Iso - Iec - 27004 - 2016 (En) - Anexo B

Machine Translated by Google Licenciado a Alignment SpA / Carlos Lobos (carlos.lobos@usach.
cl)
Pedido de tienda ISO: OP-485221 / Descargado: 2020-12-01
Solo licencia de usuario único, se prohíbe la copia y la creación de redes.
ISO/IEC 27004:2016(E)
Anexo B
(informativo)
Ejemplos de construcciones de medición
B.1 Generalidades
Los ejemplos del Anexo B siguen los principios establecidos en este documento. La siguiente tabla asigna
ejemplos de construcciones de medición a cláusulas específicas o números de objetivos de control en
ISO/IEC 27001:2013.
Procesos SGSI relacionados Nombres de ejemplo de construcción de medición

y controles
(Cláusula o número de control en
ISO/CEI 27001:2013)
5.1, 7.1 B.2 Asignación de recursos
7.5.2, A.5.1.2 B.3 Revisión de políticas
5.1, 9.3 B.4 Compromiso de la dirección
8.2, 8.3 B.5 Exposición al riesgo
9.2, A.18.2.1 B.6 Programa de auditoría

10 B.7 Acciones de mejora
10
SÓLO PREPÁRESE PARA LOSB.8ACABADOS ACADÉMICOS
Coste de los incidentes de seguridad
10, A.16.1.6 B.9 Forma de aprendizaje de incidentes de seguridad de la información

10.1 B.10 Implementación de acciones correctivas
A.7.2 B.11 Capacitación en SGSI o conocimiento de SGSI
A.7.2.2 B.12 Capacitación en seguridad de la información
A.7.2.1, A.7.2.2 B.13 Cumplimiento de la conciencia de seguridad de la información

A.7.2.2 B.14 Efectividad de las campañas de concientización del SGSI
A.7.2.2, A.9.3.1, A.16.1 B.15 Preparación para la ingeniería social

A.9.3.1 B.16 Calidad de la contraseña – manual
A.9.3.1 B.17 Calidad de la contraseña: automatizada
A.9.2.5 B.18 Revisión de los derechos de acceso de los usuarios
A.11.1.2 B.19 Evaluación del sistema de controles de entrada física

A.11.1.2 B.20 Efectividad de los controles de entrada física
A.11.2.4 B.21 Gestión del mantenimiento periódico
A.12.1.2 B.22 Gestión del cambio
A.12.2.1 B.23 Protección contra código malicioso
A.12.2.1 B.24 Antimalware
A.12.2.1, A.17.2.1 B.25 Disponibilidad total
A.12.2.1, A.13.1.3 B.26 Reglas de cortafuegos
A.12.4.1 B.27 Revisión de archivos de registro
A.12.6.1 B.28 Configuración del dispositivo
A.12.6.1, A.18.2.3 B.29 Pentest y evaluación de vulnerabilidad

A.12.6.1 B.30 Panorama de vulnerabilidad
A.15.1.2 B.31.1/B.31.2 Seguridad en acuerdos con terceros
© ISO/IEC 2016 – Todos los derechos reservados 19

Machine Translated by Google Licenciado a Alignment SpA / Carlos Lobos (carlos.lobos@usach.cl)
ISO/IEC 27004:2016(E)
Procesos SGSI relacionados Nombres de ejemplo de construcción de medición

y controles
(Cláusula o número de control en
ISO/CEI 27001:2013)
A.16 B.32 Eficacia de la gestión de incidentes de seguridad
A.16.1 B.33 Tendencia de incidentes de seguridad
16.1.3 B.34 Informes de eventos de seguridad
A.18.2.1 B.35 Proceso de revisión del SGSI
A.18.2.3 B.36 Cobertura de vulnerabilidad
Para cada ejemplo se incluye una referencia cruzada de la relación con las cláusulas o números de objetivos
de control en ISO/IEC 27001:2013. Además, para dos ejemplos (B.20 y B.28) se incluye un descriptor de
información adicional denominado “acción”. Esto define la acción a tomar en caso de que no se cumpla el
objetivo. Las organizaciones pueden incluir este descriptor de información si lo consideran útil. De hecho, no
existe una forma única de especificar tales construcciones de medición y el Anexo C demuestra un enfoque
alternativo de forma libre.
B.2 Asignación de recursos
Descriptor de información Significado o propósito

Identificador de medida Definido por la organización
Necesidad de información Cuantificar los recursos que se están destinando a la seguridad de la información con respecto a los
presupuestos originales
Medida Desglose de los recursos destinados a la seguridad de la información (personal interno, personal contratado,
hardware, software, servicios) dentro del presupuesto anual
Fórmula/puntuación SÓLO PREPÁRESE PARA LOS

Recursos asignados/recursos ACABADOS
utilizados ACADÉMICOS
dentro de un período de tiempo presupuestado
Objetivo 1
Evidencia de implementación Monitoreo de recursos de seguridad de la información
Frecuencia Anual
Responsables Propietario de la información: gerente de seguridad de la información
Recolector de información: gerente de seguridad de la información
Información Cliente: consejo de administración
Fuente de datos presupuesto de seguridad de la información
Gasto efectivo en seguridad de la información
Informes de uso de recursos de seguridad de la información
Formato de informe Diagrama de radar con una categoría de recurso para cada eje y la doble indicación de recursos asignados y
utilizados
Relación ISO/IEC 27001:2013, 5.1: Liderazgo y compromiso

ISO/IEC 27001:2013, 7.1: Recursos
20 © ISO/IEC 2016 – Todos los derechos reservados

ISO/IEC 27004:2016(E)
B.3 Revisión de políticas

Necesidad de información Evaluar si las políticas de seguridad de la información se revisan a intervalos planificados o si se producen
cambios significativos
Medida Porcentaje de política revisada
Fórmula/puntuación Número de políticas de seguridad de la información que fueron revisadas en el año anterior/
Número de políticas de seguridad de la información implementadas * 100
Objetivo Verde: >80, Naranja >=40%, Rojo <40%
Evidencia de implementación Historial del documento que menciona revisión del documento o lista de documentos que indica
fecha de la última revisión
Frecuencia Recopilar: después del intervalo planificado definido para las revisiones (por ejemplo, anualmente o después de cambios
significativos)
Informe: para cada colección
Responsables Propietario de la información: Propietario de la política que tiene la responsabilidad administrativa aprobada para
el desarrollo, revisión y evaluación de la política.
Recolector de información: Auditor interno
Cliente de medición: Director de seguridad de la información

Fuente de datos Revisar plan de políticas, sección de historial de una política de seguridad, lista de documentos
Formato de informe Gráfico circular para la situación actual y gráfico de líneas para la representación de la evolución del cumplimiento
SÓLO PREPÁRESE PARA LOS ACABADOS ACADÉMICOS

Relación ISO/IEC 27001:2013, A.5.1.2: Revisión de las políticas de seguridad de la información
ISO/IEC 27001:2013, 7.5.2: Creación y actualización de información documentada

ISO/IEC 27004:2016(E)
B.4 Compromiso de la dirección

Necesidad de información Evaluar el compromiso de la dirección y las actividades de revisión de la seguridad de la información
con respecto a las actividades de revisión por la dirección
Medida a) Reuniones de revisión de la gestión completadas hasta la fecha
b) Tasas de participación promedio en las reuniones de revisión de la gestión hasta la fecha
Fórmula/puntuación a) Dividir [reuniones de revisión de la dirección realizadas] entre [ reuniones de revisión de la dirección programadas]
b) Calcular la media y la desviación estándar de todas las tasas de participación en las reuniones de revisión de la
gestión
Objetivo La relación resultante del indicador a) debe estar entre 0,7 y 1,1 para concluir el logro del objetivo de control y
ninguna acción. Incluso si falla, debe estar por encima de 0,5 para concluir el menor logro. Con respecto al indicador
b), los límites de confianza calculados basados en la desviación estándar indican la probabilidad de que se logre
un resultado real cercano a la tasa de participación promedio. Los límites de confianza muy amplios sugieren una
desviación potencialmente grande y la necesidad de una planificación de contingencia para hacer frente a este
resultado.
Evidencia de implementación 1.1 Conteo de reuniones de revisión de gestión programadas hasta la fecha
1.2 Por reuniones de revisión de gestión hasta la fecha, cuente a los gerentes que tenían previsto asistir y agregue
una nueva entrada con un valor predeterminado para reuniones no planificadas realizadas de manera ad hoc

