Consejos de implantacin y mtricas de ISO/IEC 27001 y 27002

Realizado por la comunidad internacional de implantadores de ISO27000 de ISO27001security.com

Traducido del original ingls al espaol por www.iso27000.es

Versin 1, 28 de Junio de 2007

Introduccin
Esto es un documento colaborativo creado por implantadores de ISO/IEC 27001 y 27002 pertenecientes al ISO27k implementers' forum. Queramos documentar
y compartir algunas recomendaciones pragmticas para implantar los estndares de gestin de seguridad de la informacin, adems de potenciales mtricas
para medir y reportar el estado de la seguridad de la informacin, referenciadas en ambos casos a los estndares ISO/IEC.

Alcance
Esta gua cubre todos los 39 objetivos de control listados en las secciones 5 a 15 de ISO/IEC 27002, adems de la seccin 4 de evaluacin y tratamiento de
riesgos que les precede.

Objetivo
Este documento pretende ayudar a otros que estn implantando o planeando implantar los estndares ISO/IEC de gestin de seguridad de la informacin. Al
igual que los propios estndares ISO/IEC, se trata de un documento genrico y necesita ser adaptado a las necesidades especficas de cada uno.
Copyright
Este trabajo tiene copyright 2007, ISO27k implementers' forum, algunos derechos reservados. Est licenciado bajo licencia Creative Commons
Attribution-Noncommercial-Share Alike 3.0. Vd. puede reproducir, distribuir, usar y crear trabajos derivados de este, siempre y cuando (a) no
sean vendidos o incorporados en ningn producto comercial, (b) sean correctamente atribuidos al ISO27k implementers forum
(www.ISO27001security.com), y (c) sean compartidos bajo los mismos trminos que este.

Ref. Objetivo Consejos de implementacin Posibles mtricas

4. Evaluacin y tratamiento de riesgos

Se puede usar cualquier mtodo de gestin de riesgos de se-

guridad de la informacin, con preferencia por mtodos docu- Porcentaje de riesgos identificados evaluados como de
Evaluacin de ries-
4.1 mentados, estructurados y generalmente aceptados como OC-
gos de seguridad
TAVE, MEHARI, ISO TR 13335 BS 7799 Parte 3 (y, en su importancia alta, media o baja, ms "no evaluados".
momento, ISO/IEC 27005).

Tendencia en nmero de riesgos relativos a seguridad de

La gerencia (especficamente, los propietarios de activos de in-
formacin) necesita evaluar los riesgos y decidir qu hacer con
ellos. Tales decisiones deben documentarse en un Plan de Tra-
Tratamiento de ries- tamiento de Riesgos (PTR). Es aceptable que la direccin deci-
4.2
gos de seguridad da explcitamente no hacer nada con ciertos riesgos de seguri-
dad de la informacin que se estiman dentro de la "tolerancia al
riesgo" de la organizacin, sin que sea ste el enfoque por de-
fecto.
la informacin en cada nivel de importancia.
Costes de seguridad de la informacin como porcentaje
de los ingresos totales o del presupuesto de TI.
Porcentaje de riesgos de seguridad de la informacin para
los cuales se han implantando totalmente controles satis-
factorios.

5. Poltica de seguridad
 Ref. Objetivo Consejos de implementacin Posibles mtricas

Piense en trminos de un manual o wiki de polticas de seguri-

dad de la informacin que contenga un conjunto coherente e in- Cobertura de la poltica (es decir, porcentaje de secciones
ternamente consistente de polticas, normas, procedimientos y de ISO/IEC 27001/2 para las cuales se han especificado,
directrices. escrito, aprobado y publicado polticas y sus normas, pro-
Poltica de seguri-
cedimientos y directrices asociadas.
5.1 dad de la informa-
Determine la frecuencia de revisin de la poltica de seguridad Grado de despliegue y adopcin de la poltica en la orga-
cin
de la informacin y las formas de comunicacin a toda la orga-
nizacin (medido por auditora, gerencia o auto-evalua-
nizacin. La revisin de la idoneidad y adecuacin de la poltica
de seguridad de la informacin puede ser incluida en las revi- cin).
siones de la direccin.

6. Aspectos organizativos de la seguridad de la informacin

Porcentaje de funciones/unidades organizativas para las

cuales se ha implantado una estrategia global para mante-
ner los riesgos de seguridad de la informacin por debajo
Reproduzca la estructura y tamao de otras funciones corpora- de umbrales explcitamente aceptados por la direccin.
6.1 Organizacin interna
tivas especializadas, como Legal, Riesgos y Compliance.
Porcentaje de empleados que han (a) recibido y (b) acep-
tado formalmente, roles y responsabilidades de seguridad
de la informacin.

