SlideShare una empresa de Scribd logo
Administración de las tecnologías de información Cap. 12
EQUIPO 5 Página 1
LAS MÉTRICAS DE SEGURIDAD DE LA INFORMACIÓN
SGSI propone una metodología de medición de la eficacia de los controles de seguridad
SI implantados que varían, como es obvio, de un entidad a otra en atención al análisis de
riesgo previo, de los controles elegidos y efectivamente implantados para mitigarlo y su
comportamiento esperado.
¿MÉTRICAS DE SEGURIDAD O MÉTRICAS DE GESTIÓN DE LA SEGURIDAD?
El propósito del proceso de métrica de gestión de la seguridad es recoger, analizar y
comunicar datos relacionados con los procesos de la seguridad de la información que
supone un ámbito de actuaciones diferentes al de las infraestructuras, aplicativas y
sistemas o procesos que la soportan.
Las métricas de gestión de la seguridad de la información tienen por finalidad conocer,
evaluar y gestionar la seguridad de los sistemas de información.
La planificación, implantación y mejora de las métricas de gestión de la seguridad nos
permitirán:
 Analizar y comprender el estado de seguridad.
 Controlar la eficiencia y eficacia de los controles.
 Predecir el tiempo y el costo de un proyecto.
 Mejorar la gestión de la seguridad de la información.
¿INDICADORES, MÉTRICAS O MEDIDAS DE SEGURIDAD?
En CoBIT 4.0 la cuestión terminológica se complica un tanto de tal modo que en algunos
de los términos que se refiere como indicadores serian lo que se denominan métricas en
el NIST 800-55. CoBIT requiere un conocimiento de los objetivos de negocio por parte de
las organizaciones que pretenden implantarlo.
En el modelo CoBIT, una vez que se han fijado los objetivos han de establecer, mediante
el uso de indicadores en qué medida se están lográndolos mismo. Y así se definen los
dos tipos de indicadores:
 KEY GOAL INDICATOR (KGIS): COBIT considera este indicador como de “lapso”
y lo define como la medida de lo que se ha de cumplirse, la distancia entre lo que
se ha realizado y el objetivo a cumplir.
 KEY PERFORMACE INDICATORS: COBIT considera estos indicadores una
indicación o una medida de “como de bien” se están comportando los procesos.
COBIT relaciona un indicador con el otro, de la siguiente manera:
Administración de las tecnologías de información Cap. 12
EQUIPO 5 Página 2
COBIT propone tres tipos de mediciones de los procesos (lo que serían los controles en
la familia 27001):
 Rendimiento (performance): Key Performance Indicators.
 Resultado: Key Goal Indicators.
 Madurez: Maturity Models.
En norma ISO de la familia 27001, como veremos, se ha suprimido el término métrica, por
redundante, y se ha sustituido por el de medida en sus dos acepciones en inglés:
 Measurement: proceso de obtención de información sobre la eficacia del SGSI,
sus objetivos de control y controles, usando un método y función de medida, un
modelo analítico y un criterio de decisión.
 Measure: variable que se asigna un valor como resultado de un proceso de
medición.
CMM, BALANCE SCORICARD Y MÉTRICAS DE ANÁLISIS DE RIESGOS
COBIT, por ejemplo, establecer tres sistemas o modos de monitorizar si los controles
implantados son los adecuados y si se comportan según lo esperado:
Administración de las tecnologías de información Cap. 12
EQUIPO 5 Página 3
 Benclumarking nde la capacidad de los procesos haciendo uso de los modelos de
madurez derivados del “Capabiliry Maturity Model” del software Engineering
Instinate.
 Definición de objetivos y métricas de los procesos TSI según vimos en el apartado
anterior, basados en los “balance business scorecard” de Norton y Kaplan.
 Activity Goals, basados en objetivos de control detallados de COBIT y que
permiten mantener un control sobre su eficiencia.
Las medidas, por tanto deben integrarse en el ciclo de la gestión de la organización y
utilizarse para llevar a cabo l mejora de los procesos y resultados relacionados con la
seguridad dentro del seguridad dentro del proyecto u organización.
EL PROYECTO DE NORMA ISO 27004 “MEDIDAS DE LA GESTIÓN DE LA
SEGURIDAD”
La norma ISO 27001 adopta un enfoque de proceso para establecer, implantar, poner en
funcionamiento, controlar, revisar, mantener y mejorar un SGSI de una organización.
El “enfoque de proceso” se refiere a la aplicación de un sistema de procesos dentro de
una organización, junto con la identificación y la interacción de estos procesos, así como
su gestión, adoptando el modelo (PDAC) que se aplica para estructurar todos los
procesos del SGSI.
VICIÓN GENERAL DE LAS MEDIDAS
La medición implica un proceso de obtención de información sobre la eficacia del método
SGSI, los objetivos de control individuales y controles que utilizan un método de medición
una función de medición y un modelo analítico confrontando la información obtenida a los
criterios de decisión.
Administración de las tecnologías de información Cap. 12
EQUIPO 5 Página 4
La finalidad del proceso de implantación y desarrollo de medidas de la gestión de
seguridad de la información es crear una base en cada organización que permite recoge,
analizar y comunicar datos relacionados con procesos SGSI. El propio sistema de medida
de la gestión debe utilizarse para la toma de decisiones relacionadas con la seguridad
respecto a la mejor del SGSI o los cambios dentro del mismo.
Los objetivos del proceso de medida son:
 Evaluar la eficacia de la implantación de los controles de seguridad.
 Evaluar la eficacia del sistema de gestión de seguridad de la información
incluyendo la mejora continua.
 Proporcionar un estado de seguridad para distinguir la revisión de la gestión,
facilita las mejoras de la seguridad y contribuir a auditorias de seguridad.
 Comunicar el valor de la seguridad a la organización.
 Servir como aportación al plan de tratamiento de riesgo y de evaluación de
riesgos.
Tipos de medidas
La norma propone la siguiente categorización:
a) Derivada
b) Base
Dentro de cada una de las categorías, las medidas pueden tener dos variedades:
a) Cumplimiento
b) Rendimiento
Las medidas de cumplimiento ayudan a la identificación de lagunas en la implantación y
la gestión y la gestión de la política, controles individuales, objetivos de control y proceso
de ISMS en la organización.
Las medidas de rendimiento evalúan la eficacia de los controles implementados utilizados
para proteger los activos de información de la organización.
Administración de las tecnologías de información Cap. 12
EQUIPO 5 Página 5
EL PROCESO DE MEDICIÓN
Las organizaciones deben limitar la cantidad de medidas que utilizan dentro del mismo
periodo de tiempo con el fin de garantizar su capacidad de adoptar los cambios
pertinentes como resultado de la información obtenida.
Las medidas deben revisarse para verificar que continúan suministrando información
valida a la organización: que las fuentes y otros aspectos relacionados con sus atributos
son correctos y que los beneficios frente al esfuerzo dan un saldo positivo.
COMO SE DESARROLLA UNA “MEDIDA”
El proceso para desarrollar una medida ha de planificarse y documentarse, y comienza
con la selección de controles y objetivos de control específico para la medición, continúa
con la identificación de objetivos de medición, especificación de medidas y finaliza con el
establecimiento de recogida y análisis de datos e informes de procesos y herramientas.
La selección de controles específicos incluyen los siguientes pasos.
a) Identificar los controles y objetivos de control que fueron seleccionados como
resultado del análisis de riesgo, como se describe en la ISO 27001.
b) Establecer prioridades entre controles y objetivos de control seleccionados como
base en los siguientes criterios:
 Los requisitos de stakeholders.
 La política de seguridad se la información de la organización.
 La información necesaria para satisfacer los requisitos legales, regulatorios y
contractuales.
Administración de las tecnologías de información Cap. 12
EQUIPO 5 Página 6
 Lo religión coste-beneficio del rendimiento de cada control individual u objetivo de
control.
c) Seleccionar los controles y objetivos de control específicos a incluir en el programa
de medición según las prioridades identificadas.
Los métodos de medición puede ser subjetivos u objetivos, dependiendo del grado de
automatización de la actividad de recogida de datos, tales como:
a) Auditorías internas o externas.
b) Evaluación de riesgo y análisis de riesgo.
c) Cuestionario y preguntas.
d) Utilización del riesgo de acontecimientos.
e) Producción de registros, informes y pistas de auditoria.
f) Informes de incidentes, en particular aquellos tienen como resultado un impacto.
g) Muestra de estadísticas.
h) Pruebas.
Las medidas validas deben de contar con varios indicadores:
 Estratégica
 Cuantitativa
 Razonable
 Interpretativa
 Verificable
 Evolutiva
 Útil
 Indivisible
 Repetible
El proceso de medición deberá documentarse:
a) Los controles y objetivos de control a ser sometidos a medición.
b) Los objetivos de medición.
c) Los objetivos de negocio sometidos a medición
d) Las medidas individuales a ser recogidas y utilizadas.
e) El proceso de análisis y recogida de datos.
f) El proceso y formato de informes.
g) Las funciones y responsabilidades de los stakeholders
La operación de las medidas conlleva la recogida y el análisis de los datos utilizados para
generarse e incluye actividades que son esenciales para asegurar que las misma se
utilizan para competir el estado de SGSI e identificar las acciones de mejoras adecuadas.
Esto incluye:
Administración de las tecnologías de información Cap. 12
EQUIPO 5 Página 7
a) Integrar los procedimientos de medidas en la operación global de SGSI
b) Recoger, almacenar y verificar datos.
¿COMO GENERAR INDICADORES?
Los indicadores de gestión se generan al interpretar las medidas derivadas a la luz de los
criterios de decisión o las necesidades de información de la organización.
Los formatos de informes han de representar de manera visual las medidas y facilitar una
explicación verbal de los indicadores. La mecánica del establecimiento de criterios de
decisiones es diferente si se trata de mediciones de cumplimiento o de rendimiento.

