NORMA NORMA TÉCNIC TÉCNICA A PERUANA
NTP-ISO/I NTP-ISO/IEC EC 27004 2012
Comisión de Normalización y de Fiscalización de Barreras Comerciales No Arancelarias-INDECOPI Calle de La Prosa 104, San Borja (Lima 41) Apartado 145 Lima, Perú
TECNOLOGÍA DE LA INFORMACIÓN. Técnicas de seguridad. Gestión de la seguridad de la información. Medición INFORMATION INFORMATION TECHNOLOGY. TECHNOLOGY. Security t echniques. Information security management. management. Measurement Measurement (EQV. ISO/IEC 27004:2009 Information technology -- Security techniques -- Information security management management -- - Measurement)
2012-09-19 1ª Edición
R.0084-2012/CNBR.0084- 2012/CNB-INDECOPI. INDECOPI. Publicada el 2012-10-12 2012-10 -12 Precio basado en 72 páginas I.C.S.: 35.040 ESTA NORMA ES RECOMENDABLE Descriptores: Tecnología, información, técnica, seguridad, gestión, medición
PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
ÍNDICE página ÍNDICE
i
PREFACIO
ii
0.
INTRODUCCIÓN
iv
1.
OBJETO
1
2.
REFERENCIAS NORMATIVAS
1
3.
TÉRMINOS Y DEFINICIONES
2
4.
ESTRUCTURA DE ESTA NORMA TÉCNICA PERUANA
6
5.
VISIÓN GENERAL SOBRE LA MEDICIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
7
6.
RESPONSABILIDADES DE LA DIRECCIÓN
18
7.
DESARROLLO DE MEDIDAS Y MEDICIONES
20
8.
OPERACIÓN DE MEDICIÓN
31
9.
ANÁLISIS DE DATOS Y REPORTE DE LOS RESULTADOS DE LA MEDICIÓN
33
10.
EVALUACIÓN Y MEJORA DEL PROGRAMA DE MEDICIÓN DE SEGURIDAD DE LA INFORMACIÓN
36
ANEXO A (Informativo) (Informativo) PLANTILLA PARA UN CONSTRUCTOR DE MEDICION DE SEGURIDAD DE LA INFORMACION
41
ANEXO B (Informativo) EJEMPLOS DE CONSTRUCTORES DE MEDICION
43
i PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
ÍNDICE página ÍNDICE
i
PREFACIO
ii
0.
INTRODUCCIÓN
iv
1.
OBJETO
1
2.
REFERENCIAS NORMATIVAS
1
3.
TÉRMINOS Y DEFINICIONES
2
4.
ESTRUCTURA DE ESTA NORMA TÉCNICA PERUANA
6
5.
VISIÓN GENERAL SOBRE LA MEDICIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
7
6.
RESPONSABILIDADES DE LA DIRECCIÓN
18
7.
DESARROLLO DE MEDIDAS Y MEDICIONES
20
8.
OPERACIÓN DE MEDICIÓN
31
9.
ANÁLISIS DE DATOS Y REPORTE DE LOS RESULTADOS DE LA MEDICIÓN
33
10.
EVALUACIÓN Y MEJORA DEL PROGRAMA DE MEDICIÓN DE SEGURIDAD DE LA INFORMACIÓN
36
ANEXO A (Informativo) (Informativo) PLANTILLA PARA UN CONSTRUCTOR DE MEDICION DE SEGURIDAD DE LA INFORMACION
41
ANEXO B (Informativo) EJEMPLOS DE CONSTRUCTORES DE MEDICION
43
i PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
PREFACIO
A.
RESEÑA HISTÓRICA
A.1 La presente Norma Técnica Peruana ha sido elaborada por el Comité Técnico de Normalización de Codificación e intercambio electrónico de datos, mediante el Sistema 1 o de d e Adopción, durante los meses de junio a julio de 2012, utilizando como antecedente a la norma ISO/IEC 27004:2009 Information technology -- Security techniques -- Information security management -- - Measurement). A.2 El Comité Técnico de Normalización Normalización de Codificación e intercambio electrónico de datos presentó a la Comisión de Normalización y de Fiscalización de Barreras Comerciales No Arancelarias –CNB-, con fecha 2012-08-03, el PNTPISO/IEC 27004:2012, para su revisión y aprobación, siendo sometido a la etapa de discusión pública el 2012-08-16. No habiéndose presentado observaciones fue oficializada como Norma Técnica Peruana NTP-ISO/IEC 27004:2012 TECNOLOGÍA DE LA INFORMACIÓN. Técnicas de seguridad. Gestión de la d e octubre de 2012. seguridad de la información. Medición, 1ª Edición, el 12 de A.3 Esta Norma Técnica Peruana es una adopción de la norma ISO/IEC 27004:2009. La presente Norma Técnica Peruana presenta cambios editoriales referidos principalmente a terminología empleada propia del idioma español y ha sido estructurada de acuerdo a las Guías Gu ías Peruanas GP 001:1995 y GP 002:1995.
B. INSTITUCIONES QUE PARTICIPARON EN LA ELABORACIÓN DE LA NORMA TECNICA PERUANA Secretaría
GS1 PERU
Presidente
Roberto Puyó
Secretaria
Mary Wong
ii PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
ENTIDAD
REPRESENTANTE
ASSENDA S.A.C.
Milagros Montenegro Daniella Orellana
B2IMPROVE S.A.C.
Belén Alvarado
CONSEJO NACIONAL DE LA MAGISTRATURA
Ricardo Dioses
CONSULTOR
Carlos Horna
DELOITTE & TOUCHE S.R.L.
Christiam Garratt Diana Lagos
DISTRIBUIDORA MAYORISTA SYMBOL S.A.
Adela Barcenas Walter Equizabel
FOLIUM S.A.C.
Roberto Huby
INDECOPI
Judith Blanco Martha Arce
INTERNATIONAL ANALYTICAL SERVICE S.A.C.
Raúl Miranda
OFICINA DE NORMALIZACION PREVISIONAL
Roberto Puyó
PONT. UNIV. CATOLICA DEL PERU
Viktor Khlebnikov Willy Carrera
PRESIDENCIA DEL CONSEJO DE MINISTROS
Max Lázaro Cesar Vilchez
SUPERINTENDENCIA DE ADMINISTRACION TRIBUTARIA – SUNAT
Daniel Llanos Janet Sánchez
TECNOLOGÍA FLEXOGRAFICA S.A.
Luis Chávez Raúl Adriazola
TCI S.A.
Renzo Alcántara
WEB TECHNOLOGY
Ana Otoya
GS1 PERU
Tatiana Peña
iii PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
INTRODUCCIÓN (ISO)
0.1
General
Esta Norma Técnica Peruana provee guías para el desarrollo y uso de medidas y mediciones, con el objetivo de evaluar la efectividad de un sistema de gestión de seguridad de la información (SGSI) implantado y los controles o grupo de controles como se especifica en ISO/IEC 27001. Esto incluiría políticas, gestión del riesgo de seguridad de la información, objetivos de control, controles, procesos y procedimientos y apoyo al proceso de revisión, ayudando a determinar si alguno de los procesos o controles del SGSI debe ser cambiado o mejorado. Es necesario tener en cuenta que ninguna medida de control puede garantizar una seguridad completa. La aplicación de este enfoque constituye un Programa de Medición de Seguridad de la Información. El Programa de Medición de Seguridad de la Información ayudará a la dirección a identificar y evaluar no conformidades así como controles y procesos ineficaces del SGSI pudiendo dar prioridad a las acciones relacionadas con la mejora o cambio de estos procesos o controles. También puede ayudar a la organización a demostrar conformidad con ISO/IEC 27001 y proporcionar evidencia adicional para la revisión por la dirección y los procesos de gestión del riesgo de seguridad de la información. Esta Norma Técnica Peruana asume que el punto de partida para el desarrollo de métricas y mediciones está en una buena comprensión de los riesgos de seguridad de la información a los que una organización se enfrenta y que las actividades de evaluación del riesgo de una organización se han realizado correctamente (es decir, basadas en ISO/IEC 27005), como exige la norma ISO/IEC 27001. El Programa de Medición de Seguridad de la Información fomentará que una organización proporcione información fiable a las partes interesadas sobre sus riesgos de seguridad de la información y la situación del SGSI implantado para la gestión de estos riesgos. La aplicación efectiva de un Programa de Medición de Seguridad de la Información aumentará la confianza de las partes interesadas en los resultados de la medición, y permitirá a estas partes interesadas usar estas medidas para llevar a cabo la mejora continua de la seguridad de la información y del SGSI. iv PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
Los resultados de la medición acumulada permitirán la comparación del progreso en el logro de los objetivos de seguridad de la información durante un período de tiempo, como parte de un proceso de mejora continua del SGSI de una organización.
0.2
Visión general de la gestión
ISO/IEC 27001 requiere a la organización "realizar revisiones periódicas de la efectividad del SGSI teniendo en cuenta los resultados de la medición de la eficacia" y "medir la eficacia de los controles para verificar que los requisitos de seguridad se han cumplido". ISO/IEC 27001 también requiere a la organización "definir cómo medir la eficacia de los controles seleccionados o grupos de controles y especificar cómo estas medidas se van a utilizar para evaluar la eficacia del control para obtener resultados comparables y reproducibles". El enfoque adoptado por una organización para cumplir los requisitos de medición especificados en ISO/IEC 27001 variará en función de una serie de factores significativos, incluidos los riesgos de seguridad de la información a los que la organización se enfrenta, su tamaño, los recursos disponibles y los requisitos legales, reglamentarios y contractuales aplicables. La selección cuidadosa y la justificación del método utilizado para cumplir los requisitos de medición son importantes para garantizar que no son dedicados recursos excesivos a esta actividad del SGSI en detrimento de otros. De manera ideal, las actividades de medición continua se integran en las operaciones regulares de la organización con requisitos de recursos adicionales mínimos. Esta Norma Técnica Peruana se recomienda para una organización que implemente las siguientes actividades como base para cumplir con los requisitos de medición especificados en ISO/IEC 27001: a) El desarrollo de medidas (es decir, medidas base, medidas derivados e indicadores); b) Implementación y operación de un Programa de Medición de Seguridad de la Información c)
Recopilación y análisis de datos;
d)
El desarrollo de los resultados de medición;
e) Comunicación de los resultados de las mediciones desarrolladas a las partes interesadas pertinentes; v PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
f) Uso de resultados de la medición como factores que contribuyen a las decisiones relacionadas con el SGSI; g) Uso de resultados de la medición para identificar necesidades de mejorar al SGSI implementado, incluyendo su alcance, políticas, objetivos, controles, procesos y procedimientos; y h) Facilitar la mejora continua del Programa de Medición de Seguridad de la Información. Uno de los factores que influirán en la capacidad de la organización para lograr una medición es su tamaño. En general, el tamaño y la complejidad del negocio en combinación con la importancia de la seguridad de la información afecta a la extensión de la medición necesaria, tanto en términos del número de medidas seleccionadas como en la frecuencia de recolección y análisis de datos. Un único Programa de Medición de Seguridad de la Información puede ser suficiente para las organizaciones pequeñas, mientras que para las grandes empresas puede existir la necesidad de múltiples Programas de Medición de Seguridad de la Información. La orientación proporcionada por esta Norma Técnica Peruana se traducirá en la producción de la documentación que contribuya a demostrar que la eficacia del control está siendo medida y evaluada.
---oooOooo---
vi PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
NORMA TÉCNICA PERUANA
NTP-ISO/IEC 27004 1 de 72
TECNOLOGÍA DE LA INFORMACIÓN. Técnicas de seguridad. Gestión de la seguridad de la información. Medición 1.
OBJETO
Esta Norma Técnica Peruana provee guías para el desarrollo y uso de medidas y mediciones, con el objetivo de evaluar la efectividad de un sistema de gestión de seguridad de la información (SGSI) implantado y los controles o grupo de controles tal como se especifica en ISO/IEC 27001. Esta Norma Técnica Peruana es aplicable a todo tipo y tamaño de organización NOTA: El usuario de este documento, debe interpretar correctamente cada una de las formas verbales de la expresión de las disposiciones (por ejemplo, "debe", "no debe", "debería", "no debería", "puede", "no es necesario" y "no puede") según sean requisitos que debe cumplir o recomendaciones cuando existe una cierta libertad de elección. Para una mayor aclaración debería ser consultado el Anexo A de ISO/IEC 27000.
2.
REFERENCIAS NORMATIVAS
Los siguientes documentos referenciados son indispensables para la aplicación de esta Norma Técnica Peruana. Para las referencias fechadas, sólo se aplica la edición citada. Para las referencias no fechadas, se aplica la última edición del documento referenciado (incluida cualquier corrección). ISO/IEC 27000:2009
Tecnología de la Información. Técnicas de seguridad. Sistema de gestión de seguridad de la información. Visión general y vocabulario
PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
NORMA TÉCNICA PERUANA
ISO/IEC 27001:2005 (*)
3.
NTP-ISO/IEC 27004 2 de 72
Tecnología de la Información. Técnicas de seguridad. Sistema de gestión de seguridad de la información. Requisitos
TÉRMINOS Y DEFINICIONES
Para los efectos de esta Norma Técnica Peruana, se aplican los términos y las definiciones de la ISO/IEC 27000 y los siguientes. 3.1
modelo analítico
Algoritmo o cálculo combinando una o más medidas base o derivadas con los criterios de decisión correspondiente [ISO/IEC 15939:2007] 3.2
atributo
Propiedad o característica de un objeto que se puede distinguir cuantitativa o cualitativamente por medios humanos o automatizados [ISO/IEC 15939:2007] 3.3
medida base
Medida definida en términos de un atributo y el método para su cuantificación [ISO/IEC 15939:2007] NOTA: Una medida base es funcionalmente independiente de otras medidas.
(*)
La NTP-ISO/IEC 27001 es equivalente a la ISO/IEC 27001
PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
NORMA TÉCNICA PERUANA
3.4
NTP-ISO/IEC 27004 3 de 72
datos
Colección de valores asignados a las medidas base, medidas derivadas o indicadores [ISO/IEC 15939:2007] 3.5
criterios de decisión
Umbrales, objetivos o patrones utilizados para determinar la necesidad de una acción o investigación futura, o para describir el nivel de confianza en un resultado determinado [ISO/IEC 15939:2007] 3.6
medida derivada
Medida que se define como una función de dos o más valores de las medidas base [ISO/IEC 15939:2007] 3.7
indicador
Medida que provee una estimación o evaluación de atributos específicos derivados de un modelo analítico con respecto a la necesidad definida de información. 3.8
necesidad de información
Conocimiento necesario para gestionar los objetivos, metas, riesgos y problemas [ISO/IEC 15939:2007] 3.9
medida
Variable a la que se asigna un valor como resultado de la medición [ISO/IEC 15939:2007] NOTA: El término "medida" se utiliza para referirse colectivamente a las medidas base, medidas derivadas e indicadores.
PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
NORMA TÉCNICA PERUANA
NTP-ISO/IEC 27004 4 de 72
EJEMPLO: Una comparación de una tasa de defectos medida con una tasa de defectos prevista junto con una evaluación de si la diferencia no indica un problema.
medición
3.10
Proceso de obtención de información acerca de la eficacia del SGSI y los controles utilizando un método de medición, una función de medición, un modelo de análisis y criterios de decisión
función de medición
3.11
Algoritmo o cálculo realizado para combinar dos o más medidas base [ISO/IEC 15939:2007]
método de medición
3.12
Una secuencia lógica de las operaciones, descritas de forma genérica, utilizadas en la cuantificación de un atributo con respecto a una escala específica [ISO/IEC 15939:2007] NOTA: El tipo de método de medición depende de la naturaleza de las operaciones utilizadas para cuantificar un atributo. Se pueden distinguir dos tipos: -
3.13
subjetivo: cuantificación mediante opinión humana; objetivo: cuantificación sobre la base de reglas numéricas.
resultados de la medición
Uno o más indicadores y sus interpretaciones asociadas que conducen a la necesidad de información 3.14
objeto
Un elemento caracterizado a través de la medición de sus atributos PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
NORMA TÉCNICA PERUANA
NTP-ISO/IEC 27004 5 de 72
escala
3.15
Conjunto ordenado de valores, continuos o discretos, o un conjunto de categorías a las que se asigna el atributo [ISO/IEC 15939:2007] NOTA: El tipo de escala depende de la naturaleza de la relación entre los valores de la escala.
Comúnmente se definen cuatro tipos de escala: -
nominal: los valores de medición son categóricos;
-
ordinal: los valores de medición se ponderan;
intervalo: los valores de medición tienen la misma distancia que corresponden a cantidades iguales de los atributos; relación: los valores de medición tienen la misma distancia que corresponden a cantidades iguales de los atributos, donde el valor de cero corresponde a ninguno de los atributos. Estos son sólo ejemplos de los tipos de escala. 3.16
unidad de medida
Cantidad concreta, definida y aprobada por convención, con la cual otras cantidades de la misma naturaleza se comparan con el fin de expresar su magnitud relativa a la cantidad [ISO/IEC 15939:2007] 3.17
validación
Confirmación, mediante la aportación de evidencia objetiva de que se han cumplido los requisitos para una utilización o aplicación específica prevista [ISO 9000:2005]
PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
NORMA TÉCNICA PERUANA
3.18
NTP-ISO/IEC 27004 6 de 72
verificación
Confirmación mediante la aportación de evidencia objetiva de que se han cumplido los requisitos especificados [ISO 9000:2005] NOTA: Esto también podría ser llamado prueba de conformidad.
4.
