Ingeniera de

Software
M.A. Armando Hernndez Basilio
Unidad IV. Seguridad en Ingeniera
de Software

Actividad 3. ISO 27000

Martnez de la Torre, Ver a 18 de Mayo de 2015

Introduccin.
El sistema especializado para la normalizacin en todo el mundo est conformado por ISO
(Organizacin

Internacional

de

Normalizacin)

IEC

(Comisin

Electrotcnica

Internacional). En el desarrollo de las Normas Internacionales, participan los organismos

nacionales que son miembros de ISO e IEC, as como tambin las organizaciones
internacionales, gubernamentales y no gubernamentales.

La norma ISO/ IEC 27000:2014 proporciona la visin general

de los Sistemas de Gestin de Seguridad de la Informacin
(SGSI), y los trminos y definiciones de uso comn en la
familia de normas de SGSI.

Cualquier empresa de software es candidata a la certificacin ISO/IEC27001, describe los factores que influyen en la decisin.
(ISO, ISO, 2013) ISO/IEC 270001 ms reciente (2013) especifica los requisitos para
establecer, implementar, mantener y mejorar continuamente un SGSI en el contexto de la
organizacin. Incluye requisitos para la evaluacin y el tratamiento de los riesgos de
seguridad de la informacin a medida de las necesidades de la organizacin. Los requisitos
establecidos en la norma ISO / IEC 27001:2013 son genricos y se pretende que sean
aplicables a todas las organizaciones, sin importar su tipo, tamao o naturaleza
Esta norma tambin incluye requisitos para la evaluacin y el tratamiento de los riesgos de
seguridad de la informacin a la medida de las necesidades de la organizacin.
Los requisitos establecidos que tiene esta norma internacional son genricos y se pretende
que sean aplicables a todas las organizaciones, sin importar su tipo, tamao o naturaleza.

Para que una empresa obtenga la certificacin de la ISO/IEC-27001 debe cumplir una serie
de factores:

Solicitud de certificacin:
La empresa debe llenar la solicitud de servicio y enviar una serie de documentacin
como lo son el Acta constitutiva, RFC, Alta ante hacienda, comprobante de domicilio,
identificacin oficial del representante legal.

Revisin documental
Se realiza una revisin documental donde se revisa que en la empresa existan los
documentos que requiere el sistema de gestin, como lo son el manual o plan de
gestin, procedimientos, procesos, polticas y planes. Este factor es muy importante
dentro de la certificacin para que se realice el proceso de la auditoria. De lo
contrario la empresa no podr obtener este certificado.

Informe de la auditoria de certificacin

Se realiza una visita a la empresa con el fin de confirmar la existencia del sistema
de gestin, despus se evala la operacin y seguimiento de la gestin del sistema
para evaluar la compaa y el auditor realiza un informe para conocer si la empresa
es o no merecedora de la certificacin.

Si la empresa cumple con los factores mencionados anteriormente podr obtener la

certificacin, y recordar que cualquier empresa puede ser candidata a esta certificacin
ISO/IEC-27001.

La norma ISO/IEC-27004 describe las mtricas que se pueden aplicar al

SGSI, describe el contenido de este estndar y explica, por lo menos, 5
mtricas mencionadas en el estndar.

(ISO, ISO, 2009) ISO / IEC 27004: 2009 proporciona orientacin sobre el desarrollo y uso
de las medidas y la medicin con el fin de evaluar la eficacia de un SGSI y controles o
grupos de controles, como se especifica en la norma ISO / IEC 27001. Son mtricas para
la gestin de seguridad de la informacin. Es la que proporciona recomendaciones de
quin, cundo y cmo realizar mediciones de seguridad de la informacin. Publicada el 7
de diciembre del 2009, no se encuentra traducida al espaol actualmente.
ISO 27004 nos facilita una serie de mejores prcticas para poder medir el resultado de un
SGSI basado en ISO 27001. Este estndar ayuda a cmo configurar el programa de
medicin, qu parmetros medir, cundo y ayuda a las empresas a crear objetivos de

rendimiento y criterios de xito. La medicin de la seguridad aporta proteccin a los

sistemas de la organizacin y da respuesta a las amenazas de la misma.
La norma ya mencionada explica que el tipo de medidas requeridas depender del tamao
y la complejidad de la organizacin, de la relacin costos beneficio y del nivel de integracin
de la seguridad de la informacin en los procesos de la propia organizacin. Tambin
establece cmo se deben constituir estas medidas y cmo se deben documentar e integrar
los datos obtenidos en el SGSI.
A continuacin se muestran las etapas que son propuestas por esta ISO con el objetivo de
medir la eficacia de la seguridad de la informacin:

Seleccin de procesos y objetos de medicin: las empresas deben definir lo que hay
que medir y el alcance de la medida.