Haga inventario de conexiones de red y flujos de informacin

significativos con 3as partes, evale sus riesgos y revise los
controles de seguridad de informacin existentes respecto a los Porcentaje de conexiones con terceras partes que han
requisitos. Esto puede dar miedo, pero es 100% necesario! sido identificadas, evaluadas en cuanto a su riesgo y esti-
6.2 Terceros
madas como seguras.
Considere exigir certificados en ISO/IEC 27001 a los partners
ms crticos, tales como outsourcing de TI, proveedores de ser-
vicios de seguridad TI, etc.

7. Gestin de activos

Copyright 2007, ISO27001security forum Pgina 3 de 16

Ref. Objetivo Consejos de implementacin Posibles mtricas

Elabore y mantenga un inventario de activos de informacin (si-

milar al preparado en su da para el Efecto 2000), mostrando Porcentaje de activos de informacin en cada fase del pro-
los propietarios de los activos (directivos o gestores responsa- ceso de clasificacin (identificado / inventariado / propieta-
bles de proteger sus activos) y los detalles relevantes (p. ej., rio asignado / riesgo evaluado / clasificado / asegurado).
Responsabilidad so- ubicacin, n de serie, n de versin, estado de desarrollo /
7.1 Porcentaje de activos de informacin claves para los cua-
bre los activos pruebas / produccin, etc.).
les se ha implantado una estrategia global para mitigar
Use cdigos de barras para facilitar las tareas de realizacin de riesgos de seguridad de la informacin segn sea necesa-
inventario y para vincular equipos de TI que entran y salen de rio y para mantener dichos riesgos en niveles aceptables.
las instalaciones con empleados.

Mantenga la sencillez! Distinga los requisitos de seguridad b-

sicos (globales) de los avanzados, de acuerdo con el riesgo. Porcentaje de activos de informacin en cada categora de
Clasificacin de la
7.2
informacin clasificacin (incluida la de "an sin clasificar").
Comience quizs con la confidencialidad, pero no olvide los re-
quisitos de integridad y disponibilidad.

8. Seguridad ligada a los recursos humanos

Conjuntamente con RRHH, asegure que se emplea un proceso

de verificacin de antecedentes proporcional a la clasificacin Porcentaje de nuevos empleados o pseudo-empleados
de seguridad de aquella informacin a la que va a acceder el (contratistas, consultores, temporales, etc.) que hayan
Antes de la contrata-
8.1 empleado a contratar. Dicho simplemente, el proceso de con-
cin sido totalmente verificados y aprobados de acuerdo con
tratacin de un administrador de sistemas TI debera ser muy
diferente del de un administrativo. Haga comprobaciones de las polticas de la empresa antes de comenzar a trabajar.
procedencia, formacin, conocimientos, etc.

La responsabilidad con respecto a la proteccin de la informa-

cin no finaliza cuando un empleado se va a casa o abandona
la organizacin. Asegure que esto se documenta claramente en
Respuesta a las actividades de concienciacin en seguri-
materiales de concienciacin, contratos de empleo, etc.
Durante la contrata- dad medidas por, p. ej., el nmero de e-mails y llamadas
8.2
cin
Contemple la posibilidad de una revisin anual por RRHH de relativas a iniciativas de concienciacin individuales.
los contratos junto con los empleados para refrescar las expec-
tativas expuestas en los trminos y condiciones de empleo, in-
cluyendo su compromiso con la seguridad de la informacin.
 Ref. Objetivo Consejos de implementacin Posibles mtricas

Vase Seccin 7.1. La devolucin de los activos de la organi-

zacin cuando un empleado se marcha sera mucho ms senci-
lla de verificar si el inventario de activos ha sido actualizado y
verificado regularmente.
Porcentaje de identificadores de usuario pertenecientes a
Examine qu accesos necesita revocar en primer lugar cuando personas que han dejado la organizacin, separados por
Cese o cambio de
8.3 un empleado presenta su carta de dimisin: cules son los las categoras de activos (pendientes de desactivacin) e
puesto de trabajo
sistemas ms crticos o vulnerables? inactivos (pendientes de archivo y borrado).
Haga un seguimiento del uso del e-mail por estas personas an-
tes de salir definitivamente de la empresa, por si comienzan a
sacar informacin confidencial (sujeto a las polticas aplicables
y a consideraciones legales sobre privacidad).