2.1.1 Recuento de las reuniones de revisión de la dirección planificadas celebradas hasta la fecha
2.1.2 Recuento de reuniones de revisión de gestión no planificadas celebradas hasta la fecha
2.1.3 Recuento de las reuniones de revisión de la dirección reprogramadas celebradas hasta la fecha
2.2 Para todas las reuniones de revisión de la gestión que se realizaron, cuente el número de gerentes que asistieron
Frecuencia Cobro: Mensual
Análisis: Trimestral
Informe: Trimestral
Revisión de medición: Revisión y actualización cada 2 años
Período de medición: Aplicable 2 años
Responsables Propietario de la información: Gerente del sistema de calidad (asumiendo un sistema de gestión combinado de
QMS e ISMS)
Recolector de información: Gerente de calidad; gerente de seguridad de la información
Cliente de medición: Gerentes responsables de SGSI; Responsable del sistema de calidad

Fuente de datos 1. Plan/calendario de revisión de la gestión de la seguridad de la información
2. Minutas/registros de revisión de la gerencia
Formato de informe Gráfico de líneas que representa el indicador con criterios sobre varios períodos de recopilación
de datos y de informes con la declaración de los resultados de la medición. La organización
debe definir el número de períodos de recopilación de datos y de informes.
Relación ISO/IEC 27001:2013, 9.3: Revisión por la dirección

ISO/IEC 27001:2013, 5.1: Liderazgo y compromiso

ISO/IEC 27004:2016(E)
B.5 Exposición al riesgo

Necesidad de información Evaluar la exposición de la organización a los riesgos de seguridad de la información.
Medida a) Riesgos altos y medios más allá del umbral aceptable
b) Revisión oportuna de riesgos altos y medios
Fórmula/puntuación a) Se debe definir el umbral para riesgos altos y medios y se debe alertar a las partes responsables si se supera
el umbral.
b) Número de riesgos sin actualización de estado
Objetivo 1
Evidencia de implementación Registro de riesgos actualizado
Frecuencia Cobro: mínimo trimestral
Informe: cada trimestre
Responsables Titular de la información: Personal de seguridad
Recolector de información: personal de seguridad

Fuente de datos Registro de riesgos de la información
Formato de informe Tendencia de altos riesgos
Tendencia de riesgos altos y medios aceptados
SÓLO
Relación PREPÁRESEISO/IEC
PARA LOS ACABADOS
27001:2013, 8.2: Evaluación de ACADÉMICOS
riesgos de seguridad de la información
ISO/IEC 27001:2013, 8.3: Tratamiento de riesgos de seguridad de la información

ISO/IEC 27004:2016(E)
B.6 Programa de auditoría

Necesidad de información Completitud del programa de auditoría
Medida Número total de auditorías realizadas en comparación con el número total de auditorías previstas
Fórmula/puntuación (Número total de auditorías realizadas) / (Número total de auditorías previstas) * 100.
Objetivo >95%
Evidencia de implementación Supervisión del programa de auditoría y los informes relacionados
Frecuencia Anual
Responsables Propietario de la información: Gerente de auditoría
Recolector de información: Gerente de auditoría
Cliente de información: Alta dirección

Fuente de datos Programa de auditoría e informes de auditoría
Formato de informe Gráfico de tendencia que vincula la proporción de auditorías completadas con el programa para cada año de la
muestra
Relación ISO/IEC 27001:2013, 9.2: Auditoría interna

ISO/IEC 27001:2013, A.18.2.1: Revisión independiente de la seguridad de la información

ISO/IEC 27004:2016(E)
B.7 Acciones de mejora

Necesidad de información Verificar el estado de las acciones de mejora y su gestión de acuerdo con los planes
Medida Porcentaje de acciones a tiempo, costos y calidad (es decir, requisitos) frente a todas las acciones planificadas
Las acciones deben ser las planificadas (es decir, abiertas, en espera y en curso) al comienzo del período de
tiempo.
Fórmula/puntuación [(Acciones en tiempo, costos y calidad) / (Número de acciones)] * 100
Objetivo 90%
Evidencia de implementación Seguimiento del estado de cada acción
Frecuencia Trimestral
Responsables Propietario de la información: oficina de gestión de proyectos
Recopilador de información: oficina de gestión de proyectos
Cliente de información: gerente de seguridad de la información

Fuente de datos Planes de proyecto relevantes
Formato de informe Lista de todas las acciones relevantes y su estado (tiempo real, costos y pronóstico de calidad frente a los
planificados) con el porcentaje de acciones a tiempo, costos y calidad frente al número relevante de acciones
en el marco de tiempo
SÓLO
Relación PREPÁRESEISO/IEC
PARA LOS ACABADOS
27001:2013, ACADÉMICOS
Cláusula 10: Mejora
Tenga en cuenta que esta medida puede mejorarse al ponderar cada acción considerando su criticidad (por ejemplo,
acciones que abordan riesgos altos).
Una lista de todas las acciones relevantes debe ir junto con el resultado sintético, de modo que una gran cantidad de
acciones no críticas pero dentro de los límites aceptables no oculte una cantidad baja de acciones críticas fuera de los
límites aceptables.

ISO/IEC 27004:2016(E)
B.8 Costo de incidentes de seguridad

Necesidad de información Consideraciones sobre los costos derivados de la falta de seguridad de la información
Medida Suma de costos por cada incidente de seguridad de la información ocurrido en el período de muestreo
Fórmula/puntuación Suma (costos de cada incidente de seguridad de la información)
Objetivo Menos de un umbral aceptable definido por la organización
Evidencia de implementación Recopilación sistemática de costos por cada incidente de seguridad de la información
Responsables Titular de la información: equipo de respuesta a incidentes de seguridad informática (CSIRT)
Recolector de información: Gerente de seguridad de la información
Cliente de información: Alta dirección

Fuente de datos Informes de incidentes
Formato de informe Gráfico de columnas que muestra los costos de los incidentes de seguridad de la información para este período de
muestreo y los anteriores.
Puede ser seguido por un desglose con:
— costo promedio de cada incidente de seguridad de la información;
— costo promedio de cada incidente de seguridad de la información para cada categoría de incidentes de seguridad
de la información (las categorías deben definirse previamente).

Relación ISO/IEC 27001:2013, Cláusula 10: Mejora

ISO/IEC 27004:2016(E)
B.9 Aprendizaje de los incidentes de seguridad de la información

Necesidad de información Verificar si los incidentes de seguridad desencadenan acciones para mejorar la
situación actual de seguridad
Medida Número de incidentes de seguridad que desencadenan acciones de mejora de la seguridad de la información
Fórmula/puntuación Suma de incidentes de seguridad que desencadenaron acciones/Suma de incidentes de seguridad
Objetivo El valor debe ser superior al umbral definido por la organización
Evidencia de implementación Plan de acción con enlace a incidentes de seguridad
Frecuencia Cobro: trimestral
Informe: Cada semestre
Cliente de información: Gerente de seguridad de la información

Formato de informe Gráfico de columnas que muestra los costos de los incidentes de seguridad de la información para este período de
muestreo y los anteriores.
Puede ser seguido por un desglose con:
— costo promedio de cada incidente de seguridad de la información;
SÓLO PREPÁRESE— PARA LOS

costo promedio ACABADOS
de cada ACADÉMICOS
incidente de seguridad de la información para cada categoría de incidentes de
seguridad de la información (las categorías deben definirse previamente).
Relación ISO/IEC 27001:2013, Cláusula 10: Mejora

ISO/IEC 27001:2013, A.16.1.6: Aprendizaje de los incidentes de seguridad de la información

ISO/IEC 27004:2016(E)
B.10 Implementación de acciones correctivas

Necesidad de información Evaluar el desempeño de la implementación de acciones correctivas
Medida a) Estado expresado como proporción de acciones correctivas no implementadas
b) Estado expresado como proporción de acciones correctivas no implementadas sin razón

c) Tendencia de los estados
Fórmula/puntuación a) Dividir [Medida correctiva no implementada a la fecha] por [Medidas correctivas planeadas a la fecha]
b) Dividir [Acción correctiva no implementada sin razón] por [Acción correctiva

acciones previstas hasta la fecha]
c) Comparar estados con estados anteriores
Objetivo Para concluir el logro del objetivo y la no acción, las proporciones del indicador a) y b) deben estar
respectivamente entre 0,4 y 0,0 y entre 0,2 y 0,0, y la tendencia del indicador c) debe haber sido decreciente
durante los últimos 2 informes. periodos de aprendizaje. El indicador c) debe presentarse en comparación con
indicadores anteriores para que se pueda examinar la tendencia en la implementación de acciones correctivas.
Evidencia de implementación 1. Contar las acciones correctivas planificadas a implementar hasta la fecha
2. Cuente las acciones correctivas registradas como implementadas por fecha de vencimiento
3. Contar las acciones correctivas registradas como acciones planificadas no realizadas con el motivo

