Este documento discute los conceptos de métricas, medidas e indicadores de seguridad de la información. Explica que las métricas miden la efectividad de los controles de seguridad implementados, mientras que las medidas evalúan la eficacia del sistema de gestión de seguridad en su conjunto. También cubre temas como los tipos de medidas, el proceso de desarrollo de medidas, y cómo generar indicadores a partir de las medidas recopiladas.

1. Administración de las tecnologías de información
EQUIPO 5 Página 1
LAS MÉTRICAS DE SEGURIDAD DE LA INFORMACIÓN
SGSI propone una metodología de medición de la eficacia de los controles de seguridad SI
implantados que varían, como es obvio, de un entidad a otra en atención al análisis de riesgo
previo,de loscontroles elegidosyefectivamente implantadosparamitigarloysucomportamiento
esperado.
¿MÉTRICAS DE SEGURIDAD O MÉTRICAS DE GESTIÓN DE LA SEGURIDAD?
El propósito del proceso de métrica de gestión de la seguridad es recoger, analizar y comunicar
datos relacionados con los procesos de la seguridad de la información que supone un ámbito de
actuacionesdiferentesal de lasinfraestructuras,aplicativasysistemasoprocesosque lasoportan.
Las métricasde gestiónde la seguridad de la información tienen por finalidad conocer, evaluar y
gestionar la seguridad de los sistemas de información.
La planificación,implantaciónymejorade lasmétricasde gestión de la seguridad nos permitirán:
 Analizar y comprender el estado de seguridad.
 Controlar la eficiencia y eficacia de los controles.
 Predecir el tiempo y el costo de un proyecto.
 Mejorar la gestión de la seguridad de la información.
¿INDICADORES, MÉTRICAS O MEDIDAS DE SEGURIDAD?
En CoBIT 4.0 la cuestión terminológica se complica un tanto de tal modo que en algunos de los
términosque se refiere comoindicadoresserianloque se denominan métricas en el NIST 800-55.
CoBIT requiere unconocimiento de los objetivos de negocio por parte de las organizaciones que
pretenden implantarlo.
En el modeloCoBIT, unavezque se han fijadolosobjetivoshande establecer,mediante el uso de
indicadores en qué medida se están lográndolos mismo. Y así se definen los dos tipos de
indicadores:
 KEY GOAL INDICATOR(KGIS):COBIT considera este indicador como de “lapso” y lo define
como lamedidade loque se ha de cumplirse,ladistanciaentre loque se ha realizado y el
objetivo a cumplir.
 KEY PERFORMACE INDICATORS: COBIT considera estos indicadores una indicación o una
medida de “como de bien” se están comportando los procesos.
COBIT relaciona un indicador con el otro, de la siguiente manera:

2. Administración de las tecnologías de información
EQUIPO 5 Página 2
COBIT propone trestipos de medicionesde losprocesos(loque serianlos controles en la familia
27001):
 Rendimiento (performance): key Performance Indicatos.
 Resultado: Key Goal Indicators.
 Madurez: Maturity Models.
En norma ISO de la familia 27001, como veremos, se ha suprimido el término métrica, por
redundante, y se ha sustituido por el de medida en sus dos acepciones en inglés:
 Measurement: proceso de obtención de información sobre la eficacia del SGSI, sus
objetivos de control y controles, usando un método y función de medida, un modelo
analítico y un criterio de decisión.
 Measure: variable que se asigna un valor como resultado de un proceso de medición.
CMM, BALANCE SCORICARD Y MÉTRICAS DE ANÁLISIS DE RIESGOS
COBIT,por ejemplo,establecertressistemasomodosde monitorizarsi los controles implantados
son los adecuados y si se comportan según lo esperado:
 Benclumarkingnde lacapacidadde losprocesoshaciendousode losmodelosde madurez
derivados del “Capabiliry Maturity Model” del software Engineering Instinate.

3. Administración de las tecnologías de información
EQUIPO 5 Página 3
 Definición de objetivos y métricas del los procesos TSI según vimos en el apartado
anterior, basados en los “balance business scorecard” de Norton y Kaplan.
 Activity Goals , basados en objetivos de control detallados de COBIT y que permiten
mantener un control sobre su eficiencia.
Las medidas, por tanto deben integrarse en el ciclo de la gestión de la organización y utilizarse
para llevara cabo l mejora de los procesos y resultados relacionados con la seguridad dentro del
seguridad dentro del proyecto u organización.
EL PROYECTO DE NORMA ISO 27004 “MEDIDAS DE LA GESTIÓN DE LA SEGURIDAD”
La norma ISO 27001 adopta un enfoque de proceso para establecer, implantar, poner en
funcionamiento, controlar, revisar, mantener y mejorar un SGSI de una organización.
El “enfoque de proceso” se refiere a la aplicación de un sistema de procesos dentro de una
organización, junto con la identificación y la interacción de estos procesos, así como su gestión,
adoptando el modelo (PDAC) que se aplica para estructurar todos los procesos del SGSI.
VICIÓN GENERAL DE LAS MEDIDAS
La mediciónimplicaunprocesode obtenciónde informaciónsobre laeficaciadel métodoSGSI,los
objetivosde control individualesy controles que utilizan un método de medición una función de
mediciónyunmodeloanalíticoconfrontando la información obtenida a los criterios de decisión.
La finalidaddelprocesode implantaciónydesarrollode medidas de la gestión de seguridad de la
información es crear una base en cada organización que permite recoge, analizar y comunicar
datos relacionados con procesos SGSI. El propio sistema de medida de la gestión debe utilizarse
para la toma de decisiones relacionadas con la seguridad respecto a la mejor del SGSI o los
cambios dentro del mismo.