ESTRUCTURA DE ESTA NORMA TÉCNICA PERUANA
Esta Norma Técnica Peruana proporciona una explicación de las medidas y las actividades de medición necesarias para evaluar la eficacia de los requisitos del SGSI para la gestión de los controles de seguridad adecuados y proporcionales tal como es requerido en ISO/IEC 27001 el apartado 4.2. Esta Norma Técnica Peruana está estructurada de la siguiente forma: Visión general sobre el Programa de Medición de Seguridad de la Información y el Modelo de Medición de Seguridad de la Información (Capítulo 5); Las responsabilidades de la dirección en las mediciones de seguridad de la información (Capítulo 6) y Constructores de medición y los procesos (es decir, planificación y desarrollo, implementación y operación y mejora de las mediciones: comunicando los resultados de la medición) que se implementarán en el Programa de Medición de Seguridad de la Información (Capítulos 7-10). Además, el anexo A proporciona un ejemplo de modelo para el constructor de medición que contiene los elementos del Modelo de Medición de Seguridad de la Información (véase capítulo 7). El Anexo B proporciona ejemplos de constructores de medición para controles o procesos específicos de un SGSI, utilizando el modelo que figura en el Anexo A.
PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
NORMA TÉCNICA PERUANA
NTP-ISO/IEC 27004 7 de 72
Estos ejemplos intentan brindar ayuda a una organización sobre cómo implementar la Medición de la Seguridad de la Información y cómo registrar las actividades de medición y los resultados de las mismas.
5. VISIÓN GENERAL SOBRE LA MEDICIÓN DE LA SEGURIDAD DE LA INFORMACIÓN 5.1
Objetivos de medición de la seguridad de la información
Los objetivos de medición de la seguridad de la información en el contexto de un SGSI incluyen: a) evaluar la eficacia de los controles o grupos de controles implementados (véase el apartado "4.2.2 d)" en la figura 1 ); b) evaluar la eficacia del SGSI implementado (véase el apartado"4.2.3 b)" en la figura 1); c) verificar el grado en que los requisitos de seguridad identificados se han cumplido (véase el apartado"4.2.3 c)" en la figura 1); d) facilitar la mejora del desempeño de la seguridad de la información en términos de riesgos de negocios generales de la organización; e) proporcionar entradas para la revisión por la dirección para facilitar la toma de decisiones relacionada con el SGSI y justificar mejoras necesarias al SGSI implementado. La Figura 1 ilustra la relación cíclica de entradas y salidas de las actividades de medición en relación con el ciclo Planificar-Hacer-Verificar-Actuar (PHVA), especificado en ISO/IEC 27001. Los números en cada figura representan los apartados pertinentes de ISO/IEC 27001.
PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
NORMA TÉCNICA PERUANA
NTP-ISO/IEC 27004 8 de 72
Planificar
Actuar
4.2.1 g) Seleccionar los objetivos de control y los controles para el tratamiento de los riesgos. Los objetivos de control y los controles se deben seleccionar e implementar de manera que cumplan los requisitos identificados en el proceso de evaluación y tratamiento de riesgos.
Hacer
4.2.1 e) 2) Evaluar la posibilidad realista de que ocurra una falla en l a seguridad, considerando las amenazas, las vulnerabilidades, los impactos asociados con estos activos, y los controles implementados actualmente.
Verificar
4.2.2 c) Implementar los controles seleccionados para cumplir los objetivos de control.
4.2.2 d) Definir cómo medir la eficacia de los controles o grupos de controles seleccionados
4.2.3 c) Medir la eficacia de los controles para verificar que se han cumplido los requisitos de seguridad.
4.2.3 b) Emprender revisiones regulares de la eficacia del SGSI 4.2.3 d) Revisar las evaluaciones de los riesgos a intervalos planificados, y revisar el nivel de riesgo residual y riesgo aceptable identificado, teniendo en cuenta los cambios en la eficacia de los controles i mplementados
7.2 a), f) Las entradas para la revisión por la dirección deben incluir: resultados de las mediciones de eficacia y revisiones del SGSI
4.2.4 a) Implementar las mejoras identificadas en el SGSI
Los resultados de la revisión por la dirección deben incluir cualquier decisión y acción relacionada con: 7.3 b) La actualización de la evaluación de riesgos y del plan de tratamiento de riesgos. 7.3 e) La mejora a la manera en que se mide la eficacia de los controles.
4.2.3 f) Emprender una revisión del SGSI, realizada por la dirección, en forma regular para asegurar que el alcance siga siendo suficiente y que se identifiquen mejoras al proceso de SGSI
FIGURA 1 - Entradas y salidas de la medición en el ciclo PHVA de un SGSI para la gestión de la seguridad de la información La organización debería establecer los objetivos de medición basado en una serie de consideraciones, entre ellas: a) El rol de la seguridad de la información en apoyo a las actividades del negocio generales de la organización y los riesgos que enfrenta; b)
Requisitos legales, reglamentarios, y contractuales aplicables.
c)
Estructura organizacional;
d) Costos y beneficios de la implementación de medidas de seguridad de la información; PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
NORMA TÉCNICA PERUANA
NTP-ISO/IEC 27004 9 de 72
e)
Los criterios de aceptación del riesgo para la organización y
f)
La necesidad de comparar varios SGSI dentro de la misma organización.
5.2
Programa de Medición de Seguridad de la Información
Una organización debería establecer y gestionar un Programa de Medición de Seguridad de la Información a fin de lograr los objetivos de medición establecidos y adoptar el modelo PHVA dentro de las actividades de medición global de la organización. Una organización también debería desarrollar e implementar constructores de mediciones con el fin de obtener resultados de medición repetibles, objetivos y útiles basados en el Modelo de Medición de Seguridad de la Información (véase el apartado 5.4). El Programa de Medición de Seguridad de la Información y los constructores de mediciones desarrolladas deberían asegurar que una organización alcanza eficazmente mediciones objetivas y reproducibles y proporciona resultados de medición a las partes interesadas (stakeholders) para determinar las necesidades de mejora al SGSI implementado, incluyendo su alcance, políticas, objetivos, controles, procesos y procedimientos. Un Programa de Medición de Seguridad de la Información debería incluir los siguientes procesos: a)
Desarrollo de medidas y mediciones (véase Capítulo 7) ;
b)
Operación de la medición (véase Capítulo 8);
c) 9) y
Análisis de datos e informe de los resultados de la medición (véase Capítulo
d) Evaluación y mejora del Programa de Medición de la Seguridad de la Información (véase Capítulo 10). La estructura de organización y funcionamiento de un Programa de Medición de Seguridad de la Información debería determinarse teniendo en cuenta la escala y complejidad del SGSI del que forma parte. En todos los casos, los roles y responsabilidades sobre el Programa de Medición de Seguridad de la Información deberían ser expresamente asignados al personal competente (véase el apartado 7.5.8). PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
NORMA TÉCNICA PERUANA
NTP-ISO/IEC 27004 10 de 72
Las medidas seleccionadas e implementadas por el Programa de Medición de Seguridad de la Información deberían estar directamente relacionadas con la operación de un SGSI, otras medidas, así como los procesos de negocio de la organización. La medición puede ser integrada en las actividades operacionales habituales o realizadas a intervalos regulares determinados por la gestión del SGSI.
5.3
Factores de éxito
Los siguientes son algunos factores que contribuyen al éxito del Programa de Medición de Seguridad de la Información como facilitador de la mejora continua del SGSI: a)
Compromiso de la dirección apoyado por los recursos adecuados;
b)
Existencia de procesos y procedimientos del SGSI;
c) Un proceso repetible capaz de capturar e informar datos significativos para proporcionar tendencias pertinentes durante un período de tiempo; d)
medidas cuantificables basadas en los objetivos del SGSI;
e) Datos que puedan ser obtenidos fácilmente los cuales puedan ser utilizados para la medición; f) Evaluación de la eficacia del Programa de Medición de Seguridad de la Información y la implementación de las mejoras identificadas; g) Recolección periódica y consistente, análisis e informe de los datos de medición de una manera útil; h) El uso de los resultados de medición por las partes interesadas (stakeholders) para determinar las necesidades para la mejora del SGSI implementado, incluyendo su alcance, políticas, objetivos, controles, procesos y procedimientos; i) Aceptación de la retroalimentación de las partes interesadas (stakeholders) pertinentes, acerca de los resultados de la medición y j) Evaluaciones de la utilidad de los resultados de la medición e implementación de las mejoras identificadas.
PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
NORMA TÉCNICA PERUANA
NTP-ISO/IEC 27004 11 de 72
Una vez implementado con éxito, un Programa de Medición de Seguridad de la Información puede: 1) Demostrar el cumplimiento de una organización con los requisitos legales o reglamentarios y las obligaciones contractuales; 2) Apoyo a la identificación de aspectos de seguridad no detectados previamente o desconocidos; 3) Ayudar a satisfacer las necesidades de información de gestión al declarar las medidas de actividades históricas y actuales y 4) Ser utilizado como insumo en el proceso de gestión de riesgos de seguridad de la información, auditorías internas del SGSI y revisiones por la dirección.
5.4
Modelo de medición de seguridad de la información NOTA: Los conceptos de modelo de medición de seguridad de la información y los constructores de medición adoptados en esta Norma Técnica Peruana están basados en los de la norma ISO/IEC 15939. El término "producto de información", utilizada en ISO/IEC 15939 es sinónimo de "resultados de la medición" en esta Norma Técnica Peruana y el "proceso de medición", utilizada en ISO/IEC 15939 es un sinónimo de "Programa de Medición" en esta Norma Técnica Peruana.
5.4.1
Visión General
El modelo de medición de seguridad de la información es una estructura que une una necesidad de información con los objetos pertinentes de medición y sus atributos. Objetos de medición pueden incluir procesos, procedimientos, proyectos y recursos, planificados o implementados. El modelo de medición de seguridad de la información describe cómo los atributos pertinentes son cuantificados y convertidos a indicadores que proporcionan una base para la toma de decisiones. La Figura 2 muestra el modelo de medición de seguridad de la información.
PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
NORMA TÉCNICA PERUANA
NTP-ISO/IEC 27004 12 de 72
Necesidad de información Procesos de Gestión de Seguridad de la Información
Resultados de medición
Eficacia
Objetivos de control
Criterio de decisión
Controles Procesos, Procedimientos de implementación
Indicador Modelo analítico Medida derivada
Objeto de medición Atributo
Método de Medición
Función de medición
Atributo
Medida base
Atributo
Medición
FIGURA 2 - Modelo de medición de seguridad de la información Los siguientes apartados introducen elementos individuales del modelo. También se proporcionan ejemplos de cómo se utilizan estos elementos individuales. Las necesidades de información o el propósito de medición utilizados en los ejemplos incluidos en las tablas 1 a 4 de los siguientes apartados es evaluar el estado de concientización del cumplimiento de la política de seguridad de la organización entre el personal correspondiente (Objetivo de control A.8.2 y controles A.8.2.1 y A.8.2.2. de ISO/IEC 27001:2005)
5.4.2
Medida base y método de medición
Una medida base es la medida más simple que puede obtenerse. Una medida base resulta de aplicar un método de medición a los atributos seleccionados de un objeto de medición. Un objeto de medición puede tener muchos atributos, de los cuales sólo algunos pueden proporcionar valores útiles a ser asignados a una medida base. Un atributo dado puede usarse para diferentes medidas base.
PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
NORMA TÉCNICA PERUANA
NTP-ISO/IEC 27004 13 de 72
Un método de medición es una secuencia lógica de operaciones usadas para cuantificar un atributo con respecto a una escala específica. La operación puede involucrar actividades tales como conteo de ocurrencias u observar el paso del tiempo. Un método de medición puede aplicar atributos a un objeto de medición. Ejemplos de un objeto de medición incluyen, pero no está limitado a: -
Desempeño de los controles implementados en el SGSI;
-
Estado de los activos de información protegidos por los controles;
-
Desempeño de procesos implementados en el SGSI;
-
Comportamiento del personal responsable del SGSI implementado;
Actividades de las unidades organizacionales responsables de la seguridad de la información y -
Grado de satisfacción de las partes interesadas
Un método de medición puede utilizar objetos de medición y atributos provenientes de una variedad de fuentes, tales como: -
Resultados de análisis y valoración de riesgo;
-
Cuestionarios y entrevistas personales;
-
Reportes de auditoría interna y/o externa;
-
Registro de eventos tales como logs, estadísticas, y pistas de auditoría;
Reportes de incidentes, en particular aquellos que resultan en la ocurrencia de un impacto; Resultados de pruebas, como por ejemplo test de penetración, ingeniería social, herramientas de cumplimiento, y herramientas de auditoría de seguridad;
PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
NORMA TÉCNICA PERUANA
NTP-ISO/IEC 27004 14 de 72
Registros provenientes de procedimientos y programas relacionados con la seguridad de la información de la organización, como por ejemplo: resultados de entrenamientos en concientización en seguridad de la información. Las tablas 1-4 de abajo presentan la aplicación del modelo de seguridad de la información para los siguientes controles: “Control 1” se refiere al control A.8.2.2 “Concientización, educación y formación en seguridad de la información” de la norma ISO/IEC 27001/2005 (“Todos los empleados de la organización, y en donde sea pertinente, los contratistas y usuarios de terceras partes, deben recibir formación adecuada en concientización y actualizaciones regulares en políticas y procedimientos organizacionales, relevantes para su función laboral.”); que se implementa como sigue: “Todo el personal relevante para el SGSI debe recibir formación en concientización en seguridad de la información antes de que se le otorgue acceso a un sistema de información”. “Control 2” se refiere al control A.8.2.1 “Responsabilidades de la dirección” de la norma ISO/IEC 27001/2005 (“La dirección debe exigir a los empleados, contratistas y usuarios de terceras partes aplicar la seguridad de acuerdo con las políticas y procedimientos establecidos por la organización.”); que se implementa como sigue: “Todo el personal relevante para el SGSI debe firmar acuerdos de usuario antes de que se le otorgue acceso a un sistema de información”; El constructor de medición correspondiente está contenida en B.1 en el Anexo B. NOTA: Las tablas 1-4 consisten en varias columnas (Tabla 1, cuatro columnas; Tabla 2-4, tres columnas) las cuales se designan con una letra. A cada caja dentro de una columna individual se le asigna un número que lo designa. Las combinaciones de las designaciones con letra y número se utilizan en las subsiguientes cajas para referirse a las cajas previas. Las flechas designan los flujos de datos entre elementos individuales del modelo de medición de seguridad de la información dentro del ejemplo específico.
La tabla 1 incluye un ejemplo de las relaciones entre objetos de medición, atributos, método de medición y medida básica para medir los objetos establecidos para los controles implementados descritos arriba.
PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
NORMA TÉCNICA PERUANA
Objeto de medición (O) Control 1:
NTP-ISO/IEC 27004 15 de 72
Atributo (A)
Método de medición (M) M.1 Contar el personal programado para firmar (A.2.1) y que debiera haber completado la formación a la fecha (A.1.1)
Medida base (B)
O.1.1 Plan de concientización en seguridad de la información
A.1.1 Personal identificado en el plan (O.1.1)
O.1.2 Personal cuya formación se ha completado o está en curso
A.1.2 Estado del personal con respecto a la formación (O.1.2)
M.2 Pedir al responsable el porcentaje del personal que ha completado la formación (A.1.2) y ha firmado (A.2.2)
B.2 Personal que ha firmado, porcentaje completado (A.1.2, A.2.2)
O.2.1 Plan para la firma de acuerdos de usuario
A.2.1 Personal identificado en el plan que debe firmar acuerdos de usuario (O.2.1)
M.3 Contar el personal programado para firmar a esta fecha (A.2.1)
B.3 Personal planeado para firmar a la fecha (A.2.1)
O.2.2 Personal que tiene acuerdos firmados
A.2.2 Estado del personal con respecto a la firma de los acuerdos (O.2.2)
M.4 Contar el personal que ha firmado a esta fecha (A.2.2)
B.4 Personal que ha firmado a la fecha (A.2.2)
Control 2:
B.1 Personal planificado hasta la fecha (A.2.1, A.1.1)
TABLA 1 - Ejemplo de medida base y método de medición 5.4.3
Medida derivada y función de medición
Una medida derivada es una agregación de dos o más medidas base. Una medida base dada puede servir como entrada para varias medidas derivadas. Una función de medición es un cálculo utilizado para combinar medidas base para crear una medida derivara.
PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
NORMA TÉCNICA PERUANA
NTP-ISO/IEC 27004 16 de 72
La escala y unidad de la medida derivada depende de las escalas y unidades de las medidas base de las cuales está compuesta y también de cómo se combinan por la función de medición. La función de medición puede involucrar una variedad de técnicas tales como promediar medidas base, aplicar pesos a medidas base, o asignar valores cualitativos a medidas base. La función de medición puede combinar medidas base usando diferentes escalas, tales como porcentajes y resultados de valoraciones cualitativas. Un ejemplo de la relación de los elementos adicionales de la aplicación del modelo de medición de la seguridad de la información, es decir, medida base, función de medición y medida derivada, se presenta en la Tabla 2. Medida base (B) B.1 Personal planificado hasta la fecha (A.2.1 A.1.1)
B.2 Personal que ha firmado, porcentaje completado (A.1.2, A.2.2)
B.3 Personal planeado para firmar a la fecha (A.2.1)
Función de medición (F)
Medida derivada (D)
Va directamente al modelo analítico (ver Tabla 3)
F.1 Agregar estado de todo el personal que ha firmado, planificado y por completar a la fecha (B.2)
F.2 Dividir el personal que ha firmado a la fecha (B.4) por el personal planificado a la fecha (B.3)
D.1 Progreso a la fecha (B.2)
D.2 Progreso a la fecha de las firmas (B.4, B.3)
B.4 Personal que ha firmado a la fecha (A.2.2)
TABLA 2- Ejemplo de medida derivada y función de medición PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
NORMA TÉCNICA PERUANA
5.4.4
NTP-ISO/IEC 27004 17 de 72
Indicadores y modelo analítico
Un indicador es una medida que provee una estimación o evaluación de atributos específicos derivados de un modelo analítico con respecto a la necesidad definida de información. Los indicadores se obtienen aplicando un modelo analítico a una medida base o derivada y combinándolos con criterios de decisión. La escala y método de medición afectan la elección de técnicas analíticas usadas para producir indicadores. Un ejemplo de la relación entre medidas derivadas, modelo analítico e indicadores para la aplicación del modelo de medición de seguridad de la información se presenta en la Tabla 3. Medida derivada (D)
Modelo analítico (AM)
Indicador (I)
De B.1 (véase Tabla2)
D.1 Progreso a la fecha (B.2)
AM.1 [Dividir progreso a la fecha (D.1) por personal planificado a la fecha (B.1) 100 veces] y progreso a la fecha con las firmas (D.2)
I.1 Estado expresado como una combinación de ratios (D.1/B.1*100, D.2)
D.2 Progreso a la fecha de las firmas (B.4, B.3)
AM.2 Comparar estado I.1 con el valor previo de I.1
I.2 Tendencia (I.1 y los valores previos de I.1)
TABLA 3- Ejemplo de indicador y modelo analítico NOTA: si un indicador se representa en forma gráfica, debería ser utilizable por usuarios impedidos visualmente o cuando se usen copias monocromáticas. Para hacerlo posible la descripción del indicador debe incluir colores, tonos, fuentes otros métodos visuales
PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
NORMA TÉCNICA PERUANA
5.4.5
NTP-ISO/IEC 27004 18 de 72
Resultados de la medición y criterios de decisión
Los resultados de la medición se desarrollan con indicadores de interpretación aplicables, basados en criterios de decisión definidos y deberían ser considerados en el contexto del conjunto de objetivos de medición para evaluar la efectividad del SGSI. Los criterios de decisión se utilizan para determinar la necesidad de acción o investigación adicional, así como describir el nivel de confianza de los resultados de la medición. Los criterios de decisión se pueden aplicar a una serie de indicadores, como por ejemplo para conducir análisis de tendencias basados en indicadores recibidos en diferentes puntos en el tiempo. Los objetivos proveen especificaciones de desempeño detalladas, aplicables a la organización o partes derivadas de los objetivos de seguridad de la información, tales como los objetivos del SGSI y de control, y que necesitan ser establecidos y alcanzados para lograr esos objetivos. En la Tabla 4 se presenta un ejemplo de la relación de los elementos finales de la aplicación del modelo de medición de seguridad de la información. Indicador (I)
I.1 Estado expresado como una combinación de ratios (D.1/B.1*100, D2)
I.2 Tendencia (I.1 y los valores previos de I.1)
Criterio de Decisión (CD) DC.1 ratios resultantes (I.1 – D.1/B.1, D.2) deben estar respectivamente entre 0.9 y 1.1 y entre 0.99 y 1.01 para concluir el logro del objetivo de control; de lo contrario se necesita una acción de gestión AM.2 Comparar estado I.1 con el valor previo de I.1
Resultados de medición Interpretación para I.1: Se cumple satisfactoriamente el criterio organizacional sobre el cumplimiento de la política de concientización en seguridad de la organización si 0.9 ≤ D.1 / B.1 ≤ 1.1 y 0.99 ≤ D.2 ≤ 1.01 El criterio de la organización no se ha alcanzado satisfactoriamente si D.1/B.1<0.9 o el primer valor D.1/B.1 >1.1 y si 0.99 ≤ D.2 ≤ 1.01 No se cumple con el criterio organizacional si D.2<0.99 o D.2 > 1.01 Interpretación para I.2: una tendencia ascendente indica mejora en el cumplimiento, una descendente indica deterioro. El grado de cambio en la tendencia puede proporcionar elementos para entender la efectividad del control
TABLA 4- Ejemplo de medición de resultados y modelo analítico PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
NORMA TÉCNICA PERUANA
6.
RESPONSABILIDADES DE LA DIRECCIÓN
6.1
Visión General
NTP-ISO/IEC 27004 19 de 72
La dirección es responsable de: establecer el Programa de Medición de Seguridad de la Información, involucrando las partes interesadas (stakeholders) pertinentes (véase 7.5.8) en las actividades de medición; aceptar los resultados de las mediciones como insumos para la revisión por la dirección y utilizar los resultados de las mediciones en actividades de mejora del SGSI. Para lograr esto, la dirección debería: a) Establecer objetivos para el Programa de Medición de Seguridad de la Información; b) Establecer una política para el Programa de Medición de Seguridad de la Información; c) Establecer las funciones y responsabilidades para el Programa de Medición de Seguridad de la Información; d) Proporcionar los recursos adecuados para llevar a cabo la medición, incluido el personal, la financiación, las herramientas y la infraestructura; e) Asegurar que se alcanzan los objetivos del Programa de Medición de Seguridad de la Información; f) Asegurar que las herramientas y equipos utilizados para recopilar los datos son mantenidos adecuadamente; g)
Establecer el propósito de la medición para cada constructor de medición;
h) Asegurar que la medición proporciona información suficiente a las partes interesadas (stakeholders) con respecto a la eficacia del SGSI y las necesidades para mejorar el SGSI implementado, incluyendo su alcance, políticas, objetivos, controles, procesos y procedimientos, y i) Asegurar que la medición proporciona información suficiente a las partes interesadas (stakeholders) con respecto a la eficacia de los controles o grupo de controles y las necesidades para la mejora de los controles implementados. PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
NORMA TÉCNICA PERUANA
NTP-ISO/IEC 27004 20 de 72
A través de la asignación adecuada de los roles y las responsabilidades de medición, la dirección debería garantizar que los resultados de la medición no estén influenciados por los propietarios de la información (véase 7.5.8). Esto puede lograrse a través de la segregación de tareas o, si esto no es posible, a través de la utilización de documentación detallada que permita controles independientes.
6.2
Gestión de recursos
La dirección debería asignar y proporcionar recursos para apoyar las actividades esenciales de medición, tales como recopilación de datos, análisis, almacenamiento, reporte y distribución. La asignación de recursos debería incluir la as ignación de: a) Las personas con responsabilidad para todos los aspectos del Programa de Medición de Seguridad de la Información; b)
Apoyo financiero adecuado y
c) Apoyo de infraestructura apropiado, como ser la infraestructura física y las herramientas utilizadas para llevar a cabo el proceso de medición. NOTA: el apartado 5.2.1 de ISO/IEC 27001 especifica el requisito de provisión de recursos para la implementación y operación de un SGSI.
6.3
Competencia, toma de conciencia y formación en medición
La dirección debería asegurar que: a) Las partes interesadas (véase 7.5.8) están capacitados adecuadamente para el logro de sus funciones y responsabilidades en la implementación del Programa de Medición de Seguridad de la Información, y están debidamente calificados para desempeñar sus funciones y responsabilidades, y b) Las partes interesadas entienden que sus tareas incluyen formular sugerencias para la mejora del Programa de Medición de Seguridad de la Información implementado.
PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
NORMA TÉCNICA PERUANA
7.
DESARROLLO DE MEDIDAS Y MEDICIONES
7.1
Visión General
NTP-ISO/IEC 27004 21 de 72
Este capítulo da una orientación sobre cómo desarrollar medidas y la medición con el fin de evaluar la efectividad del SGSI implementado y los controles o grupo de controles, y la identificación de conjuntos específicos de constructores de medición de la organización. Se recomienda que sean establecidas y documentadas las actividades necesarias para desarrollar medidas y mediciones, incluyendo las siguientes: a)
Definición del alcance de la medición (véase 7.2);
b)
Identificación de la necesidad de información (véase 7.3);
c)
Selección del objeto de medición y sus atributos (véase 7.4);
d)
Desarrollo de constructores de medición (véase 7.5);
e)
Aplicación de constructores de medición (véase 7.6);
f) Establecimiento de la recolección de datos, procesos de análisis y herramientas (véase 7.7), y g) Establecimiento del enfoque de aplicación de la medición y la documentación (véase 7.8). Se recomienda que al establecer estas actividades, la organización tenga en cuenta los recursos financieros, humanos y de infraestructura (física y herramientas).
7.2
Definiendo el alcance de la medición
Dependiendo de las capacidades y los recursos de una organización, el alcance inicial de las actividades de medición de una organización estará limitado a elementos tales como controles específicos, activos de información protegidos por controles específicos, actividades específicas de seguridad de la información a las que la gerencia concede la máxima prioridad. Con el tiempo, el alcance de las actividades de medición se ampliará para hacer frente a otros elementos del SGSI implementado, controles o grupos de controles, teniendo en cuenta las prioridades de las partes interesadas. PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
NORMA TÉCNICA PERUANA
NTP-ISO/IEC 27004 22 de 72
Las partes interesadas pertinentes deberían identificarse y deberían participar en la definición del alcance de la medición. Las partes interesadas pueden ser internas o externas a las unidades organizativas, tales como directores de proyectos, administradores de sistema de información, o responsables de seguridad de la información. Deberían definirse y comunicarse a las partes interesadas, los resultados concretos de la medición de la eficacia de los controles individuales o del grupo de los controles. La organización puede considerar limitar el total de los resultados de medición que se informen a los tomadores de decisión dentro de un período de tiempo determinado para asegurar la capacidad de mejora del SGSI basado en los resultados de la medición informados. Un número excesivo de resultados de medición podría impactar en la capacidad de los tomadores de decisión de centrar los esfuerzos y priorizar las actividades de mejora futuras. Los resultados de la medición deben ser priorizados sobre la base de la importancia correspondiente a las necesidades de información y asociados a los objetivos del SGSI. NOTA: El alcance de la medición está relacionado con el alcance del SGSI establecido de conformidad con el apartado 4.2.1 a) de la norma ISO / IEC 27001.
7.3
Identificando la necesidad de información
Cada constructor de medición debería corresponderse, al menos, con una necesidad de información. Un ejemplo de necesidad de información, describiendo el punto de partida como el objetivo de la medición y terminando con los criterios de decisión pertinentes figura en el anexo A. Para identificar las necesidades de información pertinentes deberían realizarse las siguientes actividades: a)
Examinar el SGSI y sus procesos, tales como: 1)
La política y los objetivos del SGSI, los objetivos de control y los controles;
2) Los requisitos legales, reglamentarios, contractuales y organizacionales para la seguridad de la información; 3) La información resultante del proceso de gestión de riesgos de seguridad de la información, como se describe en ISO/IEC 27001. PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
NORMA TÉCNICA PERUANA
NTP-ISO/IEC 27004 23 de 72
b) Priorizar la identificación de la necesidad de información basados en criterios tales como: 1)
Prioridades en el tratamiento del riesgo;
2)
La capacidad y los recursos de la organización;
3)
Los intereses de las partes interesadas (stakeholders);
4)
La política de seguridad de la información;
5) La información necesaria para cumplir los requisitos legales, regulatorios y contractuales; 6)
El valor de la información en relación con el coste de la medición;
c) Seleccionar un subconjunto de la información que debe considerarse en las actividades de medición de la lista de prioridades y; d) Documentar y comunicar la necesidad de información a todos los interesados pertinentes. Todas las medidas pertinentes aplicadas a un SGSI implementado, controles o grupos de controles deben aplicarse sobre la base de la necesidad de información seleccionada.
7.4
Seleccionando el objeto y sus atributos
El objeto de medición y sus atributos deben ser identificados en el contexto general y el alcance de un SGSI. Cabe señalar que un objeto de medición puede tener varios atributos aplicables. El objeto y los atributos a utilizarse en la medición deben ser seleccionados basados en la prioridad de la información correspondiente. Los valores que se asignarán a una medida de referencia base se obtienen mediante la aplicación de un método de medición adecuado a los atributos seleccionados. Esta selección también debería asegurar que:
PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
NORMA TÉCNICA PERUANA
NTP-ISO/IEC 27004 24 de 72
Puedan identificarse la medida de referencia base y un método de medición adecuado, y Basados en los valores obtenidos y en las medidas desarrolladas puedan desarrollarse resultados significativos. Las características de los atributos seleccionados determinan qué tipo de método de medición debe utilizarse para obtener los valores que se asignarán a las medidas de base (por ejemplo, cualitativos o cuantitativos). Debería documentarse el objeto seleccionado y sus atributos, junto con la justificación de la selección. Deberían utilizarse como valores a asignarse a las medidas de base, los datos describiendo el objeto de la medición y los atributos correspondientes. Ejemplos de objetos de medición incluyen, pero no están limitados a: -
Productos y servicios;
-
Procesos;
Activos aplicables tales como instalaciones, aplicaciones y sistemas de información como identifica la ISO/IEC 27001:2005 (Inventario de activos, A.7.1.1); -
Unidades de negocio;
-
Localizaciones geográficas y
-
Servicios de Terceras Partes.
Los atributos deben revisarse para asegurar que: a)
Los atributos apropiados han sido seleccionados para la medición y
b) La recopilación de datos ha sido definida para garantizar que se encuentre un número suficiente de atributos para permitir una medición efectiva.
PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
NORMA TÉCNICA PERUANA
NTP-ISO/IEC 27004 25 de 72
Sólo deben seleccionarse los atributos que son pertinentes para la medida de base. Aunque la selección de los atributos debería tener en cuenta el grado de dificultad en la obtención de los atributos a medir, no debería hacerse solo en los datos que se obtienen fácilmente, o el atributo es fácil de medir.
7.5
Desarrollo del constructor de medición
7.5.1
Visión General
Este apartado (7.5) guía el desarrollo del constructor de medición desde 7.5.2 (selección de la medida) hasta 7.5.8 (partes interesadas).
7.5.2
Selección de la Medida
Deberían identificarse las medidas que podrían satisfacer la necesidad de información seleccionada. Las medidas identificadas deben definirse con el detalle suficiente para permitir la selección de las medidas que deban implementarse. Las medidas recién identificadas pueden suponer una adaptación de una medida existente. NOTA: La identificación de las medidas de base está estrechamente relacionada con la identificación de los objetos de medición y sus atributos.
Deberían seleccionarse las medidas identificadas que podrían satisfacer la necesidad de información seleccionada. Además debe considerarse la información de contexto necesaria para interpretar o normalizar las medidas. NOTA: para hacer frente a una necesidad de información específica pueden ser seleccionadas muchas combinaciones diferentes de medidas (medidas de base, medidas derivadas e i ndicadores).
Las medidas seleccionadas deben reflejar la prioridad de la necesidad de información. Ejemplos de los criterios que pueden ser utilizados para la selección de medidas incluyen: -
Facilidad de recolección de datos;
-
Disponibilidad de recursos humanos para recoger y gestionar los datos; PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
NORMA TÉCNICA PERUANA
NTP-ISO/IEC 27004 26 de 72
-
Disponibilidad de herramientas adecuadas;
base;
Número de indicadores potencialmente pertinentes basados en la medida de
-
Facilidad de interpretación;
-
Número de usuarios de los resultados de la medición desarrollada;
La evidencia sobre la aptitud de la medida para el propósito o la necesidad de información, y -
7.5.3
Los costos de obtener, gestionar y analizar los datos.
Método de medición
Para cada medida de base debe ser definido un método de medición. Este método de medición se utiliza para cuantificar un objeto de medición a través de la transformación de los atributos en el valor asignado en a la medida de base. Un método de medición puede ser subjetivo u objetivo. Los métodos subjetivos se basan en la cuantificación, recabando la opinión humana, mientras que los métodos objetivos utilizan cuantificación base de reglas numéricas como el recuento de lo que puede ser aplicado a través de medios humanos o automatizados. El método de medición cuantifica los atributos como valores mediante la aplicación de una escala adecuada. Cada escala utiliza unidades de medida. Sólo las cantidades expresadas en la misma unidad de medida son comparables directamente. Para cada método de medición, debería establecerse y documentarse un proceso de verificación. Esta verificación debería garantizar un nivel de confianza en el valor que va a obtenerse aplicando un método de medición a un atributo del objeto de la medición y asignarse a una medida de base.
PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
NORMA TÉCNICA PERUANA
NTP-ISO/IEC 27004 27 de 72
Cuando sea necesario para obtener un valor válido, las herramientas utilizadas para obtener los atributos deben ser normalizadas y verificarse a intervalos especificados. Debería tenerse en cuenta la precisión del método de medición y registrarse la desviación o variación asociada. Un método de medición debe ser coherente (consistente) en el tiempo para que sean comparables los valores tomados en diferentes momentos y asignados a una medida base y para que también sean comparables los valores asignados a una medida derivada y a un indicador.
7.5.4
Función de medición
Para cada medida derivada debería definirse una función de medición que se aplique a dos o más valores asignados a las medidas base. Esta función de medición es utilizada para transformar los valores asignados a una o más medidas base en el valor a asignar a una medida derivada. En algunos casos, una medida base puede contribuir directamente al modelo de análisis, además de a una medida derivada. Una función de medición (por ejemplo, un cálculo) puede implicar una variedad de técnicas, como el promedio de todos los valores asignados a las medidas base, aplicar ponderaciones a los valores asignados a las medidas base, o la asignación de valores cualitativos a los valores asignados a las medidas base antes de agregarlo en el valor que se asignará a una medida derivada. La función de medición puede combinar medidas base usando diferentes escalas, tales como porcentajes y resultados de valoraciones cualitativas.
7.5.5
Modelo analítico
Para cada indicador, debería definirse un modelo de análisis con el propósito de la transformación de uno o más valores asignados a una medida base y / o derivada en el valor a asignar a un indicador. El modelo de análisis combina las medidas pertinentes de forma de producir una salida que sea significativo para partes interesadas.
PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
NORMA TÉCNICA PERUANA
NTP-ISO/IEC 27004 28 de 72
Al definir el modelo de análisis también deberían considerarse los criterios de decisión que se aplican a un indicador. A veces, un modelo de análisis puede ser tan simple como la transformación de un valor único asignado a una medida derivada en el valor que se asigna a un indicador.
7.5.6
Indicadores
Los valores que se asignan a los indicadores serán producidos por la agregación de los valores asignados a la medida derivada e interpretando esos valores basados en los criterios de decisión. Como parte del formato del informe por cada indicador que debería se informado al cliente debería definirse un formato de presentación del indicador (véase el apartado 7.7) Los formatos para la presentación de indicadores deberían representar visualmente las medidas y proporcionar una explicación verbal de los indicadores. Para satisfacer la necesidad de información del cliente los formatos para la presentación de indicadores deberían personalizarse.