9. Seguridad fsica y ambiental

El estndar parece centrarse en el CPD pero hay muchas otras

reas vulnerables a considerar, p. ej., armarios de cableado,
"servidores departamentales" y archivos (recuerde: los estn-
dares se refieren a asegurar la informacin, no slo las TI).

Examine la entrada y salida de personas a/de su organizacin.

Hasta dnde podra llegar el repartidor de pizza o el mensaje-
ro sin ser parado, identificado y acompaado? Qu podran Informes de inspecciones peridicas de seguridad fsica
ver, llevarse o escuchar mientras estn dentro? Algunas orga- de instalaciones, incluyendo actualizacin regular del esta-
9.1 reas seguras nizaciones usan tarjetas de identificacin de colores para indi- do de medidas correctivas identificadas en inspecciones
car las reas accesibles por los visitantes (p. ej., azul para la 1 previas que an estn pendientes.
planta, verde para la 3, etc.; ahora, si ve a alguien con una
identificacin verde en la 4 planta, retngalo).

Asegrese de retirar todos los pases de empleado y de visita

cuando se vayan. Haga que los sistemas de acceso con tarjeta
rechacen y alarmen ante intentos de acceso. Use pases de visi-
ta que se vuelvan opacos o muestren de alguna manera que ya
no son vlidos a las x horas de haberse emitido.

Copyright 2007, ISO27001security forum Pgina 5 de 16

Ref. Objetivo Consejos de implementacin Posibles mtricas

Haga que los vigilantes de seguridad impidan a cualquiera (em-

pleados, visitas, personas de soporte TI, mensajeros, personal
de mudanzas, etc.) sacar equipos informticos de las instala- Nmero de chequeos (a personas a la salida y a existen-
ciones sin autorizacin escrita. Convirtalo en un elemento di- cias en stock) realizados en el ltimo mes y porcentaje de
Seguridad de los
9.2 suasorio visible mediante chequeos aleatorios (o, incluso, arcos chequeos que evidenciaron movimientos no autorizados
equipos
de deteccin de metales). Est especialmente atento a puertas de equipos o soportes informticos u otras cuestiones de
traseras, rampas de carga, salidas para fumadores, etc. Tome seguridad.
en consideracin el uso de cdigos de barras para hacer los
chequeos ms eficientes.

10. Gestin de comunicaciones y operaciones

Mtricas de madurez de procesos TI relativos a seguridad,
tales como el semiperiodo de aplicacin de parches de se-
Documente procedimientos, normas y directrices de seguridad guridad (tiempo que ha llevado parchear al menos la mitad
Responsabilidades y
de la informacin, adems de roles y responsabilidades, identi- de los sistemas vulnerables -esta medida evita la cola va-
10.1 procedimientos de
ficadas en el manual de poltica de seguridad de la organiza- riable provocada por los pocos sistemas inevitables que
operacin
cin. permanecen sin parchear por no ser de uso diario, estar
normalmente fuera de la oficina o cualquier otra razn-).

Lo que recibe vale lo que paga por ello? D respuesta a esta

pregunta y respldela con hechos, estableciendo un sistema de Coste del tiempo de inactividad debido al incumplimiento
supervisin de terceros proveedores de servicios y sus respec- de los acuerdos de nivel de servicio.
Gestin de la provi-
tivas entregas de servicio. Revise peridicamente los acuerdos
10.2 sin de servicios por
de nivel de servicio (SLA) y comprelos con los registros de su- Evaluacin del rendimiento de proveedores incluyendo la
terceros
pervisin. En algunos casos puede funcionar un sistema de
calidad de servicio, entrega, coste, etc.
premio y castigo. Est atento a cambios que tengan impacto en
la seguridad.

10.3 Planificacin y acep- Adopte procesos estructurados de planificacin de capacidad Porcentaje de cambios de riesgo bajo, medio, alto y de
tacin del sistema TI, desarrollo seguro, pruebas de seguridad, etc., usando es- emergencia.
 Ref. Objetivo Consejos de implementacin Posibles mtricas

tndares aceptados como ISO 20000 (ITIL) donde sea posible.
Defina e imponga estndares de seguridad bsica (mnimos
aceptables) para todas las plataformas de sistemas operativos,
usando las recomendaciones de seguridad de CIS, NIST, NSA
y fabricantes de sistemas operativos y, por supuesto, sus pro-
pias polticas de seguridad de la informacin.
Nmero y tendencia de cambios revertidos y rechazados
frente a cambios exitosos.
Porcentaje de sistemas (a) que deberan cumplir con es-
tndares de seguridad bsica o similares y (b) cuya con-
formidad con dichos estndares ha sido comprobada me-
diante benchmarking o pruebas.