Informe: Trimestral
Revisión de medición: Revisión anual
Período de Medición: Aplicable 1 año
Responsables Titular de la información: Responsables del SGSI
Recolector de información: Gerentes responsables del SGSI
Cliente de medición: Gerentes responsables de SGSI; gerente de seguridad de la información

Fuente de datos Informes de acciones correctivas
Formato de informe Gráfico de barras apiladas con la declaración de los resultados de la medición, incluido un resumen ejecutivo
de los hallazgos y las posibles acciones de gestión, que representa el número total de acciones correctivas,
separadas en implementadas, no implementadas sin una razón legítima y no implementadas con una razón
legítima.
Relación ISO/IEC 27001:2013, 10.1: No conformidad y acción correctiva

ISO/IEC 27004:2016(E)
B.11 Capacitación en SGSI o conocimiento de SGSI

Necesidad de información Para medir cuántos empleados recibieron capacitación de concientización relacionada con el SGSI y establecer
el control del cumplimiento de la política de seguridad de la información de la organización.
Medida Porcentaje de empleados que han participado en una formación de concienciación sobre SGSI
Fórmula/puntuación I1 = [Número de empleados que recibieron capacitación en SGSI/Número de empleados que deben recibir
capacitación en SGSI] * 100
I2 = [Número de empleados que renovaron su formación SGSI en el último año / número de empleados en el
alcance] * 100
Objetivo Verde: si I1>90 e I2>50%
en caso contrario Amarillo: si I1>60% e I2>30%
de lo contrario rojo
Rojo: se requiere intervención, se debe realizar un análisis de causalidad para determinar las razones del
incumplimiento y el desempeño deficiente
Amarillo: se debe vigilar de cerca el indicador para detectar un posible deslizamiento a rojo
Verde: no se requiere ninguna acción
Evidencia de implementación Listas de participación de todos los entrenamientos de concientización; Recuento de registros/registros con relleno de
campo/fila de entrenamiento de SGSI como "Recibido"
Frecuencia Recaudación: Mensual, primer día hábil del mes

SÓLO PREPÁRESEAnálisis:
PARA LOS ACABADOS ACADÉMICOS
Trimestral
Informe: Trimestral
Período de Medición: Anual
Responsables Titular de la información: Responsable de formación – Recursos humanos
Recolector de información: Gestión de la formación – Departamento de recursos humanos
Cliente de medición: Gerentes responsables de un SGSI, Jefe de información

oficial de seguridad
Fuente de datos Base de datos de empleados, registros de capacitación, lista de participación en capacitaciones de concientización
Formato de informe Gráfico de barras con barras codificadas por colores según el objetivo. Breve resumen de lo que la medida
Los medios y las posibles acciones de gestión deben adjuntarse al gráfico de barras.
Gráfico circular para la situación actual y gráfico de líneas para la representación de la evolución del cumplimiento.
Relación ISO/IEC 27001:2013, A.7.2: Competencia.

ISO/IEC 27004:2016(E)
B.12 Capacitación en seguridad de la información

Necesidad de información Evaluar el cumplimiento del requisito anual de capacitación en concientización sobre seguridad de la información
Medida Porcentaje del personal que recibió capacitación anual de concientización sobre seguridad de la información
Fórmula/puntuación [Número de empleados que recibieron capacitación anual de concientización sobre seguridad de la información/
número de empleados que necesitan recibir capacitación anual de concientización sobre seguridad de la
información] * 100
Objetivo 0-60% - Rojo; 60-90% - Amarillo; 90-100% Verde. Para amarillo, si no se logra un progreso de al menos el 10%
por trimestre, la calificación es automáticamente roja.
Rojo: se requiere intervención, se debe realizar un análisis de causalidad para determinar las razones del
incumplimiento y el desempeño deficiente.
Amarillo: el indicador debe observarse de cerca para detectar un posible deslizamiento a rojo.
Verde: no se requiere ninguna acción.
Evidencia de implementación Recuento de bitácoras/registros con campo de capacitación anual de concientización sobre seguridad de la información/
relleno de fila como "Recibido"
Informe: Trimestral
SÓLO PREPÁRESE PARARevisión

Revisión de medición: LOSanual
ACABADOS ACADÉMICOS
Responsables Titular de la información: responsable de seguridad de la información y responsable de formación
Recolector de información: Gestión de la formación – Departamento de recursos humanos
Cliente de medición: Gerentes responsables de un SGSI; Gestion de seguridad; Gestión de la formación
Fuente de datos Base de datos de empleados, registros de capacitación
Formato de informe Gráfico de barras con barras codificadas por colores según el objetivo. Se debe adjuntar al
gráfico de barras un breve resumen de lo que significa la medida y las posibles acciones de gestión.
Relación ISO/IEC 27001:2013, A.7.2.2: Concientización, educación y capacitación en seguridad de la

información.

ISO/IEC 27004:2016(E)
B.13 Cumplimiento de la conciencia de seguridad de la información

Necesidad de información Evaluar el estado de cumplimiento de la política de concientización sobre seguridad de la organización entre el
personal relevante
Medida 1. Progreso hasta la fecha
2. Avances hasta la fecha con la firma
Fórmula/puntuación Obtenga el "progreso hasta la fecha" agregando el estado de todo el personal que haya firmado, planificado para
completarse hasta la fecha
Derivar el "progreso hasta la fecha con la firma" dividiendo el personal que ha firmado hasta la fecha por el
personal que planea firmar hasta la fecha
a) [dividir el progreso hasta la fecha por (personal planificado hasta la fecha multiplicado por 100)] y el progreso
hasta la fecha con la firma
b) Comparar el estado con estados anteriores
Objetivo a) Los índices resultantes deben estar respectivamente entre 0,9 y 1,1 y entre 0,99 y 1,01 para concluir el logro
del objetivo de control y la no acción; y
b) La tendencia debe ser ascendente o estable
Evidencia de implementación 1.1. Cuente el número de personas programadas para haber firmado y completado el
entrenamiento hasta la fecha
1.2. Pregunte a la persona responsable por el porcentaje del personal que completó la capacitación y firmó

2.1. Cuente el número de personal programado para haber firmado para esta fecha
2.2. Cuente el número de personal que ha firmado acuerdos de usuario
Informe: Trimestral
Responsables Titular de la información: responsable de seguridad de la información y responsable de formación
Colector de información: Gestión de la formación; Departamento de Recursos Humanos
Cliente de medición: Gerentes responsables de un SGSI; Gestion de seguridad. gestión de la formación
Fuente de datos 1.1. Plan/calendario de capacitación en concientización sobre seguridad de la información: Personal identificado en el plan
1.2 Personal que ha completado o está en curso de formación: Estado del personal con respecto a la formación
2.1. Plan de firma de convenios/calendario de usuarios: Personal identificado en plan de firma

2.2. Personal que ha firmado convenios: Situación del personal en relación con la firma de convenios
Formato de informe Fuente estándar = Los criterios se han cumplido satisfactoriamente
Fuente en cursiva = Los criterios se han cumplido de manera insatisfactoria
Fuente en negrita = No se han cumplido los criterios

ISO/IEC 27004:2016(E)
Relación ISO/IEC 27001:2013, A.7.2.2: Responsabilidades de gestión

ISO/IEC 27001:2013, A.7.2.1: Concientización, educación y capacitación en seguridad de la
información

ISO/IEC 27004:2016(E)
B.14 Efectividad de las campañas de concientización del SGSI

