Iso-Iec 27004-2012 NTP

NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
2012
Comisin de Normalizacin y de Fiscalizacin de Barreras Comerciales No Arancelarias-INDECOPI

Calle de La Prosa 104, San Borja (Lima 41) Apartado 145
Lima, Per
TECNOLOGA DE LA INFORMACIN. Tcnicas de

seguridad. Gestin de la seguridad de la informacin.
Medicin
INFORMATION TECHNOLOGY. Security techniques. Information security management. Measurement
(EQV. ISO/IEC 27004:2009 Information technology -- Security techniques -- Information security
management -- Measurement)
2012-09-19
1 Edicin
R.0084-2012/CNB-INDECOPI. Publicada el 2012-10-12

Precio basado en 72 pginas
I.C.S.: 35.040
ESTA NORMA ES RECOMENDABLE
Descriptores: Tecnologa, informacin, tcnica, seguridad, gestin, medicin
PROHIBIDA LA REPRODUCCIN TOTAL O PARCIAL
NDICE
pgina
NDICE
PREFACIO
ii
0.
INTRODUCCIN
iv
1.
OBJETO
2.
REFERENCIAS NORMATIVAS
3.
TRMINOS Y DEFINICIONES
4.
ESTRUCTURA DE ESTA NORMA TCNICA PERUANA
5.
VISIN GENERAL SOBRE LA MEDICIN DE LA

SEGURIDAD DE LA INFORMACIN
6.
RESPONSABILIDADES DE LA DIRECCIN
18
7.
DESARROLLO DE MEDIDAS Y MEDICIONES
20
8.
OPERACIN DE MEDICIN
31
9.
ANLISIS DE DATOS Y REPORTE DE LOS RESULTADOS

DE LA MEDICIN
33
10.
EVALUACIN Y MEJORA DEL PROGRAMA DE

MEDICIN DE SEGURIDAD DE LA INFORMACIN
36
ANEXO A (Informativo) PLANTILLA PARA UN

CONSTRUCTOR DE MEDICION DE SEGURIDAD DE
LA INFORMACION
41
ANEXO B (Informativo) EJEMPLOS DE CONSTRUCTORES

DE MEDICION
43
PREFACIO
A.
RESEA HISTRICA
A.1
La presente Norma Tcnica Peruana ha sido elaborada por el Comit
Tcnico de Normalizacin de Codificacin e intercambio electrnico de datos, mediante
el Sistema 1 o de Adopcin, durante los meses de junio a julio de 2012, utilizando como
antecedente a la norma ISO/IEC 27004:2009 Information technology -- Security
techniques -- Information security management -- Measurement).
A.2
El Comit Tcnico de Normalizacin de Codificacin e intercambio
electrnico de datos present a la Comisin de Normalizacin y de Fiscalizacin de
Barreras Comerciales No Arancelarias CNB-, con fecha 2012-08-03, el PNTPISO/IEC 27004:2012, para su revisin y aprobacin, siendo sometido a la etapa de
discusin pblica el 2012-08-16. No habindose presentado observaciones fue
oficializada como Norma Tcnica Peruana NTP-ISO/IEC 27004:2012
TECNOLOGA DE LA INFORMACIN. Tcnicas de seguridad. Gestin de la
seguridad de la informacin. Medicin, 1 Edicin, el 12 de octubre de 2012.
A.3
Esta Norma Tcnica Peruana es una adopcin de la norma ISO/IEC
27004:2009. La presente Norma Tcnica Peruana presenta cambios editoriales referidos
principalmente a terminologa empleada propia del idioma espaol y ha sido
estructurada de acuerdo a las Guas Peruanas GP 001:1995 y GP 002:1995.
B.
INSTITUCIONES QUE PARTICIPARON EN LA ELABORACIN
DE LA NORMA TECNICA PERUANA
Secretara
GS1 PERU
Presidente
Roberto Puy
Secretaria
Mary Wong
ii
ENTIDAD
REPRESENTANTE
ASSENDA S.A.C.
Milagros Montenegro
Daniella Orellana
B2IMPROVE S.A.C.
Beln Alvarado
CONSEJO NACIONAL DE LA MAGISTRATURA
Ricardo Dioses
CONSULTOR
Carlos Horna
DELOITTE & TOUCHE S.R.L.
Christiam Garratt
Diana Lagos
DISTRIBUIDORA MAYORISTA SYMBOL S.A.
Adela Barcenas
Walter Equizabel
FOLIUM S.A.C.
Roberto Huby
INDECOPI
Judith Blanco
Martha Arce
INTERNATIONAL ANALYTICAL SERVICE S.A.C.
Ral Miranda
OFICINA DE NORMALIZACION PREVISIONAL
Roberto Puy
PONT. UNIV. CATOLICA DEL PERU
Viktor Khlebnikov
Willy Carrera
PRESIDENCIA DEL CONSEJO

DE MINISTROS
Max Lzaro
Cesar Vilchez
SUPERINTENDENCIA DE ADMINISTRACION
TRIBUTARIA SUNAT
Daniel Llanos
Janet Snchez
TECNOLOGA FLEXOGRAFICA S.A.
Luis Chvez
Ral Adriazola
TCI S.A.
Renzo Alcntara
WEB TECHNOLOGY
Ana Otoya
GS1 PERU
Tatiana Pea
iii
INTRODUCCIN
(ISO)
0.1
General
Esta Norma Tcnica Peruana provee guas para el desarrollo y uso de medidas y
mediciones, con el objetivo de evaluar la efectividad de un sistema de gestin de
seguridad de la informacin (SGSI) implantado y los controles o grupo de controles
como se especifica en ISO/IEC 27001.
Esto incluira polticas, gestin del riesgo de seguridad de la informacin, objetivos de

control, controles, procesos y procedimientos y apoyo al proceso de revisin, ayudando
a determinar si alguno de los procesos o controles del SGSI debe ser cambiado o
mejorado. Es necesario tener en cuenta que ninguna medida de control puede garantizar
una seguridad completa.
La aplicacin de este enfoque constituye un Programa de Medicin de Seguridad de la

Informacin. El Programa de Medicin de Seguridad de la Informacin ayudar a la
direccin a identificar y evaluar no conformidades as como controles y procesos
ineficaces del SGSI pudiendo dar prioridad a las acciones relacionadas con la mejora o
cambio de estos procesos o controles. Tambin puede ayudar a la organizacin a
demostrar conformidad con ISO/IEC 27001 y proporcionar evidencia adicional para la
revisin por la direccin y los procesos de gestin del riesgo de seguridad de la
informacin.
Esta Norma Tcnica Peruana asume que el punto de partida para el desarrollo de
mtricas y mediciones est en una buena comprensin de los riesgos de seguridad de la
informacin a los que una organizacin se enfrenta y que las actividades de evaluacin
del riesgo de una organizacin se han realizado correctamente (es decir, basadas en
ISO/IEC 27005), como exige la norma ISO/IEC 27001. El Programa de Medicin de
Seguridad de la Informacin fomentar que una organizacin proporcione informacin
fiable a las partes interesadas sobre sus riesgos de seguridad de la informacin y la
situacin del SGSI implantado para la gestin de estos riesgos.
La aplicacin efectiva de un Programa de Medicin de Seguridad de la Informacin

aumentar la confianza de las partes interesadas en los resultados de la medicin, y
permitir a estas partes interesadas usar estas medidas para llevar a cabo la mejora
continua de la seguridad de la informacin y del SGSI.
iv
Los resultados de la medicin acumulada permitirn la comparacin del progreso en el

logro de los objetivos de seguridad de la informacin durante un perodo de tiempo,
como parte de un proceso de mejora continua del SGSI de una organizacin.
0.2
Visin general de la gestin
ISO/IEC 27001 requiere a la organizacin "realizar revisiones peridicas de la