Combine controles tecnolgicos (p. ej., software antivirus) con Tendencia en el nmero de virus, gusanos, troyanos o
Proteccin contra medidas no tcnicas (educacin, concienciacin y formacin). spam detectados y bloqueados.
10.4 cdigo malicioso y No sirve de mucho tener el mejor software antivirus del merca-
Nmero y costes acumulados de incidentes por software
mvil do si los empleados siguen abriendo e-mails de remitentes des-
conocidos o descargando ficheros de sitios no confiables! malicioso.

Implante procedimientos de backup y recuperacin que satisfa-

10.5 Copias de seguridad
Gestin de la seguri- seguridad tcnicos para redes y herramientas de seguridad de
10.6
dad de las redes
Porcentaje de operaciones de backup exitosas.
gan no slo requisitos contractuales sino tambin requisitos de
negocio "internos" de la organizacin. Bsese en la evaluacin
Porcentaje de recuperaciones de prueba exitosas.
de riesgos realizada para determinar cules son los activos de
informacin ms importantes y use esta informacin para crear
Tiempo medio transcurrido desde la recogida de los so-
su estrategia de backup y recuperacin. Hay que decidir y esta-
portes de backup de su almacenamiento fuera de las ins-
blecer el tipo de almacenamiento, soporte a utilizar, aplicacin
talaciones hasta la recuperacin exitosa de los datos en
de backup, frecuencia de copia y prueba de soportes.
todas ubicaciones principales.
Encripte copias de seguridad y archivos que contengan datos Porcentaje de backups y archivos con datos sensibles o
sensibles o valiosos (en realidad, sern prcticamente todos valiosos que estn encriptados.
porque, si no, para qu hacer copias de seguridad?).
Nmero de incidentes de seguridad de red identificados
Prepare e implante estndares, directrices y procedimientos de
en el mes anterior, dividido por categoras de leve / impor-
red como IDS/IPS (deteccin y prevencin de intrusiones), ges- tante / grave, con anlisis de tendencias y descripcin co-
tin de vulnerabilidades, etc. mentada de todo incidente serio y tendencia adversa.

10.7 Manejo de los so- Asegure los soportes y la informacin en trnsito no solo fsico Porcentaje de soportes de backup o archivo que estn to-
portes sino electrnico (a travs de las redes). talmente encriptados.

Copyright 2007, ISO27001security forum Pgina 7 de 16

Ref. Objetivo Consejos de implementacin Posibles mtricas

Encripte todos los datos sensibles o valiosos antes de ser

transportados.

Estudie canales de comunicaciones alternativos y "pre-autoriza-

Porcentaje de enlaces de terceras partes para los cuales
dos", en especial direcciones de e-mail secundarias por si fallan
Intercambio de infor-
10.8 las primarias o el servidor de correo, y comunicaciones offline se han (a) definido y (b) implementado satisfactoriamente
macin
por si caen las redes. El verificar canales de comunicacin al- los requisitos de seguridad de la informacin.
ternativos reducir el estrs en caso de un incidente real.
Trabaje estrechamente con las unidades de negocio para desa-
rrollar un eBusiness seguro, incorporando requisitos de seguri- "Estado de la eSeguridad", es decir, un informe sobre el
dad de la informacin en los proyectos, y con ello en los siste- nivel global de confianza de la direccin, basado en el
Servicios de comer- mas de eCommerce, desde el principio (tambin en cualquier
10.9 anlisis de los ltimos tests de penetracin, incidentes ac-
cio electrnico cambio/actualizacin posterior). Insista en el valor aadido de
la seguridad en la reduccin de riesgos comerciales, legales y tuales o recientes, vulnerabilidades actuales conocidas,
operativos asociados al eBusiness. Trabaje los 3 aspectos cla- cambios planificados, etc.
ve de la seguridad: confidencialidad, integridad y disponibilidad.
El viejo axioma del aseguramiento de la calidad "no puedes
Porcentaje de sistemas cuyos logs de seguridad (a) estn
controlar lo que no puedes medir o monitorizar" es tambin vli-
adecuadamente configurados, (b) son transferidos con se-
do para la seguridad de la informacin. La necesidad de im-
guridad a un sistema de gestin centralizada de logs y (c)
plantar procesos de supervisin es ms evidente ahora que la
son monitorizados/revisados/evaluados regularmente.
10.10 Supervisin medicin de la eficacia de los controles se ha convertido en un
requisito especfico. Analice la criticidad e importancia de los Tendencia en el nmero de entradas en los logs de segu-
datos que va a monitorizar y cmo esto afecta a los objetivos ridad que (a) han sido registradas, (b) han sido analizadas
globales de negocio de la organizacin en relacin a la seguri- y (c) han conducido a actividades de seguimiento.
dad de la informacin.