Necesidad de información Para medir si los empleados han entendido el contenido de la campaña de concientización
Medida Porcentaje de empleados que pasan una prueba de conocimiento antes y después de la campaña de
concientización del SGSI
Fórmula/puntuación Elija un número determinado de empleados que fueron el objetivo de una campaña de concientización y
permítales completar una breve prueba de conocimiento sobre los temas de la campaña de concientización
Porcentaje de personas que pasaron la prueba
Objetivo Verde: 90-100 % de las personas aprobaron la prueba, Naranja: 60-90 % de las personas aprobaron la prueba,
Rojo: <60 % de las personas aprobaron la prueba
Evidencia de implementación Documentos/información de la campaña de concientización proporcionados a los empleados; lista de

empleados que siguieron la campaña de concientización; pruebas de conocimiento
Frecuencia Colecta: un mes después de la campaña de concientización
Responsables Titular de la información: Recursos humanos
Recolector de información: recursos humanos
Cliente de medición: Gerente de seguridad de la información

Fuente de datos Base de datos de empleados, información de campañas de concientización, resultados de pruebas de conocimiento
Formato de informe Gráfico circular para representar el porcentaje de miembros del personal que pasaron la situación de prueba y

gráfico de líneas para representar la evolución si se ha organizado capacitación adicional para un tema específico
Relación ISO/IEC 27001:2013, A.7.2.2: Concienciación, educación y formación en seguridad de la

información

ISO/IEC 27004:2016(E)
B.15 Preparación para la ingeniería social

Necesidad de información Evaluar si el personal está preparado para reaccionar adecuadamente en caso de algunos ataques de ingeniería
social.
Medida Porcentaje del personal que reacciona correctamente a una prueba, por ejemplo, que no hizo clic en un enlace en una
prueba determinada que consiste en enviar un correo electrónico de phishing a (una parte seleccionada del) personal
Fórmula/puntuación a = Número de empleados que han hecho clic en el enlace/número de empleados que participan en la prueba
b = 1-Número de empleados que informaron el correo electrónico peligroso a través de los canales apropiados
c = Número de miembros del personal que han seguido las instrucciones dadas al hacer clic en el enlace, es decir,
comienzan a revelar una contraseña/número de miembros del personal que participan
d = Una suma ponderada apropiada del parámetro anterior, dependiendo de la naturaleza de la prueba
Objetivo d: 0-60: rojo, 60-80: amarillo, 90-100: verde
Evidencia de implementación Recuento de actividad en un comando y control simulado direccionado por el enlace. Tenga cuidado de respetar los
aspectos de privacidad del personal y de anonimizar los datos para que las pruebas
los participantes no tienen que temer las consecuencias negativas de esta prueba.
Frecuencia Recolectar: de mensual a anual, dependiendo de la criticidad de los ataques de ingeniería social
Responsables Propietario de la información: Director de seguridad de la información

Recolector de información: oficial de seguridad de TI capacitado para respetar los aspectos de privacidad
Cliente de medición: Propietario del riesgo
Fuente de datos Lista del personal, o usuarios de un determinado servicio; Apoyo a la sensibilización, comunicación (correo electrónico
o intranet)
Formato de informe Informe de prueba que indica los detalles de la prueba, las mediciones, el análisis de los resultados y
recomendación, basada en el objetivo y el tratamiento acordado
Relación ISO/IEC 27001:2013, A.16.1: Gestión de incidentes y mejoras de seguridad de

la información
ISO/IEC 27001:2013, A.9.3.1: Uso de información de autenticación secreta
ISO/IEC 27001:2013, A.7.2.2: Concienciación, educación y formación en seguridad de la
información

ISO/IEC 27004:2016(E)
B.16 Calidad de la contraseña – manual

Necesidad de información Evaluar la calidad de las contraseñas utilizadas por los Usuarios para acceder al
sistemas de TI de la organización
Medida Número total de contraseñas que cumplen con la política de calidad de contraseñas de la organización
a) Proporción de contraseñas que cumplen con la política de calidad de contraseñas de la organización
b) Tendencias del estado de cumplimiento con respecto a la política de calidad de contraseñas
Fórmula/puntuación Cuente el número de contraseñas en la base de datos de contraseñas de usuario
Determinar el número de contraseñas que satisfacen la política de contraseñas de la organización
ÿ de [Número total de contraseñas que cumplen con la política de calidad de contraseñas de la organización para cada
usuario]
a) Proporción de contraseñas que cumplen con la política de calidad de contraseñas de la organización
b) Tendencias del estado de cumplimiento con respecto a la política de calidad de contraseñas
c) Dividir [Número total de contraseñas que cumplieron con la política de calidad de contraseñas de la organización]
por [Número de contraseñas registradas]
d) Comparar la razón con la razón anterior
Objetivo Se logra el objetivo de control y no se requiere ninguna acción si la proporción resultante es superior a 0,9. Si la
relación resultante está entre 0,8 y 0,9, no se logra el objetivo de control, pero la tendencia positiva indica una mejora.
Si la relación resultante es inferior a 0,8
se debe tomar acción inmediata.
Evidencia de implementación 1 Contar el número de contraseñas en la base de datos de contraseñas de usuario
2 Determinar el número de contraseñas que cumplen con la política de contraseñas de la organización
Archivo de configuración, ajuste de contraseña o herramienta de configuración
Frecuencia Recolectar: Dependiendo de la criticidad pero mínimo anual
Análisis: Después de cada colección
Informe: Después de cada análisis
Revisión de medición: Anual
Responsables Propietario de la información: administrador del sistema
Cliente de medición: Gerentes responsables de un SGSI, Gerente de seguridad

Fuente de datos Base de datos de contraseñas de usuario; Contraseñas individuales
Formato de informe Línea de tendencia que representa la cantidad de contraseñas que cumplen con la política de calidad de contraseñas
de la organización, superpuesta con líneas de tendencia producidas durante períodos de informes anteriores.
Relación ISO/IEC 27001:2013, A.9.3.1: Uso de información de autenticación secreta

ISO/IEC 27004:2016(E)
B.17 Calidad de la contraseña: automatizada

Necesidad de información Evaluar la calidad de las contraseñas utilizadas por los Usuarios para acceder al
sistemas de TI de la organización
Medida 1 Número total de contraseñas
2 Número total de contraseñas imposibles de descifrar
Fórmula/puntuación 1 Proporción de contraseñas descifrables en 4 horas
2 Tendencia del ratio 1
a) Divida [Número de contraseñas imposibles de descifrar] por [Número total de contraseñas]
b) Comparar la razón con la razón anterior
Objetivo Se logra el objetivo de control y no se requiere ninguna acción si la proporción resultante es superior a 0,9. Si la
relación resultante está entre 0,8 y 0,9, no se logra el objetivo de control, pero la tendencia positiva indica una
mejora. Si la relación resultante es inferior a 0,8
se debe tomar acción inmediata.
Evidencia de implementación 1 Ejecutar consulta en registros de cuentas de empleados
2 Ejecute el descifrador de contraseñas en los registros de cuentas del sistema de los empleados mediante un ataque híbrido
Frecuencia Recolectar: Semanalmente
Análisis: Semanal
Informe: Semanal
Revisión de mediciones: Revisar y actualizar cada año
Responsables Propietario de la información: administrador del sistema

Fuente de datos Base de datos de cuentas del sistema de empleados
Formato de informe Línea de tendencia que representa la capacidad de descifrado de contraseñas para todos los registros probados
superpuestos con líneas producidas durante pruebas anteriores.
Relación ISO/IEC 27001:2013, A.9.3.1: Uso de información de autenticación secreta

ISO/IEC 27004:2016(E)
B.18 Revisión de los derechos de acceso de los usuarios

Necesidad de información Medir cuántas revisiones sistemáticas de derechos de acceso de usuarios se realizan en sistemas críticos
Medida Porcentaje de sistemas críticos donde los derechos de acceso de los usuarios se revisan periódicamente
Fórmula/puntuación [Número de sistemas de información clasificados como críticos donde se realizan revisiones periódicas de
derechos de acceso /Número total de sistemas de información clasificados como críticos] * 100
Objetivo Verde: 90-100 %, Naranja: 70-90 %, Rojo <70 %
Evidencia de implementación Pruebas de revisiones (por ejemplo, correo electrónico, boleto en el sistema de emisión de boletos, finalización de revisión de
prueba de fórmula)
Frecuencia Recolectar: después de cualquier cambio, como promoción, descenso o terminación del empleo.
Informe: cada semestre
Responsables Propietario de la información: Propietario del riesgo
Recolector de información: Director de seguridad de la información