efectividad del SGSI teniendo en cuenta los resultados de la medicin de la eficacia" y
"medir la eficacia de los controles para verificar que los requisitos de seguridad se han
cumplido". ISO/IEC 27001 tambin requiere a la organizacin "definir cmo medir la
eficacia de los controles seleccionados o grupos de controles y especificar cmo estas
medidas se van a utilizar para evaluar la eficacia del control para obtener resultados
comparables y reproducibles".
El enfoque adoptado por una organizacin para cumplir los requisitos de medicin
especificados en ISO/IEC 27001 variar en funcin de una serie de factores
significativos, incluidos los riesgos de seguridad de la informacin a los que la
organizacin se enfrenta, su tamao, los recursos disponibles y los requisitos legales,
reglamentarios y contractuales aplicables. La seleccin cuidadosa y la justificacin del
mtodo utilizado para cumplir los requisitos de medicin son importantes para
garantizar que no son dedicados recursos excesivos a esta actividad del SGSI en
detrimento de otros. De manera ideal, las actividades de medicin continua se integran
en las operaciones regulares de la organizacin con requisitos de recursos adicionales
mnimos.
Esta Norma Tcnica Peruana se recomienda para una organizacin que implemente las
siguientes actividades como base para cumplir con los requisitos de medicin
especificados en ISO/IEC 27001:
a)
El desarrollo de medidas (es decir, medidas base, medidas derivados e
indicadores);
b)
Implementacin y operacin de un Programa de Medicin de Seguridad
de la Informacin
c)
Recopilacin y anlisis de datos;
d)
El desarrollo de los resultados de medicin;
e)
Comunicacin de los resultados de las mediciones desarrolladas a las
partes interesadas pertinentes;
v
f)
Uso de resultados de la medicin como factores que contribuyen a las
decisiones relacionadas con el SGSI;
g)
Uso de resultados de la medicin para identificar necesidades de mejorar
al SGSI implementado, incluyendo su alcance, polticas, objetivos, controles,
procesos y procedimientos; y
h)
Facilitar la mejora continua del Programa de Medicin de Seguridad de
la Informacin.
Uno de los factores que influirn en la capacidad de la organizacin para lograr una
medicin es su tamao. En general, el tamao y la complejidad del negocio en
combinacin con la importancia de la seguridad de la informacin afecta a la extensin
de la medicin necesaria, tanto en trminos del nmero de medidas seleccionadas como
en la frecuencia de recoleccin y anlisis de datos.
Un nico Programa de Medicin de Seguridad de la Informacin puede ser suficiente

para las organizaciones pequeas, mientras que para las grandes empresas puede existir
la necesidad de mltiples Programas de Medicin de Seguridad de la Informacin.
La orientacin proporcionada por esta Norma Tcnica Peruana se traducir en la

produccin de la documentacin que contribuya a demostrar que la eficacia del control
est siendo medida y evaluada.
---oooOooo---
vi
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
1 de 72
TECNOLOGA DE LA INFORMACIN. Tcnicas de

seguridad. Gestin de la seguridad de la informacin.
Medicin
1.
OBJETO
Esta Norma Tcnica Peruana provee guas para el desarrollo y uso de medidas y
mediciones, con el objetivo de evaluar la efectividad de un sistema de gestin de seguridad
de la informacin (SGSI) implantado y los controles o grupo de controles tal como se
especifica en ISO/IEC 27001.
Esta Norma Tcnica Peruana es aplicable a todo tipo y tamao de organizacin

NOTA: El usuario de este documento, debe interpretar correctamente cada una de las formas verbales
de la expresin de las disposiciones (por ejemplo, "debe", "no debe", "debera", "no debera", "puede",
"no es necesario" y "no puede") segn sean requisitos que debe cumplir o recomendaciones cuando
existe una cierta libertad de eleccin. Para una mayor aclaracin debera ser consultado el Anexo A de
ISO/IEC 27000.
2.
REFERENCIAS NORMATIVAS
Los siguientes documentos referenciados son indispensables para la aplicacin de esta

Norma Tcnica Peruana.
Para las referencias fechadas, slo se aplica la edicin citada. Para las referencias no
fechadas, se aplica la ltima edicin del documento referenciado (incluida cualquier
correccin).
ISO/IEC 27000:2009
Tecnologa de la Informacin. Tcnicas de seguridad.

Sistema de gestin de seguridad de la informacin. Visin
general y vocabulario
NORMA TCNICA
PERUANA
ISO/IEC 27001:2005(*)
3.
NTP-ISO/IEC 27004
2 de 72
Tecnologa de la Informacin. Tcnicas de seguridad.

Sistema de gestin de seguridad de la informacin.
Requisitos
TRMINOS Y DEFINICIONES
Para los efectos de esta Norma Tcnica Peruana, se aplican los trminos y las definiciones
de la ISO/IEC 27000 y los siguientes.
3.1
modelo analtico
Algoritmo o clculo combinando una o ms medidas base o derivadas con los criterios de
decisin correspondiente
[ISO/IEC 15939:2007]
3.2
atributo
Propiedad o caracterstica de un objeto que se puede distinguir cuantitativa o

cualitativamente por medios humanos o automatizados
[ISO/IEC 15939:2007]
3.3
medida base
Medida definida en trminos de un atributo y el mtodo para su cuantificacin

[ISO/IEC 15939:2007]
NOTA: Una medida base es funcionalmente independiente de otras medidas.
(*)
La NTP-ISO/IEC 27001 es equivalente a la ISO/IEC 27001
NORMA TCNICA
PERUANA
3.4
NTP-ISO/IEC 27004
3 de 72
datos
Coleccin de valores asignados a las medidas base, medidas derivadas o indicadores

[ISO/IEC 15939:2007]
3.5
criterios de decisin
Umbrales, objetivos o patrones utilizados para determinar la necesidad de una accin o

investigacin futura, o para describir el nivel de confianza en un resultado determinado
[ISO/IEC 15939:2007]
3.6
medida derivada
Medida que se define como una funcin de dos o ms valores de las medidas base
[ISO/IEC 15939:2007]
3.7
indicador
Medida que provee una estimacin o evaluacin de atributos especficos derivados de un

modelo analtico con respecto a la necesidad definida de informacin.
3.8
necesidad de informacin
Conocimiento necesario para gestionar los objetivos, metas, riesgos y problemas

[ISO/IEC 15939:2007]
3.9
medida
Variable a la que se asigna un valor como resultado de la medicin [ISO/IEC 15939:2007]

NOTA: El trmino "medida" se utiliza para referirse colectivamente a las medidas base, medidas
derivadas e indicadores.
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
4 de 72
EJEMPLO: Una comparacin de una tasa de defectos medida con una tasa de defectos
prevista junto con una evaluacin de si la diferencia no indica un problema.
3.10
medicin
Proceso de obtencin de informacin acerca de la eficacia del SGSI y los controles

utilizando un mtodo de medicin, una funcin de medicin, un modelo de anlisis y
criterios de decisin
3.11
funcin de medicin
Algoritmo o clculo realizado para combinar dos o ms medidas base

[ISO/IEC 15939:2007]
3.12
mtodo de medicin
Una secuencia lgica de las operaciones, descritas de forma genrica, utilizadas en la

cuantificacin de un atributo con respecto a una escala especfica
[ISO/IEC 15939:2007]
NOTA: El tipo de mtodo de medicin depende de la naturaleza de las operaciones utilizadas para
cuantificar un atributo. Se pueden distinguir dos tipos:
-
3.13
subjetivo: cuantificacin mediante opinin humana;

objetivo: cuantificacin sobre la base de reglas numricas.
resultados de la medicin
Uno o ms indicadores y sus interpretaciones asociadas que conducen a la necesidad de

informacin
3.14
objeto
Un elemento caracterizado a travs de la medicin de sus atributos
NORMA TCNICA
PERUANA
3.15
NTP-ISO/IEC 27004
5 de 72
escala
Conjunto ordenado de valores, continuos o discretos, o un conjunto de categoras a las que

se asigna el atributo
[ISO/IEC 15939:2007]
NOTA: El tipo de escala depende de la naturaleza de la relacin entre los valores de la escala.
Comnmente se definen cuatro tipos de escala:

-
nominal: los valores de medicin son categricos;
ordinal: los valores de medicin se ponderan;
intervalo: los valores de medicin tienen la misma distancia que

corresponden a cantidades iguales de los atributos;
relacin: los valores de medicin tienen la misma distancia que
corresponden a cantidades iguales de los atributos, donde el valor de cero
corresponde a ninguno de los atributos.
Estos son slo ejemplos de los tipos de escala.
3.16
unidad de medida
Cantidad concreta, definida y aprobada por convencin, con la cual otras cantidades de la
misma naturaleza se comparan con el fin de expresar su magnitud relativa a la cantidad
[ISO/IEC 15939:2007]
3.17
validacin
Confirmacin, mediante la aportacin de evidencia objetiva de que se han cumplido los

requisitos para una utilizacin o aplicacin especfica prevista
[ISO 9000:2005]
NORMA TCNICA
PERUANA
3.18
NTP-ISO/IEC 27004
6 de 72
verificacin
Confirmacin mediante la aportacin de evidencia objetiva de que se han cumplido los

requisitos especificados [ISO 9000:2005]
NOTA: Esto tambin podra ser llamado prueba de conformidad.
4.
ESTRUCTURA DE ESTA NORMA TCNICA PERUANA
Esta Norma Tcnica Peruana proporciona una explicacin de las medidas y las actividades
de medicin necesarias para evaluar la eficacia de los requisitos del SGSI para la gestin
de los controles de seguridad adecuados y proporcionales tal como es requerido en
ISO/IEC 27001 el apartado 4.2.
Esta Norma Tcnica Peruana est estructurada de la siguiente forma:
Visin general sobre el Programa de Medicin de Seguridad de la
Informacin y el Modelo de Medicin de Seguridad de la Informacin (Captulo 5);
Las responsabilidades de la direccin en las mediciones de seguridad de la
informacin
(Captulo 6) y
Constructores de medicin y los procesos (es decir, planificacin y
desarrollo, implementacin y operacin y mejora de las mediciones: comunicando
los resultados de la medicin) que se implementarn en el Programa de Medicin de
Seguridad de la Informacin (Captulos 7-10).
Adems, el anexo A proporciona un ejemplo de modelo para el constructor de medicin
que contiene los elementos del Modelo de Medicin de Seguridad de la Informacin (vase
captulo 7).
El Anexo B proporciona ejemplos de constructores de medicin para controles o procesos
especficos de un SGSI, utilizando el modelo que figura en el Anexo A.
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
7 de 72
Estos ejemplos intentan brindar ayuda a una organizacin sobre cmo implementar la
Medicin de la Seguridad de la Informacin y cmo registrar las actividades de medicin y
los resultados de las mismas.
5.
VISIN GENERAL SOBRE LA MEDICIN DE LA SEGURIDAD
DE LA INFORMACIN
5.1
Objetivos de medicin de la seguridad de la informacin
Los objetivos de medicin de la seguridad de la informacin en el contexto de un SGSI

incluyen:
a)
evaluar la eficacia de los controles o grupos de controles implementados
(vase el apartado "4.2.2 d)" en la figura 1);
b)
evaluar la eficacia del SGSI implementado (vase el apartado"4.2.3 b)" en la
figura 1);
c)
verificar el grado en que los requisitos de seguridad identificados se han
cumplido (vase el apartado"4.2.3 c)" en la figura 1);
d)
facilitar la mejora del desempeo de la seguridad de la informacin en
trminos de riesgos de negocios generales de la organizacin;
e)
proporcionar entradas para la revisin por la direccin para facilitar la toma
de decisiones relacionada con el SGSI y justificar mejoras necesarias al SGSI
implementado.
La Figura 1 ilustra la relacin cclica de entradas y salidas de las actividades de medicin
en relacin con el ciclo Planificar-Hacer-Verificar-Actuar (PHVA), especificado en
ISO/IEC 27001. Los nmeros en cada figura representan los apartados pertinentes de
ISO/IEC 27001.
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
8 de 72
Planificar
Actuar
4.2.1 g) Seleccionar los objetivos

de control y los controles para el
tratamiento de los riesgos.
Los objetivos de control y los
controles se deben seleccionar e
implementar de manera que
cumplan los requisitos
identificados en el proceso de
evaluacin y tratamiento de
riesgos.
Hacer
4.2.1 e) 2) Evaluar la posibilidad realista

de que ocurra una falla en la seguridad,
considerando las amenazas, las
vulnerabilidades, los impactos asociados
con estos activos, y los controles
implementados actualmente.
Verificar
4.2.2 c) Implementar los

controles seleccionados para
cumplir los objetivos de control.
4.2.2 d) Definir cmo medir la

eficacia de los controles o grupos
de controles seleccionados
4.2.3 c) Medir la eficacia de los

controles para verificar que se
han cumplido los requisitos de
seguridad.
4.2.3 b) Emprender revisiones

regulares de la eficacia del SGSI
4.2.3 d) Revisar las evaluaciones de
los riesgos a intervalos planificados, y
revisar el nivel de riesgo residual y
riesgo aceptable identificado, teniendo
en cuenta los cambios en la eficacia de
los controles implementados
7.2 a), f) Las entradas para la revisin

por la direccin deben incluir:
resultados de las mediciones de
eficacia y revisiones del SGSI
4.2.4 a) Implementar las mejoras

identificadas en el SGSI
Los resultados de la revisin por la

direccin deben incluir cualquier
decisin y accin relacionada con:
7.3 b) La actualizacin de la
evaluacin de riesgos y del plan de
tratamiento de riesgos.
7.3 e) La mejora a la manera en que se
mide la eficacia de los controles.
4.2.3 f) Emprender una revisin del

SGSI, realizada por la direccin, en
forma regular para asegurar que el
alcance siga siendo suficiente y que se
identifiquen mejoras al proceso de
SGSI
FIGURA 1 - Entradas y salidas de la medicin en el ciclo PHVA de un SGSI para la

gestin de la seguridad de la informacin
La organizacin debera establecer los objetivos de medicin basado en una serie de
consideraciones, entre ellas:
a)
El rol de la seguridad de la informacin en apoyo a las actividades del
negocio generales de la organizacin y los riesgos que enfrenta;
b)
Requisitos legales, reglamentarios, y contractuales aplicables.
c)
Estructura organizacional;
d)
Costos y beneficios de la implementacin de medidas de seguridad de la
informacin;
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
9 de 72
e)
Los criterios de aceptacin del riesgo para la organizacin y
f)
La necesidad de comparar varios SGSI dentro de la misma organizacin.
5.2
Programa de Medicin de Seguridad de la Informacin
Una organizacin debera establecer y gestionar un Programa de Medicin de Seguridad de

