l{

o
(9
o
o
L
o
L
o
Et
o
L
o
P
tr
o
gE
o
E
t{
rf
I¡
t¡
o
E
I
I
t Implementar y operar el SGSI
I * Formular el plan de tratamiento de riesgos
I o Implementar el plan
* Implementar los controles seleccionados
I * Definir como medir la efectividad de los controles
I seleccionados

" Implementar los programas de formación y

I "
concientización
Gestionar las operaciones del SGSI
t " Gest¡onar los recursos para el SGSI

I itara ITINSTITUTE s -d¡*¡1¿

I
tdgjn¡¡@:!. d. Hdñü¡ln

I
I
t
t
I
I
I
I
t
I
I
I z
 I
I
Plan de tratamiento de riesgos (PTR)
Consideraciones generales
I
,
t
Para el plan de implementación:
n Acordar el periodo para su realización t
"
.
Identificar los actividades clave
Implementar acciones
I
,
' Considerar los recursos (internos y externos) I
Asegurar que todas las partes del SGSI están
efectivamente ¡mplementadas (revisiones
calidad)
de I
I
it@ra ITINSTITUTE
F@6lfñ& h.ft
t
I
or-&r.bd¡ & iói

I
I
I
t
t
t
t
I
t
I
¡
3l
t
I
t Plan de tratamiento de riesgos (PTR)
Consideraciones generales
t El plan de tratamiento de riesgos contendrá las
I act¡v¡dades que deben ejecutarse para implementar los
controles ¡dentificados en la sentencia de aolicabilidad
(SOA) que mitigarán los riesgos, también contendrá el
I tiempo de ejecución y responsables para establecer
así las acciones de corto, mediano y largo plazo.
I
I
I
t itera IT INSTITLNE
f¡reü *@idr a -eúrt¡ ó trr¡¡a¿.

t
t
I
I
I
¡

I
I
I
I
I
I
I 4
 I
t
Fo rm u I a r u n p a n d e t rata m
I i en to Q e.. ri,e.,gg,*o..F.. ._. *..
t
t
,, Identificar la acción de gestión apropiada. I
, Recursos (financieros, humanos, tecnológicos,
etc.) t
' Responsabilidades
" Prioridad de implementación para la gestión de I
los riesgos de la seguridad de la información

"
identificados
T¡empos de ejecución.
t
I
itara ITINSTITUTE
F@¿i ¡a¡!d! -s.qt¡ |16nEfr
d ¿.
t
¡

t
T

t
t
I
I
I
I
I
I
¡
5l
I
I
t PTR Buenas prácticas para su desa¡¡-qll_g
I Objetivos bien definidos. De tal forma que al ser
'
I cumplidos, pueda verificarse que los objetivos fijados
sean alcanzados.

I - Secuencia. Debe contar con un camino previamente

definido que permita la integración de las activ¡dades
al racionalizar los esfuerzos y optimizar el tiempo
I ,, Flexibilidad. Es necesario estructurarlo de tal manera
que permita insertar o actual¡zar actividades que
I faciliten la implementación.

t
I a IT INSTITUTE
FG**' a@id'ú -á'.¡4, ó Htri.

I
t
I
¡

t
I
¡

I
I
I
I
I
 ¡

¡
Plan de implementación
Elementos a considerar para .e!.p.],ilL_
I
I
I
'@''*'n**n
T

-#l¡.r.to¿oto¡¡
I
I
I
S ¡.r..i"¡¡o¿.'

"¡e;
N TNSTITI,TTE
t!ü&ón¡dÉd.$li¡{adoLr¡nrü
t
I
I
I
I
I
T

I
I
I
I
I
I
7a
T

t
t Formular un plan de tratamiento de riesgos
Elementos a considerar
/
t I. Act¡vidades
I Cada tarea debe dar como resultado algo útil.
Típicamente, cada tarea genera un producto
I Para ordenarlas hay que considerar
progresión
la prioridad y

T de manera lógica, agrupándolas de

Organizarlas
manera coherente y estratégicamente (por
t proyectos)
Dejar siempre claro para los equipos la aplicabilidad y
I la utilidad de cada tarea o actividad

I TT INSTITUTE
t
d lldirr¡
rtr4a-óñ A@¡a¡ :É¡!¡oEr¡,r.