Fuente de datos Inventario de activos, sistema utilizado para rastrear si se realizaron revisiones, por ejemplo, sistema de emisión de boletos
Relación ISO/IEC 27001:2013, A.9.2.5: Revisión de los derechos de acceso de los usuarios

ISO/IEC 27004:2016(E)
B.19 Evaluación del sistema de controles de entrada física

Necesidad de información Mostrar la existencia, extensión y calidad del sistema utilizado para el control de acceso
Medida Fortaleza del sistema de controles de entrada física
Fórmula/puntuación Escala de 0-5
0 No hay sistema de control de acceso
1 Hay un sistema de acceso donde se utiliza el código PIN (sistema de un factor) para el
control de entrada
2 Existe un sistema de tarjeta de control de acceso en el que se utiliza una tarjeta de paso (sistema de un
factor) para el control de entrada
3 Existe un sistema de tarjeta de acceso en el que se utiliza la tarjeta de paso y el código PIN para
el control de entrada
4 Anterior + función de registro activada
5 El código anterior + PIN se reemplaza por autenticación biométrica (huella digital,

reconocimiento de voz , escaneo de retina, etc.)
Objetivo Valor 3= satisfactorio
Evidencia de implementación Evaluación cualitativa en la que cada calificación de subconjunto es una parte de la calificación anterior.
Controle el tipo de sistema de control de entrada e inspeccione los siguientes aspectos:
— Existencia del sistema de tarjeta de control de acceso
SÓLO PREPÁRESE PARA

— Uso del código PIN LOS ACABADOS ACADÉMICOS
— Funcionalidad de registro
- Autenticación biométrica
Frecuencia Coleccionar: Anual
Análisis: Anual
Informe: Anual
Revisión de medidas: 12 meses
Período de medición: Aplicable 12 meses
Responsables Propietario de la información: Gerente de la instalación
Recolector de información: Auditor interno/auditor externo
Cliente de medición: Comité de dirección

Fuente de datos Registros de gestión de identidad
Formato de informe gráficos
Relación ISO/IEC 27001:2013, A.11.1.2: Controles de entrada física

ISO/IEC 27004:2016(E)
B.20 Efectividad de los controles de entrada física

Necesidad de información 1. Garantizar un entorno de seguridad integral y rendición de cuentas para
personal, instalaciones y productos
2. Integrar mecanismos de protección de seguridad física y de la información para garantizar la protección adecuada de
los recursos de información de la organización.
Medida Número de entradas no autorizadas a instalaciones que contienen sistemas de información (subconjunto de incidentes
de seguridad física)
Fórmula/puntuación Número actual de incidentes de seguridad física que permiten la entrada no autorizada a instalaciones que contienen
sistemas de información/valor anterior
(Tenga en cuenta que estas medidas deben tener en cuenta el contexto específico de la organización , como el número
total de incidentes de seguridad física)
Objetivo Por debajo de 1.0
Evidencia de implementación Análisis sistemático de informes de incidentes de seguridad física y registros de control de acceso
Frecuencia Trimestralmente para la recopilación de datos y la presentación de informes
Responsables Titular de la información: Oficial de seguridad física
Recopilador de información: equipo de respuesta a incidentes de seguridad informática (CSIRT)
Cliente de información: Director de información, Director de seguridad de la información

Fuente de datos Informes de incidentes de seguridad física
SÓLO PREPÁRESERegistros
PARA LOS
de control ACABADOS
de acceso físico ACADÉMICOS
Formato de informe Gráfico que muestra la tendencia de ingreso no autorizado a las instalaciones que contienen sistemas de información
para los períodos de muestreo más recientes
Relación ISO/IEC 27001:2013, A.11.1.2: Controles de entrada física
Acción Revisar y mejorar los controles de seguridad física aplicados a los sistemas de información.

ISO/IEC 27004:2016(E)
B.21 Gestión del mantenimiento periódico

Necesidad de información Evaluar la puntualidad de las actividades de mantenimiento en relación con el cronograma
Medida Retraso de mantenimiento por evento de mantenimiento completado
Para cada evento completado, reste [Fecha del mantenimiento real] de [Fecha del mantenimiento
Fórmula/puntuación
programado]
1. Específico de la organización, por ejemplo, si el retraso promedio se muestra constantemente en más de 3

días, se deben examinar las causas
Objetivo 2. La proporción de eventos de mantenimiento completados debe ser superior a 0,9
3. La tendencia debe ser estable o cercana a 0
4. La tendencia debe ser estable o al alza

1 Fechas de mantenimiento programado
2 Fechas de mantenimiento completado

Evidencia de implementación
3 Número total de eventos de mantenimiento planificados
4 Número total de eventos de mantenimiento completados
Cobro: trimestral
Frecuencia
Informe: anual
Propietario de la información: administrador del sistema
Responsables SÓLO PREPÁRESE

Recolector dePARA LOS
información: ACABADOS
personal de seguridad ACADÉMICOS
Cliente de medición: Gerente de seguridad, Gerente de TI
1 Plan/calendario de mantenimientos del sistema

Fuente de datos
2 Registros de mantenimiento del sistema
Gráfico de líneas que representa la desviación promedio de la demora de mantenimiento, superpuesta con
líneas producidas durante períodos de informes anteriores y el número de sistemas dentro del alcance
Formato
Una explicación de los hallazgos y recomendaciones para una posible acción de manejo
Relación ISO/IEC 27001:2013, A.11.2.4: Mantenimiento de equipos

ISO/IEC 27004:2016(E)
B.22 Gestión del cambio

Necesidad de información Evaluar si se respetan las mejores prácticas de gestión del cambio y la política de endurecimiento
Medida Porcentaje de nuevos sistemas instalados que se respetaron las mejores prácticas de gestión de cambios y la
política de fortalecimiento
Fórmula/puntuación Número de aplicaciones o sistemas recién instalados en los que se dispone de evidencias de respeto de las
mejores prácticas de gestión de cambios/número de aplicaciones recién instaladas
Objetivo Todos los sistemas deben seguir las pautas de gestión de cambios.
Evidencia de implementación Sistema de tickets, correos electrónicos, informes, lista de verificación utilizada para la configuración
Frecuencia Colecta: Cada semestre
Informe: Anual a la gerencia, cada semestre al gerente de seguridad de la información
Recolector de información: propietario del riesgo

Fuente de datos Sistema de tickets, correos electrónicos, informes, lista de verificación utilizada para la configuración, informe de la herramienta
de revisión de la configuración

Relación ISO/IEC 27001:2013, A.12.1.2: Gestión de cambios

ISO/IEC 27004:2016(E)
B.23 Protección contra código malicioso

Necesidad de información Evaluar la eficacia del sistema de protección frente a ataques de software malicioso
Medida Tendencia de ataques detectados que no fueron bloqueados durante múltiples períodos de informes
Fórmula/puntuación Número de incidentes de seguridad causados por software malicioso/número de ataques detectados y bloqueados
causados por software malicioso
Objetivo La línea de tendencia debe permanecer por debajo de la referencia especificada, lo que da como resultado una tendencia
a la baja o constante
Evidencia de implementación 1 Recuento de incidentes de seguridad causados por software malicioso en el

informes de incidentes
2 Contar el número de registros de ataques bloqueados
Frecuencia Recolectar: Diariamente
Análisis: Mensual
Informe: Mensual
Período de Medición: Aplicable 1 año
Responsables Propietario de la información
recopilador de información
cliente de medición
Fuente de datos 1 Informes de incidentes
2 Registros de software de contramedidas para software malicioso
Formato de informe Línea de tendencia que representa la proporción de detección y prevención de software malicioso con las líneas
producidas durante períodos de informes anteriores
Relación ISO/IEC 27001:2013, A.12.2.1: Controles contra malware
NOTA Las organizaciones que adopten esta medida deben considerar los siguientes aspectos que pueden conducir a un análisis incorrecto de dicha medida:
— el “número de ataques detectados y bloqueados causados por software malicioso” puede ser muy alto; por lo tanto, tal
medida puede resultar en proporciones muy pequeñas;
— si en un período hay un aumento en la propagación de un virus específico, una organización puede

experimentar un aumento de ataques e incidentes de malware; en este caso la ratio sigue siendo la misma,
aunque el aumento de incidencias puede generar preocupación.