4. Administración de las tecnologías de información
EQUIPO 5 Página 4
Los objetivos del proceso de medida son:
 Evaluar la eficacia de la implantación de los controles de seguridad.
 Evaluar la eficacia del sistema de gestión de seguridad de la información incluyendo la
mejora continua.
 Proporcionar un estado de seguridad para distinguir la revisión de la gestión, facilita las
mejoras de la seguridad y contribuir a auditorias de seguridad.
 Comunicar el valor de la seguridad a la organización.
 Servir como aportación al plan de tratamiento de riesgo y de evaluación de riesgos.
Tipos de medidas
La norma propone la siguiente categorización:
a) Derivada
b) Base
Dentro de cada una de las categorías, las medidas pueden tener dos variedades:
a) Cumplimiento
b) Rendimiento
Las medidasde cumplimientoayudanalaidentificaciónde lagunasenlaimplantaciónylagestión
y la gestión de la política, controles individuales, objetivos de control y proceso de ISMS en la
organización.
Las medidasde rendimiento evalúan la eficacia de los controles implementados utilizados para
proteger los activos de información de la organización.

5. Administración de las tecnologías de información
EQUIPO 5 Página 5
EL PROCESO DE MEDICIÓN
Las organizacionesdebenlimitarlacantidadde medidasque utilizandentrodel mismoperiodode
tiempoconel finde garantizar su capacidad de adoptar los cambios pertinentes como resultado
de la información obtenida.
Las medidas deben revisarse para verificar que continúan suministrando información valida ala
organización:que lasfuentesy otros aspectos relacionados con sus atributos son correctos y que
los beneficios frente al esfuerzo dan un saldo positivo.
COMO SE DESARROLLA UNA “MEDIDA”
El proceso para desarrollar una medida ha de planificarse y documentarse, y comienza con la
selección de controles y objetivos de control específico para la medición, continúa con la
identificación de objetivos de medición, especificación de medidas y finaliza con el
establecimiento de recogida y análisis de datos e informes de procesos y herramientas.
La selección de controles específicos incluyen los siguientes pasos.
a) Identificarloscontroles y objetivos de control que fueron seleccionados como resultado
del análisis de riesgo, como se describe en la ISO 27001.
b) Establecerprioridadesentre controlesyobjetivosde control seleccionados como base en
los siguientes criterios:
 Los requisitos de stakeholders.
 La política de seguridad se la información de la organización.
 La informaciónnecesariaparasatisfacerlosrequisitoslegales,regulatorios y contrctuales.

6. Administración de las tecnologías de información
EQUIPO 5 Página 6
 Lo religión coste-beneficio del rendimiento de cada control individual u objetivo de
control.
c) Seleccionar los controles y objetivos de control específicos a incluir en el programa de
medición según las prioridades identificadas.
Los métodos de medición puede ser subjetivos u objetivos, dependiendo del grado de
automatización de la actividad de recogida de datos, tales como:
a) Auditorías internas o externas.
b) Evaluación de riesgo y análisis de riesgo.
c) Cuestionario y preguntas.
d) Utilización del riesgo de acontecimientos.
e) Producción de registros, informes y pistas de auditoria.
f) Informes de incidentes, en particular aquellos tienen como resultado un impacto.
g) Muestra de estadísticas.
h) Pruebas.
Las medidas validas deben de contar con varios indicadores:
 Estratégica
 Cuantitativa
 Razonable
 Interpretativa
 Verificable
 Evolutiva
 Útil
 Indivisible
 Repetible
El proceso de medición deberá documentarse:
a) Los controles y objetivos de control a ser sometidos a medición.
b) Los objetivos de medición.
c) Los objetivos de negocio sometidos a medición
d) Las medidas individuales a ser recogidas y utilizadas.
e) El proceso de análisis y recogida de datos.
f) El proceso y formato de informes.
g) Las funciones y responsabilidades de los stakeholders
La operaciónde lasmedidasconllevalarecogidayel análisis de losdatosutilizadosparagenerarse
e incluye actividadesque sonesenciales para asegurar que las misma se utilizan para competir el
estado de SGSI e identificar las acciones de mejoras adecuadas. Esto incluye:

7. Administración de las tecnologías de información
EQUIPO 5 Página 7
a) Integrar los procedimientos de medidas en la operación global de SGSI
b) Recoger, almacenar y verificar datos.
¿COMO GENERAR INDICADORES?
Los indicadoresde gestión se generanal interpretarlasmedidasderivadasalaluz de loscriterios
de decisiónolasnecesidadesde informaciónde laorganización.
Los formatos de informes han de representar de manera visual las medidas y facilitar una
explicaciónverbal de losindicadores.Lamecánicadel establecimientode criterios de decisioneses
diferente si se trata de mediciones de cumplimiento o de rendimiento.