I
t
t
t
I
I
I
I
I
I
t
I I
 I
T
Formular un plan de tratamiento de riesgos
Elementos a considerar
/ I
I
2. Método
' Usar un enfoque deductivo (partiendo de lo general
hacia lo particular) o un enfoque inductivo (de lo
t
*
particular hacia lo general). I
En los planes de seguridad es más común el primer
enfoque. t
I
T

IT INSTITI-NE
btni¡{ü] _,a|¡t4h
I
I
F@-.ó. ói &
^É¿da

I
I
t
I
t
t
I
t
t
I
t
el
I
I
t Formular un plan de tratamiento de riesgos
Elementos a considerar
/
I 3. Recursos
I ' Los recursos a considerar pueden ser: humanos,
mater¡ales (tecnológicos, físicos) y financieros.
t " El apoyo de la alta dirección es fundamental para
que el plan alcance sus objetivos.
I 'El trabajo de planear e implementar la
presupone la colaboración de
seguridad,
equipos
interdisciplinaraos de especialistas que se encuentran
T internos y/o externos a la organización.

I
t it TT INSTITUTE
t
t
t
t
I
t
I
I
t
t
¡

I
I 10
 I
t
Formular un plan de tratamiento de riesgos
Elementos a considerar
/ I
I
3a. Recursos Humanos (RH)
* comprometer a los responsables con la I
disponibil¡dad de los RH bajo su control para el éxito
del plan.
, Distribuir las tareas asignadas a los RH
I
adecuadamente, considerando el perfil, habilidades,
disponibilidad etc.
t
, Designar las funciones / roles en los equipos de ¡
acuerdo con sus habilidades, conoc¡m¡entos y
estructura organizacional de la organízación.
T

¡
itara IT INSTITUTE
t
tM&¡ ae¡!¡ r rind4¡
h¡rs¡ió¡ &

I
t
I

I
I
t
r
I
I
t
11 I
I
I
I Formular un plan de tratamiento de riesgos
Elementos a considerar
/
t 3b. Recursos Materiales
I " Necesitamos contar con el equipo adecuado, que nos
facilite la realización de las tareas en materia de
¡ seguridad, de esto depende que se realicen dichas
actividades con el impacto necesario.

I Ejemplo: torniquetes, sistemas de control de acceso al

data center, dispositivos de seguridad, etc.

t
t
I itAra ITINSTITUTE
t
r'-r¡¡¡s'4,.f¡ti 4 rrurc¡
Fd4¿r

t
t
¡

I
I
I
I
I
I
t
I
I 12
 I
I
Formular un plan de tratamiento de riesgos
Elementos a considerar para et plan
/ I
I
3c. Recursos financieros
. Hacer la previsión presupuestaria y financiera. I
,, Verificar
utilizar en
todo lo que hay disponible y que se puede
el transcurso del proceso para reducir los I
,
costos.
Dar preferencia a recursos que se ut¡licen en más de
una actividad. Ejemplo concientización y capacitación.
t
t
I
itera
I
I
I
t
t
I
I
T

I
I
I
I
13 I
I
I
t Formular un plan de tratamiento de riesgos
Elementos a considerar
/
I 4. Evaluación
I Previa. Antes de la implantación del plan.
indicadores.
Defina

t Durante. Establezca puntos de control. Determ¡nar

períodos de tiempo que serán verificados s¡ ¡os plazos
I previstos se están cumpliendo, si el estándar de
calidad establecido está siendo manten¡do. s¡ los
recursos materiales y financieros están atendiendo las
I demandas, etc. Tomar providencias para, corregir y
ajustar acciones de ser necesario.
I
I it2ra IT INSTITUTE
t@tr

I
¡,F¡dá ei:&!¡cta¡. nrod$.t'

t
I
¡

I
t
I
I
I
I
t
I
t
 ¡

I
Formular un plan de tratamiento de riesgos
Elementos a considerar
/ I
4 Evaluación
t
Después: Evaluación realizada después
implementación del plan. Esta evaluación es
de la
parte del
I
la fase de "Chek" revisión del sistema de gestión
(sGSr).
I
¿Alcanzamos los objetivos propuestos con la calidad
deseada? éSe cumplieron los plazos establecidos? iEl
t
presupuesto previsto fue seguido? Esta evaluación
muestra los resultados y orienta a nuevas
acciones que deben aplicarse en la fase "Act".
t
I
IT INSTITUTE
aÉlH s ¡dúqt¡
I
I
FdEá¡ @ }Jor¡¡ó.