ISO/IEC 27004:2016(E)
B.24 Antimalware

Necesidad de información Número de sistemas afectados por malware que no tienen una solución antimalware actualizada
Medida Porcentaje de sistemas afectados por malware conectados a la red de la organización con firmas antimalware
obsoletas (por ejemplo, más de una semana)
Fórmula/puntuación (Número de antivirus obsoletos) / (Total de estaciones de trabajo)
Objetivo 0 o un valor pequeño decidido por la organización
Evidencia de implementación Monitoreo de actividades antivirus en cada sistema afectado por malware
Frecuencia Diariamente
Responsables Propietario de la información: operaciones de TI
Recolector de información: operaciones de TI
Cliente de información: Director de seguridad de la información

Fuente de datos Herramientas de monitoreo
Consola antimalware
Formato de informe Números por clases de sistema (estaciones de trabajo, servidores, o/s)
Relación ISO/IEC 27001:2013, A.12.2.1: Controles contra malware

ISO/IEC 27004:2016(E)
B.25 Disponibilidad total

Necesidad de información Disponibilidad de los servicios de TI para cada servicio, en comparación con el tiempo de inactividad máximo definido
Medida Para cada servicio de TI, la disponibilidad de extremo a extremo se compara con la disponibilidad máxima (es decir,
excluyendo las ventanas de tiempo de inactividad definidas anteriormente)
Fórmula/puntuación (Disponibilidad total)/(Disponibilidad máxima excluyendo ventanas de tiempo de inactividad)
Objetivo Objetivo de disponibilidad del servicio
Evidencia de implementación Supervisión de la disponibilidad de extremo a extremo de cada servicio de TI
Frecuencia Mensual
Responsables Propietario de la información: operaciones de TI
Recolector de información: calidad de TI
Cliente de información: Director de información
Fuente de datos Herramientas de monitoreo
Formato de informe Para cada servicio, dos líneas:
1. línea que vincula la disponibilidad real (porcentaje) de cada período muestreado
2. línea (para fines de comparación) que muestra el objetivo de disponibilidad
Relación ISO/IEC 27001:2013, A.17.2.1: Disponibilidad de instalaciones de procesamiento de información


ISO/IEC 27004:2016(E)
B.26 Reglas de cortafuegos

Necesidad de información Evaluar el rendimiento actual del cortafuegos
Medida Reglas de firewall no utilizadas en firewalls fronterizos
Fórmula/puntuación Recuento de reglas de cortafuegos fronterizo que se han utilizado 0 veces en el último período de muestreo
Objetivo 0
Evidencia de implementación Registros de contadores de uso en cada regla de firewall
Frecuencia Semestral o anual
Responsables Propietario de la información: administrador de red/administrador de seguridad de la información
Recolector de información: analista de red/analista de seguridad
Cliente de información: administrador de red/administrador de seguridad de la información

Fuente de datos Consola de gestión de cortafuegos, informe de revisión de cortafuegos
Formato de informe Recuento o lista de reglas de firewall no utilizadas que se marcarán para su revisión y posible eliminación
Relación ISO/IEC 27001:2013, A.13.1.3: Segregación en redes

ISO/IEC 27004:2016(E)
B.27 Revisión de archivos de registro

Necesidad de información Evaluar el estado de cumplimiento de la revisión periódica de los archivos de registro críticos del sistema
Medida Porcentaje de archivos de registro de auditoría revisados cuando sea necesario por período de tiempo
Fórmula/puntuación [# de archivos de registro revisados dentro del período de tiempo especificado/# total de archivos de registro]*100
Objetivo El resultado por debajo del 20 % debe examinarse en busca de causas de bajo rendimiento
Evidencia de implementación Sume el número total de archivos de registro enumerados en la lista de registro de revisión
Frecuencia Recolección: Mensual (dependiendo de la criticidad, podría pasar a diario o en tiempo real)
Análisis: Mensual (dependiendo de la criticidad puede pasar a diario o en tiempo real)
Informe: Trimestral
Revisión de medición: revisión y actualización cada 2 años
Período de Medición: Aplicable 2 años
Responsables Propietario de la información: Gerente de seguridad

Fuente de datos Sistema; archivos de registro individuales; evidencia de la revisión del registro
Formato de informe Gráfico de líneas que representa la tendencia con un resumen de los hallazgos y cualquier acción de gestión sugerida

Relación ISO/IEC 27001:2013, A.12.4.1: Registro de eventos

ISO/IEC 27004:2016(E)
B.28 Configuración del dispositivo

Necesidad de información Validar que nuestros dispositivos estén continuamente configurados de forma segura de acuerdo con la política
Medida Porcentaje de dispositivos (por tipo) configurados según política
Fórmula/puntuación [Número de dispositivos configurados correctamente/número total de dispositivos] * 100
(la cantidad total de dispositivos es específica de la organización y puede incluir todos y cada uno de los siguientes:
dispositivos registrados en la base de datos de administración de configuración, dispositivos encontrados pero no
registrados en la base de datos de administración de configuración, dispositivos que ejecutan un sistema operativo/
versión específico, dispositivos móviles, etc. )
Objetivo 100%
Evidencia de implementación Basado en escaneo automatizado: inventario autorizado de dispositivos; autoritario

inventario de software; resultados del escaneo de configuración
Frecuencia Escanea cada 3 días; reportar inmediatamente
Responsables Propietario de la información: gestión de la red
Recopilador de información: gestión de red
Cliente de información: Director de información
Fuente de datos Tablero de control de configuración; base de datos de inventario; herramientas de escaneo
Formato de informe Gráfico de líneas para tendencias, hosts vulnerables por nombre
Acción Desconecte los dispositivos no aprobados de la red; parchear dispositivos no compatibles; revisar y revisar, según

sea necesario, las pautas de gestión de la configuración; etc.
Relación ISO/IEC 27001:2013, A.12.16.1: Gestión de vulnerabilidades técnicas

ISO/IEC 27004:2016(E)
B.29 Pentest y evaluación de vulnerabilidades

Necesidad de información Evaluar si los sistemas de información que manejan datos sensibles (confidencialidad, integridad) son vulnerables
a ataques maliciosos
Medida Porcentaje de sistemas de información críticos donde se ha ejecutado una prueba de penetración o una evaluación
de vulnerabilidad desde su último lanzamiento importante
Fórmula/puntuación [Número de sistemas de información cuantificados como críticos y donde se ha realizado una
prueba de penetración o evaluación de vulnerabilidad desde su último lanzamiento importante/
Número de sistemas de información cuantificados como críticos] * 100, por ejemplo, Verde: 100 %, Naranja >=75
%, Rojo <75 %
Objetivo Naranja (el verde sería demasiado perfecto)
Evidencia de implementación Informes de pruebas de penetración o evaluaciones de vulnerabilidad realizadas en

sistemas de información en comparación con el número de sistemas de información clasificados como críticos en
el inventario de activos
Frecuencia Coleccionar: anual
Recolector de información: expertos con el conocimiento para realizar pruebas de penetración o ejecutar
evaluaciones de vulnerabilidad
Cliente de medición: Director de seguridad de la información

Fuente de datos
SÓLO PREPÁRESE PARA
Inventario de activos, LOS
informes ACABADOS
de pruebas de penetración ACADÉMICOS

ISO/IEC 27001:2013, A.18.2.3: Revisión de cumplimiento técnico

ISO/IEC 27004:2016(E)
B.30 Panorama de vulnerabilidad

Necesidad de información Evaluar el nivel de vulnerabilidad de los sistemas de información de la organización
Medida Peso de las vulnerabilidades abiertas (sin parchear)
Fórmula/puntuación Valor de gravedad de vulnerabilidad abierta (p. ej., CVSS) * número de sistemas afectados
Objetivo A definir de acuerdo con el apetito de riesgo de la organización
Evidencia de implementación Análisis de las actividades de evaluación de la vulnerabilidad
Frecuencia Mensual o trimestral
Responsables Titular de la información: analistas de seguridad de la información o terceros contratados
Recolector de información: analistas de seguridad de la información

Fuente de datos Informes de evaluación de vulnerabilidades
Herramientas de evaluación de vulnerabilidades
Formato de informe Valores de puntuación agregados para sistemas homogéneos o sensibles ( redes externas/internas, sistemas
Unix, etc.)

