Normativa ISO 27001 e 27004
Páginas: 10 (2425 palabras)
Publicado: 6 de mayo de 2015
Normativa ISO 27001 e 27004
El segundo apartado define el ámbito, como una guía sobre la especificación y uso de técnicas de medición, para proveer precisión en la observación del SGSI en cualquier tipo de organizaciones y con el propósito de crear una base para recolectar, analizar y comunicar datos relacionados a este SGSI, los cuales serán empleados para tomar decisiones que permitan mejorarel mismo.
Hace referencia a que es indispensable para la aplicación de este documento, el conocimiento del estándar ISO 27001:2005.
II. Terminología.
A continuación sólo se describen las definiciones fundamentales que serán empleadas en este texto.
Atributo: Propiedad o característica de una "entidad", que puede ser distinguida cuantitativa o cualitativamente, poruna persona o sistema automatizado.
Entidad: Un objeto (tangible o intangible), que será caracterizado a través de la medición de sus "atributos".
Indicador: Es una medida que provee una estimación o evaluación de un "atributo" especificado, con respecto a las necesidades de información definidas.
III. Resumen del borrador de la norma ISO 27004.
1. Mediciones en un SGSGI:
Se basa sobre el modelo PDCA (Plan – Do – Check – Act) que esun ciclo continuo. Se podría resumir esto en la idea que, las mediciones están orientadas principalmente al "Do" (Implementación y operación de SGSI), como una entrada para el "Check" (Monitorizar y revisar), y de esta forma poder adoptar decisiones de mejora del SGSI a través del "Act"
Una organización debe describir como se interrelacionan e interactúan el SGSI y las mediciones, desarrollandoguías que aseguren, aclaren y documenten esta relación, con todo el detalle posible.
Los objetivos de estos procesos de mediciones son:
• Evaluar la efectividad de la implementación de los controles de seguridad.
• Evaluar la eficiencia del SGSI, incluyendo continuas mejoras.
• Proveer estados de seguridad que guíen las revisiones del SGSI, facilitando mejoras a la seguridad y nuevas entradas paraauditar.
• Comunicar valores de seguridad a la organización.
• Servir como entradas al plan de análisis y tratamiento de riesgos.
2. El modelo y método para las mediciones de seguridad:
Se debe desarrollar un programa de cómo ejecutar la medición de la seguridad de la información. El éxito de este programa, se basará en la asistencia o ayuda que estas mediciones aporten para adoptar decisiones, odeterminar la eficiencia de los controles de seguridad. Por lo tanto este programa de mediciones debe estar basado en un "Modelo" de mediciones de seguridad de la información.
Este Modelo es una estructura que enlaza los atributos medibles con una entidad relevante. Estas entidades, incluyen procesos, productos, proyectos y recursos. Es decir, este modelo debe describir cómo estos atributos soncuantificados y convertidos a indicadores que provean bases para la toma de decisiones, sustentados en necesidades de información específica.
El primer paso para el desarrollo de este modelo, es definir los atributos que se consideran más relevantes para medir la información que se necesita. Un mismo atributo puede ser incorporado en múltiples mediciones, soportando diferentes necesidades deinformación.
Para definir cómo los atributos deben ser medidos, esta norma propone también un Método. Existen dos tipos de métodos para cuantificar los atributos:
• Subjetivos: Implica el criterio humano.
• Objetivos: Se basan en una regla numérica, que puede ser aplicada por personas o recursos automatizados.
Los métodos de medición pueden abarcar varios tipos de actividades y un mismo método puede aplicara múltiples atributos. Algunos ejemplos de métodos son:
• Encuestas/indagaciones.
• Observación.
• Cuestionarios.
• Valoración de conocimientos.
• Inspecciones.
• Re-ejecuciones.
• Consulta a sistemas.
• Monitorización ("Testing")
• Muestreo.
Un tema a considerar es la asociación de mediciones con determinadas escalas, de las cuales se proponen los siguiente tipos:
• Nominal: Los...