la Informacin a fin de lograr los objetivos de medicin establecidos y adoptar el modelo
PHVA dentro de las actividades de medicin global de la organizacin. Una organizacin
tambin debera desarrollar e implementar constructores de mediciones con el fin de
obtener resultados de medicin repetibles, objetivos y tiles basados en el Modelo de
Medicin de Seguridad de la Informacin (vase el apartado 5.4).
El Programa de Medicin de Seguridad de la Informacin y los constructores de
mediciones desarrolladas deberan asegurar que una organizacin alcanza eficazmente
mediciones objetivas y reproducibles y proporciona resultados de medicin a las partes
interesadas (stakeholders) para determinar las necesidades de mejora al SGSI
implementado, incluyendo su alcance, polticas, objetivos, controles, procesos y
procedimientos.
Un Programa de Medicin de Seguridad de la Informacin debera incluir los siguientes
procesos:
a)
Desarrollo de medidas y mediciones (vase Captulo 7) ;
b)
Operacin de la medicin (vase Captulo 8);
c)
9) y
Anlisis de datos e informe de los resultados de la medicin (vase Captulo
d)
Evaluacin y mejora del Programa de Medicin de la Seguridad de la
Informacin (vase Captulo 10).
La estructura de organizacin y funcionamiento de un Programa de Medicin de Seguridad
de la Informacin debera determinarse teniendo en cuenta la escala y complejidad del
SGSI del que forma parte. En todos los casos, los roles y responsabilidades sobre el
Programa de Medicin de Seguridad de la Informacin deberan ser expresamente
asignados al personal competente (vase el apartado 7.5.8).
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
10 de 72
Las medidas seleccionadas e implementadas por el Programa de Medicin de Seguridad de

la Informacin deberan estar directamente relacionadas con la operacin de un SGSI, otras
medidas, as como los procesos de negocio de la organizacin. La medicin puede ser
integrada en las actividades operacionales habituales o realizadas a intervalos regulares
determinados por la gestin del SGSI.
5.3
Factores de xito
Los siguientes son algunos factores que contribuyen al xito del Programa de Medicin de
Seguridad de la Informacin como facilitador de la mejora continua del SGSI:
a)
Compromiso de la direccin apoyado por los recursos adecuados;
b)
Existencia de procesos y procedimientos del SGSI;
c)
Un proceso repetible capaz de capturar e informar datos significativos para
proporcionar tendencias pertinentes durante un perodo de tiempo;
d)
medidas cuantificables basadas en los objetivos del SGSI;
e)
Datos que puedan ser obtenidos fcilmente los cuales puedan ser utilizados
para la medicin;
f)
Evaluacin de la eficacia del Programa de Medicin de Seguridad de la
Informacin y la implementacin de las mejoras identificadas;
g)
Recoleccin peridica y consistente, anlisis e informe de los datos de
medicin de una manera til;
h)
El uso de los resultados de medicin por las partes interesadas
(stakeholders) para determinar las necesidades para la mejora del SGSI
procedimientos;
i)
Aceptacin de la retroalimentacin de las partes interesadas (stakeholders)
pertinentes, acerca de los resultados de la medicin y
j)
Evaluaciones de la utilidad de los resultados de la medicin e
implementacin de las mejoras identificadas.
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
11 de 72
Una vez implementado con xito, un Programa de Medicin de Seguridad de la

Informacin puede:
1)
Demostrar el cumplimiento de una organizacin con los requisitos legales o
reglamentarios y las obligaciones contractuales;
2)
Apoyo a la identificacin de aspectos de seguridad no detectados
previamente o desconocidos;
3)
Ayudar a satisfacer las necesidades de informacin de gestin al declarar las
medidas de actividades histricas y actuales y
4)
Ser utilizado como insumo en el proceso de gestin de riesgos de seguridad
de la informacin, auditoras internas del SGSI y revisiones por la direccin.
5.4
Modelo de medicin de seguridad de la informacin

NOTA: Los conceptos de modelo de medicin de seguridad de la informacin y los constructores de
medicin adoptados en esta Norma Tcnica Peruana estn basados en los de la norma ISO/IEC 15939.
El trmino "producto de informacin", utilizada en ISO/IEC 15939 es sinnimo de "resultados de la
medicin" en esta Norma Tcnica Peruana y el "proceso de medicin", utilizada en ISO/IEC 15939 es
un sinnimo de "Programa de Medicin" en esta Norma Tcnica Peruana.
5.4.1
Visin General
El modelo de medicin de seguridad de la informacin es una estructura que une una

necesidad de informacin con los objetos pertinentes de medicin y sus atributos. Objetos
de medicin pueden incluir procesos, procedimientos, proyectos y recursos, planificados o
implementados.
El modelo de medicin de seguridad de la informacin describe cmo los atributos

pertinentes son cuantificados y convertidos a indicadores que proporcionan una base para
la toma de decisiones.
La Figura 2 muestra el modelo de medicin de seguridad de la informacin.
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
12 de 72
Necesidad de informacin
Procesos de Gestin de
Seguridad de la Informacin
Resultados de medicin
Eficacia
Objetivos de control
Criterio de decisin
Controles
Procesos,
Procedimientos de
implementacin
Indicador
Modelo
analtico
Medida derivada
Objeto de medicin
Atributo
Mtodo de
Medicin
Funcin de
medicin
Atributo
Medida base
Atributo
Medicin
FIGURA 2 - Modelo de medicin de seguridad de la informacin

Los siguientes apartados introducen elementos individuales del modelo. Tambin se
proporcionan ejemplos de cmo se utilizan estos elementos individuales.
Las necesidades de informacin o el propsito de medicin utilizados en los ejemplos

incluidos en las tablas 1 a 4 de los siguientes apartados es evaluar el estado de
concientizacin del cumplimiento de la poltica de seguridad de la organizacin entre el
personal correspondiente (Objetivo de control A.8.2 y controles A.8.2.1 y A.8.2.2. de
ISO/IEC 27001:2005)
5.4.2
Medida base y mtodo de medicin
Una medida base es la medida ms simple que puede obtenerse. Una medida base resulta
de aplicar un mtodo de medicin a los atributos seleccionados de un objeto de medicin.
Un objeto de medicin puede tener muchos atributos, de los cuales slo algunos pueden
proporcionar valores tiles a ser asignados a una medida base. Un atributo dado puede
usarse para diferentes medidas base.
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
13 de 72
Un mtodo de medicin es una secuencia lgica de operaciones usadas para cuantificar un

atributo con respecto a una escala especfica. La operacin puede involucrar actividades
tales como conteo de ocurrencias u observar el paso del tiempo.
Un mtodo de medicin puede aplicar atributos a un objeto de medicin. Ejemplos de un

objeto de medicin incluyen, pero no est limitado a:
Desempeo de los controles implementados en el SGSI;
Estado de los activos de informacin protegidos por los controles;
Desempeo de procesos implementados en el SGSI;
Comportamiento del personal responsable del SGSI implementado;
Actividades de las unidades organizacionales responsables de la seguridad

de la informacin y
-
Grado de satisfaccin de las partes interesadas
Un mtodo de medicin puede utilizar objetos de medicin y atributos provenientes de una

variedad de fuentes, tales como:
Resultados de anlisis y valoracin de riesgo;
Cuestionarios y entrevistas personales;
Reportes de auditora interna y/o externa;
Registro de eventos tales como logs, estadsticas, y pistas de auditora;
Reportes de incidentes, en particular aquellos que resultan en la ocurrencia

de un impacto;
Resultados de pruebas, como por ejemplo test de penetracin, ingeniera
social, herramientas de cumplimiento, y herramientas de auditora de seguridad;
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
14 de 72
Registros provenientes de procedimientos y programas relacionados con la

seguridad de la informacin de la organizacin, como por ejemplo: resultados de
entrenamientos en concientizacin en seguridad de la informacin.
Las tablas 1-4 de abajo presentan la aplicacin del modelo de seguridad de la informacin
para los siguientes controles:
Control 1 se refiere al control A.8.2.2 Concientizacin, educacin y

formacin en seguridad de la informacin de la norma ISO/IEC 27001/2005
(Todos los empleados de la organizacin, y en donde sea pertinente, los contratistas
y usuarios de terceras partes, deben recibir formacin adecuada en concientizacin y
actualizaciones regulares en polticas y procedimientos organizacionales, relevantes
para su funcin laboral.); que se implementa como sigue: Todo el personal
relevante para el SGSI debe recibir formacin en concientizacin en seguridad de la
informacin antes de que se le otorgue acceso a un sistema de informacin.
Control 2 se refiere al control A.8.2.1 Responsabilidades de la direccin
de la norma ISO/IEC 27001/2005 (La direccin debe exigir a los empleados,
contratistas y usuarios de terceras partes aplicar la seguridad de acuerdo con las
polticas y procedimientos establecidos por la organizacin.); que se implementa
como sigue: Todo el personal relevante para el SGSI debe firmar acuerdos de
usuario antes de que se le otorgue acceso a un sistema de informacin;
El constructor de medicin correspondiente est contenida en B.1 en el Anexo B.