ISO/IEC 27004:2016(E)
B.31 Seguridad en acuerdos con terceros – A

Necesidad de información Evaluar el grado en que se aborda la seguridad en los acuerdos con terceros
Medida Porcentaje promedio de requisitos de seguridad relevantes abordados en acuerdos con terceros
[Suma de (para cada acuerdo (número de requisitos requeridos - número de requisitos abordados))/
Fórmula/puntuación
número de acuerdos] * 100
Objetivo 100%
Evidencia de implementación Base de datos de proveedores, registros de acuerdos con proveedores
Cobro: trimestral
Frecuencia
Informe: semestral
Titular de la información: Oficina de contratación
Responsables Recolector de información: personal de seguridad
Cliente de medición: Gerente de seguridad, Gerentes comerciales

Fuente de datos Base de datos de proveedores, registros de acuerdos con proveedores
Formato Gráfico de líneas que representa una tendencia durante varios períodos de informe; breve resumen de los
hallazgos y posibles acciones de manejo
Relación ISO/IEC 27001:2013, A.15.1.2: Abordaje de la seguridad en los acuerdos con proveedores
NOTA Esto supone que todos los requisitos de seguridad son iguales, mientras que en la práctica este no suele ser el caso.
Por lo tanto, un promedio puede ocultar variaciones significativas y, por lo tanto, presentar una falsa sensación de seguridad. Asimismo, es probable que
difieran los requisitos que una organización impone a sus proveedores y la capacidad de estos para cumplirlos. Esto implica que no se debe medir a todos
los proveedores de la misma manera. Idealmente, la base de datos de proveedores debería incluir una clasificación o categoría de seguridad para garantizar
una medición más precisa y significativa.

ISO/IEC 27004:2016(E)
B.32 Seguridad en acuerdos con terceros – B

Necesidad de información Evaluar el grado en que se aborda la seguridad en los acuerdos de procesamiento de información
personal con terceros
Medida Porcentaje promedio de requisitos de seguridad relevantes abordados en acuerdos con terceros
Fórmula/puntuación Identifique la cantidad de requisitos de seguridad que deben abordarse en cada acuerdo por política
(disponibilidad, proporción, tiempo de respuesta, nivel de la mesa de ayuda, nivel de mantenimiento, etc.)
Suma de (para cada acuerdo (número de requisitos requeridos - número de requisitos abordados))/
número de acuerdos
1 Proporción promedio de la diferencia de los requisitos estándar a los requisitos abordados: Suma de
(para cada acuerdo ([Requisitos de seguridad abordados totales] – [Requisitos de seguridad estándar
totales.]))/[Número de acuerdos con terceros]
2 Tendencia del ratio: Comparar con el indicador anterior 1
Objetivo 1 El indicador 1 debe ser superior a 0,9
2 El indicador 2 debe estar estable o al alza
Evidencia de implementación Identificar el número de requisitos de seguridad que deben abordarse en cada
acuerdo por póliza
SÓLO PREPÁRESEInforme:
PARA Trimestral
LOS ACABADOS ACADÉMICOS
Revisión de medidas: 2 años
Responsables Titular de la información: Oficina de contratación

Fuente de datos Acuerdos de terceros
Formato de informe Gráfico de líneas que representa una tendencia en varios períodos de informes. Breve resumen de los
hallazgos y posibles acciones de manejo.
Relación ISO/IEC 27001:2013, A.15.1.2: Abordaje de la seguridad en los acuerdos con proveedores

ISO/IEC 27004:2016(E)
B.33 Eficacia de la gestión de incidentes de seguridad de la información

Necesidad de información Evaluar la eficacia de la gestión de incidentes de seguridad de la información
Medida Incidentes no resueltos en el plazo previsto
Fórmula/puntuación a) Definir categorías de incidentes de seguridad y marcos de tiempo objetivo en los que los incidentes de
seguridad deben resolverse para cada categoría de incidentes de seguridad.
b) Definir los umbrales de los indicadores para los incidentes de seguridad que excedan la categoría dados los
plazos previstos
c) Comparar el número de incidentes cuyo tiempo de resolución supera los marcos de tiempo objetivo de la
categoría y comparar su recuento con los umbrales del indicador
Objetivo Incidentes que excedan los marcos de tiempo objetivo de la categoría dentro del umbral verde definido
Evidencia de implementación Los indicadores objetivo se informan mensualmente
Análisis: Mensual
Informe: Mensual
Revisión de medidas: Seis meses
Período de medición: Mensual
Responsables Titular de la información: Gestores responsables de un SGSI
Recolector de información: Gerente de gestión de incidentes

Cliente de medición: comité de gestión del SGSI; Gerentes responsables de un
SGSI; Gestion de seguridad; Administracion de incidentes
Fuente de datos SGSI; incidente individual; reporte de incidente; herramienta de gestión de incidentes
Formato de informe Valores de indicadores objetivo mensuales en formato de tabla y diagrama de tendencia
Relación ISO/IEC 27001:2013, A.16: Gestión de incidentes de seguridad de la información

ISO/IEC 27004:2016(E)
B.34 Tendencia de incidentes de seguridad

Necesidad de información 1. Tendencia de incidentes de seguridad de la información
2. Tendencia de categorías de incidentes de seguridad de la información

Medida 1. Número de incidentes de seguridad de la información en un período de tiempo definido (p. ej., mes)
2. Número de incidentes de seguridad de la información de una categoría específica en un determinado

marco de tiempo (por ejemplo, mes)
Fórmula/puntuación Compare el valor de medición promedio de los dos últimos períodos de tiempo con el valor de medición promedio
de los últimos 6 períodos de tiempo
Definir valores de umbral para indicadores de tendencia, por ejemplo,
<1,0 es igual a verde
1,00 – 1,30 es igual a amarillo
>1,3 es igual a rojo
1. Realizar análisis de todos los incidentes.
2. Realizar análisis para cada categoría específica
Objetivo Verde
Evidencia de implementación Los valores de los indicadores se reportan mensualmente
Frecuencia Mensual
SÓLO PREPÁRESETitular
Responsables PARA LOS ACABADOS
de la información: ACADÉMICOS
equipo de respuesta a incidentes de seguridad informática (CSIRT)
Recopilador de información: equipo de respuesta a incidentes de seguridad informática (CSIRT)
Cliente de información: Director de información, Director de seguridad de la información

Fuente de datos Informes de incidentes de seguridad de la información
Formato de informe Tabla con valores de indicadores
Diagrama de tendencia
Relación ISO/IEC 27001:2013, A.16.1: Gestión de incidentes y mejoras de seguridad

de la información

ISO/IEC 27004:2016(E)
B.35 Reporte de eventos de seguridad

Necesidad de información Medir si los eventos de seguridad son reportados y tratados formalmente.
Medida Suma de eventos de seguridad reportados al equipo de respuesta a incidentes de seguridad informática (CSIRT)
en relación con el tamaño de la organización
Fórmula/puntuación Suma de eventos de seguridad que han sido reportados y tratados formalmente al CSIRT/
Número de roles de seguridad definidos por la organización
Objetivo Al menos un evento de seguridad por rol de seguridad por año
Evidencia de implementación Sistema de venta de entradas utilizado para el tratamiento de eventos de seguridad.
Frecuencia Coleccionar: Anual
Informe: Anual
Cliente de información: gerente de seguridad de la información, alta dirección

Formato de informe Línea de tendencia que muestra la evolución de los eventos reportados en los últimos períodos
Relación ISO/IEC 27001:2013, A.16.1.3: Reporte de debilidades de seguridad de la información

ISO/IEC 27004:2016(E)
B.36 Proceso de revisión del SGSI

Necesidad de información Evaluar el grado de cumplimiento de la revisión independiente de la seguridad de la información
Medida Proporción de progreso de las revisiones independientes realizadas
Fórmula/puntuación Divide [Número de revisiones realizadas por terceros
] por [Número total de revisiones planificadas de terceros]
Objetivo La relación resultante del indicador debe caer principalmente entre 0,8 y 1,1 para concluir el logro del objetivo
de control y ninguna acción. Y debería estar por encima de 0,6 si no cumple la condición principal.
Evidencia de implementación 1 Recuento del número de informes de revisiones periódicas realizadas por terceros
2. Cuente el número total de revisiones de terceros planificadas
Informe: Trimestral
Revisión de medición: revisión y actualización cada 2 años
Período de Medición: Aplicable 2 años
Responsables Titular de la información: Gestores responsables de un SGSI
Recolector de información: Auditoría interna; Gerente de Calidad
SÓLO PREPÁRESECliente
PARA LOSGerentes
de medición: ACABADOS
responsables de ACADÉMICOS
un SGSI, Gerente del sistema de calidad
Fuente de datos 1. Informes de revisiones de terceros
2. Planes de revisiones de terceros
Formato de informe Gráfico de barras que representa el cumplimiento durante varios períodos de informes en relación con los
umbrales definidos por el objetivo
Relación ISO/IEC 27001:2013, A.18.2.1: Revisión independiente de la seguridad de la información

