COBIT JASIKIngrid11
 

Similar a ATI_EQ5_UN4_RES_CAP12 (20)

Resumen capitulo 12
Resumen capitulo 12Resumen capitulo 12
Resumen capitulo 12
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
 
Gabriel auditoria
Gabriel auditoriaGabriel auditoria
Gabriel auditoria
 
Introducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadIntroducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridad
 
Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)
 
Indicadores de gestión y cuadro de mando integral para el SG-SST
Indicadores de gestión y cuadro de mando integral para el SG-SSTIndicadores de gestión y cuadro de mando integral para el SG-SST
Indicadores de gestión y cuadro de mando integral para el SG-SST
 
indicadores de gestion y cuadro de mando integral.pptx
indicadores de gestion y cuadro de mando integral.pptxindicadores de gestion y cuadro de mando integral.pptx
indicadores de gestion y cuadro de mando integral.pptx
 
Trabajo de sistemas calidad
Trabajo de sistemas calidadTrabajo de sistemas calidad
Trabajo de sistemas calidad
 
Auditoria de certificacion
Auditoria de certificacionAuditoria de certificacion
Auditoria de certificacion
 
Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióN
 
Auditoria inf.
Auditoria inf.Auditoria inf.
Auditoria inf.
 
Objetivos_e_Indicadores_de_gestion_SG-SST_680_2016_08_01_14_54_01.pdf
Objetivos_e_Indicadores_de_gestion_SG-SST_680_2016_08_01_14_54_01.pdfObjetivos_e_Indicadores_de_gestion_SG-SST_680_2016_08_01_14_54_01.pdf
Objetivos_e_Indicadores_de_gestion_SG-SST_680_2016_08_01_14_54_01.pdf
 
Presentación Norma UNE-ISO/IEC 27001
Presentación Norma UNE-ISO/IEC 27001Presentación Norma UNE-ISO/IEC 27001
Presentación Norma UNE-ISO/IEC 27001
 
Indicadores de gestion
Indicadores de gestionIndicadores de gestion
Indicadores de gestion
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000
 
Resumenes Cap. Gobierno De Las Tsi
Resumenes Cap. Gobierno De Las TsiResumenes Cap. Gobierno De Las Tsi
Resumenes Cap. Gobierno De Las Tsi
 
Presentación inspecciones de seguridad (1)
Presentación inspecciones de seguridad (1)Presentación inspecciones de seguridad (1)
Presentación inspecciones de seguridad (1)
 
C O B I T - Sistema de Investigación
C O B I T - Sistema de InvestigaciónC O B I T - Sistema de Investigación
C O B I T - Sistema de Investigación
 
COBIT JASIK
COBIT JASIKCOBIT JASIK
COBIT JASIK
 
UNE-ISO/IEC 27001
UNE-ISO/IEC 27001UNE-ISO/IEC 27001
UNE-ISO/IEC 27001
 

Más de Coatzozon20

Memoria de Proyecto: Innovación Tecnológica_
Memoria de Proyecto: Innovación Tecnológica_Memoria de Proyecto: Innovación Tecnológica_
Memoria de Proyecto: Innovación Tecnológica_Coatzozon20
 
Entregable_Proyecto:Escenarios de aprendizaje con TIC
Entregable_Proyecto:Escenarios de aprendizaje con TICEntregable_Proyecto:Escenarios de aprendizaje con TIC
Entregable_Proyecto:Escenarios de aprendizaje con TICCoatzozon20
 
Caso de estudio: Integración Empresarial Wal-Mart
Caso de estudio: Integración Empresarial Wal-MartCaso de estudio: Integración Empresarial Wal-Mart
Caso de estudio: Integración Empresarial Wal-MartCoatzozon20
 
Cap. 9 Caso de éxito BPM
Cap. 9 Caso de éxito BPMCap. 9 Caso de éxito BPM
Cap. 9 Caso de éxito BPMCoatzozon20
 
Caso de éxito BPM_Cap. 9
Caso de éxito BPM_Cap. 9Caso de éxito BPM_Cap. 9
Caso de éxito BPM_Cap. 9Coatzozon20
 
Capitulo 9. Arquitectura de Integración de Procesos
Capitulo 9. Arquitectura de Integración de ProcesosCapitulo 9. Arquitectura de Integración de Procesos
Capitulo 9. Arquitectura de Integración de ProcesosCoatzozon20
 
Capitulo 8. Metadatos
Capitulo 8. MetadatosCapitulo 8. Metadatos
Capitulo 8. MetadatosCoatzozon20
 