11. Control de accesos

Los propietarios de activos de informacin que son responsa-
bles ante la direccin de la proteccin "sus" activos deberan te-
Requisitos de nego-
ner la capacidad de definir y/o aprobar las reglas de control de
11.1 cio para el control de
acceso y otros controles de seguridad. Asegrese de que se
accesos
les responsabiliza de incumplimientos, no conformidades y
otros incidentes.
Porcentaje de sistemas y aplicaciones corporativas para
los que los "propietarios" adecuados han: (a) sido identifi-
cados, (b) aceptado formalmente sus responsabilidades,
(c) llevado a cabo -o encargado- revisiones de accesos y
seguridad de aplicaciones, basadas en riesgo y (d) defini-
do las reglas de control de acceso basadas en roles.
 Ref. Objetivo Consejos de implementacin Posibles mtricas

Cree la funcin diferenciada de "administrador de seguridad", Tiempo medio transcurrido entre la solicitud y la realiza-
con responsabilidades operativas para aplicar las reglas de cin de peticiones de cambio de accesos y nmero de so-
control de acceso definidas por los propietarios de las aplicacio-
licitudes de cambio de acceso cursadas en el mes anterior
Gestin de acceso
11.2 nes y la direccin de seguridad de la informacin. (con anlisis de tendencias y comentarios acerca de cual-
de usuario
quier pico / valle (p. ej., "Implantada nueva aplicacin fi-
Invierta en proporcionar al administrador de seguridad herra-
nanciera este mes").
mientas para realizar sus tareas lo ms eficientemente posible.

Asegrese de que se establecen las responsabilidades de se-

guridad y que son entendidas por el personal afectado. Una
buena estrategia es definir y documentar claramente las res- Porcentaje de descripciones de puesto de trabajo que in-
ponsabilidades relativas a seguridad de la informacin en las cluyen responsabilidades en seguridad de la informacin
Responsabilidades
11.3 descripciones o perfiles de los puestos de trabajo. Son impres- (a) totalmente documentadas y (b) formalmente acepta-
del usuario
cindibles las revisiones peridicas para incluir cualquier cambio. das.
Comunique regularmente a los empleados los perfiles de sus
puestos (p. ej., en la revisin anual de objetivos), para recordar-
les sus responsabilidades y recoger cualquier cambio.

Estadsticas de cortafuegos, tales como porcentaje de pa-

quetes o sesiones salientes que han sido bloqueadas (p.
Mantenga el equilibrio entre controles de seguridad perimetra-
Control de acceso a
11.4 les (LAN/WAN) e internos (LAN/LAN), frente a controles de se- ej., intentos de acceso a pginas web prohibidas; nmero
la red de ataques potenciales de hacking repelidos, clasificados
guridad en aplicaciones (defensa en profundidad).
en insignificantes/preocupantes/crticos).

Estadsticas de vulnerabilidad de sistemas y redes, como

Control de acceso al
11.5
sistema operativo
n de vulnerabilidades conocidas cerradas, abiertas y nue-
Implante estndares de seguridad bsica para todas las plata-
formas informticas y de comunicaciones, recogiendo las mejo- vas; velocidad media de parcheo de vulnerabilidades
(analizadas por prioridades/categoras del fabricante o
res prcticas de CIS, NIST, fabricantes de sistemas, etc.
propias).

Copyright 2007, ISO27001security forum Pgina 9 de 16

Ref. Objetivo Consejos de implementacin Posibles mtricas
Porcentaje de plataformas totalmente conformes con los
estndares de seguridad bsica (comprobado mediante
Control de acceso a Implante estndares de seguridad bsica para todas las aplica-
11.6 la aplicacin y a la ciones y middleware, recogiendo las mejores prcticas y check- pruebas independientes), con anotaciones sobre los siste-
informacin lists de CIS, NIST, fabricantes de software, etc. mas no conformes (p. ej., "Sistema de finanzas ser ac-
tualizado para ser conforme en cuarto trimestre)".