NOTA: Las tablas 1-4 consisten en varias columnas (Tabla 1, cuatro columnas; Tabla 2-4, tres
columnas) las cuales se designan con una letra. A cada caja dentro de una columna individual se le
asigna un nmero que lo designa. Las combinaciones de las designaciones con letra y nmero se
utilizan en las subsiguientes cajas para referirse a las cajas previas. Las flechas designan los flujos de
datos entre elementos individuales del modelo de medicin de seguridad de la informacin dentro del
ejemplo especfico.
La tabla 1 incluye un ejemplo de las relaciones entre objetos de medicin, atributos,

mtodo de medicin y medida bsica para medir los objetos establecidos para los controles
implementados descritos arriba.
NORMA TCNICA
PERUANA
Objeto de medicin
(O)
Control 1:
NTP-ISO/IEC 27004
15 de 72
Atributo (A)
Mtodo de medicin
(M)
M.1 Contar el
personal
programado para
firmar (A.2.1) y
que debiera haber
completado
la
formacin a la
fecha (A.1.1)
Medida base (B)
O.1.1 Plan de
concientizacin en
seguridad de la
informacin
A.1.1
Personal
identificado en el
plan (O.1.1)
O.1.2
Personal
cuya formacin se
ha completado o
est en curso
A.1.2 Estado del

personal
con
respecto
a
la
formacin (O.1.2)
M.2
Pedir al
responsable
el
porcentaje
del
personal que ha
completado
la
formacin (A.1.2)
y ha firmado
(A.2.2)
B.2 Personal que

ha
firmado,
porcentaje
completado
(A.1.2, A.2.2)
O.2.1 Plan para la

firma de acuerdos
de usuario
A.2.1
Personal
identificado en el
plan que debe
firmar acuerdos de
usuario (O.2.1)
M.3 Contar el
personal
programado para
firmar a esta fecha
(A.2.1)
B.3
Personal
planeado
para
firmar a la fecha
(A.2.1)
O.2.2
Personal
que
tiene
acuerdos firmados
A.2.2 Estado del

personal
con
respecto a la firma
de los acuerdos
(O.2.2)
M.4 Contar el
personal que ha
firmado a esta
fecha (A.2.2)
B.4 Personal que

ha firmado a la
fecha (A.2.2)
Control 2:
B.1
Personal
planificado hasta
la fecha (A.2.1,
A.1.1)
TABLA 1 - Ejemplo de medida base y mtodo de medicin
5.4.3
Medida derivada y funcin de medicin
Una medida derivada es una agregacin de dos o ms medidas base. Una medida base dada
puede servir como entrada para varias medidas derivadas.
Una funcin de medicin es un clculo utilizado para combinar medidas base para crear
una medida derivara.
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
16 de 72
La escala y unidad de la medida derivada depende de las escalas y unidades de las medidas
base de las cuales est compuesta y tambin de cmo se combinan por la funcin de
medicin.
La funcin de medicin puede involucrar una variedad de tcnicas tales como promediar
medidas base, aplicar pesos a medidas base, o asignar valores cualitativos a medidas base.
La funcin de medicin puede combinar medidas base usando diferentes escalas, tales
como porcentajes y resultados de valoraciones cualitativas.
Un ejemplo de la relacin de los elementos adicionales de la aplicacin del modelo de
medicin de la seguridad de la informacin, es decir, medida base, funcin de medicin y
medida derivada, se presenta en la Tabla 2.
Medida base (B)
B.1 Personal
planificado hasta
la fecha (A.2.1
A.1.1)
B.2 Personal que ha

firmado, porcentaje
completado (A.1.2,
A.2.2)
B.3
Personal
planeado
para
firmar a la fecha
(A.2.1)
Funcin de medicin (F)
Medida derivada (D)
Va directamente al modelo analtico (ver Tabla 3)
F.1 Agregar estado

de todo el personal
que ha firmado,
planificado y por
completar a la fecha
(B.2)
F.2
Dividir
el
personal que ha
firmado a la fecha
(B.4)
por
el
personal
planificado a la
fecha (B.3)
D.1 Progreso a la
fecha (B.2)
D.2 Progreso a la
fecha de las firmas
(B.4, B.3)
B.4 Personal que ha

firmado a la fecha
(A.2.2)
TABLA 2- Ejemplo de medida derivada y funcin de medicin
NORMA TCNICA
PERUANA
5.4.4
NTP-ISO/IEC 27004
17 de 72
Indicadores y modelo analtico
Un indicador es una medida que provee una estimacin o evaluacin de atributos

especficos derivados de un modelo analtico con respecto a la necesidad definida de
informacin. Los indicadores se obtienen aplicando un modelo analtico a una medida base
o derivada y combinndolos con criterios de decisin. La escala y mtodo de medicin
afectan la eleccin de tcnicas analticas usadas para producir indicadores.
Un ejemplo de la relacin entre medidas derivadas, modelo analtico e indicadores para la

aplicacin del modelo de medicin de seguridad de la informacin se presenta en la Tabla
3.
Medida derivada (D)
Modelo analtico (AM)
Indicador (I)
De B.1 (vase Tabla2)
D.1 Progreso a la
fecha (B.2)
D.2 Progreso a la
fecha de las firmas
(B.4, B.3)
AM.1 [Dividir
progreso a la fecha
(D.1) por personal
planificado a la
fecha (B.1) 100
veces] y progreso a
la fecha con las
firmas (D.2)
AM.2 Comparar
estado I.1 con el
valor previo de I.1
I.1 Estado
expresado como
una combinacin
de ratios
(D.1/B.1*100, D.2)
I.2 Tendencia (I.1 y

los valores previos
de I.1)
TABLA 3- Ejemplo de indicador y modelo analtico

NOTA: si un indicador se representa en forma grfica, debera ser utilizable por usuarios impedidos
visualmente o cuando se usen copias monocromticas. Para hacerlo posible la descripcin del
indicador debe incluir colores, tonos, fuentes otros mtodos visuales
NORMA TCNICA
PERUANA
5.4.5
NTP-ISO/IEC 27004
18 de 72
Resultados de la medicin y criterios de decisin
Los resultados de la medicin se desarrollan con indicadores de interpretacin aplicables,

basados en criterios de decisin definidos y deberan ser considerados en el contexto del
conjunto de objetivos de medicin para evaluar la efectividad del SGSI. Los criterios de
decisin se utilizan para determinar la necesidad de accin o investigacin adicional, as
como describir el nivel de confianza de los resultados de la medicin. Los criterios de
decisin se pueden aplicar a una serie de indicadores, como por ejemplo para conducir
anlisis de tendencias basados en indicadores recibidos en diferentes puntos en el tiempo.
Los objetivos proveen especificaciones de desempeo detalladas, aplicables a la
organizacin o partes derivadas de los objetivos de seguridad de la informacin, tales como
los objetivos del SGSI y de control, y que necesitan ser establecidos y alcanzados para
lograr esos objetivos.
En la Tabla 4 se presenta un ejemplo de la relacin de los elementos finales de la
aplicacin del modelo de medicin de seguridad de la informacin.
Indicador (I)
I.1 Estado
expresado como
una combinacin
de ratios
(D.1/B.1*100, D2)
I.2 Tendencia (I.1 y

los valores previos
de I.1)
Criterio de Decisin (CD)