Capitulo 8. Integración empresarial Walt-Mart
Capitulo 8. Integración empresarial Walt-MartCapitulo 8. Integración empresarial Walt-Mart
Capitulo 8. Integración empresarial Walt-MartCoatzozon20
 
GEP_EQ9_U3_Matriz Resp
GEP_EQ9_U3_Matriz RespGEP_EQ9_U3_Matriz Resp
GEP_EQ9_U3_Matriz RespCoatzozon20
 
Arquitectura de integración de servicios
Arquitectura de integración de serviciosArquitectura de integración de servicios
Arquitectura de integración de serviciosCoatzozon20
 
GEP_EQA9_I1_U1_Software para GEP
GEP_EQA9_I1_U1_Software para GEPGEP_EQA9_I1_U1_Software para GEP
GEP_EQA9_I1_U1_Software para GEPCoatzozon20
 
GEP_EQA9_P1_U2_SDP
GEP_EQA9_P1_U2_SDPGEP_EQA9_P1_U2_SDP
GEP_EQA9_P1_U2_SDPCoatzozon20
 
GEP_EQA9_T1_U2_SDP
GEP_EQA9_T1_U2_SDPGEP_EQA9_T1_U2_SDP
GEP_EQA9_T1_U2_SDPCoatzozon20
 
GEP_EQA9_T7_U2_Mejoras transporte
GEP_EQA9_T7_U2_Mejoras transporteGEP_EQA9_T7_U2_Mejoras transporte
GEP_EQA9_T7_U2_Mejoras transporteCoatzozon20
 
GEP_EQA9_T6_U2_Compañia farmaceutica
GEP_EQA9_T6_U2_Compañia farmaceuticaGEP_EQA9_T6_U2_Compañia farmaceutica
GEP_EQA9_T6_U2_Compañia farmaceuticaCoatzozon20
 
GEP_EQA9_T1_U2_SDP Online
GEP_EQA9_T1_U2_SDP OnlineGEP_EQA9_T1_U2_SDP Online
GEP_EQA9_T1_U2_SDP OnlineCoatzozon20
 
GEP_EQA9_T7_U2_Mejoras transporte
GEP_EQA9_T7_U2_Mejoras transporteGEP_EQA9_T7_U2_Mejoras transporte
GEP_EQA9_T7_U2_Mejoras transporteCoatzozon20
 
GEP_EQA9_T1_U2_Compañia farmaceutica
GEP_EQA9_T1_U2_Compañia farmaceuticaGEP_EQA9_T1_U2_Compañia farmaceutica
GEP_EQA9_T1_U2_Compañia farmaceuticaCoatzozon20
 
GEP_EQA9_L1_U2_David y Goliat Iniciación
GEP_EQA9_L1_U2_David y Goliat IniciaciónGEP_EQA9_L1_U2_David y Goliat Iniciación
GEP_EQA9_L1_U2_David y Goliat IniciaciónCoatzozon20
 

Más de Coatzozon20 (20)

Memoria de Proyecto: Innovación Tecnológica_
Memoria de Proyecto: Innovación Tecnológica_Memoria de Proyecto: Innovación Tecnológica_
Memoria de Proyecto: Innovación Tecnológica_
 
Entregable_Proyecto:Escenarios de aprendizaje con TIC
Entregable_Proyecto:Escenarios de aprendizaje con TICEntregable_Proyecto:Escenarios de aprendizaje con TIC
Entregable_Proyecto:Escenarios de aprendizaje con TIC
 
Caso de estudio: Integración Empresarial Wal-Mart
Caso de estudio: Integración Empresarial Wal-MartCaso de estudio: Integración Empresarial Wal-Mart
Caso de estudio: Integración Empresarial Wal-Mart
 
Cap. 9 Caso de éxito BPM
Cap. 9 Caso de éxito BPMCap. 9 Caso de éxito BPM
Cap. 9 Caso de éxito BPM
 
Caso de éxito BPM_Cap. 9
Caso de éxito BPM_Cap. 9Caso de éxito BPM_Cap. 9
Caso de éxito BPM_Cap. 9
 
CAP9_BPM
CAP9_BPMCAP9_BPM
CAP9_BPM
 
Capitulo 9. Arquitectura de Integración de Procesos
Capitulo 9. Arquitectura de Integración de ProcesosCapitulo 9. Arquitectura de Integración de Procesos
Capitulo 9. Arquitectura de Integración de Procesos
 
Capitulo 8. Metadatos
Capitulo 8. MetadatosCapitulo 8. Metadatos
Capitulo 8. Metadatos
 