Más contenido relacionado

La actualidad más candente

Presentación Administración y Política
Presentación Administración y PolíticaPresentación Administración y Política
Presentación Administración y Política
Gengali
 
Politicas
PoliticasPoliticas
Politicas
Jannina Lamber
 
SGSI 27001
SGSI 27001SGSI 27001
SGSI
SGSISGSI
Presentación politicas juan jose mejia
Presentación politicas juan jose mejiaPresentación politicas juan jose mejia
Presentación politicas juan jose mejia
jjm5212
 
ISO 27001
ISO 27001ISO 27001
Trabajo Auditoria
Trabajo AuditoriaTrabajo Auditoria
Trabajo Auditoria
Christopher Ticeran Lopez
 
Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)
Jhonny Javier Cantarero
 
.Auditoria de sistemas
.Auditoria de sistemas.Auditoria de sistemas
.Auditoria de sistemas
franyelis23
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000
Carlos Pineda Pinto
 
Unidad 2 temas1y2 v3
Unidad 2 temas1y2 v3Unidad 2 temas1y2 v3
Unidad 2 temas1y2 v3
Carlos Andres Perez Cabrales
 
Indicadores de eficiencia para mantenimiento
Indicadores de eficiencia para mantenimientoIndicadores de eficiencia para mantenimiento
Indicadores de eficiencia para mantenimiento
Diego Nicolalde
 
Indicadores de gestión icontec
Indicadores de gestión icontecIndicadores de gestión icontec
Indicadores de gestión icontec
El Es
 