DC.1 ratios
resultantes (I.1
D.1/B.1, D.2) deben
estar
respectivamente
entre 0.9 y 1.1 y
entre 0.99 y 1.01
para concluir el
logro del objetivo
de control; de lo
contrario se
necesita una accin
de gestin
AM.2 Comparar
estado I.1 con el
valor previo de I.1
Resultados de medicin
Interpretacin para I.1: Se cumple
satisfactoriamente el criterio
organizacional sobre el cumplimiento
de la poltica de concientizacin en
seguridad de la organizacin si 0.9
D.1 / B.1 1.1 y 0.99 D.2 1.01
El criterio de la organizacin no se ha
alcanzado satisfactoriamente si
D.1/B.1<0.9 o el primer valor D.1/B.1
>1.1 y si 0.99 D.2 1.01
No se cumple con el criterio
organizacional si D.2<0.99 o D.2 >
1.01
Interpretacin para I.2: una
tendencia ascendente indica mejora
en el cumplimiento, una descendente
indica deterioro. El grado de cambio
en la tendencia puede proporcionar
elementos para entender la
efectividad del control
TABLA 4- Ejemplo de medicin de resultados y modelo analtico
NORMA TCNICA
PERUANA
6.
RESPONSABILIDADES DE LA DIRECCIN
6.1
Visin General
NTP-ISO/IEC 27004
19 de 72
La direccin es responsable de: establecer el Programa de Medicin de Seguridad de la

Informacin, involucrando las partes interesadas (stakeholders) pertinentes (vase 7.5.8) en
las actividades de medicin; aceptar los resultados de las mediciones como insumos para la
revisin por la direccin y utilizar los resultados de las mediciones en actividades de
mejora del SGSI.
Para lograr esto, la direccin debera:
a)
Establecer objetivos para el Programa de Medicin de Seguridad de la
Informacin;
b)
Establecer una poltica para el Programa de Medicin de Seguridad de la
Informacin;
c)
Establecer las funciones y responsabilidades para el Programa de Medicin
de Seguridad de la Informacin;
d)
Proporcionar los recursos adecuados para llevar a cabo la medicin, incluido
el personal, la financiacin, las herramientas y la infraestructura;
e)
Asegurar que se alcanzan los objetivos del Programa de Medicin de
Seguridad de la Informacin;
f)
Asegurar que las herramientas y equipos utilizados para recopilar los datos
son mantenidos adecuadamente;
g)
Establecer el propsito de la medicin para cada constructor de medicin;
h)
Asegurar que la medicin proporciona informacin suficiente a las partes
interesadas (stakeholders) con respecto a la eficacia del SGSI y las necesidades para
mejorar el SGSI implementado, incluyendo su alcance, polticas, objetivos,
controles, procesos y procedimientos, y
i)
Asegurar que la medicin proporciona informacin suficiente a las partes
interesadas (stakeholders) con respecto a la eficacia de los controles o grupo de
controles y las necesidades para la mejora de los controles implementados.
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
20 de 72
A travs de la asignacin adecuada de los roles y las responsabilidades de medicin, la

direccin debera garantizar que los resultados de la medicin no estn influenciados por
los propietarios de la informacin (vase 7.5.8). Esto puede lograrse a travs de la
segregacin de tareas o, si esto no es posible, a travs de la utilizacin de documentacin
detallada que permita controles independientes.
6.2
Gestin de recursos
La direccin debera asignar y proporcionar recursos para apoyar las actividades esenciales
de medicin, tales como recopilacin de datos, anlisis, almacenamiento, reporte y
distribucin. La asignacin de recursos debera incluir la asignacin de:
a)
Las personas con responsabilidad para todos los aspectos del Programa de
Medicin de Seguridad de la Informacin;
b)
Apoyo financiero adecuado y
c)
Apoyo de infraestructura apropiado, como ser la infraestructura fsica y las
herramientas utilizadas para llevar a cabo el proceso de medicin.
NOTA: el apartado 5.2.1 de ISO/IEC 27001 especifica el requisito de provisin de recursos para la
implementacin y operacin de un SGSI.
6.3
Competencia, toma de conciencia y formacin en medicin
La direccin debera asegurar que:

a)
Las partes interesadas (vase 7.5.8) estn capacitados adecuadamente para
el logro de sus funciones y responsabilidades en la implementacin del Programa de
Medicin de Seguridad de la Informacin, y estn debidamente calificados para
desempear sus funciones y responsabilidades, y
b)
Las partes interesadas entienden que sus tareas incluyen formular
sugerencias para la mejora del Programa de Medicin de Seguridad de la
Informacin implementado.
NORMA TCNICA
PERUANA
7.
DESARROLLO DE MEDIDAS Y MEDICIONES
7.1
Visin General
NTP-ISO/IEC 27004
21 de 72
Este captulo da una orientacin sobre cmo desarrollar medidas y la medicin con el fin
de evaluar la efectividad del SGSI implementado y los controles o grupo de controles, y la
identificacin de conjuntos especficos de constructores de medicin de la organizacin. Se
recomienda que sean establecidas y documentadas las actividades necesarias para
desarrollar medidas y mediciones, incluyendo las siguientes:
a)
Definicin del alcance de la medicin (vase 7.2);
b)
Identificacin de la necesidad de informacin (vase 7.3);
c)
Seleccin del objeto de medicin y sus atributos (vase 7.4);
d)
Desarrollo de constructores de medicin (vase 7.5);
e)
Aplicacin de constructores de medicin (vase 7.6);
f)
Establecimiento de la recoleccin de datos, procesos de anlisis y
herramientas (vase 7.7), y
g)
Establecimiento del enfoque de aplicacin de la medicin y la
documentacin (vase 7.8).
Se recomienda que al establecer estas actividades, la organizacin tenga en cuenta los
recursos financieros, humanos y de infraestructura (fsica y herramientas).
7.2
Definiendo el alcance de la medicin
Dependiendo de las capacidades y los recursos de una organizacin, el alcance inicial de

las actividades de medicin de una organizacin estar limitado a elementos tales como
controles especficos, activos de informacin protegidos por controles especficos,
actividades especficas de seguridad de la informacin a las que la gerencia concede la
mxima prioridad. Con el tiempo, el alcance de las actividades de medicin se ampliar
para hacer frente a otros elementos del SGSI implementado, controles o grupos de
controles, teniendo en cuenta las prioridades de las partes interesadas.
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
22 de 72
Las partes interesadas pertinentes deberan identificarse y deberan participar en la

definicin del alcance de la medicin. Las partes interesadas pueden ser internas o externas
a las unidades organizativas, tales como directores de proyectos, administradores de
sistema de informacin, o responsables de seguridad de la informacin. Deberan definirse
y comunicarse a las partes interesadas, los resultados concretos de la medicin de la
eficacia de los controles individuales o del grupo de los controles.
La organizacin puede considerar limitar el total de los resultados de medicin que se

informen a los tomadores de decisin dentro de un perodo de tiempo determinado para
asegurar la capacidad de mejora del SGSI basado en los resultados de la medicin
informados. Un nmero excesivo de resultados de medicin podra impactar en la
capacidad de los tomadores de decisin de centrar los esfuerzos y priorizar las actividades
de mejora futuras. Los resultados de la medicin deben ser priorizados sobre la base de la
importancia correspondiente a las necesidades de informacin y asociados a los objetivos
del SGSI.
NOTA: El alcance de la medicin est relacionado con el alcance del SGSI establecido de
conformidad con el apartado 4.2.1 a) de la norma ISO / IEC 27001.
7.3
Identificando la necesidad de informacin
Cada constructor de medicin debera corresponderse, al menos, con una necesidad de

informacin. Un ejemplo de necesidad de informacin, describiendo el punto de partida
como el objetivo de la medicin y terminando con los criterios de decisin pertinentes
figura en el anexo A.
Para identificar las necesidades de informacin pertinentes deberan realizarse las
siguientes actividades:
a)
Examinar el SGSI y sus procesos, tales como:

1)
La poltica y los objetivos del SGSI, los objetivos de control y los controles;
2) Los requisitos legales, reglamentarios, contractuales y organizacionales para

la seguridad de la informacin;
3) La informacin resultante del proceso de gestin de riesgos de seguridad de
la informacin, como se describe en ISO/IEC 27001.
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
23 de 72
b)
Priorizar la identificacin de la necesidad de informacin basados en
criterios tales como:
1)
Prioridades en el tratamiento del riesgo;
2)
La capacidad y los recursos de la organizacin;
3)
Los intereses de las partes interesadas (stakeholders);
4)
La poltica de seguridad de la informacin;
5) La informacin necesaria para cumplir los requisitos legales, regulatorios y

contractuales;
6)
El valor de la informacin en relacin con el coste de la medicin;
c)
Seleccionar un subconjunto de la informacin que debe considerarse en las
actividades de medicin de la lista de prioridades y;
d)
Documentar y comunicar la necesidad de informacin a todos los
interesados pertinentes.
Todas las medidas pertinentes aplicadas a un SGSI implementado, controles o grupos de
controles deben aplicarse sobre la base de la necesidad de informacin seleccionada.
7.4
Seleccionando el objeto y sus atributos
El objeto de medicin y sus atributos deben ser identificados en el contexto general y el

alcance de un SGSI. Cabe sealar que un objeto de medicin puede tener varios atributos
aplicables.
El objeto y los atributos a utilizarse en la medicin deben ser seleccionados basados en la
prioridad de la informacin correspondiente.
Los valores que se asignarn a una medida de referencia base se obtienen mediante la
aplicacin de un mtodo de medicin adecuado a los atributos seleccionados. Esta
seleccin tambin debera asegurar que:
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
24 de 72
Puedan identificarse la medida de referencia base y un mtodo de medicin

adecuado, y
Basados en los valores obtenidos y en las medidas desarrolladas puedan
desarrollarse resultados significativos.
Las caractersticas de los atributos seleccionados determinan qu tipo de mtodo de
medicin debe utilizarse para obtener los valores que se asignarn a las medidas de base
(por ejemplo, cualitativos o cuantitativos).
Debera documentarse el objeto seleccionado y sus atributos, junto con la justificacin de

la seleccin.
Deberan utilizarse como valores a asignarse a las medidas de base, los datos describiendo
el objeto de la medicin y los atributos correspondientes. Ejemplos de objetos de medicin
incluyen, pero no estn limitados a:
-
Productos y servicios;
Procesos;
Activos aplicables tales como instalaciones, aplicaciones y sistemas de

informacin como identifica la ISO/IEC 27001:2005 (Inventario de activos, A.7.1.1);
-
Unidades de negocio;
Localizaciones geogrficas y
Servicios de Terceras Partes.
Los atributos deben revisarse para asegurar que:

a)
Los atributos apropiados han sido seleccionados para la medicin y
b)
La recopilacin de datos ha sido definida para garantizar que se encuentre
un nmero suficiente de atributos para permitir una medicin efectiva.
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
25 de 72
Slo deben seleccionarse los atributos que son pertinentes para la medida de base. Aunque
la seleccin de los atributos debera tener en cuenta el grado de dificultad en la obtencin
de los atributos a medir, no debera hacerse solo en los datos que se obtienen fcilmente, o
el atributo es fcil de medir.
7.5
Desarrollo del constructor de medicin
7.5.1
Visin General
Este apartado (7.5) gua el desarrollo del constructor de medicin desde 7.5.2 (seleccin de
la medida) hasta 7.5.8 (partes interesadas).
7.5.2
Seleccin de la Medida
Deberan identificarse las medidas que podran satisfacer la necesidad de informacin

seleccionada. Las medidas identificadas deben definirse con el detalle suficiente para
permitir la seleccin de las medidas que deban implementarse. Las medidas recin
identificadas pueden suponer una adaptacin de una medida existente.
NOTA: La identificacin de las medidas de base est estrechamente relacionada con la identificacin
de los objetos de medicin y sus atributos.
Deberan seleccionarse las medidas identificadas que podran satisfacer la necesidad de

informacin seleccionada. Adems debe considerarse la informacin de contexto necesaria
para interpretar o normalizar las medidas.
NOTA: para hacer frente a una necesidad de informacin especfica pueden ser seleccionadas muchas
combinaciones diferentes de medidas (medidas de base, medidas derivadas e indicadores).
Las medidas seleccionadas deben reflejar la prioridad de la necesidad de informacin.

Ejemplos de los criterios que pueden ser utilizados para la seleccin de medidas incluyen:
-
Facilidad de recoleccin de datos;
Disponibilidad de recursos humanos para recoger y gestionar los datos;
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
26 de 72
Disponibilidad de herramientas adecuadas;
base;
Nmero de indicadores potencialmente pertinentes basados en la medida de
Facilidad de interpretacin;
Nmero de usuarios de los resultados de la medicin desarrollada;
La evidencia sobre la aptitud de la medida para el propsito o la necesidad

de informacin, y
-
7.5.3
Los costos de obtener, gestionar y analizar los datos.
Mtodo de medicin
Para cada medida de base debe ser definido un mtodo de medicin. Este mtodo de
medicin se utiliza para cuantificar un objeto de medicin a travs de la transformacin de
los atributos en el valor asignado en a la medida de base.
Un mtodo de medicin puede ser subjetivo u objetivo. Los mtodos subjetivos se basan
en la cuantificacin, recabando la opinin humana, mientras que los mtodos objetivos
utilizan cuantificacin base de reglas numricas como el recuento de lo que puede ser
aplicado a travs de medios humanos o automatizados.
El mtodo de medicin cuantifica los atributos como valores mediante la aplicacin de una
escala adecuada. Cada escala utiliza unidades de medida. Slo las cantidades expresadas en
la misma unidad de medida son comparables directamente.
Para cada mtodo de medicin, debera establecerse y documentarse un proceso de

verificacin.
Esta verificacin debera garantizar un nivel de confianza en el valor que va a obtenerse

aplicando un mtodo de medicin a un atributo del objeto de la medicin y asignarse a una
medida de base.
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
27 de 72
Cuando sea necesario para obtener un valor vlido, las herramientas utilizadas para obtener
los atributos deben ser normalizadas y verificarse a intervalos especificados.
Debera tenerse en cuenta la precisin del mtodo de medicin y registrarse la desviacin o

variacin asociada.
Un mtodo de medicin debe ser coherente (consistente) en el tiempo para que sean
comparables los valores tomados en diferentes momentos y asignados a una medida base y
para que tambin sean comparables los valores asignados a una medida derivada y a un
indicador.
7.5.4
Funcin de medicin
Para cada medida derivada debera definirse una funcin de medicin que se aplique a dos
o ms valores asignados a las medidas base. Esta funcin de medicin es utilizada para
transformar los valores asignados a una o ms medidas base en el valor a asignar a una
medida derivada. En algunos casos, una medida base puede contribuir directamente al
modelo de anlisis, adems de a una medida derivada.
Una funcin de medicin (por ejemplo, un clculo) puede implicar una variedad de
tcnicas, como el promedio de todos los valores asignados a las medidas base, aplicar
ponderaciones a los valores asignados a las medidas base, o la asignacin de valores
cualitativos a los valores asignados a las medidas base antes de agregarlo en el valor que se
asignar a una medida derivada. La funcin de medicin puede combinar medidas base
usando diferentes escalas, tales como porcentajes y resultados de valoraciones cualitativas.
7.5.5
Modelo analtico
Para cada indicador, debera definirse un modelo de anlisis con el propsito de la