Capitulo 8. Integración empresarial Walt-Mart
Capitulo 8. Integración empresarial Walt-MartCapitulo 8. Integración empresarial Walt-Mart
Capitulo 8. Integración empresarial Walt-Mart
 
GEP_EQ9_U3_Matriz Resp
GEP_EQ9_U3_Matriz RespGEP_EQ9_U3_Matriz Resp
GEP_EQ9_U3_Matriz Resp
 
Arquitectura de integración de servicios
Arquitectura de integración de serviciosArquitectura de integración de servicios
Arquitectura de integración de servicios
 
GEP_EQA9_I1_U1_Software para GEP
GEP_EQA9_I1_U1_Software para GEPGEP_EQA9_I1_U1_Software para GEP
GEP_EQA9_I1_U1_Software para GEP
 
GEP_EQA9_P1_U2_SDP
GEP_EQA9_P1_U2_SDPGEP_EQA9_P1_U2_SDP
GEP_EQA9_P1_U2_SDP
 
GEP_EQA9_T1_U2_SDP
GEP_EQA9_T1_U2_SDPGEP_EQA9_T1_U2_SDP
GEP_EQA9_T1_U2_SDP
 
GEP_EQA9_T7_U2_Mejoras transporte
GEP_EQA9_T7_U2_Mejoras transporteGEP_EQA9_T7_U2_Mejoras transporte
GEP_EQA9_T7_U2_Mejoras transporte
 
GEP_EQA9_T6_U2_Compañia farmaceutica
GEP_EQA9_T6_U2_Compañia farmaceuticaGEP_EQA9_T6_U2_Compañia farmaceutica
GEP_EQA9_T6_U2_Compañia farmaceutica
 
GEP_EQA9_T1_U2_SDP Online
GEP_EQA9_T1_U2_SDP OnlineGEP_EQA9_T1_U2_SDP Online
GEP_EQA9_T1_U2_SDP Online
 
GEP_EQA9_T7_U2_Mejoras transporte
GEP_EQA9_T7_U2_Mejoras transporteGEP_EQA9_T7_U2_Mejoras transporte
GEP_EQA9_T7_U2_Mejoras transporte
 
GEP_EQA9_T1_U2_Compañia farmaceutica
GEP_EQA9_T1_U2_Compañia farmaceuticaGEP_EQA9_T1_U2_Compañia farmaceutica
GEP_EQA9_T1_U2_Compañia farmaceutica
 
GEP_EQA9_L1_U2_David y Goliat Iniciación
GEP_EQA9_L1_U2_David y Goliat IniciaciónGEP_EQA9_L1_U2_David y Goliat Iniciación
GEP_EQA9_L1_U2_David y Goliat Iniciación
 

Último

El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.241514949
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx241523733
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativaAdrianaMartnez618894
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersIván López Martín
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA241531640
 
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...JaquelineJuarez15
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaarkananubis
 
Clase N°4 - Purificación y secuenciación de acidos nucleicos Benoit Diringer ...
Clase N°4 - Purificación y secuenciación de acidos nucleicos Benoit Diringer ...Clase N°4 - Purificación y secuenciación de acidos nucleicos Benoit Diringer ...
Clase N°4 - Purificación y secuenciación de acidos nucleicos Benoit Diringer ...Luis Olivera
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxNombre Apellidos
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptMiguelAtencio10
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELmaryfer27m
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxazmysanros90
 

Último (20)

El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativa
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
 
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en mina
 
Clase N°4 - Purificación y secuenciación de acidos nucleicos Benoit Diringer ...
Clase N°4 - Purificación y secuenciación de acidos nucleicos Benoit Diringer ...Clase N°4 - Purificación y secuenciación de acidos nucleicos Benoit Diringer ...
Clase N°4 - Purificación y secuenciación de acidos nucleicos Benoit Diringer ...
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.ppt
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFEL
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptx
 