t
I
I
I
I
I
r
I
t
I
I
15 I
I
I
t Formular un plan de tratamiento de riesgos
Elementos a considerar para el p[aq
/
I 5. Cronograma
I ' identificar actividades, responsables, t¡empos
prioridades y periodicidad de la evaluación
t .
durante la implementación.
Considerando que el plan puede sufrir alteraciones en
I el transcurso de su ejecución, se recomienda fiar una
línea base inicial de Ia planificación para fines de
I '
control.
Monitorear continuamente el cumplimiento de los
plazos trazados originalmente, con el fin de ajustar
I los t¡empos o bien los recursos asignados a las
actividades.

I it4ra
g:
IT INSTITUTE
t
Fo1ee¡ls,¡d¿ s -e$óg¡ hlr'..r¿.
dé

I
I
I
I
t
t
I
I
I
I
I
I
 I
t
Plan de implementación (II) t
I
:
I
-
t
I
I
I
it ITINSTITUTE
¡@& -eúl¡
F ú¿¡i Hñ¿lt
I
I
oñ d.

I
I
I
T

I
t
r
I
t
I
I
17 1
I
I
¡
Medición de la eficiencia de los controles
t . Evaluar la efectividad del control
I *
,
Especificar como esas mediciones se van a usar

t Producir resultados comparables y reproducibles

I La medición de la efectividad de los controles

t permite a los jefes y empleados determínar hasta
que grado los controles seleccionados consiguen
los objetivos de control planteados
I
t IT INSTITUTE
I
Fffinú¡eldá s-,&it htñ'¡r¡rr
! d.

I
I
I
I
I
¡

I
I
I
I
I
I 1B
 I
I
I
I
Ejercicio 6 t
I
Plan de implementación del SGSL
I
t
I
,isrl'ir¿..
IT INSTITUTE
.
I
I
F É¿,t a€rBd¡ ¡¡ iú¿rc5giá* binÉ¡h

t
t
I
I
I
I
I
I
I
I
I
1eI
I
I
I Formación y concientiza-ció¡...([) ."__
I Formación apropiada para impartir a:
I " Personal incluido en el alcance

' Dirección / Supervisores

I * Personal del área técnica
I u
" otro personal
Personal no incluido en el alcance que interactúe con
I "
los que si lo están (si es necesario)
Clientes (si es necesario)
I * Proveedores (si es necesario)

I it IT INSTITUTE
t
-d'dostr d.
Fñ¡o¡ñ¡Brid¡ s tuft.r{.

I
I
t
I
¡

I
t
t
I
I
I
I 20
 I
I
Formación y concientización (II)
Contenidos I
* comprensión y conformidad con la política y
I
,
objetivos de Ia seguridad de la información.
Comprensión de las responsabilidades de
I
"
seguridad.
Que hacer con respecto a:
t
"
*
Incidentes de seguridad. I
Cumplimiento con la legislación relevante nacional
e internacional I
" Uso correcto del equipo de la compañía

,,
(computadora personal, laptop, etc. )
software (e-mail e internet, etc.)
I
Uso correcto del

itara
.. r¡-^t^--:Á-
Protección l^de ^^-l'^^^É^a
contraseñas ;
tt"tN-ql$glE
t
I
t
I
I
I
I
I
¡

I
I
I
I
21 I
I
t
I Manejar las operaciones del SGSI
t Una vez implementados los controles de seguridad de la
I información, operar con base
Ejemplos:
en lo implementado.

I .,Segu¡r cabalmente lo definido en la implementación del

control. Ejemplo seguir el proceso de A,B'C de cuentas
para solic¡tar el ingreso a los sistemas de información y
I aplicativos de la organización.
,Guardar reg¡stro de la operación de los controles.
t Ejemplo guardar bitácoras de accesos al centro de
computo (si se definió en la implementación de control de

I acceso físico)
.Generar evidencia de todos los controles operando.