Iso 27001 E Iso 27004
Iso 27001 E Iso 27004Iso 27001 E Iso 27004
Iso 27001 E Iso 27004
dcordova923
 
Ejemplo de auditoria
Ejemplo de auditoriaEjemplo de auditoria
Ejemplo de auditoria
Mayerly Urrego Guerrero
 
Tisax - Ingertec
Tisax - IngertecTisax - Ingertec
Tisax - Ingertec
Grupo Ingertec
 
Modelo plan auditoria
Modelo plan auditoriaModelo plan auditoria
Modelo plan auditoria
Paola Prada
 

La actualidad más candente (17)

Presentación Administración y Política
Presentación Administración y PolíticaPresentación Administración y Política
Presentación Administración y Política
 
Politicas
PoliticasPoliticas
Politicas
 
SGSI 27001
SGSI 27001SGSI 27001
SGSI 27001
 
SGSI
SGSISGSI
SGSI
 
Presentación politicas juan jose mejia
Presentación politicas juan jose mejiaPresentación politicas juan jose mejia
Presentación politicas juan jose mejia
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Trabajo Auditoria
Trabajo AuditoriaTrabajo Auditoria
Trabajo Auditoria
 
Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)
 
.Auditoria de sistemas
.Auditoria de sistemas.Auditoria de sistemas
.Auditoria de sistemas
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000
 
Unidad 2 temas1y2 v3
Unidad 2 temas1y2 v3Unidad 2 temas1y2 v3
Unidad 2 temas1y2 v3
 
Indicadores de eficiencia para mantenimiento
Indicadores de eficiencia para mantenimientoIndicadores de eficiencia para mantenimiento
Indicadores de eficiencia para mantenimiento
 
Indicadores de gestión icontec
Indicadores de gestión icontecIndicadores de gestión icontec
Indicadores de gestión icontec
 
Iso 27001 E Iso 27004
Iso 27001 E Iso 27004Iso 27001 E Iso 27004
Iso 27001 E Iso 27004
 
Ejemplo de auditoria
Ejemplo de auditoriaEjemplo de auditoria
Ejemplo de auditoria
 
Tisax - Ingertec
Tisax - IngertecTisax - Ingertec
Tisax - Ingertec
 
Modelo plan auditoria
Modelo plan auditoriaModelo plan auditoria
Modelo plan auditoria
 

Similar a ATI_EQ5_UN4_RES_CAP12

Resumen capitulo 12
Resumen capitulo 12Resumen capitulo 12
Resumen capitulo 12
danferwan
 
Gabriel auditoria
Gabriel auditoriaGabriel auditoria
Gabriel auditoria
GABRIELCARRASQUEL1
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Internet Security Auditors
 
Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)
Jhonny Javier Cantarero
 
Introducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadIntroducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridad
Jhonny Javier Cantarero
 
Auditoria inf.
Auditoria inf.Auditoria inf.
Auditoria inf.
Fer22P
 
Auditoria de certificacion
Auditoria de certificacionAuditoria de certificacion
Auditoria de certificacion
Alexander Cruz
 
Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióN
martin
 
Trabajo de sistemas calidad
Trabajo de sistemas calidadTrabajo de sistemas calidad
Trabajo de sistemas calidad
Omar Hernandez
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacion
Darwin Calix
 
Indicadores de gestión y cuadro de mando integral para el SG-SST
Indicadores de gestión y cuadro de mando integral para el SG-SSTIndicadores de gestión y cuadro de mando integral para el SG-SST
Indicadores de gestión y cuadro de mando integral para el SG-SST
Holding Consultants de Colombia
 
indicadores de gestion y cuadro de mando integral.pptx
indicadores de gestion y cuadro de mando integral.pptxindicadores de gestion y cuadro de mando integral.pptx
indicadores de gestion y cuadro de mando integral.pptx
FedericoAguilar25
 
Objetivos_e_Indicadores_de_gestion_SG-SST_680_2016_08_01_14_54_01.pdf
Objetivos_e_Indicadores_de_gestion_SG-SST_680_2016_08_01_14_54_01.pdfObjetivos_e_Indicadores_de_gestion_SG-SST_680_2016_08_01_14_54_01.pdf
Objetivos_e_Indicadores_de_gestion_SG-SST_680_2016_08_01_14_54_01.pdf
danielroldn17
 
Presentación Norma UNE-ISO/IEC 27001
Presentación Norma UNE-ISO/IEC 27001Presentación Norma UNE-ISO/IEC 27001
Presentación Norma UNE-ISO/IEC 27001
Orlin Jose Reyes
 
Resumenes Cap. Gobierno De Las Tsi
Resumenes Cap. Gobierno De Las TsiResumenes Cap. Gobierno De Las Tsi
Resumenes Cap. Gobierno De Las Tsi
santosperez
 
Presentación inspecciones de seguridad (1)
Presentación inspecciones de seguridad (1)Presentación inspecciones de seguridad (1)
Presentación inspecciones de seguridad (1)
WilliamalbertoArroya
 
UNE-ISO/IEC 27001
UNE-ISO/IEC 27001UNE-ISO/IEC 27001
UNE-ISO/IEC 27001
Zenia Castro
 
Indicadores de gestion
Indicadores de gestionIndicadores de gestion
Indicadores de gestion
Mailyn Vergara
 
Conferencia MECI
Conferencia MECIConferencia MECI
Conferencia MECI
Global Iso
 
iso_27001.pptx
iso_27001.pptxiso_27001.pptx
iso_27001.pptx
AreaTIC1
 

Similar a ATI_EQ5_UN4_RES_CAP12 (20)

Resumen capitulo 12
Resumen capitulo 12Resumen capitulo 12
Resumen capitulo 12
 
Gabriel auditoria
Gabriel auditoriaGabriel auditoria
Gabriel auditoria
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
 
Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)
 
Introducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadIntroducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridad
 
Auditoria inf.
Auditoria inf.Auditoria inf.
Auditoria inf.
 