Definicin de las lneas base: Los valores base que muestran el punto de referencia
deben definirse para cada objeto que se est midiendo.

Recopilacin de datos: los datos deben ser dimensionales, precisos y oportunos.

Desarrollo de un mtodo de medicin: la secuencia lgica de operaciones se aplica

en diversos atributos del objeto seleccionado para la medicin.

Interpretacin de los valores medidos: mediante procesos y la tecnologa para el

anlisis y la interpretacin de los valores de deben identificar las brechas entre el
valor inicial y el valor de medicin real.

Comunicacin de los valores de medicin: los resultados de medicin del SGSI se

comunicaran a las partes interesadas.

Este estndar al igual que ISO 27001 se basa en un ciclo de vida PLAN-DO-CHECK-ACT
(PDCA) para toda la estructura de procesos de SGSI. En este se describen los cuatro pasos
esenciales que se deben llevar a cabo de forma sistemtica para lograr la mejora continua.

La aplicacin de esta metodologa est enfocada principalmente para ser usada en

empresas y organizaciones.
Todo esto en su conjunto nos ayudar a tener una mejor continua e ir verificando en que
aspectos estamos fallando, verificar en que riesgos estamos cayendo y poder corregirlos.

Mtricas.
Mtricas orientadas al tamao.
Consideran el tamao de software que se ha producido, siendo por ello las lneas de cdigo
(LDC) el valor de normalizacin. Son medidas directas del resultado y del proceso.
Si una organizacin de software mantiene registros sencillos, se puede crear una tabla de
datos orientados al tamao
Mtricas:

Productividad = KLDC/Esfuerzo
Calidad = errores/KLDC (miles de lneas de cdigo)
Costo = $/KLDC
Documentacin = Pags. Doc/KLDC
Mtricas orientadas a la funcin

Son medidas indirectas del software y del proceso. Se centran en la funcionalidad o utilidad
del programa. Emplean como un valor de normalizacin una medida de la funcionalidad
que entrega la aplicacin. La mtrica orientada a la funcin utilizada con mayor amplitud es
el punto de funcin
Mtricas para calidad del software
Las mtricas de calidad de software se enfocan sobre el proceso, el proyecto y el producto.
Estas mtricas las podemos dividir en dos grupos; el primer grupo se le recolecta antes de
la entrega del producto y las otras luego de haberlo entregado.

Medidas de la calidad

Correccin: Es el grado en que el software desempea la funcin para la que fue

creado.

Facilidad de Mantenimiento: es la facilidad para corregir un error, adaptar un

programa a cambios, o mejorarlo si el cliente desea un cambio.

Integridad: Es la capacidad para resistir ataques, provocados o no, contra su

seguridad, ya sea sobre programas, datos y documentos.

Mtricas para organizaciones pequeas

Una organizacin pequea puede seleccionar el siguiente conjunto de medidas que se
recopilan con facilidad:
o

tcola: Tiempo desde solicitud hasta que evaluacin est completa

Teval: Esfuerzo para realizar evaluacin (persona-horas)

teval: Tiempo desde que se completa la evaluacin hasta la asignacin de pedido

de cambio

Tcambio: Esfuerzo para hacer el cambio (persona-horas)

tcambio: Tiempo requerido para hacer el cambio (persona-horas)

Ecambio: Errores descubiertos durante el trabajo para hacer el cambio.

Dcambio: Defectos descubiertos despus de que el cambio es liberado.

Bibliografa
(17 de JUNIO de 2014). Obtenido de
http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=63
411
27000. (15 de DICIEMBRE de 2009). Obtenido de ISO/IEC 27004:2009:
http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=42
106
CARELO MUOZ, C. (OCTUBRE de 2006). MTRICAS DEL SOFTWARE:. Obtenido de
Conceptos bsicos, definicin y formalizacion:
http://eisc.univalle.edu.co/materias/Material_Desarrollo_Software/Metricas4.pdf
ISO. (2009). ISO. Obtenido de ISO:
http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=42
106
ISO. (2013). Obtenido de ISO/IEC 27001:2013:
http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=63
411
ISO 27000.es. (2005). Obtenido de El portal de ISO 27001 en Espaol:
http://iso27000.es/certificacion.html
5

ISO/IEC 27001:2013. (01 de OCTUBRE de 2013). Obtenido de ISO:

http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=54
534
NYCE. (s.f.). Obtenido de Seguridad y Confianza:
http://www.nyce.org.mx/index.php/sistemas/faq-sgti
SGSI. (24 de ENERO de 2014). Obtenido de ISO/IEC 27004 Medicin de la Seguridad
de la Informacin: http://www.pmg-ssi.com/2014/01/isoiec-27004-medicion-de-laseguridad-de-la-informacion/