I Ejemplo: Guardar minutas de las reuniones.

itAra
."9"
IT INSTITL'TE
t
Fae¿n,ñzd6iedog.¿d.¡tbffil¿ll

I
I
t
I
t
t
I
t
I
I
I
t 22
 I
I
Manejar los recursos del SGSI
t
La organ¡zación deberá determinar y proveer los
t
recursos necesarios para:
-Asegurar que los procesos de seguridad de la
I
información respalden los requerimientos y
necesidades estratégicas de la organización. I
,Identificar y tratar los
regulator¡os y contractuales.
requer¡m¡entos legales'
t
,Mantener una seguridad adecuada mediante la correcta
aplicación de todos los controles. I
uLlevar a cabo revisiones cuando sea necesar¡o y
reaccionar apropiadamente ante las mismas. I
,Donde se requiera, mejorar Ia efect¡vidad de¡.SGsI.
IT INSTITUTE
!,*r:n¡fl rsd.t¿* r.ffiij¡
I
I
tdebai

t
t
I
I
t
I
I
I
I
t
2sI
I
t
Implementar el proceso de gestión
I de incidentes de seguridad
I n Implementar los procedimientos y otros controles
I capaces de permitir una pronta detecc¡ón de
respuesta a incidentes de seguridad
.
I El proceso de administración de incidentes es uno
de los procesos principales a implantar

t ,. Reg¡strar ¡ncidentes reportados para

generación de informes
posterior

. Dar seguim¡ento a incidentes reportados

t . Asignar a un responsable del seguim¡ento a
I incidentes de seguridad,

I ITINSTITUTE
I
f d@¿'Nr,:¡'.n'a,ú¡4!d. F¡nkrdl

I
I
I
I
t
I
I
t
I
I
t
t 24
 I
t
Consejos út¡!es t
Para la generación del plan de tratamiento de riesgos
es conven¡ente agrupar todas las act¡v¡dades en
I
subproyectos y asignar un responsable
Estar cons¡entes en que, para llevar a cabo todas las
I
actividades definidas en el plan, se requiere el apoyo
de todo un equipo interdisciplinario que puede I
encontrarse en diferentes áreas de la organización
Ayuda mucho el tener una buena administración del
proyecto
I
Se recomienda realizar reuniones de seguimiento
periódicas para la revisión y monitoreo de los avances
I
del proyecto
Identificar las actividades que involucran el mayor
I
it
t¡empo de realización y mayor riesgo. A
ll**ill;pJ*
I
I
I
I
I
t
I
t
t
I
I
I
I
25 1
l_
t
I
I rJJ€
I FE
f¡¡¡¡\ =

-lz
L.r'S
[-a
tri I
FE
úr$
o-
E.ó ZE l{
, o
P'o -;r- (,
tsftr
otrIn tFg o
'f* -ü o
:1 .9o
u)Fo L
G
o
E;=l!
E lor{ o
L
.E€R t-
Eel o
o
¡-
6Eú
a- -r É
o

-U E^ o
Pr, ñ E

;fE
!.6
ul
o
t¡
O{=
66 o
!a¡ E
d(9
I
I
I Monitorear y revisar el SGSI (I)
I Ejecutar procedimientos de monitoreo para:
¡ " Detección temprana de errores (controles detect¡vos)
.. Identificación temprana de ¡ntentos de ataques
I i ncidentes (controles detectivos)
e

'.
I Comprobación de que las actividades de seguridad
delegadas a individuos o implementadas por TI se
llevan a cabo como se espera
t . Ayudar a detectar eventos de seguridad / prevenir
incidentes de seguridad
I ' Determ¡nar si las acciones tomadas para resolver
una brecha de seguridad son efectivas.
t IT INSTITUTE
ras ú !e$¡St¡ hh.Eili

I
tFr¡o¡n &

I
¡

I
t
t
I
I
I
I
I
I
I
 I
I
Monitorear y revisar el SGSI (II)
I
. Lleve a cabo revisiones regulares de la efectividad
I
del SGSI para validar:
., Cumplimiento con las políticas y objetivos del SGSI.
I
- Controles de seguridad I
,' Tenga en cuenta:
u, Resultados de aud¡tor¡as de seguridad I
' Medidas de la eficacia (métr¡cas)
, Sugerencias y feedback de las partes interesadas
I
. Mida la efectividad de los controles implantados t
itera
" Verifique que se cumplen los requerimientos de
¡^^,,-iA=A
seguridad
";_
ITINSTITUTE
¡Éu&ri !*o$jt¡ |fd¡¡i¡
&
t
I
Flj@ó.