Tenga polticas claramente definidas para la proteccin, no slo
de los propios equipos informticos porttiles (es decir, laptops,
PDAs, etc.), sino, en mayor medida, de la informacin almace-
nada en ellos. Por lo general, el valor de la informacin supera
con mucho el del hardware.
Ordenadores portti-
11.7
les y teletrabajo
Asegrese de que el nivel de proteccin de los equipos infor-
mticos utilizados dentro de las instalaciones de la organiza-
cin tiene su correspondencia en el nivel de proteccin de los
equipos porttiles, en aspectos tales como antivirus, parches,
actualizaciones, software cortafuegos, etc.
"Estado de la seguridad en entorno porttil / teletrabajo",
es decir, un informe sobre el estado actual de la seguridad
de equipos informticos porttiles (laptops, PDAs, telfo-
nos mviles, etc.), y de teletrabajo (en casa de los em-
pleados, fuerza de trabajo mvil), con comentarios sobre
incidentes recientes/actuales, vulnerabilidades actuales de
seguridad conocidas y pronsticos sobre cualquier riesgo
creciente, despliegue de configuraciones seguras, antivi-
rus, firewalls personales, etc.

12. Adquisicin, desarrollo y mantenimiento de los sistemas de informacin

Involucre a los "propietarios de activos de informacin" en eva-

luaciones de riesgos a alto nivel y consiga su aprobacin de los
requisitos de seguridad que surjan. Si son realmente responsa-
bles de proteger sus activos, es en inters suyo el hacerlo bien.
Requisitos de segu-
12.1 ridad de los siste- Ver 11.1
Est al tanto de las novedades sobre vulnerabilidades comunes
mas de informacin
o actuales en aplicaciones e identifique e implemente las medi-
das protectoras o defensivas apropiadas. Numerosas referen-
cias ofrecen orientacin sobre la implementacin, como, p. ej.,
OWASP.
 Ref. Objetivo Consejos de implementacin Posibles mtricas

Siempre que sea posible, utilice libreras y funciones estndar

para necesidades corrientes como validacin de datos de en-
trada, restricciones de rango y tipo, integridad referencial, etc.

Procesamiento co- Para mayor confianza con datos vitales, construya e incorpore Porcentaje de sistemas para los cuales los controles de
12.2 rrecto en las aplica- funciones adicionales de validacin y chequeo cruzado (p. ej., validacin de datos se han (a) definido y (b) implementado
ciones sumas totalizadas de control). y demostrado eficaces mediante pruebas.

Desarrolle y use herramientas -y habilidades- de prueba auto-

matizadas y manuales, para comprobar cuestiones habituales
como desbordamientos de memoria, inyeccin SQL, etc.
Porcentaje de sistemas que contienen datos valiosos o
Utilice estndares formales actuales tales como AES, en lugar
sensibles para los cuales se han implantado totalmente
Controles criptogrfi- de algoritmos de cosecha propia.
12.3 controles criptogrficos apropiados (periodo de reporte de
cos
La implementacin es crucial! 3 a 12 meses).

Porcentaje de sistemas evaluados de forma independiente

Seguridad de los ar-
12.4
chivos de sistema
como totalmente conformes con los estndares de seguri-
Aplique consistentemente estndares de seguridad bsica,
asegurando que se siguen las recomendaciones de CIS, NIST, dad bsica aprobados, respecto a aquellos que no han
sido evaluados, no son conformes o para los que no se
fabricantes de sistemas, etc.
han aprobado dichos estndares.

Incorpore la seguridad de la informacin al ciclo de vida de de-

sarrollo de sistemas en todas sus fases, desde la concepcin
hasta la desaparicin de un sistema, por medio de la inclusin "Estado de la seguridad en sistemas en desarrollo", es de-
de "recordatorios" sobre seguridad en los procedimientos y m- cir, un informe sobre el estado actual de la seguridad en
Seguridad en los los procesos de desarrollo de software, con comentarios
todos de desarrollo, operaciones y gestin de cambios.
12.5 procesos de desa-
rrollo y soporte sobre incidentes recientes/actuales, vulnerabilidades ac-
Trate el desarrollo e implementacin de software como un pro- tuales de seguridad conocidas y pronsticos sobre cual-
ceso de cambio. Integre las mejoras de seguridad en las activi- quier riesgo creciente, etc.
dades de gestin de cambios (p. ej., documentacin y forma-
cin procedimental para usuarios y administradores).