7.5.7
Criterios de decisión
Los criterios de decisión correspondientes a cada indicador deberían definirse y documentarse en base a los objetivos de seguridad de la información, para proporcionar a los interesados pautas concretas. Para iniciar acciones de mejora basadas en el indicador estas pautas deberían atender a las expectativas de progreso y los umbrales. Los criterios de decisión establecen un objetivo (meta) por el cual se mide el éxito (véase el apartado 5.3) y proporcionar orientación sobre la interpretación del indicador en relación con su proximidad al objetivo (meta). Para cada elemento deberían establecerse los objetivos (metas) mirando el rendimiento de los procesos y controles del SGSI, el logro de los objetivos, y la eficacia del SGSI a ser evaluado.
PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
NORMA TÉCNICA PERUANA
NTP-ISO/IEC 27004 29 de 72
La dirección no puede decidir qué objetivos establecer para los indicadores hasta que los datos iniciales sean recogidos. Una vez basadas en los datos iniciales son identificadas las acciones correctivas, pueden definirse los criterios de decisión adecuados y las fases de aplicación realistas para un SGSI específicos. Si en este punto no pueden establecerse los criterios de decisión, la dirección debe evaluar si el objeto de medición y las correspondientes medidas están aportando el valor esperado por la o rganización. Puede facilitarse el establecimiento de criterios de decisión si están disponibles los datos históricos referidos a países desarrollados o a las medidas seleccionadas. Las tendencias observadas en el pasado ofrecerán información detallada de los rangos de rendimiento que han existido anteriormente y orientar para la creación de criterios de decisión realista. Los criterios de decisión pueden calcularse o basarse en una comprensión conceptual del comportamiento esperado. Los criterios de decisión pueden derivarse de los datos históricos, los planes, y la heurística, o calcularse como los límites de control estadístico o de los límites de confianza estadística.
7.5.8
Partes interesadas (stakeholders)
Deberían identificarse y documentarse las partes interesadas pertinentes para cada medida base y / o derivada. Partes interesadas pueden incluir lo siguiente: a) Cliente de la medición: la dirección u otras partes interesadas que soliciten o que requieran información acerca de la eficacia de un SGSI, los controles o el grupo de los controles; b) Revisor de la medición: la persona o unidad organizativa que valida que el constructor de medición desarrollado es apropiado para evaluar la eficacia de un SGSI, los controles o el grupo de los controles; c) propietario de la Información: la persona o unidad organizativa que posee la información sobre un objeto de medición y los atributos y es responsable de la medición; d) Colector de información: la persona o unidad organizativa responsable de recopilar, registrar y almacenar los datos, y e) Comunicador de información e): la persona o unidad organizativa responsable de analizar los datos y comunicar los resultados de la medición.
PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
NORMA TÉCNICA PERUANA
7.6
NTP-ISO/IEC 27004 30 de 72
Constructor de medición
Como mínimo, la especificación del constructor de medición debería contener la siguiente información: a)
Propósito de la medición;
b) Objetivo de control que debería alcanzarse con los controles y los controles específicos, el grupo de los controles y procesos del SGSI que debe medirse; c)
Objeto de la medición;
d)
Los datos a recoger y utilizar;
e)
Procesos para la recogida de datos y el análisis;
f) Proceso para informar de los resultados de la medición, incluyendo los formatos de los informes; g)
Los roles y responsabilidades de las partes interesadas pertinentes, y
h) Un ciclo de revisión de la medición para garantizar su utilidad en relación con una necesidad de información. El Anexo A proporciona un ejemplo de constructor de medición genérico que incorpora los puntos a) al h). El Anexo B proporciona ejemplos de constructores de medición aplicados a la medición de los procesos y los controles del SGSI.
7.7
La recolección de datos, análisis y presentación de informes
Deberían establecerse procedimientos para la recolección y análisis de datos, y los procesos para informar los resultados de la medición desarrollada. Si es necesario también deberían establecerse herramientas de apoyo, equipos de medición y tecnologías. Estos procedimientos, herramientas, equipos de medición y tecnologías deberían guiar las siguientes actividades: a) La recopilación de datos, incluyendo el almacenamiento de datos y la verificación (véase el apartado 8.3). Los procedimientos deberían identificar cómo los datos serán recogidos por el método de medición, la función de medición y el PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
NORMA TÉCNICA PERUANA
NTP-ISO/IEC 27004 31 de 72
modelo de análisis, así como y dónde se almacenarán junto con cualquier información de contexto necesaria para comprender y comprobar los datos. La verificación de los datos puede realizarse mediante la inspección de los datos contra una lista de control que se construye para verificar que los datos faltantes son mínimos, y que el valor a ser asignado a cada medida es válido. NOTA: La verificación de los valores que se asignarán a las medidas de base está estrechamente relacionada con la verificación del método de medición (véase el apartado 7.5.3).
b) Análisis de datos y presentación de informes de los resultados de la medición desarrollada. Los procedimientos deberán especificar las técnicas de análisis de datos (véase el aparatado 9.2), y la frecuencia, el formato y los métodos para informar de los resultados de la medición. Deberían identificarse la variedad de herramientas que pueden ser necesarias para realizar el análisis de datos. Ejemplos de formatos de informes incluyen: Tableros para proporcionar información estratégica mediante la integración de indicadores de alto nivel; Cuadros de mando ejecutivos y operacionales menos centrados en los objetivos estratégicos y más ligados a la eficacia de los controles y procesos específicos; Informes, desde los simples y estáticos por la naturaleza, hasta reportes más sofisticados de tablas cruzadas una lista de medidas para un período de tiempo determinado, para cruzar más sofisticados con la agrupación anidada, resúmenes de rodadura y de perforación dinámica a través de o vinculación. Los informes se utiliza mejor cuando el usuario tiene que mirar los datos en bruto en un formato fácil de leer el formato, y Indicadores para representar valores dinámicos incluidas las alertas, otros elementos gráficos y etiquetado de los puntos finales (extremos.)
7.8
Implementación y documentación de la medición
En un plan de implementación debería documentarse el enfoque global de la medición. El plan de implementación debería incluir como mínimo la siguiente información: a) El Programa de Medición de Seguridad de la Información implementado para la organización;
PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
NORMA TÉCNICA PERUANA
NTP-ISO/IEC 27004 32 de 72
b)
Especificación de la medición incluyendo:
c)
constructores de mediciones genéricos de la organización;
d)
constructores de mediciones individuales de la organización, y
e) datos;
definición del alcance y los procedimientos para la recopilación y análisis de
f) el calendario (cronograma) de plan para llevar a cabo actividades de medición; g) Los registros creados realizando actividades de medición, incluidos los datos recopilados y el análisis de los registros; y h) los formatos de los informes de presentación de resultados de la medición a ser informados a la dirección / partes interesadas (véase ISO / IEC 27001:2005 el capítulo 7, "Revisión de la gestión").
8.
OPERACIÓN DE MEDICIÓN
8.1
Visión general
La operación de medición de la seguridad de la información incluye actividades que son esenciales para asegurar que los resultados de la medición desarrollada proporcionan información precisa con respecto a la eficacia del SGSI implementado, los controles o el grupo de los controles y las necesidades de acciones de mejora apropiadas. Esta actividad incluye lo siguiente: a) SGSI.
Integrar procedimientos de medición en el funcionamiento general del
b)
Recolectar, almacenar y verificar los datos.
PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
NORMA TÉCNICA PERUANA
8.2
NTP-ISO/IEC 27004 33 de 72
Procedimiento de integración
El Programa de Medición de Seguridad de la Información debe estar plenamente integrado y ser utilizado por el SGSI. Los procedimientos de medición deberían coordinarse con el funcionamiento del SGSI, incluyendo: a) Definición y documentación de las funciones, autoridad y responsabilidad, viendo el desarrollo, implementación y mantenimiento de la medición de la seguridad de la información; b) Recolección de los datos y, en caso necesario, modificación del funcionamiento actual del SGSI para dar cabida a la generación de datos y recogida de las actividades; c) Comunicación de los cambios en las actividades de recolección de datos a las partes interesadas; d) Mantenimiento de la competencia de los recolectores de la información y la comprensión de los tipos de datos necesarios, herramientas de recolección de datos y procedimientos de recolección; e) Desarrollo de políticas y procedimientos que definen el uso de la medición dentro de la organización, la difusión de la información de la medición, auditoría y revisión del Programa de Medición de Seguridad de la información; f) Integración del análisis de datos y la presentación de informes en los procesos pertinentes para asegurar su funcionamiento regular; g)
Seguimiento, revisión y evaluación de los resultados de la medición;
h) Establecimiento de un proceso para la eliminación de las medidas y el agregado de nuevas medidas para garantizar que evolucionan con la organización, y i) Establecimiento de un proceso para determinar la vida útil de los datos históricos para el análisis de tendencias.
8.3
Recolección, almacenamiento y verificación de Datos
Las actividades de recolección, almacenamiento y verificación de los datos incluyen:
PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
NORMA TÉCNICA PERUANA
NTP-ISO/IEC 27004 34 de 72
a) Recolectar los datos requeridos en intervalos regulares utilizando un método de medición designado; b)
Documentar la recolección de datos, incluyendo: 1)
fecha, hora y lugar de la recolección;
2)
recolector de la información;
3)
propietario de la información;
4) cualquier situación que ocurra durante la recolección de datos que pueda ser útil; 5)
información para la verificación de datos y validación de medición; y
c) Verificación de los datos recolectados contra el criterio de medición seleccionado y el criterio de validación del constructor de medición. Los datos recolectados y cualquier información de contexto necesaria deberían ser consolidados y almacenados en un formato de almacenamiento propicio para el análisis de datos.
9. ANÁLISIS DE DATOS Y REPORTE DE LOS RESULTADOS DE LA MEDICIÓN 9.1
Visión general
Los datos recolectados deberían ser analizados para desarrollar resultados de la medición y los resultados de la medición desarrollados deberían ser comunicados. Esta actividad incluye lo siguiente: a)
Analizar los datos y desarrollar los resultados de las mediciones; y
b) Comunicar los resultados de las mediciones a las partes interesadas pertinentes.
PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
NORMA TÉCNICA PERUANA
9.2
NTP-ISO/IEC 27004 35 de 72
Analizar los datos y desarrollar resultados de las mediciones
Los datos recolectados deberían ser analizados e interpretados en términos de los criterios de decisión. Los datos deberían ser agregados, transformados o re-codificados previo al análisis. Durante esta tarea, los datos deberían ser procesados para producir los indicadores. Pueden ser aplicadas un número de técnicas de análisis. La profundidad del análisis debería ser determinado por la naturaleza de los datos y de la necesidad de información. NOTA: Una guía para la realización de análisis estadístico puede encontrarse en la norma ISO TR 10017 (Guía de técnicas estadísticas para la norma ISO 9001).
El resultado del análisis de los datos debería ser interpretado. La persona analizando los resultados (comunicador) debería ser capaz de sacar algunas conclusiones iniciales basado en los resultados. Sin embargo, como el comunicador puede no estar directamente involucrado en el proceso técnico y de gestión, estas conclusiones necesitan ser revisadas por las partes interesadas. Todas las interpretaciones deberían tener en cuenta el contexto de las mediciones. El análisis de los datos debe identificar “distancias/diferencias”(gaps) entre los resultados de las mediciones esperadas y las actuales, de un SGSI implementado, controles o grupos de controles. Las distancias identificadas indicarán las necesidades de mejora de el SGSI implementado, incluyendo su alcance, políticas, objetivos, controles, procesos y procedimientos. Aquellos indicadores que demuestren no-conformidad o un pobre rendimiento deberían ser identificados y pueden ser clasificados como sigue: a) Falla en la implementación del plan de tratamiento de riesgos o en implementar, operar y gestionar los controles o procesos del SGSI suficientemente. (e.j., controles y procesos del SGSI pueden ser “bypassed” por las amenazas); b)
Falla en la evaluación del riesgo: PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
NORMA TÉCNICA PERUANA
NTP-ISO/IEC 27004 36 de 72
1) Los controles o procesos del SGSI son inefectivos porque son insuficientes para contar las amenazas estimadas (Por ejemplo: porque la probabilidad de las amenazas fue subestimada) o las nuevas amenazas; 2) Controles o procesos del SGSI no fueron implementados, porque se pasaron por alto amenazas. Los reportes que son usados para comunicar los resultados de las mediciones a las partes interesadas pertinentes, deberían ser preparados utilizando formatos de reporte apropiados (véase el apartado 7.7) de acuerdo con el plan de implementación del Programa de Medición de Seguridad de la Información. Las conclusiones del análisis deberían ser revisadas por las partes interesadas pertinentes para asegurar la apropiada interpretación de los datos. Los resultados del análisis de los datos deberían ser documentados para la comunicación a las partes interesadas.
9.3
Comunicar los resultados de las mediciones
Los comunicadores de la información deberían determinar cómo comunicar los resultados de las mediciones de seguridad, tales como: Cuáles resultados de medición serán reportados internamente y externamente; Listar las medidas correspondientes a las partes interesadas individuales y partes interesadas; Resultados de mediciones específicos a ser provistos, y el tipo de presentación, adaptado a las necesidades de cada grupo; y Medios para la obtención de retroalimentación de las partes interesadas, a ser utilizadas para la evaluación de la utilidad de los resultados de las mediciones y de la efectividad del Programa de Medición de Seguridad de la Información. Los resultados de las mediciones deberían ser comunicados a una variedad de partes interesadas incluyendo pero no limitándose a: -
Clientes de la medición (véase el apartado 7.5.8); PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
NORMA TÉCNICA PERUANA
-
NTP-ISO/IEC 27004 37 de 72
Dueños de la información (véase el apartado 7.5.8);
Personal a cargo de la gestión de seguridad de la información, especialmente donde se han identificado fallas en la evaluación de riesgo; y -
Personal responsable de las áreas identificadas con necesidad de mejora.
Se puede requerir, en algunos casos, a la organización la distribución de los reportes de resultados de las mediciones a partes externas, incluyendo autoridades reguladoras, accionistas, clientes, y proveedores. Es recomendable que los reportes de los resultados de las mediciones sean aprobados por la dirección y por las partes interesadas pertinentes, antes de ser liberados.
10. EVALUACIÓN Y MEJORA DEL PROGRAMA DE MEDICIÓN DE SEGURIDAD DE LA INFORMACIÓN 10.1
Visión general
La organización debería evaluar a intervalos planificados lo siguiente: a) La efectividad del Programa de Medición de Seguridad de la Información implementado para asegurar que el mismo: 1)
Produce resultados de las mediciones de forma efectiva;
2)
Se ejecuta según lo planificado;
3)
Considera los cambios en el SGSI y/o controles implementados;
4) Considera los cambios en el entorno (e.j. Requerimientos, legislación, o tecnología); y b) Utilidad de los resultados de las mediciones desarrolladas para garantizar que satisfacen las necesidades de la información pertinente. La dirección debería especificar la frecuencia de esta evaluación, planificar revisiones periódicas y establecer los mecanismos para hacer estas revisiones posibles (véase el apartado 7.2 de la norma ISO/IEC 27001:2005). PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
NORMA TÉCNICA PERUANA
NTP-ISO/IEC 27004 38 de 72
Las actividades pertinentes deberían ser las siguientes: 1) Identificar los criterios de evaluación para el Programa de Medición de Seguridad de la Información (véase el apartado 10.2); 2)
Monitorear, revisar y evaluar las mediciones (véase el apartado 10.3); e
3)
Implementar las mejoras (véase el apartado 10.4).
10.2 Identificación de criterios de evaluación para el Programa de Medición de Seguridad de la Información La organización debería definir el criterio para evaluar la efectividad del Programa de Medición de Seguridad de la Información, así como la utilidad de los resultados de las mediciones desarrolladas. El criterio debería definirse al comienzo de la implementación del Programa de Medición de Seguridad de la Información, teniendo en cuenta el contexto de los objetivos técnicos y de negocio de la organización. Los criterios más probables cuando las organizaciones deben evaluar y mejorar el Programa de Medición de Seguridad de la Información implementado son: -
Cambios en los objetivos del negocio de la organización;
Cambios en requerimientos legales o reguladores y obligaciones contractuales en seguridad de la información; Cambios en los requerimientos de seguridad de la información de la organización; -
Cambios en los riesgos de seguridad de la información de la organización;
Incremento en la disponibilidad de datos y/o métodos más refinados o adecuados para la recolección de datos para propósitos de medición; y -
Cambios en el objeto de la medición y/o sus atributos;
Los siguientes criterios pueden aplicar para evaluar los resultados de las mediciones desarrolladas:
PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
NORMA TÉCNICA PERUANA
a)
NTP-ISO/IEC 27004 39 de 72
Los resultados de las mediciones son: 1)
Fáciles de entender;
2)
Comunicados en tiempo; y
3)
Objetivos, comparables y reproducibles.
b)
Los procesos establecidos para el desarrollo de las mediciones son: 1)
Bien definidos;
2)
Fáciles de operar; y
3)
Seguidos correctamente.
c) Los resultados de las mediciones son útiles para mejorar la seguridad de la información d) Los resultados de las mediciones consideran las correspondientes necesidades de la información.
10.3 Monitorear, revisar y evaluar el Programa de Medición de Seguridad de la Información La organización debería monitorear, revisar y evaluar su Programa de Medición de Seguridad de la Información con el criterio establecido (véase 10.2). La organización debería identificar sus necesidades de mejora del Programa de Medición de Seguridad de la Información, incluyendo: a) Revisar o remover los constructores de medida adoptados que ya no son adecuados; y b) Re-ubicar los recursos para soportar el Programa de Medición de Seguridad de la Información. La organización debería identificar las necesidades potenciales de mejora del SGSI implementado, incluyendo su alcance, políticas, objetivos, controles, procesos y PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
NORMA TÉCNICA PERUANA
NTP-ISO/IEC 27004 40 de 72
procedimientos; y documentar las decisiones de gestión para permitir comparar y analizar la tendencia durante las revisiones subsecuentes. Los resultados de esta evaluación y las necesidades potenciales de mejora identificados, deberían ser comunicados a las partes interesadas relevantes para permitir la toma de decisiones con respecto a las mejoras necesarias. La organización debería garantizar la retroalimentación de las partes interesadas, en los resultados de esta evaluación y en las necesidades potenciales de mejora identificadas. La organización debería comprender que la retroalimentación es una de las entradas relacionadas con la efectividad del Programa de Medición de Seguridad de la información.