t
t
I
I
t
¡

t
t
I
I
I
3l
I
I
I Monitorear y revisar el SGSI (lII)
I ' Revisión de los análisis de riesqo a
olanificados
intervalos

I , Nivel de riesgo residual

Tenga en cuenta ca mbios en :
I ' La organización
,' Tecnología
I ., Objetivos y procesos de negocio
I - Amenazasidentificadas
' Efectividad de los controles implementados
¡ " Eventos externos (ambiente legal y reg u latorio)
t itara ITINSTITUTE
fürE$ !*F¡aai¡ :d¡.r}t¡ Hdlrxt.
&

I
I
t
I
I
t
I
t
I
t
I
t
t 4
 t
I
Monitorear y revisar el SGSI (IV) I
¡
,, Ejecución de auditorias ¡nternas del SGSI a

'
intervalos progra mados
Rev¡s¡ones por la dirección llevadas a cabo de
t
'
manera regular
Actualizaciones de planes de seguridad tomando en
t
cuenta las activ¡dades de mon¡toreo y revisión
,'' Registro de acciones y eventos
I
, Impacto en la efectividad
SGSI.
o comportamiento del I
I
itara
.9.,'
IT INSTITUTE
I
t
Fd'¡¿.i1ae;d¡ d-ó1d.v¡ & hrnnaii¡

I
¡

t
I
t
I
¡

I
t
I
t
5¡
I
t
T
Indicadores y cuadro de mando ISO 27094 Q)._
t El uso de este estándar proporcionará guía con la
I metodologÍa para determinar la eficiencia del SGSI.
Las medidas product¡vas a través de la aplicación de este

t estándar pueden contribuir como entradas para el

proceso de revisión de los controles existentes y
determinar como pueden ser cambiados o
I mejorados.

t
t ¡t ITINSTITUTE
t Fd@dñ A¡m?da.n -dJÉos{¡ & hi.M'¿,.

t
I
I
I
t
t
t
I
I
I
I
I o
 t
t
Indicadores y cuadro de mando ISO 270"Q,1 g.}) I
I
Este estándar internacional proporcionará guía acerca de
cómo una organización a través del uso de med¡das en
seguridad de la información, identificará la
I
idoneidad de un SGSI operativo, incluyendo política,
gestión del riesgo, objetivos de control, controles,
procesos y procedimientos.
I
I
I
t
IT INSTITUTE
t
t
hiw'..
FFe¡n ridr¡á M'd¿*{¡ ¿.

I
¡

I
I
t
I
t
t
I
I
¡
7l
t
T

I Indicadores y cuadro de mando ISO 27004

Introducción
I
El empleo de este estándar permitirá a las
I organizaciones dar respuesta a los interrogantes de que
tan efectivo y eficiente es el SGSI y qué niveles de
t implementación y madurez han sido alcanzados. Estas
mediciones permitirán comparar |os logros obten¡dos
en seguridad de la información sobre períodos de
I tiempo en áreas de negocio similares de la organización y
como Darte de continuas meioras.

I
I IT INSTITUTE
I
F'¡¡:.+nÁi,:d,ái:ddD'ó.i¡t|¡'rl

t
I
¡

I
t
t
I
I
I
I
I I
 t
t
Indicadores y cuadro de mando ISO 27004
I
I
El segundo apartado define el ámbito, como una guÍa
sobre la especificación y uso de técnicas de
medición, para proveer precisión en la observación del
I
SGSI en cualquier tipo de organizaciones y con el
propósito de crear una base para recolectar,
analizar y comunicar datos relacionados a este
I
SGSI, los cuales serán empleados para tomar T
decisiones que permitan mejorar el mismo,
I
t
IT INSTITUTE
t
t
Fyi&ürr¡F!.:..
:a¡¡¡¡ta& b.dn¡jú1

t
I
T

t
I
T

I
I
I
I
I
el
I
t
I Indicadores y cuadro de mando ISO 27004
Terminología
¡
Atr¡buto: Propiedad o característica de una
I "entidad", que puede ser distinguida cuantitativa o
cual¡tat¡vamente, por una persona o sistema
I automatizado.
Entidad: Un objeto (tangible o intangible), que será

I caracterizado a través de la medición de sus "atributos"

Indicador: Es una medída que provee una estimación
o evaluación de un "atributo" especificado, con
t resoecto a las necesidades de información definidas.

