Cap.12 Métricas de Seguridad de la InformaciónVersion en ligne Administración de Tecnologías de la información par Gustavo Moreno Coatzozon 1 Su propósito es recoger, analizar y comunicar datos relacionados con los procesos de la seguridad de la información que supone un ámbito de actuaciones diferentes al de las infraestructuras, aplicativas y sistemas o procesos que la soportan. a Métrica de análisis de riesgo b Medidas de gestión de la seguridad c Proceso de métricas de gestión d proceso de medición 2 La planificación, implantación y mejora de las métricas de gestión de la seguridad nos permitirán: 1)Analizar y comprender el estado de seguridad. 2)Controlar la eficiencia y eficacia de los controles 3)Predecir el tiempo y el costo de un proyecto 4)Mejorar la gestión de la seguridad de la información a solo la 1 y 3 b solo la 2 y 4 c solo la 2 y 3 d todas e solo la 4 y 1 3 COBIT considera este indicador como de “lapso” y lo define como la medida de lo que se ha de cumplirse, la distancia entre lo que se ha realizado y el objetivo a cumplir a KEY GOAL INDICATOR b KEY PERFORMACE INDICATORS c MATURITY MODELS 4 COBIT considera estos indicadores una indicación o una medida de “como de bien” se están comportando los procesos a KEY GOAL INDICATOR b KEY PERFORMACE INDICATORS c MATURITY MODELS 5 proceso de obtención de información sobre la eficacia del SGSI, sus objetivos de control y controles, usando un método y función de medida, un modelo analítico y un criterio de decisión a Benclumarking b Measurement c key objectives Indicatos 6 se refiere a la aplicación de un sistema de procesos dentro de una organización, junto con la identificación y la interacción de estos procesos, así como su gestión, adoptando el modelo (PDAC) que se aplica para estructurar todos los procesos del SGSI a medición implícita b proceso de gestión c enfoque de proceso 7 Los objetivos del proceso de medida son: Escoge una o varias respuestas a La política de seguridad se la información de la organización b Comunicar el valor de la seguridad a la organización c Evaluar la eficacia de la implantación de los controles de seguridad d Informes de incidentes, en particular aquellos tienen como resultado un impacto e Evaluar la eficacia del sistema de gestión de seguridad de la información incluyendo la mejora continua 8 ayudan a la identificación de lagunas en la implantación y la gestión y la gestión de la política, controles individuales, objetivos de control y proceso de ISMS en la organización. a medidas de implantación b medidas de rendimiento c medidas de cumplimiento 9 El proceso para desarrollar una medida debe de: a Identificar los controles y objetivos b planificarse y documentarse c analizarse, desatollarse e implementarse 10 se generan al interpretar las medidas derivadas a la luz de los criterios de decisión o las necesidades de información de la organización. a Puntos de medición b Indicadores de gestión c Los objetivos de medición