Auditoria de certificacion
Auditoria de certificacionAuditoria de certificacion
Auditoria de certificacion
 
Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióN
 
Trabajo de sistemas calidad
Trabajo de sistemas calidadTrabajo de sistemas calidad
Trabajo de sistemas calidad
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacion
 
Indicadores de gestión y cuadro de mando integral para el SG-SST
Indicadores de gestión y cuadro de mando integral para el SG-SSTIndicadores de gestión y cuadro de mando integral para el SG-SST
Indicadores de gestión y cuadro de mando integral para el SG-SST
 
indicadores de gestion y cuadro de mando integral.pptx
indicadores de gestion y cuadro de mando integral.pptxindicadores de gestion y cuadro de mando integral.pptx
indicadores de gestion y cuadro de mando integral.pptx
 
Objetivos_e_Indicadores_de_gestion_SG-SST_680_2016_08_01_14_54_01.pdf
Objetivos_e_Indicadores_de_gestion_SG-SST_680_2016_08_01_14_54_01.pdfObjetivos_e_Indicadores_de_gestion_SG-SST_680_2016_08_01_14_54_01.pdf
Objetivos_e_Indicadores_de_gestion_SG-SST_680_2016_08_01_14_54_01.pdf
 
Presentación Norma UNE-ISO/IEC 27001
Presentación Norma UNE-ISO/IEC 27001Presentación Norma UNE-ISO/IEC 27001
Presentación Norma UNE-ISO/IEC 27001
 
Resumenes Cap. Gobierno De Las Tsi
Resumenes Cap. Gobierno De Las TsiResumenes Cap. Gobierno De Las Tsi
Resumenes Cap. Gobierno De Las Tsi
 
Presentación inspecciones de seguridad (1)
Presentación inspecciones de seguridad (1)Presentación inspecciones de seguridad (1)
Presentación inspecciones de seguridad (1)
 
UNE-ISO/IEC 27001
UNE-ISO/IEC 27001UNE-ISO/IEC 27001
UNE-ISO/IEC 27001
 
Indicadores de gestion
Indicadores de gestionIndicadores de gestion
Indicadores de gestion
 
Conferencia MECI
Conferencia MECIConferencia MECI
Conferencia MECI
 
iso_27001.pptx
iso_27001.pptxiso_27001.pptx
iso_27001.pptx
 

Más de Coatzozon20

Memoria de Proyecto: Innovación Tecnológica_
Memoria de Proyecto: Innovación Tecnológica_Memoria de Proyecto: Innovación Tecnológica_
Memoria de Proyecto: Innovación Tecnológica_
Coatzozon20
 
Entregable_Proyecto:Escenarios de aprendizaje con TIC
Entregable_Proyecto:Escenarios de aprendizaje con TICEntregable_Proyecto:Escenarios de aprendizaje con TIC
Entregable_Proyecto:Escenarios de aprendizaje con TIC
Coatzozon20
 
Caso de estudio: Integración Empresarial Wal-Mart
Caso de estudio: Integración Empresarial Wal-MartCaso de estudio: Integración Empresarial Wal-Mart
Caso de estudio: Integración Empresarial Wal-Mart
Coatzozon20
 
Cap. 9 Caso de éxito BPM
Cap. 9 Caso de éxito BPMCap. 9 Caso de éxito BPM
Cap. 9 Caso de éxito BPM
Coatzozon20
 
Caso de éxito BPM_Cap. 9
Caso de éxito BPM_Cap. 9Caso de éxito BPM_Cap. 9
Caso de éxito BPM_Cap. 9
Coatzozon20
 
CAP9_BPM
CAP9_BPMCAP9_BPM
CAP9_BPM
Coatzozon20
 
Capitulo 9. Arquitectura de Integración de Procesos
Capitulo 9. Arquitectura de Integración de ProcesosCapitulo 9. Arquitectura de Integración de Procesos
Capitulo 9. Arquitectura de Integración de Procesos
Coatzozon20
 
Capitulo 8. Metadatos
Capitulo 8. MetadatosCapitulo 8. Metadatos
Capitulo 8. Metadatos
Coatzozon20
 
Capitulo 8. Integración empresarial Walt-Mart
Capitulo 8. Integración empresarial Walt-MartCapitulo 8. Integración empresarial Walt-Mart
Capitulo 8. Integración empresarial Walt-Mart
Coatzozon20
 
GEP_EQ9_U3_Matriz Resp
GEP_EQ9_U3_Matriz RespGEP_EQ9_U3_Matriz Resp
GEP_EQ9_U3_Matriz Resp
Coatzozon20
 
Arquitectura de integración de servicios
Arquitectura de integración de serviciosArquitectura de integración de servicios
Arquitectura de integración de servicios
Coatzozon20
 
GEP_EQA9_I1_U1_Software para GEP
GEP_EQA9_I1_U1_Software para GEPGEP_EQA9_I1_U1_Software para GEP
GEP_EQA9_I1_U1_Software para GEP
Coatzozon20
 
GEP_EQA9_P1_U2_SDP
GEP_EQA9_P1_U2_SDPGEP_EQA9_P1_U2_SDP
GEP_EQA9_P1_U2_SDP
Coatzozon20
 
GEP_EQA9_T1_U2_SDP
GEP_EQA9_T1_U2_SDPGEP_EQA9_T1_U2_SDP
GEP_EQA9_T1_U2_SDP
Coatzozon20
 
GEP_EQA9_T7_U2_Mejoras transporte
GEP_EQA9_T7_U2_Mejoras transporteGEP_EQA9_T7_U2_Mejoras transporte
GEP_EQA9_T7_U2_Mejoras transporte
Coatzozon20
 