t
! itAra IT INSTITUTE
|]..df¡

I
Foe¡¿ú.4rd¡da s-,sirJsá 4

t
I
t
I
t
I
¡

I
I
¡

t
10
¡
 t
t
Indicadores y cuadro de mando ISO 27004 ¡
Mediciones en un SGSI
I
Se basa sobre el modelo PDCA (Plan - Do - Check - Act)
que es un ciclo continuo. Se podría resumir esto en la idea ¡
que, las medicíones están orientadas principalmente al
"Do" (Implementación y operación de SGSI), como una
entrada para el "Check" (Monitorizar y revisar), y de esta
forma poder adoptar decisiones de mejora del SGSI a
I
través del "Act"
I
I
I
jg'. ¡
a IT INSTITUTE
to.i*dn ia'd s -ú.¡!É biffi¡h¡
ó.

I
I
I
¡

t
a
l
I
t
I
11 I
I
t
I Indicadores y cuadro de mando ISO 27004
Objetivos de medición
I . Evaluar la efectividad de la implementación de los
I *
controles de seguridad
Evaluar la eficiencia del SGSI, incluyendo continuas
I mejoras
Proveer estados de seguridad que guíen las rev¡siones
'
I del SGSI, facilitando mejoras a la seguridad y nuevas
entradas oara audita r

t . Comunicar valores de seguridad a la organización

' Servir como entradas al plan de análisis y
t tratamiento de riesgos.

I tf'ara IT INSTITUTE
t
t@¿i As'n¡ s -¡4brr¡ ó hrriw{,

t
t
I
I
I
I
I
I
I
t
I
I 12
 t
t
Indicadores y cuadro de mando ISO 27004
Modelo para las mediciones de- s,es,g¡i-{e*._
t
Se debe desarrollar un programa de cómo ejecutar la
I
medición de la seguridad de la información. El éxito de T
este programa, se basará en la asistencia o ayuda que
estas mediciones aporten para tomar decisiones, o
determinar la eficiencia de los controles de
seguridad. Por lo tanto este programa de mediciones
t
debe estar basado en un "Modelo" de mediciones de
seguridad de la información. t
t
I
a INSTITUTE
I
I
r
I
T

t
¡

I
I
I
t
I
I
13 I
I
t
I Indicadores y cuadro de mando ISO 27004
Modelo para las mediciones de seguridad
I
I
t
t
I
t
I itAra IT INSTITUTE
t
rdftÁis fBr¡t¡ t' rdr¡*r'
¡*31¡;¡¡

t
I
I
I
t
I
I
t
I
t
I
t
 I
I
Indicadores y cuadro de mandoISO 27004
Modelo para las mediciones de seg-ufidgd-*-..._*_
I
I
t
t
t
t
I
¡
itara ITINSTTT..NE
F*r.¡ Áreóo d ¡ h&n4jt
-4tró¡4r¡

I
t
I
I
t
I
I
¡

t
I
t
I
1sI
 Indicadores y cuadro de mando ISO 27004
Modelo para las mediciones Qe qeg.gtid3d."*__.,.*_

itara IT INSTITUTE
r*ft¡ilh
FdB¡d' ¡r¡¿.¿¡ s !Éx¿lf¡ ¿r

16
 I
I
Indicadores y cuadro de mando ISO 27004
Métodos para cuantificar atributos
I
t
t
I
t
I
I
itara IT INSTITUTE
r,-,ó. a*,¡¡¡ s -edot¡ hrú¡¡.i
I
I
¿i

I
t
I
I
I
I
t
I
I
I
r
174
I
t
I Indicadores y cuadro de mando ISO 27004
Métodos para cuantificar a t r i b u t o s,.,[e-i.e."ne"|9-p].
I
I
I
I
I
I
t a IT INSTITUTE
atrÉ d :e..¡ot¡ hhñf¿i

I
FsÉó,, d.