El segundo apartado define el ámbito, como una guía sobre la especificación y uso de técnicas de medición, para proveer precisión en la observación del SGSI en cualquier tipo de organizaciones y con el propósito de crear una base para recolectar, analizar y comunicar datos relacionados a este SGSI, los cuales serán empleados para tomar decisiones que permitan mejorarel mismo.
Hace referencia a que es indispensable para la aplicación de este documento, el conocimiento del estándar ISO 27001:2005.
II. Terminología.
A continuación sólo se describen las definiciones fundamentales que serán empleadas en este texto.
Atributo: Propiedad o característica de una "entidad", que puede ser distinguida cuantitativa o cualitativamente, poruna persona o sistema automatizado.
Entidad: Un objeto (tangible o intangible), que será caracterizado a través de la medición de sus "atributos".
Indicador: Es una medida que provee una estimación o evaluación de un "atributo" especificado, con respecto a las necesidades de información definidas.
III. Resumen del borrador de la norma ISO 27004.
1. Mediciones en un SGSGI:
Se basa sobre el modelo PDCA (Plan – Do – Check – Act) que esun ciclo continuo. Se podría resumir esto en la idea que, las mediciones están orientadas principalmente al "Do" (Implementación y operación de SGSI), como una entrada para el "Check" (Monitorizar y revisar), y de esta forma poder adoptar decisiones de mejora del SGSI a través del "Act"
Una organización debe describir como se interrelacionan e interactúan el SGSI y las mediciones, desarrollandoguías que aseguren, aclaren y documenten esta relación, con todo el detalle posible.
Los objetivos de estos procesos de mediciones son:
• Evaluar la efectividad de la implementación de los controles de seguridad.
• Evaluar la eficiencia del SGSI, incluyendo continuas mejoras.
• Proveer estados de seguridad que guíen las revisiones del SGSI, facilitando mejoras a la seguridad y nuevas entradas paraauditar.
• Comunicar valores de seguridad a la organización.
• Servir como entradas al plan de análisis y tratamiento de riesgos.
2. El modelo y método para las mediciones de seguridad:
Se debe desarrollar un programa de cómo ejecutar la medición de la seguridad de la información. El éxito de este programa, se basará en la asistencia o ayuda que estas mediciones aporten para adoptar decisiones, odeterminar la eficiencia de los controles de seguridad. Por lo tanto este programa de mediciones debe estar basado en un "Modelo" de mediciones de seguridad de la información.
Este Modelo es una estructura que enlaza los atributos medibles con una entidad relevante. Estas entidades, incluyen procesos, productos, proyectos y recursos. Es decir, este modelo debe describir cómo estos atributos soncuantificados y convertidos a indicadores que provean bases para la toma de decisiones, sustentados en necesidades de información específica.
El primer paso para el desarrollo de este modelo, es definir los atributos que se consideran más relevantes para medir la información que se necesita. Un mismo atributo puede ser incorporado en múltiples mediciones, soportando diferentes necesidades deinformación.
Para definir cómo los atributos deben ser medidos, esta norma propone también un Método. Existen dos tipos de métodos para cuantificar los atributos:
• Subjetivos: Implica el criterio humano.
• Objetivos: Se basan en una regla numérica, que puede ser aplicada por personas o recursos automatizados.
Los métodos de medición pueden abarcar varios tipos de actividades y un mismo método puede aplicara múltiples atributos. Algunos ejemplos de métodos son:
• Encuestas/indagaciones.
• Observación.
• Cuestionarios.
• Valoración de conocimientos.
• Inspecciones.
• Re-ejecuciones.
• Consulta a sistemas.
• Monitorización ("Testing")
• Muestreo.
Un tema a considerar es la asociación de mediciones con determinadas escalas, de las cuales se proponen los siguiente tipos:
• Nominal: Los...
Leer documento completo
Regístrate para leer el documento completo.