GEP_EQA9_T6_U2_Compañia farmaceutica
GEP_EQA9_T6_U2_Compañia farmaceuticaGEP_EQA9_T6_U2_Compañia farmaceutica
GEP_EQA9_T6_U2_Compañia farmaceutica
Coatzozon20
 
GEP_EQA9_T1_U2_SDP Online
GEP_EQA9_T1_U2_SDP OnlineGEP_EQA9_T1_U2_SDP Online
GEP_EQA9_T1_U2_SDP Online
Coatzozon20
 
GEP_EQA9_T7_U2_Mejoras transporte
GEP_EQA9_T7_U2_Mejoras transporteGEP_EQA9_T7_U2_Mejoras transporte
GEP_EQA9_T7_U2_Mejoras transporte
Coatzozon20
 
GEP_EQA9_T1_U2_Compañia farmaceutica
GEP_EQA9_T1_U2_Compañia farmaceuticaGEP_EQA9_T1_U2_Compañia farmaceutica
GEP_EQA9_T1_U2_Compañia farmaceutica
Coatzozon20
 
GEP_EQA9_L1_U2_David y Goliat Iniciación
GEP_EQA9_L1_U2_David y Goliat IniciaciónGEP_EQA9_L1_U2_David y Goliat Iniciación
GEP_EQA9_L1_U2_David y Goliat Iniciación
Coatzozon20
 

Más de Coatzozon20 (20)

Memoria de Proyecto: Innovación Tecnológica_
Memoria de Proyecto: Innovación Tecnológica_Memoria de Proyecto: Innovación Tecnológica_
Memoria de Proyecto: Innovación Tecnológica_
 
Entregable_Proyecto:Escenarios de aprendizaje con TIC
Entregable_Proyecto:Escenarios de aprendizaje con TICEntregable_Proyecto:Escenarios de aprendizaje con TIC
Entregable_Proyecto:Escenarios de aprendizaje con TIC
 
Caso de estudio: Integración Empresarial Wal-Mart
Caso de estudio: Integración Empresarial Wal-MartCaso de estudio: Integración Empresarial Wal-Mart
Caso de estudio: Integración Empresarial Wal-Mart
 
Cap. 9 Caso de éxito BPM
Cap. 9 Caso de éxito BPMCap. 9 Caso de éxito BPM
Cap. 9 Caso de éxito BPM
 
Caso de éxito BPM_Cap. 9
Caso de éxito BPM_Cap. 9Caso de éxito BPM_Cap. 9
Caso de éxito BPM_Cap. 9
 
CAP9_BPM
CAP9_BPMCAP9_BPM
CAP9_BPM
 
Capitulo 9. Arquitectura de Integración de Procesos
Capitulo 9. Arquitectura de Integración de ProcesosCapitulo 9. Arquitectura de Integración de Procesos
Capitulo 9. Arquitectura de Integración de Procesos
 
Capitulo 8. Metadatos
Capitulo 8. MetadatosCapitulo 8. Metadatos
Capitulo 8. Metadatos
 
Capitulo 8. Integración empresarial Walt-Mart
Capitulo 8. Integración empresarial Walt-MartCapitulo 8. Integración empresarial Walt-Mart
Capitulo 8. Integración empresarial Walt-Mart
 
GEP_EQ9_U3_Matriz Resp
GEP_EQ9_U3_Matriz RespGEP_EQ9_U3_Matriz Resp
GEP_EQ9_U3_Matriz Resp
 
Arquitectura de integración de servicios
Arquitectura de integración de serviciosArquitectura de integración de servicios
Arquitectura de integración de servicios
 
GEP_EQA9_I1_U1_Software para GEP
GEP_EQA9_I1_U1_Software para GEPGEP_EQA9_I1_U1_Software para GEP
GEP_EQA9_I1_U1_Software para GEP
 
GEP_EQA9_P1_U2_SDP
GEP_EQA9_P1_U2_SDPGEP_EQA9_P1_U2_SDP
GEP_EQA9_P1_U2_SDP
 
GEP_EQA9_T1_U2_SDP
GEP_EQA9_T1_U2_SDPGEP_EQA9_T1_U2_SDP
GEP_EQA9_T1_U2_SDP
 
GEP_EQA9_T7_U2_Mejoras transporte
GEP_EQA9_T7_U2_Mejoras transporteGEP_EQA9_T7_U2_Mejoras transporte
GEP_EQA9_T7_U2_Mejoras transporte
 
GEP_EQA9_T6_U2_Compañia farmaceutica
GEP_EQA9_T6_U2_Compañia farmaceuticaGEP_EQA9_T6_U2_Compañia farmaceutica
GEP_EQA9_T6_U2_Compañia farmaceutica
 
GEP_EQA9_T1_U2_SDP Online
GEP_EQA9_T1_U2_SDP OnlineGEP_EQA9_T1_U2_SDP Online
GEP_EQA9_T1_U2_SDP Online
 
GEP_EQA9_T7_U2_Mejoras transporte
GEP_EQA9_T7_U2_Mejoras transporteGEP_EQA9_T7_U2_Mejoras transporte
GEP_EQA9_T7_U2_Mejoras transporte
 
GEP_EQA9_T1_U2_Compañia farmaceutica
GEP_EQA9_T1_U2_Compañia farmaceuticaGEP_EQA9_T1_U2_Compañia farmaceutica
GEP_EQA9_T1_U2_Compañia farmaceutica
 
GEP_EQA9_L1_U2_David y Goliat Iniciación
GEP_EQA9_L1_U2_David y Goliat IniciaciónGEP_EQA9_L1_U2_David y Goliat Iniciación
GEP_EQA9_L1_U2_David y Goliat Iniciación
 