Copyright 2007, ISO27001security forum Pgina 11 de 16

Ref. Objetivo Consejos de implementacin Posibles mtricas

Haga un seguimiento constante de parches de seguridad me-

diante herramientas de gestin de vulnerabilidades y/o actuali-
zacin automtica siempre que sea posible (p. ej., Microsoft
Update o Secunia Software Inspector). Evale la relevancia y Latencia de parcheo o semiperiodo de despliegue (tiempo
criticidad o urgencia de los parches en su entorno tecnolgico. que ha llevado parchear la mitad de los sistemas vulnera-
Gestin de la vulne-
12.6 Pruebe y aplique los parches crticos, o tome otras medidas de bles -evita variaciones circunstanciales debidas a retrasos
rabilidad tcnica
proteccin, tan rpida y extensamente como sea posible, para en unos pocos sistemas, tales como porttiles fuera de la
vulnerabilidades de seguridad que afecten a sus sistemas y empresa o almacenados-).
que estn siendo explotadas fuera activamente. Evite quedarse
tan atrs en la rutina de actualizacin de versiones que sus sis-
temas queden fuera de soporte por el fabricante.

13. Gestin de incidentes en la seguridad de la informacin

Estadsticas del helpdesk de TI, con anlisis sobre el n-
mero y tipos de llamadas relativas a seguridad de la infor-
macin (p. ej., cambios de contrasea; porcentaje de pre-
guntas acerca de riesgos y controles de seguridad de la
Notificacin de
Establezca y d a conocer una hotline (generalmente, el help- informacin respecto al total de preguntas). A partir de las
eventos y puntos d-
13.1 desk habitual de TI) para que la gente pueda informar de inci- estadsticas, cree y publique una tabla de clasificacin por
biles de la seguridad
dentes, eventos y problemas de seguridad. departamentos (ajustada segn el nmero de empleados
de la informacin
por departamento), mostrando aquellos que estn clara-
mente concienciados con la seguridad, frente a los que no
lo estn.

Nmero y gravedad de incidentes; evaluaciones de los

Las revisiones post-incidente y los casos de estudio para inci- costes de analizar, detener y reparar los incidentes y cual-
Gestin de inciden-
dentes serios, tales como fraudes, ilustran los puntos dbiles quier prdida tangible o intangible producida.
tes de seguridad de
13.2 de control, identifican oportunidades de mejora y conforman por
la informacin y me-
s mismos un mecanismo eficaz de concienciacin en seguri- Porcentaje de incidentes de seguridad que han causado
joras
dad. costes por encima de umbrales aceptables definidos por la
direccin.
 Ref. Objetivo
14. Gestin de la continuidad del negocio
Aspectos de seguri-
dad de la informa-
14.1 cin en la gestin de
la continuidad del
negocio
15. Cumplimiento
Cumplimiento de los
15.1
requisitos legales
Copyright 2007, ISO27001security forum
Consejos de implementacin Posibles mtricas
Considere la gestin de continuidad de negocio como un proce-
so con entradas procedentes de diversas funciones (alta direc-
cin, TI, operaciones, RRHH, etc.) y actividades (evaluacin de
riesgos, etc.).
Asegure la coherencia y concienciacin mediante personas y Porcentaje de planes de continuidad de negocio en cada
unidades organizativas relevantes en los planes de continuidad una de las fases del ciclo de vida (requerido / especificado
/ documentado / probado).
de negocio.
Porcentaje de unidades organizativas con planes de conti-
Deberan llevarse a cabo las pruebas pertinentes (tales como
pruebas sobre el papel, simulacros, pruebas de failover, etc.) nuidad de negocio que han sido adecuadamente (a) docu-
para (a) mantener los planes actualizados, (b) aumentar la con- mentados y (b) probados mediante tests apropiados en los
fianza de la direccin en los planes y (c) familiarizar a los em- ltimos 12 meses.
pleados relevantes con sus funciones y responsabilidades bajo
condiciones de desastre.
Obtenga consejos de implantacin en BS 25999 - Gestin de la
Continuidad de Negocio.
Nmero de cuestiones o recomendaciones de cumplimien-
to legal, agrupadas y analizadas por su estado (cerradas,
abiertas, nuevas, retrasadas) e importancia o nivel de ries-
Obtenga asesoramiento legal competente, especialmente si la go (alto, medio o bajo).
organizacin opera o tiene clientes en mltiples jurisdicciones.
Porcentaje de requisitos externos clave que, mediante au-
ditoras objetivas o de otra forma admisible, han sido con-
siderados conformes.
Pgina 13 de 16
Ref. Objetivo Consejos de implementacin Posibles mtricas