10.4
Implementar mejoras
La organización debería garantizar que las partes interesadas relevantes identificaran las mejoras necesarias del Programa de Medición de Seguridad de la Información (véase el apartado 7.3 e) de la norma ISO/IEC 27001). Las mejoras identificadas deberían ser aprobadas por la gerencia. El plan aprobado debería ser documentado y comunicado a las partes interesadas apropiadas. La organización debería garantizar que las mejoras aprobadas del Plan de Medición de Seguridad de la Información se implementen según lo planificado. La organización podría aplicar técnicas de gestión de proyectos para lograr las mejoras.
PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
NORMA TÉCNICA PERUANA
NTP-ISO/IEC 27004 41 de 72
ANEXO A (INFORMATIVO)
PLANTILLA PARA UN CONSTRUCTOR DE MEDICIÓN DE SEGURIDAD DE LA INFORMACIÓN El anexo A provee una plantilla ejemplo para un constructor de medición que incluye todos los componentes identificados en el apartado 7.5 como se describen en el apartado 5.4. Las organizaciones pueden modificar la plantilla de acuerdo a sus requerimientos. Identificación del Constructor de Medición Nombre del Constructor de Nombre de la Medición Medición Identificador Numérico Identificador numérico único, específico para la organización Describe las razones para introducir la medición. Propósito del Constructor de Medición Objetivo de control/proceso Objetivo de control/proceso bajo medición (planificado o implementado) Control (1)/proceso (1) Control/proceso bajo medición Control (2)/proceso (2) Opcional: controles/procesos adicionales dentro de la agrupación incluido en la misma medida, si aplica (planificado o implementado). Objeto de la Medición y Atributos Objeto de la Medición Objeto (entidad) que se caracteriza a través de la medición de sus atributos. Un objeto puede incluir procesos, planes, proyectos, recursos, y sistemas o componentes de sistemas. Atributo Propiedad o característica de un objeto de medición que se puede distinguir cuantitativamente o cualitativamente por medios humanos o automatizados. Especificación de la Medida Base (para cada medida [1...n]) Medida Base Una medida base se define en términos de un atributo y el método de medición especificado para cuantificarlo (por ejemplo, número de personas c apacitadas, número de sitios, costo acumulado a la fecha). Según se recogen los datos, se asigna un valor a la medida base. Método de Medición Secuencia lógica de operaciones utilizada para cuantificar un atributo con respecto a una escala especificada. Tipo de Método de Medición Dependiendo de la naturaleza de las operaciones utilizadas para cuantificar un atributo, se pueden distinguir dos tipos de métodos: Subjetivo: cuantificación que involucra el juicio humano. Objetivo: cuantificación basada en reglas numéricas, como contar. Escala Conjunto ordenado de valores o categorías a las cuales se asigna el atributo de las medidas base. Tipo de Escala Se definen comúnmente cuatro tipos de escala, dependiendo de la naturaleza de la relación entre los valores de la escala: Nominal, Ordinal, Intervalo y Ratio. Unidad de Medida Cantidad particular, definida y adoptada por convención, con la cual cualquier otra cantidad del mismo tipo puede ser comparada para expresar la relación de las dos cantidades como un número.
PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
NORMA TÉCNICA PERUANA
NTP-ISO/IEC 27004 42 de 72
Especificación de la Medida Derivada Medida Derivada Una medida que es derivada como una función de dos o más medidas base. Función de Medición Algoritmo o cálculo realizado para combinar dos o más medidas. La escala y unidad de la medida derivada depende de las escalas y unidades de l as medidas base, de las cuales está compuesta así como también de cómo son combinadas por la función. Especificación del Indicador Indicador Medida que provee una estimación o evaluación de los atributos especificados derivados de un modelo analítico con respecto a una definida necesidad de información. Los indicadores son la base para el análisis y la toma de decisiones. Modelo Algoritmo o cálculo que combina una o más medidas base o derivada con un criterio de decisión asociado. Se basa en la comprensión, o la suposición de, Analítico la relación esperada entre la medida base o derivada o su comportamiento a lo largo del tiempo. Un modelo analítico produce estimaciones o evaluaciones relevantes a una definida necesidad de información. Especificación de los Criterios de Decisión Criterio de Decisión Umbrales, objetivos o modelos utilizados para determinar la necesidad de una acción o investigación, o para describir el nivel de confianza en un determinado resultado. Criterios de decisión para ayudar a interpretar los resultados de la medición. Resultados de la Medición Interpretación del Indicador Un descriptor de cómo el indicador de la muestra (véase figura de l a muestra en descripción del indicador) debería ser interpretado. Formatos de Reporte Los formatos de reporte deberían ser identificados y documentados. Describen las observaciones que la organización o el propietario de la i nformación pueden querer registrar. Los formatos de los reportes mostrarán visualmente las medidas y proveerán una explicación verbal de los indicadores. Los formatos de los reportes deberían ser personalizados para la información del cliente. Partes interesadas Cliente de la medición La dirección u otra parte interesada que solicite o requiera información sobre la efectividad del SGSI, controles o grupos de controles. Revisor de medición Persona o unidad organizacional que valida que los Constructores de Medición desarrollados son apropiados para evaluar la efectividad de un SGSI, controles o grupos de controles. Dueño de la Información Persona o unidad organizacional que es dueña de la información sobre un objeto de medición y sus atributos, y es responsable por la medición. Recolector de la información Persona o unidad organizacional responsable de recolectar, registrar y almacenar los datos. Comunicador de la información Persona o unidad organizacional responsable de analizar los datos y comunicar los resultados de las mediciones. Frecuencia/Periodo Frecuencia de la Recolección de Con que frecuencia se recolectan los datos. Datos Frecuencia del Análisis de los Con que frecuencia se analizan los datos Datos Frecuencia de reporte de los Con que frecuencia se reportan los resultados de las mediciones (esto puede resultados de las mediciones ser menos frecuente que la recolección de datos). Revisión de la Medición Fecha de revisión de la medición ( (vencimiento o renovación de validez de la medición) Período de Medición Define el período que se mide.
PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
NORMA TÉCNICA PERUANA
NTP-ISO/IEC 27004 43 de 72
ANEXO B (INFORMATIVO)
EJEMPLOS DE CONSTRUCTORES DE MEDICIÓN Los siguientes apartados proveen ejemplos de Constructores de Medición. Estos ejemplos tienen la finalidad de mostrar cómo aplicar esta Norma Técnica Peruana utilizando la plantilla provista en el Anexo A.
Tabla de contenidos B.1 B.1.1 B.1.2 B.1.3 B.2 B.2.1 B.2.2 B.3 B.4 B.4.1 B.4.2 B.5 B.6 B.7 B.8 B.9 B.10
Formación en SGSI Personal formado en SGSI Formación en Seguridad de la Información Cumplimiento de la Concientización en Seguridad de la Información Políticas de Contraseñas Calidad de las contraseñas - manual Calidad de las contraseñas - automatizado Proceso de revisión del SGSI Mejora continua del SGSI Efectividad de la Gestión de Incidentes de Seguridad de la Información Implementación de Acciones Correctivas Compromiso de la Dirección Protección Contra Código Malicioso Controles de Acceso Físico Revisión de Archivos de Registro Gestión de Mantenimiento Periódico Seguridad en Acuerdos con Terceras Partes
Ejemplos de Constructor de Procesos y Controles Relacionados Medición (Apartado de ISO/IEC 27001:2005 o relacionados número de control en Anexo A) (referencias a este Anexo) Apartado 4.2.2 h) B.4.1 Apartado 5.2.2 d) Apartado 8.2 Control A.6.1.8 Control A.6.1.1 y A.6.1.2
B.1.1 B.4.2 B.3 B.5
Ejemplo de nombres de Constructores de Medición Efectividad de la Gestión de Incidentes de Seguridad de la Información Personal formado en SGSI Implementación de Acciones Correctivas Proceso de Revisión del SGSI Compromiso de la Dirección
PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
NORMA TÉCNICA PERUANA
NTP-ISO/IEC 27004 44 de 72
Control A.6.2.3
B.10
Control A.8.2. y A.8.2.2 Control A.8.2. y A.8.2.2
B.1.2 B.1.3
Control A.9.1.2 Control A.9.2.4
B.7 B.9
Control A.10.4.1 Control A.10.10.1 y A.10.10.2 Control A.11.3.1 Control A.11.3.1
B.6 B.8 B.2.1 B.2.2
B.1
Formación en SGSI
B.1.1
Personal formado en SGSI
Seguridad en los acuerdos con terceras partes Formación en Seguridad de la Información Cumplimiento con la concientización en seguridad de la información Controles de acceso físico Gestión del mantenimiento periódico Protección contra código malicioso Revisión de archivos de registro Calidad de las contraseñas - manuales Calidad de las contraseñas - automatizadas
Identificación del Constructor de Medición Personal formado en SGSI Nombre del Constructor de Medición Identificador numérico Específico de la Organización Propósito del Constructor de Para establecer conformidad con la política de seguridad de la Medición información de la organización. Proceso /Objetivo de control Apartado 5.2.2 [27001:2005]. Formación, toma de conciencia y competencia Control (1)/proceso (1) Apartado 5.2.2.d [27001:2005]. Formación, toma de conciencia y competencia. La organización debe asegurar que todo el personal al que se asigne responsabilidades definidas en el SGSI sea competente para realizar las tareas exigidas, mediante: d) el mantenimiento de registros de la educación, formación, habilidades, experiencia y calificaciones. Objeto de la Medición y Atributos Objeto de la Medición Base de datos de empleados Atributo Registros de capacitación Especificación de la Medida Base (1) Medida Base Número de empleados que recibieron capacitación en SGSI de acuerdo al plan anual de capacitación del SGSI. Número de empleados que deben recibir capacitación en SGSI. Método de Medición Contar registros/logs en los cuales el campo/fila capacitación esté identificado como “Recibido”. Objetivo Tipo de Método de Medición Escala Numérico Tipo de escala Ratio Unidad de Medida Empleado Especificación de la Medida Derivada Medida Derivada Porcentaje de personal capacitado en SGSI Función de Medición Número de empleados que reciben capacitación en SGSI/número de empleados que tienen que recibir capacitación en SGSI * 100.
PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
NORMA TÉCNICA PERUANA
NTP-ISO/IEC 27004 45 de 72
Especificación del indicador Indicador
Uso de código de colores con identificadores de colores. Gráfica de barras representando el cumplimiento a lo largo de varios períodos de reporte en relación con los umbrales (rojo, amarillo, verde) definidos por el Modelo Analítico. El número de períodos de reporte que se utilizará en la gráfica debería ser definido por la organización. Modelo 0-60 %-Rojo; 60-90 %-Amarillo; 90-100 %Verde. Para el Amarillo, si Analítico no se logra un progreso de al menos un 10 % por trimestre, la clasificación se pasa a Rojo en forma automática Especificación de los Criterios de Decisión Criterios de Decisión Rojo - requiere intervención, se debe conducir un análisis de causalidad para determinar las razones de no cumplimiento y bajo desempeño Amarillo - el indicador debe ser vigilado de cerca debido a posibles desplazamiento al Rojo Verde - no se requieren acciones Resultados de la Medición Interpretación del Indicador Específicos de la organización. Formatos de reporte Gráfica de barras con barras de código de colores basados en los criterios de decisión. Se deberían adjuntar a la gráfica de barras, pequeños resúmenes del significado de las medidas y las posibles acciones de la dirección. Partes interesadas Cliente de la Medición Gerentes responsables del SGSI Revisor de la medición Gerentes responsables del SGSI Dueño de la información Gerente de capacitación – Recursos Humanos Recolector de la información Gerencia de Capacitación – Departamento de Recursos Humanos. Comunicador de la información Gerentes responsables del SGSI Frecuencia/Período Frecuencia de la Recolección de Mensualmente, el primer día laboral del mes. datos Frecuencia del Análisis de los Trimestral Datos Trimestral Frecuencia de reporte de los resultados de las mediciones Revisión de la medición Revisión anual Período de Medición Anual
B.1.2
Formación en seguridad de la información
Identificación del Constructor de Medición Formación en seguridad de la información Nombre del Constructor de Medición Identificador numérico Específico de la Organización Evaluar el cumplimiento con los requisitos de formación en Propósito del Constructor de concientización de seguridad de la información Medición Objetivo de control/proceso A.8.2 Durante el empleo Objetivo: asegurar que los empleados, contratistas y usuarios de terceras partes sean conscientes de las amenazas y la pertinencia de la
PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
NORMA TÉCNICA PERUANA
Control (1)/proceso (1)
NTP-ISO/IEC 27004 46 de 72
seguridad de la información, de sus responsabilidades y obligaciones, y estén equipados para sustentar la política de seguridad de la organización en el curso de su trabajo normal, y para reducir el ri esgo de errores humanos. A.8.2.2 [27001:2005]. Concientización, educación y formación en seguridad de la información Todos los empleados de la organización, y en donde sea pertinente, los contratistas y usuarios de terceras partes, deben recibir formación adecuada en concientización y actualizaciones regulares en políticas y procedimientos organizacionales, relevantes para su función laboral.
Control (2)/proceso (2) Objeto de la Medición y Atributos Objeto de la Medición Base de datos de empleados Atributo Registros de formación Especificación de la Medida Base (1) Medida Base Número de empleados que han recibido anualmente formación de concientización en seguridad de la información Número de empleados que necesitan recibir formación anual de concientización en seguridad de la información Método de Medición Contar logs/registro con el campo/fila correspondiente a formación anual de concientización en seguridad de la información completado como "Recibido" Objetivo Tipo de Método de Medición Escala Numérico Tipo de escala Ratio Unidad de Medida Empleado Especificación de Medida Derivada Medida Derivada Porcentaje del personal que ha recibido entrenamiento anual de concientización en seguridad de la información Función de Medición Número de empleados que han recibido entrenamiento anual de concientización en seguridad de la información/número de empleados que necesitan recibir entrenamiento anual de concientización en seguridad de la información * 100 Especificación del indicador Indicador Gráfico de barras que represente el cumplimiento durante varios períodos en relación a los umbrales (rojo, amarillo, verde, con identificador de color) definidos por el Modelo analítico. El número de períodos de reporte a usar en el gráfico debería ser definido por la organización Modelo Analítico
0-60%-Rojo; 60-90%-Amarillo; 90-100%Verde. Para el Amarillo, si no se logra un progreso de al menos un 10% por trimestre, la clasificación se pasa a Rojo en forma automática
Especificación de los Criterios de Decisión Criterios de Decisión Rojo - requiere intervención, se debe conducir un análisis de causalidad para determinar las razones de no cumplimiento y bajo desempeño Amarillo - el indicador debe ser vigilado de cerca debido a posibles desplazamiento al Rojo Verde - no se requieren acciones
PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
NORMA TÉCNICA PERUANA
Resultados de la Medición Interpretación del Indicador Formatos de reporte
Partes interesadas Cliente de la Medición Revisor de la medición Dueño de la información Recolector de la información Comunicador de la información Frecuencia/Período Frecuencia de la Recolección de datos Frecuencia del Análisis de los Datos Frecuencia de reporte de los resultados de las mediciones Revisión de la medición Período de Medición
B.1.3
NTP-ISO/IEC 27004 47 de 72
Específicos de la organización. Grafica de barras con barras de código de colores basados en los criterios de decisión. Se deberían adjuntar a la gráfica de barras, pequeños resúmenes del significado de las medidas y las posibles acciones de la dirección. Gerentes responsables del SGSI. Gerente de Seguridad. Gerente de capacitación Gerente de Seguridad Oficial de Seguridad de la Información y Gerente de capacitación Gerente de capacitación - Departamento de Recursos Humanos Gerentes responsables del SGSI Mensualmente, el primer día laboral del mes. Trimestral Trimestral Revisión anual Anual
Cumplimiento de la Concientización en Seguridad de la Información
Identificación del Constructor de Medición Cumplimiento con la políti ca de concientización en seguridad de la Nombre del Constructor de información Medición Identificador numérico Propósito del Constructor de Medición
Específico de la Organización Evaluar el estado del cumplimiento con la política de concientización en seguridad de la organización entre el personal relevante
Objetivo de control/proceso
A.8.2 Durante el empleo Objetivo: asegurar que los empleados, contratistas y usuarios de terceras partes sean conscientes de las amenazas y la pertinencia de la seguridad de la información, de sus responsabilidades y obligaciones, y estén equipados para sustentar la política de seguridad de la organización en el curso de su trabajo normal, y para reducir el ri esgo de errores humanos. A.8.2.2 Todos los empleados de la organización, y en donde sea pertinente, los contratistas y usuarios de terceras partes, deben recibir formación adecuada en concientización y actualizaciones regulares en políticas y procedimientos organizacionales, relevantes para su función laboral.
Control (1)/proceso (1)
(Implementación) Todo el personal relevante para el SGSI debe recibir formación de concientización en seguridad de la información antes de que se le conceda acceso a sistemas de información. La formación incluye.....
PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
NORMA TÉCNICA PERUANA
NTP-ISO/IEC 27004 48 de 72
Control (2)/proceso (2)
A.8.2.1 La dirección debe exigir a los empleados, contratistas y usuarios de terceras partes aplicar la seguridad de acuerdo con las políticas y procedimientos establecidos por la organización. (Implementación) Todo el personal relevante para el SGSI debe firmar acuerdos de usuario antes de garantizarle acceso a un sist ema de información
Objeto de la Medición y Atributos Objeto de la Medición 1.1 Plan/agenda de formación de concientización en seguridad de la información 1.2 Personal cuya formación se ha completado o está en curso 2.1 Plan/agenda para firmar acuerdos de usuario 2.2 Personal que tiene acuerdos firmados Atributo 1.1 Personal identificado en el plan 1.2 Estado del personal con respecto a la formación 2.1 Personal identificado en el plan para firmar 2.2 Estado del personal respecto de la firma de acuerdos Especificación de la Medida Base (1) Medida Base 1.1 Número de empleados planificados hasta la fecha 1.2 Número de empleados que han firmado 2.1 Número de empleados planificados para firmar hasta la fecha 2.2 Número de empleados que han firmado hasta la fecha Método de Medición 1.1 Contar el número de empleados agendados para firmar y completar la formación hasta la fecha 1.2 Preguntar al responsable por el porcentaje del personal que ha completado la formación y ha firmado 2.1 Contar el número de empleados agendados para firmar hasta la fecha 2.2 Contar el número de empleados que han firmado el acuerdo de usuario 1.1 Objetivo Tipo de Método de Medición 1.2 Subjetivo 2.1 Objetivo 2.2 Objetivo Escala 1.1 Enteros de cero a infinito 1.2 Enteros de cero a cien 2.1 Enteros de cero a infinito 2.2 Enteros de cero a infinito Tipo de escala 1.1 Ordinal 1.2 Razón 2.1 Ordinal 2.2 Ordinal Unidad de Medida 1.1 Personal 1.2 Porcentaje 2.1 Personal 2.2 Personal Especificación de Medida Derivada Medida Derivada 1. Progreso hasta la fecha 2. Progreso de firmados hasta la fecha Función de Medición 1. Agregar el estado a todo el personal que ha firmado, planificado y por completar hasta la fecha 2. Dividir el personal que ha firmado hasta la fecha por el personal planificado para firmar hasta la fecha
PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
NORMA TÉCNICA PERUANA
Especificación del indicador Indicador Modelo Analítico
NTP-ISO/IEC 27004 49 de 72
a) Estado expresado como una combinación de razones y b) Tendencias a) [(Dividir el progreso hasta la fecha por personal planificado hasta la fecha) * 100] y progreso hasta la fecha con firmados b) Comparar el estado con estados anteriores
Especificación de los Criterios de Decisión Criterios de Decisión a) Las razones resultantes deben caer entre 0.9 y 1.1 y entre 0.99 y 1.01 respectivamente para concluir que el objetivo de control se ha logrado y que no se necesitan acciones y b) La tendencia debe ser ascendente o estable Resultados de la Medición Interpretación del Indicador La interpretación del indicador a) debe realizarse como sigue: -El criterio de la organización para el cumplimiento con la política de concientización en seguridad de la organización se ha logrado en forma satisfactoria en 0.9≤1er razón≤1.1 y 0.99≤2da razón≤1.01; correspondientes a la fuente estándar -El criterio de la organización no se ha logrado satisfactoriamente entre [1er razón<0.9 o 1er razón>1.01] y 0.99≤2da razón≤1.01; correspondiente a fuente itálica -El criterio de la organización no se ha logrado entre [2da razón<0.99 o 2da razón>1.01]; correspondiente a fuente en negrita La interpretación del indicador b) debe realizarse como sigue: -Una tendencia ascendente indica una mejora en el cumplimiento, una tendencia descendente indica un deterioro en el cumplimiento. El grado de cambio de la tendencia puede proveer una idea de la efectividad de la implementación del control. Cambios bruscos en cualquier dirección indica que la implementación del control requiere un examen cercano para determinar la causa. Las tendencias negativas pueden requerir intervención de la gerencia. Las tendencias positivas deben ser examinadas para identificar buenas prácticas potenciales. Formatos de reporte Fuente estándar = el criterio ha sido logrado satisfactoriamente Fuente itálica = el criterio no ha sido logrado satisfactoriamente Fuente negrita = el criterio no ha sido logrado Partes interesadas Cliente de la Medición Gerentes responsables del SGSI. Gerente de seguridad. Gerente de capacitación Revisor de la medición Gerente de Seguridad Dueño de la información Oficial de Seguridad de la Información y Gerente de capacitación Recolector de la información Gerente de capacitación - Departamento de Recursos Humanos Comunicador de la información Gerentes responsables del SGSI Frecuencia/Período Frecuencia de la Recolección de Mensualmente, el primer día laboral del mes. datos Frecuencia del Análisis de los Trimestral Datos Trimestral Frecuencia de reporte de los resultados de las mediciones Revisión de la medición Revisión anual Período de Medición Anual
PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
NORMA TÉCNICA PERUANA
NTP-ISO/IEC 27004 50 de 72
B.2
Políticas de contraseñas
B.2.1
Calidad de las contraseñas - manual
Identificación del Constructor de Medición Calidad de las contraseñas Nombre del Constructor de Medición Identificador numérico Específico de la Organización Propósito del Constructor de Evaluar la calidad de las contraseñas utilizadas por los usuarios para Medición acceder a los sistemas de TI de la organización Objetivo de control/proceso Evitar que el usuario selecciones contraseñas poco seguras Control (1)/proceso (1) A.11.3.1 Se debe exigir a los usuarios el cumplimiento de buenas prácticas de seguridad en la selección y uso de las contraseñas. Implementación Todos los usuarios deben seleccionar, para cada si stema, contraseñas sólidas que: 1) su largo sea superior a 8; 2) no se basen en algo que alguien pueda adivinar fácilmente o usando información relacionada con la persona, por ejemplo, nombres, números telefónicos, fechas de nacimiento, etc.; 3) no se trata de palabras incluidas en l os diccionarios; 4) libres de caracteres idénticos sucesivos ya sean todos numéricos o alfabéticos; Todas las cuentas de usuario y contraseñas para los sistemas de TI de la organización deben ser controladas por el sistema empleado.
Objeto de la Medición y Atributos Objeto de la Medición Base de datos de contraseñas de usuario Atributo Contraseñas individuales Especificación de la Medida Base Medida Base 1 Número de contraseñas registradas 2 Número de contraseñas que cumplen la política de calidad de contraseñas de la organización para cada usuario. Método de Medición 1 Contar el número de contraseñas en la base de datos de contraseñas de usuarios 2 Preguntar a cada usuario sobre el número de contraseñas que cumplen la política de contraseñas de la organización 1 Objetivo Tipo de Método de Medición 2 Subjetivo Escala 1 Enteros de cero a infinito 2 Enteros de cero a infinito Tipo de escala 1 Ordinal 2 Ordinal Unidad de Medida 1 Contraseñas 2 Contraseñas Especificación de Medida Derivada Medida Derivada Total de número de contraseñas que cumplen la política de calidad de contraseñas de la organización Función de Medición de [Total de número de contraseñas que cumplen la política de calidad de contraseñas de la organización para cada usuario]
PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
NORMA TÉCNICA PERUANA
NTP-ISO/IEC 27004 51 de 72
Especificación del indicador Indicador
a) Ratio de contraseñas que cumplen la política de calidad de contraseñas de la organización. b) Tendencias de la situación de cumplimiento en relación con la política de calidad de contraseñas. Modelo a) Dividir [Número total de contraseñas que cumplen la política de Analítico calidad de contraseñas de la organización] por [Número de contraseñas registradas]. b) Comparar el ratio con el ratio previo. Especificación de los Criterios de Decisión Criterios de Decisión Si el ratio resultante es superior a 0,9 se ha alcanzado el objetivo de control y no se requiere ninguna acción. Si el rati o resultante es de entre 0,8 y 0,9 el objetivo de control no se logra, pero la tendencia positiva indica mejora. Si el ratio resultante es inferior a 0,8 se deberían tomar acciones inmediatas. Resultados de la Medición Interpretación del Indicador La interpretación del indicador a) debería ser la siguiente: El criterio de la organización para el cumplimiento de la política de contraseñas de la organización se ha logrado satisfactoriamente en los ratios > 0,9. El criterio de la organización para el cumplimiento de la política de contraseñas de la organización no se ha logrado satisfactoriamente en [0,8 ≤ ratio ≤ 0,9]. El criterio de la organización para el cumplimiento de la política de contraseñas de la organización no se ha logrado en los ratios < 0,8. La interpretación del indicador b) debería ser la siguiente: La tendencia al alza indica un mejor cumplimiento, tendencia a la baja indica el deterioro del cumplimiento. El grado de cambio de tendencia puede dar una idea de la eficacia de los controles implantados. Tendencia negativa puede requerir más controles, tales como concientización, o medios técnicos para forzar la selección de contraseñas robustas o cambiar las contraseñas periódicamente. Las tendencias positivas deberían ser examinadas para estimar los medios necesarios para cumplir con la política de contraseñas desde el ratio actual. El efecto/impacto de los criterios no cumplidos incrementa el riesgo de violaciones a la confidencialidad. Entre las posibles causas de desviación se encuentra, la falta de concientización en seguridad, deficiencias en la implementación técnica y la falta de tiempo para la implementación en todos los sistemas de TI. Formatos de reporte La línea de tendencia que muestra el número de contraseñas conforme con la política de calidad de contraseñas de la organización, superpuestas con las líneas de tendencia producidas durante los periodos anteriores. Partes interesadas Cliente de la Medición Gerentes responsables del SGSI. Gerente de seguridad. Revisor de la medición Gerente de seguridad. Dueño de la información Administrador de sistema. Recolector de la información Personal de seguridad. Comunicador de la información Personal de seguridad.
PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
NORMA TÉCNICA PERUANA
Frecuencia/Período Frecuencia de la Recolección de datos Frecuencia del Análisis de los Datos Frecuencia de reporte de los resultados de las mediciones Revisión de la medición Período de Medición
B.2.2
NTP-ISO/IEC 27004 52 de 72
Anual. Anual. Anual. Revisión y actualización todos los años Anual.
Calidad de las contraseñas - automatizado
Identificación del Constructor de Medición Nombre del Constructor de Calidad de las contraseñas Medición Identificador numérico Específico de la organización. Propósito del Constructor de Evaluar la calidad de las contraseñas utilizadas por los usuarios para Medición acceder a los sistemas de TI de la organización Objetivo de control/proceso Evitar que el usuario seleccione contraseñas poco seguras Control (1)/proceso (1) A.11.3.1 Se debe exigir a los usuarios el cumplimiento de buenas prácticas de seguridad en la selección y uso de las contraseñas. Implementación Todos los usuarios deben seleccionar, para cada si stema, contraseñas sólidas que: a. su largo sea superior a 8; b. no se basen en algo que alguien pueda adivinar fácilmente o usando información relacionada con la persona, por ejemplo, nombres, números telefónicos, fechas de nacimiento, etc.; c. no se trata de palabras incluidas en l os diccionarios; d. libres de caracteres idénticos sucesivos ya sean todos numéricos o alfabéticos; Todas las cuentas de usuario y contraseñas para los sistemas de TI de la organización deben ser controladas por el sistema empleado. La robustez de la contraseña debe ser examinada por un software de craqueo de contraseña. Objeto de la Medición y Atributos Objeto de la Medición Base de datos de cuentas de sistemas de empleados Atributo Contraseñas individuales almacenadas en registros de cuentas de sistemas de empleados Especificación de la Medida Base Medida Base 1 Número total de contraseñas. 2 Número total de contraseñas no craqueables. Método de Medición 1 Ejecutar una consulta sobre los registros de cuentas de empleados. 2 Ejecutar un software de craqueo de contraseñas sobre los registros de cuentas de empleados usando ataques híbridos. 1 Objetivo Tipo de Método de Medición 2 Objetivo Escala 1 Enteros de cero a infinito 2 Enteros de cero a infinito
PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
NORMA TÉCNICA PERUANA
NTP-ISO/IEC 27004 53 de 72
Tipo de escala
1 Ordinal 2 Ordinal Unidad de Medida 1 Contraseñas 2 Contraseñas Especificación de Medida Derivada Medida Derivada Ninguna Función de Medición Ninguna Especificación del indicador Indicador a) Ratio de contraseñas craqueables en 4 horas. b) Tendencia del ratio a). Modelo a) Dividir [Número de contraseñas no craqueables] por [Número total Analítico de contraseñas]. b) Comparar el ratio con el ratio previo. Especificación de los Criterios de Decisión Criterios de Decisión Si el ratio resultante es superior a 0,9 se ha alcanzado el objetivo de control y no se requiere ninguna acción. Si el rati o resultante es de entre 0,8 y 0,9 el objetivo de control no se logra, pero la tendencia positiva indica mejora. Si el ratio resultante es inferior a 0,8 se deberían tomar acciones inmediatas. Resultados de la Medición Interpretación del Indicador La interpretación del indicador a) debería ser la siguiente: El criterio de la organización para el cumplimiento de la política de contraseñas de la organización se ha logrado satisfactoriamente en los ratios > 0,9. El criterio de la organización para el cumplimiento de la política de contraseñas de la organización no se ha logrado satisfactoriamente en [0,8 ≤ ratio ≤ 0,9]. El criterio de la organización para el cumplimiento de la política de contraseñas de la organización no se ha logrado en los ratios < 0,8. La interpretación del indicador b) debería ser la siguiente: La tendencia al alza indica un mejor cumplimiento, tendencia a la baja indica el deterioro del cumplimiento. El grado de cambio de tendencia puede dar una idea de la eficacia de los controles implantados. Tendencia negativa puede requerir más controles, tales como concientización, o medios técnicos para forzar la selección de contraseñas robustas o cambiar las contraseñas periódicamente. Las tendencias positivas deberían ser examinadas para estimar los medios necesarios para cumplir con la política de contraseñas desde el ratio actual. El efecto/impacto de los criterios no cumplidos incrementa el riesgo de comprometer la contraseña lo que puede conducir al acceso no autorizado de sistemas. Entre las posibles causas de desviación se encuentra, la falta de concientización en seguridad, deficiencias en la implementación técnica y la falta de tiempo para la implementación en todos los sistemas de TI. Formatos de reporte La línea de tendencia que representa la facilidad de craquear la contraseña para todos los registros probados, superpuestas con las líneas de tendencia producidas durante pruebas anteriores.
PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
NORMA TÉCNICA PERUANA
Partes interesadas Cliente de la Medición Revisor de la medición Dueño de la información Recolector de la información Comunicador de la información Frecuencia/Período Frecuencia de la Recolección de datos Frecuencia del Análisis de los Datos Frecuencia de reporte de los resultados de las mediciones Revisión de la medición Período de Medición
NTP-ISO/IEC 27004 54 de 72
Gerentes responsables del SGSI. Gerente de seguridad. Gerente de seguridad. Administrador de sistema. Personal de seguridad. Personal de seguridad. Semanal. Semanal. Semanal. Revisión y actualización todos los años Aplicable a los 3 años.
PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
NORMA TÉCNICA PERUANA
B.3
NTP-ISO/IEC 27004 55 de 72
Proceso de revisión del SGSI
Identificación del Constructor de Medición Proceso de revisión del SGSI Nombre del Constructor de Medición Identificador numérico Específico de la Organización Propósito del Constructor de Evaluar el grado de realización de una revisión independiente de la Medición seguridad de la información Objetivo de control/proceso Gestionar la seguridad de la información dentro de la organización Control (1)/proceso (1)
A.6.1.8 El enfoque de la organización para la gestión de la seguridad de la información y su implementación (es decir, objetivos de control, controles, políticas, procesos y procedimientos para seguridad de la información) se debe revisar independientemente a intervalos planificados, o cuando ocurran cambios significativos en la implementación de la seguridad. (Implementación) El enfoque de la organización para la gestión de la seguridad de la información y su implementación es revisado por un consultor de seguridad externo trimestralmente.
Objeto de la Medición y Atributos Objeto de la Medición 1 Informes de las revisiones de terceras partes 2 Planes de las revisiones de terceras partes Atributo 1 Revisiones de terceras partes informadas 2 Revisiones de terceras partes planificadas Especificación de la Medida Base Medida Base 1 Número de revisiones de terceras partes llevadas a cabo. 2 Número total de revisiones de terceras partes planificadas. Método de Medición 1 Contar el número de informes de revisiones periódicas realizadas por terceras partes. 2 Contar el número total de revisiones de terceras partes planificadas. 1 Objetivo Tipo de Método de Medición 2 Objetivo Escala 1 Enteros de cero a infinito 2 Enteros de cero a infinito Tipo de escala 1 Ordinal 2 Ordinal Unidad de Medida 1 Revisión 2 Revisión Especificación de Medida Derivada Medida Derivada Ninguna Función de Medición Ninguna Especificación del indicador Indicador Ratio de progreso de revisiones independientes llevadas a cabo Modelo Dividir [Número de revisiones de terceras partes llevadas a cabo] por Analítico [Total de número de revisiones de terceras partes planificadas]. Especificación de los Criterios de Decisión Criterios de Decisión El ratio resultante del indicador debería caer primariamente entre 0,8 y 1,1 para concluir que el objetivo de control se ha l ogrado y no se requiera acción. Si no cumple la condición primaria debería estar sobre 0,6.
PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
NORMA TÉCNICA PERUANA
Resultados de la Medición Interpretación del Indicador
Formatos de reporte Partes interesadas Cliente de la Medición Revisor de la medición Dueño de la información Recolector de la información Comunicador de la información Frecuencia/Período Frecuencia de la Recolección de datos Frecuencia del Análisis de los Datos Frecuencia de reporte de los resultados de las mediciones Revisión de la medición Período de Medición
NTP-ISO/IEC 27004 56 de 72
La interpretación del indicador debería ser la siguiente: El criterio de la organización para gestionar la seguridad de la información dentro de la organización a través de revisiones de terceras partes ha sido logrado satisfactoriamente en [0,8 ≤ ratio ≤ 1,1]. El criterio de la organización no se ha l ogrado satisfactoriamente en [0.6≤ ratio<0.8 o ratio>1.1]. Se requiere seguimiento para asegurar que se realice la mejora adecuada. El criterio de la organización no se ha l ogrado en [0≤ ratio<0.6]. Se requiere intervención inmediata para asegurar que se realice la mejora adecuada. Si al final del segundo trimestre, el indicador a) no es satisfactorio, es necesaria una acción correctiva y debería comunicarse a la gerencia responsable del SGSI. Si al final del año el indicador a) no es satisfactorio, la alta dirección tiene que ser i nformada y debería solicitársele apoyo. El efecto/impacto de los criterios no cumplidos está en un i neficaz proceso de revisión de la gestión. Entre las posibles causas de desviación se encuentran, bajo presupuesto, planificación incorrecta y falta de personal crítico/compromiso de la dirección. Gráfico de barras que representa el cumplimiento a lo largo de varios períodos de presentación de informes en relación con los umbrales definidos por los criterios de decisión. Gerentes responsables del SGSI. Responsable del Sistema de Calidad. Gerentes responsables del SGSI. Gerentes responsables del SGSI. Auditoría interna. Gerente de Calidad. Auditoría interna. Gerente de Calidad. Gerentes responsables del SGSI. Trimestral. Trimestral. Trimestral. Revisión y actualización cada 2 años Aplicable a los 2 años.