I
I
I
I
t
I
I
I
¡

I
I
I 18
 I
r
Indicadores y cuadro de mando ISO 27004
Frecuencia de las mediciones
I
I
Se deberían definir y programar claramente los
¡ntervalos en tos cuales se llevará a cabo cada
medición (Semanal, mensual, tr¡mestral, anual, etc.).
I
Considerando una relación entre la necesidad de
contar con esta información y el esfuerzo para
obtenerla (costo/beneficio).
t
I
I
I
it IT INSTITUTE
I
I
F*,rói ¡#:rb s -e¡.{1t¡ rl¡dlr.¡
d¿

I
I
I
I
I
I
I
I
I
I
I
1eI
¡

t
I Indicadores y cuadro de mando ISO 27004
Selección de las mediciones en un SGSI
t La mediciones de la información pueden ser requeridas
I lJarl cr.

- Gobierno Corporativo
I * Cumplimiento de regulaciones y/o requisitos legales
,, Operaciones o gestión organizacional
I . Certificación de un SGSI
I ,, Clientes, partners, socios de negocio, etc.
Mejoras en la implementación y/o eficiencia del SGSI
"
I Mejora de procesos

I it
.;g-
TT INSTITUTE
I
ffi h¡¡¡drd -e¡4lt¿ rrr@i¿¡
d¿

I
I
t
t
t
r
t
I
I
I
I 20
 I
I
Indicadores y cuadro de mando ISO 27004
Programa de mediciones
t
Pasos a seguir para el establecimiento y operación de un
I
programa de mediciones
I
* Definición de los procesos t
. El desarrollo de mediciones aplicables
n La implementación del programa I
Revisión de mediciones I
I
itara IT INSTITUTE
¡¡a¡ds' hlbrdil¡
I
I
rBEc¿¡
'E¡o¡dJx&

I
I
I
I
t
I
I
I
I
I
I
21 I
t
t
I Indicadores y cuadro de mando ISO 27004
Programa de mediciones
I Las mediciones están directamente relacionadas a:
I
I ' Procesos de sistemas de gestión. Ejemplo: aSe
realizaron las auditorías?, iSe realízaron las revisiones
por la dirección?, etc,
I
,'
t Ejecución de controles de seguridad de
información Ejemplo: Volumen de incidentes por tipo,
control de accesos, etc.
la

t
I IT INSTITUTE
I
ae¡, ú-úrsg'l] bicE.jéi
FdrÉr. ¿.

I
I
t
I
I
¡

t
I
I
I
I
 I
t
Indicadores y cuadro de mando ISO 27004
Programa de mediciones
I
Criterios para ser válida una medición:
t
' Estratégico: Alineado con la estrategia
seguridad de la información
y misión de I
' Cuantitativo: Datos numéricos. I
u Razonable: El valor del dato recolectado no debería
ser mayor al coste de recolectarlo l
. Verificable: cualquier revisión por parte de
tercero, debería ser capaz de valorar el dato y obtener
resultados
un
t
" Usable: Los resultados
decisiones
deberían apoyar la toma de I
itAra IT INSTITUTE
Fr*ó^ a!*.ú ri -&r¡1,
vm'¿¡ &
I
I
t
I
I
I
I
I
I
¡

I
t
I
23f
I
t
t Indicadores y cuadro de mando ISO 27004
Programa de mediciones
t Para seleccionar los controles adecuados,
t organizaciones deberían realizar los siguientes pasos
las

t ' Definir un programa (como se mencionó en los puntos

anteriores)
I ., Seleccionar los objetivos de control y los controles a ser
incluidos en las mediciones
I '. Definir los indicadores para los controles seleccionados.

I Nota: Las mediciones seleccionadas deberían reflejar la

prioridad de la información que se neces¡ta.
I 4e"
IT INSTITLTTE
I
Fñ'Ecói/€Gd¡d.d{*¡lr.'.h|..ül¿.

I
I
t
t
t
I
I
I
t
I
I 24
 t
t
Indicadores y cuadro de mando ISO 27OO4
Definición de indicadores
t
Ejemplo para el dominio 11 Control de acceso de la norma
I
rso 27002 t
I
%

/o
s¡stemas que tienen ¡mplementado reg¡stros de accesos

de sistemas que implementan perf¡les de acceso y presentan gpc¡ones

¡ los usuarios en función de su perf¡lde Accesos
ao%

90%
t
/o proveedores que acceden remotamente y poseen acuerdos de
ronf¡denc¡alid¿d
)¿ Sistemas aue cumole¡r con la sintaxis de contraseña5
75%
8SYo
I
% sistem¿s que guardan cifradas las contraseñas 90%
I
itara
I
I
r
I
I
t
I
t
¡

I
I
I
25 I