ATI_EQ5_UN4_RES_CAP12

  • 1. Administración de las tecnologías de información Cap. 12 EQUIPO 5 Página 1 LAS MÉTRICAS DE SEGURIDAD DE LA INFORMACIÓN SGSI propone una metodología de medición de la eficacia de los controles de seguridad SI implantados que varían, como es obvio, de un entidad a otra en atención al análisis de riesgo previo, de los controles elegidos y efectivamente implantados para mitigarlo y su comportamiento esperado. ¿MÉTRICAS DE SEGURIDAD O MÉTRICAS DE GESTIÓN DE LA SEGURIDAD? El propósito del proceso de métrica de gestión de la seguridad es recoger, analizar y comunicar datos relacionados con los procesos de la seguridad de la información que supone un ámbito de actuaciones diferentes al de las infraestructuras, aplicativas y sistemas o procesos que la soportan. Las métricas de gestión de la seguridad de la información tienen por finalidad conocer, evaluar y gestionar la seguridad de los sistemas de información. La planificación, implantación y mejora de las métricas de gestión de la seguridad nos permitirán: Analizar y comprender el estado de seguridad. Controlar la eficiencia y eficacia de los controles. Predecir el tiempo y el costo de un proyecto. Mejorar la gestión de la seguridad de la información. ¿INDICADORES, MÉTRICAS O MEDIDAS DE SEGURIDAD? En CoBIT 4.0 la cuestión terminológica se complica un tanto de tal modo que en algunos de los términos que se refiere como indicadores serian lo que se denominan métricas en el NIST 800-55. CoBIT requiere un conocimiento de los objetivos de negocio por parte de las organizaciones que pretenden implantarlo. En el modelo CoBIT, una vez que se han fijado los objetivos han de establecer, mediante el uso de indicadores en qué medida se están lográndolos mismo. Y así se definen los dos tipos de indicadores: KEY GOAL INDICATOR (KGIS): COBIT considera este indicador como de “lapso” y lo define como la medida de lo que se ha de cumplirse, la distancia entre lo que se ha realizado y el objetivo a cumplir. KEY PERFORMACE INDICATORS: COBIT considera estos indicadores una indicación o una medida de “como de bien” se están comportando los procesos. COBIT relaciona un indicador con el otro, de la siguiente manera:
  • 2. Administración de las tecnologías de información Cap. 12 EQUIPO 5 Página 2 COBIT propone tres tipos de mediciones de los procesos (lo que serían los controles en la familia 27001): Rendimiento (performance): Key Performance Indicators. Resultado: Key GoalIndicators. Madurez: MaturityModels. En norma ISO de la familia 27001, como veremos, se ha suprimido el término métrica, por redundante, y se ha sustituido por el de medida en sus dos acepciones en inglés: Measurement: proceso de obtención de información sobre la eficacia del SGSI, sus objetivos de control y controles, usando un método y función de medida, un modelo analítico y un criterio de decisión. Measure: variable que se asigna un valor como resultado de un proceso de medición. CMM, BALANCE SCORICARD Y MÉTRICAS DE ANÁLISIS DE RIESGOS COBIT, por ejemplo, establecer tres sistemas o modos de monitorizar si los controles implantados son los adecuados y si se comportan según lo esperado:
  • 3. Administración de las tecnologías de información Cap. 12 EQUIPO 5 Página 3 Benclumarkingnde la capacidad de los procesos haciendo uso de los modelos de madurez derivados del “CapabiliryMaturityModel” del software EngineeringInstinate. Definición de objetivos y métricas de los procesos TSI según vimos en el apartado anterior, basados en los “balance businessscorecard” de Norton y Kaplan. ActivityGoals, basados en objetivos de control detallados de COBIT y que permiten mantener un control sobre su eficiencia. Las medidas, por tanto deben integrarse en el ciclo de la gestión de la organización y utilizarse para llevar a cabo l mejora de los procesos y resultados relacionados con la seguridad dentro del seguridad dentro del proyecto u organización. EL PROYECTO DE NORMA ISO 27004 “MEDIDAS DE LA GESTIÓN DE LA SEGURIDAD” La norma ISO 27001 adopta un enfoque de proceso para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar un SGSI de una organización. El “enfoque de proceso” se refiere a la aplicación de un sistema de procesos dentro de una organización, junto con la identificación y la interacción de estos procesos, así como su gestión, adoptando el modelo (PDAC) que se aplica para estructurar todos los procesos del SGSI. VICIÓN GENERAL DE LAS MEDIDAS La medición implica un proceso de obtención de información sobre la eficacia del método SGSI, los objetivos de control individuales y controles que utilizan un método de medición una función de medición y un modelo analítico confrontando la información obtenida a los criterios de decisión.