Nmero de cuestiones o recomendaciones de poltica in-

Alinee los procesos de auto-evaluacin de controles de seguri- terna y otros aspectos de cumplimiento, agrupadas y ana-
Cumplimiento de las
dad con las auto-evaluaciones de gobierno corporativo, cumpli- lizadas por su estado (cerradas, abiertas, nuevas, retrasa-
polticas y normas
15.2 miento legal y regulador, etc., complementados por revisiones das) e importancia o nivel de riesgo (alto, medio o bajo).
de seguridad y cum-
de la direccin y verificaciones externas de buen funcionamien-
plimiento tcnico Porcentaje de revisiones de cumplimiento de seguridad de
to.
la informacin sin incumplimientos sustanciales.

Nmero de cuestiones o recomendaciones de auditora,

Invierta en auditora TI cualificada que utilice ISO 27001, CO- agrupadas y analizadas por su estado (cerradas, abiertas,
BIT, ITIL, CMM y estndares y mtodos de buenas prcticas si- nuevas, retrasadas) e importancia o nivel de riesgo (alto,
milares como referencias de comparacin. medio o bajo).
Consideraciones de
las auditoras de los Examine ISO 19011 "Directrices para la auditora de los siste- Porcentaje de hallazgos de auditora relativos a seguridad
15.3
sistemas de informa- mas de gestin de la calidad y/o ambiental" como fuente valio- de la informacin que han sido resueltos y cerrados, res-
cin sa para la realizacin de auditoras internas del SGSI. ISO pecto al total de abiertos en el mismo periodo.
19011 proporciona un marco excelente para crear un programa
Tiempo medio real de resolucin/cierre de recomendacio-
de auditoras internas y contiene asimismo las cualificaciones
del equipo de auditora interna. nes, respecto a los plazos acordados por la direccin al fi-
nal de las auditoras.

*** Fin de la tabla ***

Referencias de fuentes adicionales de informacin
Berinato, S. (2005). "A Few Good Metrics". CIO-Asia, Septiembre. Centrado en la seleccin y medida de unas pocas mtricas tiles, antes que un gran nme-
ro de ellas intiles. Ideas creativas de presentacin en informes a la direccin.

Berinato, S., Campbell, G., Mena, C., y Lefler, D. (2005). "Influencing Senior Management - Security Metrics". Presentacin al CSO Executive Council. Conse-
jos en la seleccin de mtricas de seguridad S.M.A.R.T. [especficas -Specific-, medibles -Measurable-, alcanzables -Achievable-, relevantes -Relevant- y delimi-
tadas en el tiempo -Time bound-] que sean reducidas en nmero, actuales y precisas, validadas y aprobadas por las partes interesadas y (sobre todo) tiles.

Hinson, G. (2006). "7 Myths About Security Metrics". ISSA Journal, Julio. Plantea consideraciones de diseo de un sistema de mtricas de seguridad, con al-
gunos ejemplos.

Hauser, J.R. and Katz, G.M. (1998). "Metrics: You Are What You Measure". MIT. Un artculo para la reflexin que avisa sobre los peligros de conducir un pro-
ceso en una direccin no pretendida, por el uso de mtricas inapropiadas.

ISO/IEC 27001:2005. "International standard - Information technology - Security techniques - Information security management systems - Requirements".

ISO/IEC 27002:2005. "International standard - Information technology - Security techniques - Code of practice for information security management" [anterior-
mente conocida como ISO/IEC 17799:2005].

NIST (National Institute of Standards and Technology) (2003). Security Metrics Guide for Information Technology Systems. Special Publication 800-55. Inclu-
ye una lista extraordinariamente exhaustiva de posibles mtricas (pero, desafortunadamente, no ayuda mucho en cmo seleccionar mtricas tiles). El primer
borrador pblico de la Special Publication 800-80 "Guide for Developing Performance Metrics for Information Security" est disponible para comentarios.

Registro de cambios
Versin 1, 28 de Junio de 2007

Publicado por el ISO27k implementers' forum. Aportaciones de Gary Hinson, H Deura, K, Ramiah Marappan, Rainier Vergara y Richard O. Regalado.

Traducido del original ingls al espaol por Javier Ruiz Spohr (www.iso27000.es). 16 de Noviembre de 2007.
Feedback
Comentarios, preguntas y sugerencias de mejora (especialmente, sugerencias de mejora!) son bienvenidas a travs del ISO27k implementers' forum o, directa-
mente, al administrador del foro Gary@isect.com