B.4
Mejora continua del SGSI
B.4.1
Efectividad de la Gestión de Incidentes de Seguridad de la Información
Identificación del Constructor de Medición Efectividad de la Gestión de Incidentes de Seguridad de la Nombre del Constructor de Información Medición
PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
NORMA TÉCNICA PERUANA
Identificador numérico Propósito del Constructor de Medición Objetivo de control/proceso
NTP-ISO/IEC 27004 57 de 72
Específico de la Organización Evaluar la efectividad de la gestión de incidentes de seguridad de la información Posibilitar la detección temprana de eventos de seguridad y dar respuesta a los incidentes de seguridad. Apartado 4.2.2 h) [27001:2005]
Control (1)/proceso (1) Objeto de la Medición y Atributos Objeto de la Medición SGSI. Atributo Incidentes individuales. Especificación de la Medida Base Medida Base Número pre-determinado como umbral. Método de Medición Contar las ocurrencias de incidentes de seguridad de la información reportadas por fecha Objetivo Tipo de Método de Medición Escala Numérica Tipo de escala Ordinal Unidad de Medida Incidentes Especificación de Medida Derivada Medida Derivada Incidentes que exceden el umbral Función de Medición Comparación del número total de incidentes con el umbral. Especificación del indicador Indicador Gráfico de línea que representa la línea horizontal constante que ilustra el umbral contra el número total de incidentes durante varios períodos examinados. Modelo Rojo cuando el número total de incidentes supera el umbral (supera la Analítico línea); amarillo cuando el número total de incidentes está dentro del 10% del umbral; verde cuando el número total de incidentes es inferior al umbral en 10% o más. Especificación de los Criterios de Decisión Criterios de Decisión Rojo – se requiere una investigación inmediata de las causas del aumento del número de incidentes. Amarillo – Los números necesitan ser controlados estrechamente y debería iniciarse una investigación si los números no están mejorando. Verde - no se requieren acciones. Resultados de la Medición Interpretación del Indicador Si se observan rojos en dos ciclos de presentación de informes, se requiere una revisión de los procedimientos de gestión de incidentes para corregir los procedimientos existentes o para identificar procedimientos adicionales. Si la tendencia no se invierte durante los próximos dos períodos de presentación de informes se requieren medidas correctivas, como la de proponer l a ampliación del alcance del SGSI. Formatos de reporte Gráfico de líneas. Partes interesadas Cliente de la Medición Comité de gestión del SGSI. Gerentes responsables del SGSI. Gerente de seguridad. Gerente de Incidentes. Revisor de la medición Gerentes responsables del SGSI. Dueño de la información Gerentes responsables del SGSI. Recolector de la información Gerencia de gestión de incidentes. Comunicador de la información Comité de gestión del SGSI. Frecuencia/Período
PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
NORMA TÉCNICA PERUANA
Frecuencia de la Recolección de datos Frecuencia del Análisis de los Datos Frecuencia Frecuencia de reporte de los resultados de las mediciones Revisión de la medición Período de Medición
B.4.2
NTP-ISO/IEC NTP-ISO/IEC 27004 58 de 72
Mensual. Mensual. Mensual. Semestral. Mensual.
Implementación de Acciones Correctivas
Identificación del Constructor de Medición Implementación Implementación de acciones correctivas Nombre del Constructor de Medición Identificador numérico Específico de la Organización Propósito del Constructor de Evaluar el desempeño de la implementación implementación de acciones acciones correctivas correcti vas Medición Objetivo de control/proceso Apartado 8.2 [27001:2005]. Acción correctiva. La organización debe emprender acciones para eliminar la causa de no conformidades asociadas con los requisitos del SGSI, con el fin de prevenir que ocurran ocurran nuevamente. Control (1)/proceso (1) El procedimiento documentado para la acción correctiva debe definir requisitos para: a) identificar las no conformidades; b) determinar determinar las causas de las no conformidades; conformidades; c) evaluar la necesidad de acciones que aseguren que las no conformidades no vuelven a ocurrir; d) determinar e implementar la acción correctiva necesaria; e) registrar los resultados de la acción tomada (véase (véase el apartado 4.3.3); y f) revisar la acción correctiva tomada. (implementación) La organización determina las acciones correctivas necesarias, y emite el informe de acción correctiva documentando documentando la información acerca de la no conformidad, sus causas y la fecha de ven vencimiento cimiento de las acciones correctivas que deban adoptarse. Al recibir el informe, es necesario que el gerente responsable del área donde la no conformidad fue detectada se asegure que se adopten, sin demora, acciones para eliminar las no conformidades detectadas y sus causas. Si la acción correctiva no se ha implementado como se ha requerido, la causa de la no implantación tiene que ser identificada, así como las alternativas a la acción correctiva original determinada como apropiada. Deberían estar documentados las acciones adoptadas con la fecha correspondiente y los resultados. Si la acción correctiva no se aplica según lo previsto las razones y las acciones alternativas tienen que ser documentadas. documentadas. El informe i nforme debería ser proporcionado al Gerente de de Seguridad de la Información.
PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
NORMA TÉCNICA PERUANA
NTP-ISO/IEC NTP-ISO/IEC 27004 59 de 72
Objeto de la Medición y Atributos Objeto de la Medición Informes de acciones correctivas Atributo Fechas de vencimiento vencimiento de las acciones correctivas en el informe Fechas de adopción de las acciones correctivas registradas en el informe Razones de demoras y acciones no tomadas Especificación de la Medida Base Medida Base 1. Número de acciones correctivas planificadas hasta la fecha. 2. Número de acciones correctivas implementadas según lo pl anificado hasta la fecha. 3. Número de acciones correctivas que no se han implementado con justificación, hasta la fecha. fecha. Método de Medición 1. Contar las acciones correctivas planificadas hasta la fecha. 2. Contar las acciones correctivas correcti vas registradas como implementadas por fecha de vencimiento 3. Contar las acciones correctivas correcti vas registradas como acciones planificadas no tomadas tomadas con la justificación 1-3 Objetivo Tipo de Método de Medición Escala 1-3 Enteros de cero a infinito Tipo de escala 1-3 Ordinal Unidad de Medida 1-3 Acciones correctivas Especificación de Medida Derivada Medida Derivada a) Acciones correctivas no implementadas hasta la fecha b) Acciones correctivas no implementadas implementadas sin justificación legítima legítima Función de Medición a) Restar [acciones correctivas tomadas según lo planificado hasta la fecha] de [acciones correctivas planificadas hasta la fecha] b) Restar [acciones [acciones correctivas no implementadas implementadas hasta la fecha] fecha] de [acciones correctivas no tomadas según lo planificado, con justificación, hasta la fecha] fecha] Especificación del indicador Indicador a) Estado, expresado como ratio, de las acciones correctivas no implementadas. b) Estado, expresado expresado como ratio, ratio, de las acciones correctivas correctivas no implementadas sin justificación. Modelo a) Dividir [Acciones correctivas no implementadas hasta la fecha] por Analítico [Acciones correctivas planificadas hasta la fecha]. b) Dividir [Acciones [Acciones correctivas no implementadas implementadas sin justificación] justificación] por [Acciones [Acciones correctivas planificadas hasta la fecha]. fecha]. c) Comparar los estados con los l os estados previos. Especificación de los Criterios de Decisión Criterios de Decisión Para concluir el logro de los objetivos y no requerir acción, los ratios de los indicadores a) y b) deberían situarse, respectivamente, entre el 0,4 y 0,0 y entre 0,2 y 0,0, y la tendencia del indicador in dicador c) debería haber disminuido en los últimos 2 períodos reportados. El indicador c) debería presentarse en comparación con los indicadores in dicadores anteriores, para que la tendencia tendencia en la implementación implementación de acciones acciones correctivas pueda ser examinada. examinada.
PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
NORMA TÉCNICA PERUANA
Resultados de la Medición Interpretación del Indicador
Formatos de reporte
Partes interesadas Cliente de la Medición Revisor de la medición Dueño de la información Recolector de la información Comunicador de la información Frecuencia/Período Frecuencia de la Recolección de datos Frecuencia del Análisis de los Datos Frecuencia de reporte de los resultados de las mediciones Revisión de la medición Período de Medición
NTP-ISO/IEC NTP-ISO/IEC 27004 60 de 72
La interpretación de los indicadores a) y b) debería ser la siguiente: Las acciones correctivas planificadas deben implemen i mplementarse tarse a menos que las prioridades de la organización hayan cambiado lo que determina la necesidad de iimplemen mplementar tar acciones correctivas d iferentes o la reorientación de los recursos destinados a la l a implementación implementación de acciones correctivas. Si más del 40% de las acciones correctivas no están implementadas independientemente independientemente de la justificación, es necesario adoptar medidas de gestión. Si más del 20% de las l as acciones correctivas no están implementadas sin una buena razón, es necesario adoptar medidas de gestión. Las acciones correctivas que no se hayan implementado deberían ser examinadas para identificar las razones de la no implementación. Dependiendo del porcentaje global no implementado y las razones de la no implementación, otras medidas pueden ser necesarias. n ecesarias. La interpretación del indicador c) debería ser la siguiente: La tendencia sobre la implementación implementación de las acciones correctivas debería ser examinada por un deterioro global en el desempeño o una mejora significativa en el desempeño. desempeño. Si el porcentaje porcentaje de acciones correctivas implementadas ha ido disminuyendo en los últimos 2 períodos perí odos reportados, es necesario adoptar medidas de gestión, indepen i ndependientemente dientemente de las razones de su incumplimiento. El efecto/impacto de los criterios no cumplidos está en una potencial falta de mejora continua del SGSI. Las posibles causas pueden incluir la falta de recursos, in correcta correcta planificación y la falta falta de personal crítico y compromiso compromiso de la dirección. Gráfico de barras apiladas con la declaración de los resultados de medición, incluyendo un resumen ejecutivo con las conclusiones conclusiones y posibles acciones acciones de gestión, que represente represente el número total de acciones correctivas, separadas en implementadas, no implementadas sin una razón legítima, l egítima, y no implementada con una razón legítima. l egítima. Gerentes responsables del SGSI. Gerente de Seguridad de la Información. Gerentes responsables del SGSI. Gerentes responsables del SGSI. Gerentes responsables del SGSI. Gerentes responsables del SGSI. Trimestral. Trimestral. Trimestral. Revisión anual Aplicable 1 año.
PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
NORMA TÉCNICA PERUANA
B.5
NTP-ISO/IEC 27004 61 de 72
Compromiso de la Dirección
Identificación del Constructor de Medición Frecuencia de la revisión por la dirección Nombre del Constructor de Medición Identificador numérico Específico de la Organización Propósito del Constructor de Evaluar el compromiso de la dirección y las actividades de revisión de Medición la seguridad de la información relativas a las actividades de revisión por la dirección Objetivo de control/proceso A.6.1 Gestionar la seguridad de la información dentro de la organización (planificado). Gestionar la seguridad de la información dentro de la organización a través de periódicas revisiones por la dirección. Control (1)/proceso (1) A.6.1.1 Compromiso de la dirección con la seguridad de la información La dirección debe apoyar activamente la seguridad dentro de la organización a través de una orientación clara, compromiso demostrado, y la asignación explícita de las responsabilidades de seguridad de la información y su reconocimiento. (implantación) La organización debe mantener reuniones de revisión por la dirección mensualmente para apoyar a la seguridad dentro de la organización a través de una orientación clara, compromiso demostrado, y la asignación explícita de las responsabilidades de seguridad de la información y su reconocimiento. La revisión por la dirección del SGSI debería combinarse con la revisión por la dirección del SGC. Control (2)/proceso (2) A.6.1.2 Coordinación de la seguridad de la información Las actividades referentes a la seguridad de la i nformación deben estar coordinadas por representantes de diferentes partes de la organización con funciones y roles pertinentes. (implantación) Los representantes de los diferentes departamentos que ocupan roles de relevancia y tienen responsabilidades deberían coordinar y participar en la revisión por la dirección. Objeto de la Medición y Atributos Objeto de la Medición 1. Plan/cronograma de revisión por la dirección de la seguridad de la información. 2. Registro de minutas de revisión por la dirección Atributo 1.1 Fechas de las reuniones de revisión por la dirección previstas en el plan 1.2 Planificación de los gerentes para atender las reuniones de revisión por la dirección 2.1 Fechas de las reuniones de revisión por la dirección registradas en las minutas de reunión 2.2 Registro de asistencia de los gerentes a las reuni ones de revisión por la dirección Especificación de la Medida Base Medida Base 1.1 Número de reuniones de revisión por la dirección planificadas hasta la fecha 1.2 Número planificado de gerentes que asistirán a las reuniones de revisión por la dirección
PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
NORMA TÉCNICA PERUANA
NTP-ISO/IEC 27004 62 de 72
2.1.1 Número de reuniones de revisión por l a dirección planificadas mantenidas hasta la fecha 2.1.2 Número de reuniones de revisión por la dirección no planificadas mantenidas hasta la fecha 2.1.3 Número de reuniones de revisión por la dirección re-planificadas hasta la fecha 2.2 Número de gerentes que han asistido a las reuniones de revisión por la dirección hasta la fecha Método de Medición 1.1 Contar las reuniones de revisión por la dirección planificadas hasta la fecha 1.2 Por reuniones de revisión por la dirección hasta la fecha, contar gerentes planificados para asistir y añadir una nueva entrada con el valor por defecto para las reuniones no planificadas realizadas de forma ad-hoc 2.1.1 Contar reuniones de revisión por la dirección planificadas mantenidas hasta la fecha 2.1.2 Contar reuniones de revisión por la dirección no planificadas mantenidas hasta la fecha 2.1.3 Contar reuniones de revisión por la dirección re-planificadas hasta la fecha 2.2 Para todas la reuniones de revisión por la dirección que han sido mantenidas, contar el número de gerentes que ha asistido. 1.1 Objetivo Tipo de Método de Medición 1.2 Objetivo o subjetivo 2.1.1 Objetivo 2.1.2 Objetivo 2.1.3 Objetivo 2.2 Objetivo. Escala 1.1 Enteros de cero a infinito 1.2 Enteros de cero a infinito 2.1.1 Enteros de cero a infinito 2.1.2 Enteros de cero a infinito 2.1.3 Enteros de cero a infinito 2.2 Enteros de cero a infinito Tipo de escala 1.1 Ordinal 1.2 Ordinal 2.1.1 Ordinal 2.1.2 Ordinal 2.1.3 Ordinal 2.2 Ordinal Unidad de Medida 1.1 Reuniones 1.2 Personal 2.1.1 Reuniones 2.1.2 Reuniones 2.1.3 Reuniones 2.2 Personal Especificación de Medida Derivada Medida Derivada a) Número de reuniones de revisión por la dirección mantenidas hasta la fecha b) Ratio de participación en las reuniones de revisión por la dirección mantenidas hasta la fecha Función de Medición a) Sumar [número de reuniones de revisión por la dirección planificadas hasta la fecha] y [número de reuniones de revisión por la
PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
NORMA TÉCNICA PERUANA
Especificación del indicador Indicador
NTP-ISO/IEC 27004 63 de 72
dirección no planificadas hasta la fecha] y [número de reuniones de revisión por la dirección re-planificadas hasta la fecha] b) Para cada reunión de revisión por la dirección dividir [número de gerentes que ha asistido a la reunión de revisión por la dirección] por [número de gerentes planificado para asistir a la reunión de revisión por la dirección]
a) Reuniones de revisión por la dirección completadas hasta la fecha. b) Ratios promedios de participación en las reuniones de revisión por la dirección hasta la fecha. Modelo a) Dividir [reuniones de revisión por la dirección mantenidas] por Analítico [reuniones de revisión por la dirección planificadas]. b) Calcular la desviación media y estándar de todos los ratios de participación en las reuniones de revisión por la dirección. Especificación de los Criterios de Decisión Criterios de Decisión El ratio resultante del indicador a) debería situarse entre 0.7 y 1.1 para concluir que el objetivo de control se ha alcanzado y que no se requiere ninguna acción. Incluso si esto falla, debería estar sobre 0,5 para celebrar un menor logro. Con respecto al indicador b), los límites de confianza calculados sobre la base de la desviación estándar indican la probabilidad de que se alcance un resultado próximo al promedio de participación. Límites de confianza muy amplios sugieren una salida potencialmente grande y la necesidad de un plan de contingencia para hacer frente a este result ado. Resultados de la Medición Interpretación del Indicador La interpretación del indicador a) debería ser la siguiente: El criterio de la organización para la gestión de la seguridad de la información dentro de la organización a través de revisiones por la dirección se ha logrado satisfactoriamente en [0,7 ≤ ratio ≤ 1,1] El criterio de la organización no se ha l ogrado satisfactoriamente en [0,5 ≤ ratio < 0,7 o ratio > 1,1]. Este resultado puede indicar posible pérdida de compromiso de la dirección y puede requerir una acción correctiva. Los resultados de mediciones posteriores deberían ser supervisados y evaluados para la mejora El criterio de la organización no se ha l ogrado en [0 ≤ ratio < 0,5]. Este resultado indica la falta de compromiso de la dirección y requiere una intervención inmediata para poner en práctica una acción correctiva apropiada. La alta dirección debe ser notificada del resultado. Un ratio cercano a 0 puede indicar la falta de compromiso de la alta dirección. Si los gerentes responsables del SGSI no ven las revisiones del SGSI por la dirección como una prioridad, puede estar influenciado por la alta dirección. Los efectos / impactos de los criterios no alcanzados son la posible falta de un continuo y efectivo proceso de revisión por la d irección. Entre las posibles causas de la desviación en el indicador b) puede incluirse la planificación incorrecta, insuficiente compromiso de los gerentes responsables del SGSI, prioridades encontradas o sobrecarga de trabajo sobre los gerentes responsables del SGSI.
PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
NORMA TÉCNICA PERUANA
Formatos de reporte
Partes interesadas Cliente de la Medición Revisor de la medición Dueño de la información Recolector de la información Comunicador de la información Frecuencia/Período Frecuencia de la Recolección de datos Frecuencia del Análisis de los Datos Frecuencia de reporte de los resultados de las mediciones Revisión de la medición Período de Medición
B.6
NTP-ISO/IEC 27004 64 de 72
Gráfico de líneas que representan el indicador con los criterios sobre l a recolección de datos y varios periodos de información con la declaración de los resultados de la medición. El número de datos recogidos y los periodos de información deberían ser definidos por la organización. Gerentes responsables del SGSI. Responsable del Sistema de Calidad. Autoridad sobre el programa de auditoría interna del SGSI. Responsable del Sistema de Calidad. Responsable de los sistemas de gestión conjunta, SGC y SGSI. Gerente de Calidad. Gerente de Seguridad de la Información Gerente de Seguridad de la Información. Gerente de Calidad. Mensual. Trimestral. Trimestral. Revisión y actualización cada 2 años Aplicable 2 años.
Protección contra Código Malicioso
Identificación del Constructor de Medición Protección contra código malicioso Nombre del Constructor de Medición Identificador numérico Específico de la Organización Propósito del Constructor de Evaluar la eficacia del sistema de protección contra software malicioso Medición y ataques de software. Objetivo de control/proceso Objetivo de control A.10.4 [27001:2005]. Proteger la integridad del software y la información. (planificado) Proteger la integridad del software y la información de software maliciosos. Control (1)/proceso (1) Control 10.4.1 [27001:2005]. Controles contra código malicioso. Deben implantarse controles de detección, prevención y recuperación para protegerse contra códigos maliciosos, junto a procedimientos adecuados para concientizar a los usuarios. Objeto de la Medición y Atributos Objeto de la Medición 1 Reportes de incidentes 2 Registros del software de salvaguarda contra el software malicioso Atributo Incidentes causados por software malicioso Especificación de la Medida Base Medida Base 1 Número de incidentes de seguridad causados por software malicioso. 2 Total de ataques bloqueados causados por software malicioso. Método de Medición 1 Contar el número de incidentes de seguridad causados por software malicioso en el Reporte de incidentes. 2 Contar el número de registros de ataques bloqueados
PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
NORMA TÉCNICA PERUANA
NTP-ISO/IEC 27004 65 de 72
Tipo de Método de Medición
1 Objetivo 2 Objetivo Escala 1 Enteros de cero a infinito 2 Enteros de cero a infinito Tipo de escala 1 Ordinal 2 Ordinal Unidad de Medida 1 Incidentes de seguridad 2 Registros Especificación de Medida Derivada Medida Derivada Fortaleza de la protección contra software malicioso. Función de Medición Número de incidentes de seguridad causados por software malicioso/número de ataques detectados y bloqueados causados por software malicioso. Especificación del indicador Indicador Tendencia de los ataques detectados que no fueron bloqueadas durante varios períodos reportados. Modelo Comparar el ratio con el porcentaje previo. Analítico Especificación de los Criterios de Decisión Criterios de Decisión Las líneas de tendencia deberían mantenerse bajo el número especificado. La tendencia resultante debería ser a la baja o constante. Resultados de la Medición Interpretación del Indicador Una tendencia al alza indica deterioro del cumplimiento, una tendencia a la baja indica mejora del cumplimiento; y cuando la tendencia se eleva notablemente, debería ser necesaria la investigación de la causa y espacio para salvaguardas adicionales. Formatos de reporte Línea de tendencia que representa ratio de detección y prevención de software malicioso junto a las líneas generadas durante los periodos anteriores reportados. Partes interesadas Cliente de la Medición Gerente de seguridad. Revisor de la medición Gerente de seguridad. Dueño de la información Administrador de sistema. Recolector de la información Gerente de seguridad; Administrador de sistema; Administrador de red. Comunicador de la información Coordinación del servicio. Frecuencia/Período Frecuencia de la Recolección de Diaria. datos Frecuencia del Análisis de los Mensual. Datos Mensual. Frecuencia de reporte de los resultados de las mediciones Revisión de la medición Revisión anual Período de Medición Aplicable 1 año.
PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
NORMA TÉCNICA PERUANA
B.7
NTP-ISO/IEC 27004 66 de 72
Controles de Acceso Físico
Identificación del Constructor de Medición Controles de Acceso Físico mediante tarjetas d e acceso Nombre del Constructor de Medición Identificador numérico Específico de la Organización Propósito del Constructor de Demostrar la existencia, alcance y calidad del sistema utilizado para el Medición control de acceso. Objetivo de control/proceso Objetivo de control A.9.1 [27001:2005]. Evitar accesos físicos no autorizados, daños e interferencias contra las instalaciones y la información de la organización. Control (1)/proceso (1) Control A.9.1.2 [27001:2005]. Controles de acceso físico. Las áreas seguras deben estar protegidas por controles de entrada apropiados que aseguren que sólo se permite el acceso a personal autorizado. Objeto de la Medición y Atributos Objeto de la Medición Atributo Especificación de la Medida Base Medida Base Método de Medición
Áreas seguras Registros de la gestión de identidad.
Control de acceso físico mediante tarjetas de acceso. Método de medición relativo donde cada nivel es una parte del nivel anterior. Controlar el tipo de sistema de control de acceso e inspeccionar los siguientes aspectos: - Sistema de control de acceso mediante tarjeta existente; - uso del código PIN; - Registro de funcionalidad; - Autenticación biométrica. Subjetivo Tipo de Método de Medición Escala 0-5 0 No hay sistema de control de acceso. 1 Existe un sistema de acceso donde se utiliza un código PIN (sistema de un factor) para control de entrada. 2 Existe un sistema de control de acceso mediante tarjeta donde se utiliza la tarjeta de acceso (sistema de un factor) para control de entrada. 3 Existe un sistema de control de acceso mediante tarjeta donde se utiliza la tarjeta de acceso y un código PIN para control de entrada. 4 Los controles previos + registro de funcionalidad activado. 5 Los controles previos + el código PIN es remplazado por autenticación biométrica (huellas digitales, reconocimiento de voz, escaneo de retina, etc.). Tipo de escala Ordinal Unidad de Medida N/A Especificación de Medida Derivada Medida Derivada Ninguna Función de Medición ninguna Especificación del indicador Indicador Barra de progreso. Rojo hasta 0,8, Verde entre 0,8 y 1. Modelo Análisis de las medidas. Analítico Especificación de los Criterios de Decisión Criterios de Decisión Valor 3 = satisfactorio.
PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
NORMA TÉCNICA PERUANA
Resultados de la Medición Interpretación del Indicador
Formatos de reporte Partes interesadas Cliente de la Medición Revisor de la medición Dueño de la información Recolector de la información Comunicador de la información Frecuencia/Período Frecuencia de la Recolección de datos Frecuencia del Análisis de los Datos Frecuencia de reporte de los resultados de las mediciones Revisión de la medición Período de Medición
B.8
NTP-ISO/IEC 27004 67 de 72
Por debajo de 3 insatisfactoria, donde (3 – nivel real = brecha de seguridad), deberían adoptarse medidas basadas en la magnitud de la brecha de seguridad. Por encima de 3 satisfactoria con excelencia, lo que puede indicar exceso de inversión sobre posibles medidas. Graficas. Comité de dirección. Auditor interno / auditor externo. Responsable edilicio. Auditor interno / auditor externo. Auditoría interna y Gerencia de Seguridad. Anual. Anual. Anual. 12 meses Aplicable 12 meses.
Revisión de archivos de registro
Identificación del Constructor de Medición Revisión de archivos de registro(logs) Nombre del Constructor de Medición Identificador numérico Identificador numérico único específico de la organización Propósito del Constructor de Evaluar el estado de conformidad de las revisiones regulares a los Medición archivos de registro (logs) de sistemas críticos. Objetivo de control Objetivo de Control A.10.10 [27001:2005]. Detectar actividades de procesamiento de información no autorizadas. (planificado) Detectar actividades de procesamiento de información no autorizadas en sistemas críticos a partir de los sistemas de registros(logs) Control (1) Control A.10.10.2 [27001:2005]. Se deben establecer procedimientos para hacer el seguimiento al uso de las instalaciones de procesamiento de la información se deben revisar regularmente los resultados de las actividades de seguimiento. Objeto de la Medición y Atributos Objeto de la Medición Sistema. Atributo Archivo de registro(log) individual Especificación de la Medida Base (1) Medida Base Número de archivos de registro (logs). Método de Medición Sume el número total de archivos de registro que figuran en la li sta de registros de revisión Objetivo. Tipo de Método de Medición Escala Enteros de cero a infinito. Tipo de escala Ordinal. Unidad de Medida Archivo de registro(log) Especificación de la Medida Base (2)
PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
NORMA TÉCNICA PERUANA
NTP-ISO/IEC 27004 68 de 72
Medida Base Método de Medición
Número de archivos de registro (logs) revisados. Sume el número total de archivos de registro para todos los sistemas dentro del alcance del SGSI Objetivo. Tipo de Método de Medición Escala Numérica. Tipo de escala Ratio. Unidad de Medida Archivo de registro(log) Especificación de la Medida Base (3) Medida Base Número de sistemas dentro del alcance del SGSI. Método de Medición Número de identificación de los archivos de registro (logs) revisados. Objetivo. Tipo de Método de Medición Escala Numérica. Tipo de escala Ratio. Unidad de Medida Archivo de registro(log) Especificación de Medida Derivada Medida Derivada Porcentaje de archivos de registro de auditoría revisados cuando es requerido por período de tiempo Función de Medición (# de archivos de registro revisados dentro del período de tiempo especificado)/(# total de archivos de registro)*100. Especificación del indicador Indicador Gráfica de líneas de la tendencia en un período de tiempo del índice de revisión de los registros de auditoría. Modelo Es deseable una tendencia al alza hacia el 100 % . Analítico Especificación de los Criterios de Decisión Criterios de Decisión Resultados por debajo de un 20 % deberían ser examinados para analizar las causas del bajo rendimiento. Resultados de la Medición Interpretación del Indicador Los valores por debajo del valor definido por la organización no son satisfactorios cuando (valor definido por la organización - valor real = brecha de seguridad). Son necesarias acciones basadas en la magnitud de la brecha de seguridad. Valores por encima del valor definido por la organización pueden indicar exceso de inversión a menos que estos mecanismos de control de acceso sean requeridos por la evaluación de riesgos. Formatos de reporte Gráfico de líneas que muestra la tendencia con un resumen de los resultados y cualquier acción de gestión propuesta. Partes interesadas Cliente de la Medición Gerentes responsables del SGSI. Gerente de seguridad. Revisor de la medición Gerente de seguridad. Dueño de la información Gerente de seguridad. Recolector de la información Personal de seguridad. Comunicador de la información Personal de seguridad. Frecuencia/Período Frecuencia de la Recolección de Mensual. datos Frecuencia del Análisis de los Mensual. Datos Frecuencia de reporte de los Trimestral. resultados de las mediciones Revisión de la medición Revisión y actualización cada 2 años Período de Medición Aplicable 2 años.
PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
NORMA TÉCNICA PERUANA
B.9
NTP-ISO/IEC 27004 69 de 72
Gestión de Mantenimiento Periódico
Identificación del Constructor de Medición Gestión de Mantenimiento Periódico Nombre del Constructor de Medición Identificador numérico Específico de la Organización Propósito del Constructor de Evaluar el cumplimiento del cronograma de las actividades de Medición mantenimiento en relación a lo programado. Objetivo de control Objetivo de control A.9.2 [27001:2005]. Prevenir pérdidas, daños, hurtos o comprometer los activos así como la interrupción de las actividades de la organización. (planificado)
Control (1)
Prevenir pérdidas, daños, hurtos o comprometer los activos así como la interrupción de las actividades de la organización a través del mantenimiento periódico de sistemas. Control A.9.2.4 [27001:2005]. El equipamiento debe recibir el mantenimiento correcto para asegurar su permanente disponibilidad e integridad.
Objeto de la Medición y Atributos Objeto de la Medición 1 Plan/cronograma de mantenimientos de sistemas. 2 Registros de mantenimientos de sistemas. Atributo 1 Fechas del plan/cronograma de mantenimientos de sistemas. 2 Fechas de mantenimientos de sistemas completados. Especificación de la Medida Base (1-4) Medida Base 1 Fechas de mantenimientos programados. 2 Fechas de mantenimientos completados. 3 Número total de eventos de mantenimiento planificados. 4 Número total de eventos de mantenimiento completados. Método de Medición 1 Recoger las fechas programadas del plan de mantenimiento de sistemas. 2 Recoger las fechas completadas de los registros de mantenimiento de sistemas. 3 Contar el número de eventos de mantenimiento programados en el plan de mantenimiento de sistemas. 4 Contar registros de mantenimiento. Objetivo Tipo de Método de Medición Escala 1 Tiempo 2 Tiempo 3 Enteros de cero a infinito 4 Enteros de cero a infinito Tipo de escala 1 Lista 2 Lista 3 Ordinal 4 Ordinal Unidad de Medida 1 Intervalo 2 Intervalo 3 Eventos de mantenimiento 4 Eventos de mantenimiento
PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
NORMA TÉCNICA PERUANA
NTP-ISO/IEC 27004 70 de 72
Especificación de Medida Derivada Medida Derivada Mantenimientos retrasados por eventos de mantenimiento completados. Función de Medición Para cada evento completado, restar [Fecha de mantenimiento efectivo] a [Fecha de mantenimiento programado] Especificación del indicador Indicador 1 Promedio de mantenimientos retrasados. 2 Ratio de eventos de mantenimiento completados. 3 Tendencia del promedio de mantenimientos retrasados. 4 Tendencia del ratio de eventos de mantenimiento completados. Modelo 1 Dividir (suma de [Mantenimiento retrasados por eventos de Analítico mantenimiento completados]) por [Número de eventos de mantenimientos completados] 2 Dividir [Número de eventos de mantenimientos completados] por [Número de eventos de mantenimientos planificados] 3 Comparar indicador 1 en múltiples períodos de tiempo. 4 Comparar indicador 2 en múltiples períodos de tiempo. Especificación de los Criterios de Decisión Criterios de Decisión 1. Específico de la organización, por ejemplo, si el promedio de retraso se muestra constantemente por sobre 3 días, las causas deben ser examinados. 2. El ratio de los eventos de mantenimiento completados debería ser superior a 0,9 3. La tendencia debe ser estable o cercana a 0. 4. La tendencia debe ser estable o al alza. Resultados de la Medición Interpretación del Indicador Los indicadores ayudan a evaluar la calidad del proceso de mantenimiento de los equipos Formatos de reporte Gráfica de líneas que muestra la desviación media del retraso de mantenimiento, con líneas superpuestas producidas durante los periodos anteriores y el número de sistemas dentro del alcance. Una explicación de los resultados y recomendaciones sobre potenciales acciones de gestión. Partes interesadas Cliente de la Medición Gerentes responsables del SGSI. Gerente de seguridad. Revisor de la medición Gerente de seguridad. Dueño de la información Administrador de sistema. Recolector de la información Personal de seguridad. Comunicador de la información Personal de seguridad. Frecuencia/Período Frecuencia de la Recolección de Anual. datos Frecuencia del Análisis de los Anual. Datos Anual. Frecuencia de reporte de los resultados de las mediciones Revisión de la medición Anual. Período de Medición Anual.
PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL
NORMA TÉCNICA PERUANA
B.10
NTP-ISO/IEC 27004 71 de 72
Seguridad en acuerdos con terceras partes
Identificación del Constructor de Medición Seguridad en acuerdos con terceras partes Nombre del Constructor de Medición Identificador numérico Específico de la Organización Propósito del Constructor de Evaluar el grado en que la seguridad es abordada en los acuerdos con Medición terceras partes para personal que procesa información. Objetivo de control/proceso Objetivo de Control A.6.2 [27001:2005]. Mantener la seguridad d e la información de la organización y de las instalaciones de procesamiento de información a las que tienen acceso las partes externas, o que son procesadas, comunicadas o gestionadas por éstas. Control (1)/proceso (1) Control A.6.2.3 [27001:2005]. Los acuerdos con terceros que involucren acceso, procesamiento, comunicación o gestión de la información de la organización o de las instalaciones de procesamiento de información, o el agregado de productos o servicios a las instalaciones de procesamiento de información, deben cubrir todos los requisitos de seguridad pertinentes. Objeto de la Medición y Atributos Objeto de la Medición Acuerdos con terceras partes. Atributo Requisitos o cláusulas de seguridad dentro de cada acuerdo con terceras partes. Especificación de la Medida Base (1) Medida Base Número de acuerdos con terceras partes. Método de Medición Revisar acuerdos con terceras partes, contar el número de acuerdos. Objetivo Tipo de Método de Medición Escala Enteros de cero a infinito Tipo de escala Ordinal Unidad de Medida Acuerdos con terceras partes Especificación de la Medida Base (2) Medida Base Número de requisitos de seguridad estándar requeridos en acuerdos con terceras partes. Método de Medición Identificar el número de requisitos de seguridad que tienen que ser considerados en cada acuerdo por política. Objetivo Tipo de Método de Medición Escala Enteros de cero a infinito Tipo de escala Ordinal Unidad de Medida Requisito Especificación de la Medida Base (3) Medida Base Número de requisitos de seguridad considerados en cada acuerdo con terceras partes. Método de Medición Revisar acuerdos con terceras partes, contar el número de requisitos de seguridad considerados en cada acuerdo. Objetivo Tipo de Método de Medición Escala Enteros de cero a infinito Tipo de escala Ordinal Unidad de Medida Requisito
PROHIBIDA LA REPRODUCCIÓN TOTAL O PARCIAL