ISO

27004
Grupo #3

1
Integrantes
Andy Marbeth Nuñez Mazariegos
Francis Mirella Castellanos Reyes
Henry Omar Rodriguez
Martín Rascel Orellana Salazar
Jose Augusto Soto Cabales
Anner Adalid Cruz Ponce

2
 ¿Qué es ISO 27004?

Las normas que forman la serie ISO/IEC-27000 son un conjunto de estándares creados
y gestionados por la Organización Internacional para la Estandarización (ISO) y la
Comisión Electrónica Internacional (IEC). Ambas organizaciones internacionales están
participadas por multitud de países, lo que garantiza su amplia difusión, implantación
y reconocimiento en todo el mundo.

En especifico las normas ISO 27004 proporciona una pauta orientada a la correcta
definición y establecimiento de métricas que permitan evaluar de forma correcta del
rendimiento del SGSI

3
¿Por qué
implementar?

4
Implementación
La norma ISO 27004 posibilita una variedad de
mejores prácticas para la medición de los
resultados de un Sistema de Gestión de la
Seguridad de la Información (SGSI) en ISO
27001.

Este estándar especifica cómo estructurar el

sistema de medición, cuáles son los parámetros a
medir, cuándo y cómo medirlos. Además, ayuda
a las empresas al establecimiento de objetivos
relacionados con el rendimiento y los criterios de
éxito.

5
Enfoque
La norma tiene como misión desarrollar todos los
aspectos que deben ser considerados para poder
“medir” el cumplimiento de la norma ISO 27001.

Como ya se sabe, la misma hace especial hincapié

en el concepto de SGSI y en la aplicación de
controles, los cuales son los que en definitiva le
dan vida a este ciclo permanente de gestión.

6
Alcance

7
 ¿Cuál es el alcance?

• La supervisión y medición del • Revisar la efectividad de las

rendimiento de la seguridad de la acciones correctivas llevadas a
información cabo.

• Evaluar y mejorar el programa de • Responsabilidad en la gestión de la

medición de seguridad de la medición de seguridad de la
información. información.

• El análisis y evaluación de los • Administración de recursos,

resultados de la monitorización capacidad y concienciación de la
y medición
• El seguimiento y medición de la eficacia medición.
del sistema de gestión de la seguridad de
la información incluidos sus procesos y
controles
8
Procedimiento
¿Como se realiza la auditoría?

9
Método

10
Aplicación del método

11
Elaboración de un programa de medición de un sistema de gestión.

12
 Involucrados

Ing. Joel Ruiz Ing. Alexander Ing. Julio Diaz

andino
Jefe Tecnología De la
Soporte técnico Comunicaciones
Información

Ing. Danilo
Ing. Roberto
Mendez
Almendares
Infraestructura
Software

13
Análisis y gestión
de riesgos

14
 Análisis de riesgos

01 02 03 04
ACTIVOS VULNERABILIDADES AMENAZAS MAYORES RETOS
• Hardware • Falta un sistema de • Fuego • Determinar riesgos
• Software extinción de fuego • Terremotos • Determinar el alcance
• Información • Faltan software antivirus • Virus informáticos • Consensuar criticidad
• Infraestructura • Equipamiento obsoleto • Atacantes de activos
• Personas • Falta de recambio • Hacker • Considerar todos los
riesgos
15
Visión general de la medición de seguridad de la información

● Evaluar la efectividad de los controles o grupos de controles implementados

● Evaluar la efectividad del SGSI implementado
● Verificar el grado de cumplimiento de los requerimientos de seguridad identificados
● Facilitar la mejora del desempeño de la seguridad de la información en términos de los
riesgos generales de negocio de la organización
● Proveer resultados de las mediciones para asistir a la revisión por la alta dirección y facilitar
la toma de decisiones relacionada con el SGSI y justificar las necesidades de mejoras del
SGSI implementado

16
Entradas y salidas de las mediciones en un ciclo SGSI-PHVA de gestión de seguridad de la información

Se recomienda que la organización establezca los objetivos de las mediciones

basados en una serie de consideraciones, incluyendo:

a) El rol de la seguridad de la información como soporte de las actividades de negocio de la organización

y los riesgos a los que ésta se enfrenta.
b) Requerimientos legales, regulatorios y contractuales aplicables.
c) Estructura organizacional.
d) Costos y beneficios de implementar mediciones de seguridad de la información.
e) Criterios de aceptación de riesgos de la organización.
f) La necesidad de comparar varios SGSI’s dentro de la organización.

17
 Evidencia
• Nulo seguimiento en consolas de SGSI
• Dashboard no adecuados para el fortalecimiento de la
seguridad de información
• Vulnerabilidades en equipos desactualizados
• Eventos de ataques e infecciones a causa de
desinformación a los usuarios

18
EJEMPLO PRACTICO
Programa de medición:

Capacidad de Herramientas de gestión de seguridad de información:

● Objetivos de medición:
● Capa host Consola Antivirus
● L3 Firewall
● Medida en base a visualizaciones

19
ATRIBUTOS:

● Participación en los cursos

● Amenazas en visualización
● Profundidad de seguimientos de
visualización

20
INDICADORES:

● Nivel de respuesta
● Nivel de compromiso
● Nivel de Conocimiento

21
INFORME RESULTADOS MEDICION:

● Dashboard no adecuados para el fortalecimiento de la seguridad de información

22
INFORME RESULTADOS MEDICION:

● Dashboard no adecuados para el fortalecimiento de la seguridad de información

23
INFORME RESULTADOS MEDICION:

● Vulnerabilidades en equipos desactualizados

24
INFORME RESULTADOS MEDICION:

● Nulo Seguimiento en consolas de SGSI

25
EVENTOS DE ATAQUES E INFECIONES A EQUIPOS

26
SOLUCION:
• Se habla y se expone a la alta gerencia la necesidad de
Software avalado, (SGSI) el cual se adapte a una verificación
eficaz.
 
• Reforzar con capacitaciones a el personal técnico como
administrativo de la institución.
 
• Cubrir toda la Red y la estructura Organizacional con
mejores prácticas de seguridad.
 
• mayores campañas de concientización de la internet y su
uso ya que es un tema de seguridad en la institución.

27
 GRACIAS
por su atención!
28