  • 4. Administración de las tecnologías de información Cap. 12 EQUIPO 5 Página 4 La finalidad del proceso de implantación y desarrollo de medidas de la gestión de seguridad de la información es crear una base en cada organización que permite recoge, analizar y comunicar datos relacionados con procesos SGSI. El propio sistema de medida de la gestión debe utilizarse para la toma de decisiones relacionadas con la seguridad respecto a la mejor del SGSI o los cambios dentro del mismo. Los objetivos del proceso de medida son: Evaluar la eficacia de la implantación de los controles de seguridad. Evaluar la eficacia del sistema de gestión de seguridad de la información incluyendo la mejora continua. Proporcionar un estado de seguridad para distinguir la revisión de la gestión, facilita las mejoras de la seguridad y contribuir a auditorias de seguridad. Comunicar el valor de la seguridad a la organización. Servir como aportación al plan de tratamiento de riesgo y de evaluación de riesgos. Tipos de medidas La norma propone la siguiente categorización: a) Derivada b) Base Dentro de cada una de las categorías, las medidas pueden tener dos variedades: a) Cumplimiento b) Rendimiento Las medidas de cumplimiento ayudan a la identificación de lagunas en la implantación y la gestión y la gestión de la política, controles individuales, objetivos de control y proceso de ISMS en la organización. Las medidas de rendimiento evalúan la eficacia de los controles implementados utilizados para proteger los activos de información de la organización.
  • 5. Administración de las tecnologías de información Cap. 12 EQUIPO 5 Página 5 EL PROCESO DE MEDICIÓN Las organizaciones deben limitar la cantidad de medidas que utilizan dentro del mismo periodo de tiempo con el fin de garantizar su capacidad de adoptar los cambios pertinentes como resultado de la información obtenida. Las medidas deben revisarse para verificar que continúan suministrando información valida ala organización: que las fuentes y otros aspectos relacionados con sus atributos son correctos y que los beneficios frente al esfuerzo dan un saldo positivo. COMO SE DESARROLLA UNA “MEDIDA” El proceso para desarrollar una medida ha de planificarse y documentarse, y comienza con la selección de controles y objetivos de control específico para la medición, continúa con la identificación de objetivos de medición, especificación de medidas y finaliza con el establecimiento de recogida y análisis de datos e informes de procesos y herramientas. La selección de controles específicos incluyen los siguientes pasos. a) Identificar los controles y objetivos de control que fueron seleccionados como resultado del análisis de riesgo, como se describe en la ISO 27001. b) Establecer prioridades entre controles y objetivos de control seleccionados como base en los siguientes criterios: Los requisitos de stakeholders. La política de seguridad se la información de la organización. La información necesaria para satisfacer los requisitos legales, regulatorios y contractuales.
  • 6. Administración de las tecnologías de información Cap. 12 EQUIPO 5 Página 6 Lo religión coste-beneficio del rendimiento de cada control individual u objetivo de control. c) Seleccionar los controles y objetivos de control específicos a incluir en el programa de medición según las prioridades identificadas. Los métodos de medición puede ser subjetivos u objetivos, dependiendo del grado de automatización de la actividad de recogida de datos, tales como: a) Auditorías internas o externas. b) Evaluación de riesgo y análisis de riesgo. c) Cuestionario y preguntas. d) Utilización del riesgo de acontecimientos. e) Producción de registros, informes y pistas de auditoria. f) Informes de incidentes, en particular aquellos tienen como resultado un impacto. g) Muestra de estadísticas. h) Pruebas. Las medidas validas deben de contar con varios indicadores: Estratégica Cuantitativa Razonable Interpretativa Verificable Evolutiva Útil Indivisible Repetible El proceso de medición deberá documentarse: a) Los controles y objetivos de control a ser sometidos a medición. b) Los objetivos de medición. c) Los objetivos de negocio sometidos a medición d) Las medidas individuales a ser recogidas y utilizadas. e) El proceso de análisis y recogida de datos. f) El proceso y formato de informes. g) Las funciones y responsabilidades de los stakeholders La operación de las medidas conlleva la recogida y el análisis de los datos utilizados para generarse e incluye actividades que son esenciales para asegurar que las misma se utilizan para competir el estado de SGSI e identificar las acciones de mejoras adecuadas. Esto incluye:
  • 7. Administración de las tecnologías de información Cap. 12 EQUIPO 5 Página 7 a) Integrar los procedimientos de medidas en la operación global de SGSI b) Recoger, almacenar y verificar datos. ¿COMO GENERAR INDICADORES? Los indicadores de gestión se generan al interpretar las medidas derivadas a la luz de los criterios de decisión o las necesidades de información de la organización. Los formatos de informes han de representar de manera visual las medidas y facilitar una explicación verbal de los indicadores. La mecánica del establecimiento de criterios de decisiones es diferente si se trata de mediciones de cumplimiento o de rendimiento.