Iso 27001
Páginas: 8 (1919 palabras)
Publicado: 27 de noviembre de 2011
Métricas de Seguridad, Indicadores & Cuadro de Mando
MÉTRICAS DE SEGURIDAD, INDICADORES & CUADRO DE MANDO
(por Alejandro Corletti: acorletti@ncs-spain.com y Carmen de Alba: cdealba@ncs-spain.com) En el mundo de la seguridad se dice mucho que “la seguridad es un estado de ánimo”, es decir, en función de cómo perciba la Dirección lo segura que está la compañía, se invertirá más o menos dineropara implantar controles de seguridad. Es evidente que concebir la seguridad así es peligroso, ya que uno puede pecar por exceso o por defecto. Responder a preguntas tales como “¿cómo puedo determinar si mi compañía se encuentra segura?”, “¿son realmente eficaces los controles que tengo implantados?” “¿cuántos recursos necesito para estar seguro?” suele ser una tarea difícil y subjetiva deresponder en la mayoría de los casos. A día de hoy, las métricas de seguridad siguen siendo un tema novedoso e incluso desconocido para algunos en el mundo de la seguridad. Las empresas en donde la seguridad es una actividad más de la compañía (control de accesos, gestión de usuarios…), sí que incluyen tareas de planificación y eficacia de los controles implantados. Antes de continuar, introduciremos unpar de definiciones sobre las que basamos el texto (cuyo origen data del borrador ISO-27004, del cual ya escribimos en su momento): ⇒ Un Indicador de Seguridad es un valor que se obtiene comparando datos (o atributos según ISO-27004) lógicamente relacionados, referentes al comportamiento de una actividad, proceso o control, dentro de un tiempo específico. ⇒ Una Métrica de Seguridad podría definirsecomo el conjunto de preceptos y reglas, necesarios para poder medir de forma real el nivel de seguridad de una organización. ⇒ Un Cuadro de Mando es una herramienta de gestión que facilita la toma de decisiones que recoge un conjunto coherente de indicadores que proporcionan a la Dirección y a los responsables, una visión comprensible del estado de seguridad de la compañía y de su área deresponsabilidad, que indica si se han marcado los objetivos propuestos. La ISO/IEC 27001:2005 introduce un concepto nuevo de indicador de la eficacia de los controles, que permite al Sistema de Gestión de Seguridad de la Información (SGSI) evaluar la eficacia y la calidad del mismo. A lo largo de la norma aparece este nuevo concepto, como en el punto 4.2.2 c) Implementación y Operación del SGSI “Definirel modo de medir la eficacia de los controles o de los grupos de controles seleccionados y especificar cómo tienen que usarse estas mediciones para evaluar la eficacia de los controles de cara a producir unos resultados comparables y reproducibles”, en el punto 4.2.3 Supervisión y Revisión del SGSI c) “Medir la eficacia de los controles para verificar si se han cumplido los requisitos deseguridad”, o en el punto 7.2 Datos Iniciales de la Revisión f) “Los resultados de las mediciones de la eficacia”. Es posible que la obligatoriedad de utilizar métricas de seguridad en el SGSI permita a la norma perdurar en el tiempo como un estándar eficaz y potente para gestionar la seguridad de forma óptima, ya que las métricas de seguridad no se contemplan como un “accesorio” más a añadir al SGSI segúnle convenga a la compañía (como ocurría con la norma anterior BS7799–2), sino que lo absorbe y pasa a formar parte de él a lo largo de su ciclo de vida. Esto garantiza que tanto el SGSI como su sistema de medición son revisados y mejorados de forma continua. PLAN DO Establecer SGSI. Implementar y Operar el SGSI. Definir las métricas. Implantar las métricas. Revisar los datos de las métricas.Revisar/Mejorar las métricas.
CHECK Supervisar y Revisar el SGSI. ACT Mantener y Mejorar el SGSI.
A día de hoy, existen dos estándares del NIST para la implementación de métricas de seguridad, el NIST 800–55 Security Metrics Guide for Information Technology Systems y el NIST 800–80 Guide for Developing Performance Metrics for Information Security. En la actualidad el subcomité SC 27, como ya...