ISO/IEC 27004:2016(E)
B.37 Cobertura de vulnerabilidad

Necesidad de información Evaluar la visibilidad actual de las vulnerabilidades de los sistemas de la organización
Medida Proporción de sistemas que han sido objeto de actividades de evaluación de vulnerabilidades/pruebas de
penetración
Fórmula/puntuación Número de sistemas objeto de una evaluación de vulnerabilidad en el último trimestre o de una prueba de
penetración en el último año / total de sistemas
Objetivo 1
Evidencia de implementación Análisis de las actividades de evaluación de vulnerabilidades y pruebas de penetración
Responsables Titular de la información: analistas de seguridad de la información o terceros contratados
Recolector de información: analistas de seguridad de la información

Fuente de datos Informes de evaluación de vulnerabilidades
Herramientas de evaluación de vulnerabilidades
Informes de pruebas de penetración
Formato de informe Gráfico circular agregado y gráficos circulares de arreglos de sistemas homogéneos o sensibles que muestran
las proporciones obtenidas
Relación SÓLO PREPÁRESE PARA LOS

ISO/IEC 27001:2013, ACABADOS
A.18.2.3: Revisión deACADÉMICOS
cumplimiento técnico

ISO/IEC 27004:2016(E)
Anexo C
(informativo)
Un ejemplo de construcción de medidas de formularios de texto libre
C.1 'Eficacia de la formación': constructo de medición de la eficacia

En este ejemplo, se toma un enfoque de 'texto libre' para determinar si la capacitación formal es una mejor manera de transmitir los
objetivos de seguridad de la información que simplemente hacer que la política esté disponible en línea.
Suponga que todos los miembros del personal (S1) deben leer la versión en línea de la política de seguridad de la información de la
organización como parte de sus términos de empleo (contrato).
En cualquier momento, S2 = número total de empleados que han reconocido haber leído la política en línea (es decir, se han conectado
y al menos se desplazaron hasta el final del texto).
S3 = número de empleados que han asistido a una capacitación específica sobre concientización sobre la política de seguridad de la información.
(S3 siempre será un subconjunto de S2, ya que el curso requerirá su lectura previa en línea de la política).
Todo el personal que haya leído al menos la política debe realizar una prueba en línea, incluidos aquellos que hayan asistido a la
capacitación formal.
S4P = número de miembros del personal que han realizado la prueba después de solo leer la política de intranet y que logran la
calificación de aprobado.
S4F = número de personas que han realizado la prueba después de solo leer la política de intranet y que no logran aprobar.
S5P = número de personas que han tomado la misma prueba después de asistir a la capacitación formal y que logran aprobar.
S5F = número de personas que han tomado la misma prueba después de asistir a la capacitación y que no logran aprobar.
E1=S1 - S2, la cantidad de personal que aún no ha tenido exposición a la política de seguridad de la información.
E2= S4P / (S4P + S4F), es decir, la proporción de personal que solo ha leído la política y que tiene una buena comprensión de la
misma (determinada por el umbral de aprobación).
E3= S5P / (S5P + S5F), como arriba, para S5, pero para el personal que haya asistido a la capacitación formal.
E4 = E3/E2, es decir, la relación de efectividad de la formación frente a la simple autoinstrucción.
S1 - S2 también es una medida útil, que indica cuántos miembros del personal aún no han leído la política en línea.
Esto puede tener un umbral que activa una alerta cuando se excede una proporción del número total de empleados (o ambos), pero
también puede adaptarse a una duración dentro de la cual se debe leer la política en línea, en la que tiene que haber una práctica
período de tiempo desde que un empleado comienza y sus acciones introductorias iniciales deben completarse.
Uno puede imaginar que con el tiempo, a medida que avanza la conciencia y la cultura de la seguridad de la información, el umbral
podría elevarse a medida que se identifiquen las tendencias, ya que el análisis de las preguntas puede fallar, lo que podría conducir a
una expresión más efectiva de la política, o al establecimiento de políticas más realistas. metas.

Iso - Iec - 27004 - 2016 (En) - Anexo B

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Iso - Iec - 27004 - 2016 (En) - Anexo B

Cargado por

Copyright:

Formatos disponibles

Machine Translated by Google Licenciado a Alignment SpA / Carlos Lobos (carlos.lobos@usach.

Ejemplos de construcciones de medición

Procesos SGSI relacionados Nombres de ejemplo de construcción de medición

5.1, 7.1 B.2 Asignación de recursos

7.5.2, A.5.1.2 B.3 Revisión de políticas

5.1, 9.3 B.4 Compromiso de la dirección

8.2, 8.3 B.5 Exposición al riesgo

9.2, A.18.2.1 B.6 Programa de auditoría

10, A.16.1.6 B.9 Forma de aprendizaje de incidentes de seguridad de la información

A.7.2.1, A.7.2.2 B.13 Cumplimiento de la conciencia de seguridad de la información

A.7.2.2, A.9.3.1, A.16.1 B.15 Preparación para la ingeniería social

A.11.1.2 B.19 Evaluación del sistema de controles de entrada física

A.12.2.1, A.17.2.1 B.25 Disponibilidad total

A.12.2.1, A.13.1.3 B.26 Reglas de cortafuegos

A.12.4.1 B.27 Revisión de archivos de registro

A.12.6.1 B.28 Configuración del dispositivo

A.12.6.1, A.18.2.3 B.29 Pentest y evaluación de vulnerabilidad

© ISO/IEC 2016 – Todos los derechos reservados 19

Procesos SGSI relacionados Nombres de ejemplo de construcción de medición

B.2 Asignación de recursos

Descriptor de información Significado o propósito

Fórmula/puntuación SÓLO PREPÁRESE PARA LOS

Evidencia de implementación Monitoreo de recursos de seguridad de la información

Responsables Propietario de la información: gerente de seguridad de la información

Recolector de información: gerente de seguridad de la información

Información Cliente: consejo de administración

Fuente de datos presupuesto de seguridad de la información

Gasto efectivo en seguridad de la información

Informes de uso de recursos de seguridad de la información

Relación ISO/IEC 27001:2013, 5.1: Liderazgo y compromiso

20 © ISO/IEC 2016 – Todos los derechos reservados

B.3 Revisión de políticas

Descriptor de información Significado o propósito

Objetivo Verde: >80, Naranja >=40%, Rojo <40%

Informe: para cada colección

Recolector de información: Auditor interno

Cliente de medición: Director de seguridad de la información

SÓLO PREPÁRESE PARA LOS ACABADOS ACADÉMICOS

© ISO/IEC 2016 – Todos los derechos reservados 21

B.4 Compromiso de la dirección

Descriptor de información Significado o propósito

b) Tasas de participación promedio en las reuniones de revisión de la gestión hasta la fecha

SÓLO PREPÁRESE PARA LOS ACABADOS ACADÉMICOS

2.1.2 Recuento de reuniones de revisión de gestión no planificadas celebradas hasta la fecha

Frecuencia Cobro: Mensual

Revisión de medición: Revisión y actualización cada 2 años

Período de medición: Aplicable 2 años

Recolector de información: Gerente de calidad; gerente de seguridad de la información

Cliente de medición: Gerentes responsables de SGSI; Responsable del sistema de calidad

2. Minutas/registros de revisión de la gerencia

Relación ISO/IEC 27001:2013, 9.3: Revisión por la dirección

22 © ISO/IEC 2016 – Todos los derechos reservados

B.5 Exposición al riesgo

Descriptor de información Significado o propósito

b) Revisión oportuna de riesgos altos y medios

b) Número de riesgos sin actualización de estado

Evidencia de implementación Registro de riesgos actualizado

Frecuencia Cobro: mínimo trimestral

Informe: cada trimestre

Responsables Titular de la información: Personal de seguridad

Recolector de información: personal de seguridad

Formato de informe Tendencia de altos riesgos

Tendencia de riesgos altos y medios aceptados