Último

Índice de Precios al Consumidor del mes de junio de 2024
Índice de Precios al Consumidor del mes de junio de 2024Índice de Precios al Consumidor del mes de junio de 2024
Índice de Precios al Consumidor del mes de junio de 2024
LorenaGonnet
 
Explicación del Análisis de Vulnerabilidad mediante una Matriz de Vulnerabilidad
Explicación del Análisis de Vulnerabilidad mediante una Matriz de VulnerabilidadExplicación del Análisis de Vulnerabilidad mediante una Matriz de Vulnerabilidad
Explicación del Análisis de Vulnerabilidad mediante una Matriz de Vulnerabilidad
JonathanCovena1
 
Paz Vargas Delcy Mareth-Foro 2 Empowerment.pptx
Paz Vargas Delcy Mareth-Foro 2 Empowerment.pptxPaz Vargas Delcy Mareth-Foro 2 Empowerment.pptx
Paz Vargas Delcy Mareth-Foro 2 Empowerment.pptx
DelcyPaz
 
ACTIVIDAD 2 SEGUNDO CORTEEEEEEEEEEEEEEEEEEEEEE.docx
ACTIVIDAD 2 SEGUNDO CORTEEEEEEEEEEEEEEEEEEEEEE.docxACTIVIDAD 2 SEGUNDO CORTEEEEEEEEEEEEEEEEEEEEEE.docx
ACTIVIDAD 2 SEGUNDO CORTEEEEEEEEEEEEEEEEEEEEEE.docx
dgfcestudianteab
 
EXPOSICION SOBRE EL PLAN DE DESARROLLO REGIONAL CONCERTADO- PDRC FASE I - 04 ...
EXPOSICION SOBRE EL PLAN DE DESARROLLO REGIONAL CONCERTADO- PDRC FASE I - 04 ...EXPOSICION SOBRE EL PLAN DE DESARROLLO REGIONAL CONCERTADO- PDRC FASE I - 04 ...
EXPOSICION SOBRE EL PLAN DE DESARROLLO REGIONAL CONCERTADO- PDRC FASE I - 04 ...
JuanAnastacio1
 
sector minero de piura en la actualidad.pptx
sector minero de piura en la actualidad.pptxsector minero de piura en la actualidad.pptx
sector minero de piura en la actualidad.pptx
AdrianCeferino1
 
nálisis del ejercicio Agropecuario 2023/24
nálisis del ejercicio Agropecuario 2023/24nálisis del ejercicio Agropecuario 2023/24
nálisis del ejercicio Agropecuario 2023/24
EXANTE
 
Presentacion_Encuentro_mensual_SAE_Julio_2024 (1).pdf
Presentacion_Encuentro_mensual_SAE_Julio_2024 (1).pdfPresentacion_Encuentro_mensual_SAE_Julio_2024 (1).pdf
Presentacion_Encuentro_mensual_SAE_Julio_2024 (1).pdf
ernestho211
 
LIBERALES Y FASCISTAS: DOS COLECTIVOS INDEPENDIENTES.
LIBERALES Y FASCISTAS: DOS COLECTIVOS INDEPENDIENTES.LIBERALES Y FASCISTAS: DOS COLECTIVOS INDEPENDIENTES.
LIBERALES Y FASCISTAS: DOS COLECTIVOS INDEPENDIENTES.
ManfredNolte
 
De la CAE a la CAE (Coordinación de Actividades Empresariales)
De la CAE a la CAE (Coordinación de Actividades Empresariales)De la CAE a la CAE (Coordinación de Actividades Empresariales)
De la CAE a la CAE (Coordinación de Actividades Empresariales)
Prevencionar
 
Clase 3-presupuestos-maestro y casos practicos
Clase 3-presupuestos-maestro y casos practicosClase 3-presupuestos-maestro y casos practicos
Clase 3-presupuestos-maestro y casos practicos
emerson vargas panduro
 

Último (11)

Índice de Precios al Consumidor del mes de junio de 2024
Índice de Precios al Consumidor del mes de junio de 2024Índice de Precios al Consumidor del mes de junio de 2024
Índice de Precios al Consumidor del mes de junio de 2024
 
Explicación del Análisis de Vulnerabilidad mediante una Matriz de Vulnerabilidad
Explicación del Análisis de Vulnerabilidad mediante una Matriz de VulnerabilidadExplicación del Análisis de Vulnerabilidad mediante una Matriz de Vulnerabilidad
Explicación del Análisis de Vulnerabilidad mediante una Matriz de Vulnerabilidad
 
Paz Vargas Delcy Mareth-Foro 2 Empowerment.pptx
Paz Vargas Delcy Mareth-Foro 2 Empowerment.pptxPaz Vargas Delcy Mareth-Foro 2 Empowerment.pptx
Paz Vargas Delcy Mareth-Foro 2 Empowerment.pptx
 
ACTIVIDAD 2 SEGUNDO CORTEEEEEEEEEEEEEEEEEEEEEE.docx
ACTIVIDAD 2 SEGUNDO CORTEEEEEEEEEEEEEEEEEEEEEE.docxACTIVIDAD 2 SEGUNDO CORTEEEEEEEEEEEEEEEEEEEEEE.docx
ACTIVIDAD 2 SEGUNDO CORTEEEEEEEEEEEEEEEEEEEEEE.docx
 
EXPOSICION SOBRE EL PLAN DE DESARROLLO REGIONAL CONCERTADO- PDRC FASE I - 04 ...
EXPOSICION SOBRE EL PLAN DE DESARROLLO REGIONAL CONCERTADO- PDRC FASE I - 04 ...EXPOSICION SOBRE EL PLAN DE DESARROLLO REGIONAL CONCERTADO- PDRC FASE I - 04 ...
EXPOSICION SOBRE EL PLAN DE DESARROLLO REGIONAL CONCERTADO- PDRC FASE I - 04 ...
 