MÉTRICAS DE SEGURIDAD, INDICADORES & CUADRO DE MANDO
(por Alejandro Corletti: acorletti@ncs-spain.com y Carmen de Alba: cdealba@ncs-spain.com) En el mundo de la seguridad se dice mucho que “la seguridad es un estado de ánimo”, es decir, en función de cómo perciba la Dirección lo segura que está la compañía, se invertirá más o menos dineropara implantar controles de seguridad. Es evidente que concebir la seguridad así es peligroso, ya que uno puede pecar por exceso o por defecto. Responder a preguntas tales como “¿cómo puedo determinar si mi compañía se encuentra segura?”, “¿son realmente eficaces los controles que tengo implantados?” “¿cuántos recursos necesito para estar seguro?” suele ser una tarea difícil y subjetiva deresponder en la mayoría de los casos. A día de hoy, las métricas de seguridad siguen siendo un tema novedoso e incluso desconocido para algunos en el mundo de la seguridad. Las empresas en donde la seguridad es una actividad más de la compañía (control de accesos, gestión de usuarios…), sí que incluyen tareas de planificación y eficacia de los controles implantados. Antes de continuar, introduciremos unpar de definiciones sobre las que basamos el texto (cuyo origen data del borrador ISO-27004, del cual ya escribimos en su momento): ⇒ Un Indicador de Seguridad es un valor que se obtiene comparando datos (o atributos según ISO-27004) lógicamente relacionados, referentes al comportamiento de una actividad, proceso o control, dentro de un tiempo específico. ⇒ Una Métrica de Seguridad podría definirsecomo el conjunto de preceptos y reglas, necesarios para poder medir de forma real el nivel de seguridad de una organización. ⇒ Un Cuadro de Mando es una herramienta de gestión que facilita la toma de decisiones que recoge un conjunto coherente de indicadores que proporcionan a la Dirección y a los responsables, una visión comprensible del estado de seguridad de la compañía y de su área deresponsabilidad, que indica si se han marcado los objetivos propuestos. La ISO/IEC 27001:2005 introduce un concepto nuevo de indicador de la eficacia de los controles, que permite al Sistema de Gestión de Seguridad de la Información (SGSI) evaluar la eficacia y la calidad del mismo. A lo largo de la norma aparece este nuevo concepto, como en el punto 4.2.2 c) Implementación y Operación del SGSI “Definirel modo de medir la eficacia de los controles o de los grupos de controles seleccionados y especificar cómo tienen que usarse estas mediciones para evaluar la eficacia de los controles de cara a producir unos resultados comparables y reproducibles”, en el punto 4.2.3 Supervisión y Revisión del SGSI c) “Medir la eficacia de los controles para verificar si se han cumplido los requisitos deseguridad”, o en el punto 7.2 Datos Iniciales de la Revisión f) “Los resultados de las mediciones de la eficacia”. Es posible que la obligatoriedad de utilizar métricas de seguridad en el SGSI permita a la norma perdurar en el tiempo como un estándar eficaz y potente para gestionar la seguridad de forma óptima, ya que las métricas de seguridad no se contemplan como un “accesorio” más a añadir al SGSI segúnle convenga a la compañía (como ocurría con la norma anterior BS7799–2), sino que lo absorbe y pasa a formar parte de él a lo largo de su ciclo de vida. Esto garantiza que tanto el SGSI como su sistema de medición son revisados y mejorados de forma continua. PLAN DO Establecer SGSI. Implementar y Operar el SGSI. Definir las métricas. Implantar las métricas. Revisar los datos de las métricas.Revisar/Mejorar las métricas.
CHECK Supervisar y Revisar el SGSI. ACT Mantener y Mejorar el SGSI.
A día de hoy, existen dos estándares del NIST para la implementación de métricas de seguridad, el NIST 800–55 Security Metrics Guide for Information Technology Systems y el NIST 800–80 Guide for Developing Performance Metrics for Information Security. En la actualidad el subcomité SC 27, como ya...
Leer documento completo
Regístrate para leer el documento completo.