sector minero de piura en la actualidad.pptx
sector minero de piura en la actualidad.pptxsector minero de piura en la actualidad.pptx
sector minero de piura en la actualidad.pptx
 
nálisis del ejercicio Agropecuario 2023/24
nálisis del ejercicio Agropecuario 2023/24nálisis del ejercicio Agropecuario 2023/24
nálisis del ejercicio Agropecuario 2023/24
 
Presentacion_Encuentro_mensual_SAE_Julio_2024 (1).pdf
Presentacion_Encuentro_mensual_SAE_Julio_2024 (1).pdfPresentacion_Encuentro_mensual_SAE_Julio_2024 (1).pdf
Presentacion_Encuentro_mensual_SAE_Julio_2024 (1).pdf
 
LIBERALES Y FASCISTAS: DOS COLECTIVOS INDEPENDIENTES.
LIBERALES Y FASCISTAS: DOS COLECTIVOS INDEPENDIENTES.LIBERALES Y FASCISTAS: DOS COLECTIVOS INDEPENDIENTES.
LIBERALES Y FASCISTAS: DOS COLECTIVOS INDEPENDIENTES.
 
De la CAE a la CAE (Coordinación de Actividades Empresariales)
De la CAE a la CAE (Coordinación de Actividades Empresariales)De la CAE a la CAE (Coordinación de Actividades Empresariales)
De la CAE a la CAE (Coordinación de Actividades Empresariales)
 
Clase 3-presupuestos-maestro y casos practicos
Clase 3-presupuestos-maestro y casos practicosClase 3-presupuestos-maestro y casos practicos
Clase 3-presupuestos-maestro y casos practicos
 

ATI_EQ5_UN4_RES_CAP12

  • 1. Administración de las tecnologías de información Cap. 12 EQUIPO 5 Página 1 LAS MÉTRICAS DE SEGURIDAD DE LA INFORMACIÓN SGSI propone una metodología de medición de la eficacia de los controles de seguridad SI implantados que varían, como es obvio, de un entidad a otra en atención al análisis de riesgo previo, de los controles elegidos y efectivamente implantados para mitigarlo y su comportamiento esperado. ¿MÉTRICAS DE SEGURIDAD O MÉTRICAS DE GESTIÓN DE LA SEGURIDAD? El propósito del proceso de métrica de gestión de la seguridad es recoger, analizar y comunicar datos relacionados con los procesos de la seguridad de la información que supone un ámbito de actuaciones diferentes al de las infraestructuras, aplicativas y sistemas o procesos que la soportan. Las métricas de gestión de la seguridad de la información tienen por finalidad conocer, evaluar y gestionar la seguridad de los sistemas de información. La planificación, implantación y mejora de las métricas de gestión de la seguridad nos permitirán:  Analizar y comprender el estado de seguridad.  Controlar la eficiencia y eficacia de los controles.  Predecir el tiempo y el costo de un proyecto.  Mejorar la gestión de la seguridad de la información. ¿INDICADORES, MÉTRICAS O MEDIDAS DE SEGURIDAD? En CoBIT 4.0 la cuestión terminológica se complica un tanto de tal modo que en algunos de los términos que se refiere como indicadores serian lo que se denominan métricas en el NIST 800-55. CoBIT requiere un conocimiento de los objetivos de negocio por parte de las organizaciones que pretenden implantarlo. En el modelo CoBIT, una vez que se han fijado los objetivos han de establecer, mediante el uso de indicadores en qué medida se están lográndolos mismo. Y así se definen los dos tipos de indicadores:  KEY GOAL INDICATOR (KGIS): COBIT considera este indicador como de “lapso” y lo define como la medida de lo que se ha de cumplirse, la distancia entre lo que se ha realizado y el objetivo a cumplir.  KEY PERFORMACE INDICATORS: COBIT considera estos indicadores una indicación o una medida de “como de bien” se están comportando los procesos. COBIT relaciona un indicador con el otro, de la siguiente manera:
  • 2. Administración de las tecnologías de información Cap. 12 EQUIPO 5 Página 2 COBIT propone tres tipos de mediciones de los procesos (lo que serían los controles en la familia 27001):  Rendimiento (performance): Key Performance Indicators.  Resultado: Key Goal Indicators.  Madurez: Maturity Models. En norma ISO de la familia 27001, como veremos, se ha suprimido el término métrica, por redundante, y se ha sustituido por el de medida en sus dos acepciones en inglés:  Measurement: proceso de obtención de información sobre la eficacia del SGSI, sus objetivos de control y controles, usando un método y función de medida, un modelo analítico y un criterio de decisión.  Measure: variable que se asigna un valor como resultado de un proceso de medición. CMM, BALANCE SCORICARD Y MÉTRICAS DE ANÁLISIS DE RIESGOS COBIT, por ejemplo, establecer tres sistemas o modos de monitorizar si los controles implantados son los adecuados y si se comportan según lo esperado:
  • 3. Administración de las tecnologías de información Cap. 12 EQUIPO 5 Página 3  Benclumarking nde la capacidad de los procesos haciendo uso de los modelos de madurez derivados del “Capabiliry Maturity Model” del software Engineering Instinate.  Definición de objetivos y métricas de los procesos TSI según vimos en el apartado anterior, basados en los “balance business scorecard” de Norton y Kaplan.  Activity Goals, basados en objetivos de control detallados de COBIT y que permiten mantener un control sobre su eficiencia. Las medidas, por tanto deben integrarse en el ciclo de la gestión de la organización y utilizarse para llevar a cabo l mejora de los procesos y resultados relacionados con la seguridad dentro del seguridad dentro del proyecto u organización. EL PROYECTO DE NORMA ISO 27004 “MEDIDAS DE LA GESTIÓN DE LA SEGURIDAD” La norma ISO 27001 adopta un enfoque de proceso para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar un SGSI de una organización. El “enfoque de proceso” se refiere a la aplicación de un sistema de procesos dentro de una organización, junto con la identificación y la interacción de estos procesos, así como su gestión, adoptando el modelo (PDAC) que se aplica para estructurar todos los procesos del SGSI. VICIÓN GENERAL DE LAS MEDIDAS La medición implica un proceso de obtención de información sobre la eficacia del método SGSI, los objetivos de control individuales y controles que utilizan un método de medición una función de medición y un modelo analítico confrontando la información obtenida a los criterios de decisión.
  • 4. Administración de las tecnologías de información Cap. 12 EQUIPO 5 Página 4 La finalidad del proceso de implantación y desarrollo de medidas de la gestión de seguridad de la información es crear una base en cada organización que permite recoge, analizar y comunicar datos relacionados con procesos SGSI. El propio sistema de medida de la gestión debe utilizarse para la toma de decisiones relacionadas con la seguridad respecto a la mejor del SGSI o los cambios dentro del mismo. Los objetivos del proceso de medida son:  Evaluar la eficacia de la implantación de los controles de seguridad.  Evaluar la eficacia del sistema de gestión de seguridad de la información incluyendo la mejora continua.  Proporcionar un estado de seguridad para distinguir la revisión de la gestión, facilita las mejoras de la seguridad y contribuir a auditorias de seguridad.  Comunicar el valor de la seguridad a la organización.  Servir como aportación al plan de tratamiento de riesgo y de evaluación de riesgos. Tipos de medidas La norma propone la siguiente categorización: a) Derivada b) Base Dentro de cada una de las categorías, las medidas pueden tener dos variedades: a) Cumplimiento b) Rendimiento Las medidas de cumplimiento ayudan a la identificación de lagunas en la implantación y la gestión y la gestión de la política, controles individuales, objetivos de control y proceso de ISMS en la organización. Las medidas de rendimiento evalúan la eficacia de los controles implementados utilizados para proteger los activos de información de la organización.
  • 5. Administración de las tecnologías de información Cap. 12 EQUIPO 5 Página 5 EL PROCESO DE MEDICIÓN Las organizaciones deben limitar la cantidad de medidas que utilizan dentro del mismo periodo de tiempo con el fin de garantizar su capacidad de adoptar los cambios pertinentes como resultado de la información obtenida. Las medidas deben revisarse para verificar que continúan suministrando información valida a la organización: que las fuentes y otros aspectos relacionados con sus atributos son correctos y que los beneficios frente al esfuerzo dan un saldo positivo. COMO SE DESARROLLA UNA “MEDIDA” El proceso para desarrollar una medida ha de planificarse y documentarse, y comienza con la selección de controles y objetivos de control específico para la medición, continúa con la identificación de objetivos de medición, especificación de medidas y finaliza con el establecimiento de recogida y análisis de datos e informes de procesos y herramientas. La selección de controles específicos incluyen los siguientes pasos. a) Identificar los controles y objetivos de control que fueron seleccionados como resultado del análisis de riesgo, como se describe en la ISO 27001. b) Establecer prioridades entre controles y objetivos de control seleccionados como base en los siguientes criterios:  Los requisitos de stakeholders.  La política de seguridad se la información de la organización.  La información necesaria para satisfacer los requisitos legales, regulatorios y contractuales.
  • 6. Administración de las tecnologías de información Cap. 12 EQUIPO 5 Página 6  Lo religión coste-beneficio del rendimiento de cada control individual u objetivo de control. c) Seleccionar los controles y objetivos de control específicos a incluir en el programa de medición según las prioridades identificadas. Los métodos de medición puede ser subjetivos u objetivos, dependiendo del grado de automatización de la actividad de recogida de datos, tales como: a) Auditorías internas o externas. b) Evaluación de riesgo y análisis de riesgo. c) Cuestionario y preguntas. d) Utilización del riesgo de acontecimientos. e) Producción de registros, informes y pistas de auditoria. f) Informes de incidentes, en particular aquellos tienen como resultado un impacto. g) Muestra de estadísticas. h) Pruebas. Las medidas validas deben de contar con varios indicadores:  Estratégica  Cuantitativa  Razonable  Interpretativa  Verificable  Evolutiva  Útil  Indivisible  Repetible El proceso de medición deberá documentarse: a) Los controles y objetivos de control a ser sometidos a medición. b) Los objetivos de medición. c) Los objetivos de negocio sometidos a medición d) Las medidas individuales a ser recogidas y utilizadas. e) El proceso de análisis y recogida de datos. f) El proceso y formato de informes. g) Las funciones y responsabilidades de los stakeholders La operación de las medidas conlleva la recogida y el análisis de los datos utilizados para generarse e incluye actividades que son esenciales para asegurar que las misma se utilizan para competir el estado de SGSI e identificar las acciones de mejoras adecuadas. Esto incluye:
  • 7. Administración de las tecnologías de información Cap. 12 EQUIPO 5 Página 7 a) Integrar los procedimientos de medidas en la operación global de SGSI b) Recoger, almacenar y verificar datos. ¿COMO GENERAR INDICADORES? Los indicadores de gestión se generan al interpretar las medidas derivadas a la luz de los criterios de decisión o las necesidades de información de la organización. Los formatos de informes han de representar de manera visual las medidas y facilitar una explicación verbal de los indicadores. La mecánica del establecimiento de criterios de decisiones es diferente si se trata de mediciones de cumplimiento o de rendimiento.