transformacin de uno o ms valores asignados a una medida base y / o derivada en el
valor a asignar a un indicador.
El modelo de anlisis combina las medidas pertinentes de forma de producir una salida que
sea significativo para partes interesadas.
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
28 de 72
Al definir el modelo de anlisis tambin deberan considerarse los criterios de decisin que
se aplican a un indicador.
A veces, un modelo de anlisis puede ser tan simple como la transformacin de un valor
nico asignado a una medida derivada en el valor que se asigna a un indicador.
7.5.6
Indicadores
Los valores que se asignan a los indicadores sern producidos por la agregacin de los
valores asignados a la medida derivada e interpretando esos valores basados en los criterios
de decisin.
Como parte del formato del informe por cada indicador que debera se informado al cliente
debera definirse un formato de presentacin del indicador (vase el apartado 7.7)
Los formatos para la presentacin de indicadores deberan representar visualmente las

medidas y proporcionar una explicacin verbal de los indicadores. Para satisfacer la
necesidad de informacin del cliente los formatos para la presentacin de indicadores
deberan personalizarse.
7.5.7
Criterios de decisin
Los criterios de decisin correspondientes a cada indicador deberan definirse y

documentarse en base a los objetivos de seguridad de la informacin, para proporcionar a
los interesados pautas concretas. Para iniciar acciones de mejora basadas en el indicador
estas pautas deberan atender a las expectativas de progreso y los umbrales. Los criterios
de decisin establecen un objetivo (meta) por el cual se mide el xito (vase el apartado
5.3) y proporcionar orientacin sobre la interpretacin del indicador en relacin con su
proximidad al objetivo (meta).
Para cada elemento deberan establecerse los objetivos (metas) mirando el rendimiento de
los procesos y controles del SGSI, el logro de los objetivos, y la eficacia del SGSI a ser
evaluado.
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
29 de 72
La direccin no puede decidir qu objetivos establecer para los indicadores hasta que los
datos iniciales sean recogidos. Una vez basadas en los datos iniciales son identificadas las
acciones correctivas, pueden definirse los criterios de decisin adecuados y las fases de
aplicacin realistas para un SGSI especficos. Si en este punto no pueden establecerse los
criterios de decisin, la direccin debe evaluar si el objeto de medicin y las
correspondientes medidas estn aportando el valor esperado por la organizacin.
Puede facilitarse el establecimiento de criterios de decisin si estn disponibles los datos

histricos referidos a pases desarrollados o a las medidas seleccionadas. Las tendencias
observadas en el pasado ofrecern informacin detallada de los rangos de rendimiento que
han existido anteriormente y orientar para la creacin de criterios de decisin realista. Los
criterios de decisin pueden calcularse o basarse en una comprensin conceptual del
comportamiento esperado. Los criterios de decisin pueden derivarse de los datos
histricos, los planes, y la heurstica, o calcularse como los lmites de control estadstico o
de los lmites de confianza estadstica.
7.5.8
Partes interesadas (stakeholders)
Deberan identificarse y documentarse las partes interesadas pertinentes para cada medida
base y / o derivada. Partes interesadas pueden incluir lo siguiente:
a)
Cliente de la medicin: la direccin u otras partes interesadas que soliciten o
que requieran informacin acerca de la eficacia de un SGSI, los controles o el grupo
de los controles;
b)
Revisor de la medicin: la persona o unidad organizativa que valida que el
constructor de medicin desarrollado es apropiado para evaluar la eficacia de un
SGSI, los controles o el grupo de los controles;
c)
propietario de la Informacin: la persona o unidad organizativa que posee la
informacin sobre un objeto de medicin y los atributos y es responsable de la
medicin;
d)
Colector de informacin: la persona o unidad organizativa responsable de
recopilar, registrar y almacenar los datos, y
e)
Comunicador de informacin e): la persona o unidad organizativa
responsable de analizar los datos y comunicar los resultados de la medicin.
NORMA TCNICA
PERUANA
7.6
NTP-ISO/IEC 27004
30 de 72
Constructor de medicin
Como mnimo, la especificacin del constructor de medicin debera contener la siguiente

informacin:
a)
Propsito de la medicin;
b)
Objetivo de control que debera alcanzarse con los controles y los controles
especficos, el grupo de los controles y procesos del SGSI que debe medirse;
c)
Objeto de la medicin;
d)
Los datos a recoger y utilizar;
e)
Procesos para la recogida de datos y el anlisis;
f)
Proceso para informar de los resultados de la medicin, incluyendo los
formatos de los informes;
g)
Los roles y responsabilidades de las partes interesadas pertinentes, y
h)
Un ciclo de revisin de la medicin para garantizar su utilidad en relacin
con una necesidad de informacin.
El Anexo A proporciona un ejemplo de constructor de medicin genrico que incorpora los
puntos a) al h). El Anexo B proporciona ejemplos de constructores de medicin aplicados a
la medicin de los procesos y los controles del SGSI.
7.7
La recoleccin de datos, anlisis y presentacin de informes
Deberan establecerse procedimientos para la recoleccin y anlisis de datos, y los

procesos para informar los resultados de la medicin desarrollada. Si es necesario tambin
deberan establecerse herramientas de apoyo, equipos de medicin y tecnologas. Estos
procedimientos, herramientas, equipos de medicin y tecnologas deberan guiar las
siguientes actividades:
a)
La recopilacin de datos, incluyendo el almacenamiento de datos y la
verificacin (vase el apartado 8.3). Los procedimientos deberan identificar cmo
los datos sern recogidos por el mtodo de medicin, la funcin de medicin y el
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
31 de 72
modelo de anlisis, as como y dnde se almacenarn junto con cualquier

informacin de contexto necesaria para comprender y comprobar los datos. La
verificacin de los datos puede realizarse mediante la inspeccin de los datos contra
una lista de control que se construye para verificar que los datos faltantes son
mnimos, y que el valor a ser asignado a cada medida es vlido.
NOTA: La verificacin de los valores que se asignarn a las medidas de base est estrechamente
relacionada con la verificacin del mtodo de medicin (vase el apartado 7.5.3).
b)
Anlisis de datos y presentacin de informes de los resultados de la
medicin desarrollada. Los procedimientos debern especificar las tcnicas de
anlisis de datos (vase el aparatado 9.2), y la frecuencia, el formato y los mtodos
para informar de los resultados de la medicin. Deberan identificarse la variedad de
herramientas que pueden ser necesarias para realizar el anlisis de datos.
Ejemplos de formatos de informes incluyen:
Tableros para proporcionar informacin estratgica mediante la integracin
de indicadores de alto nivel;
Cuadros de mando ejecutivos y operacionales menos centrados en los
objetivos estratgicos y ms ligados a la eficacia de los controles y procesos
especficos;
Informes, desde los simples y estticos por la naturaleza, hasta reportes ms
sofisticados de tablas cruzadas una lista de medidas para un perodo de tiempo
determinado, para cruzar ms sofisticados con la agrupacin anidada, resmenes
de rodadura y de perforacin dinmica a travs de o vinculacin. Los informes se
utiliza mejor cuando el usuario tiene que mirar los datos en bruto en un formato
fcil de leer el formato, y
Indicadores para representar valores dinmicos incluidas las alertas, otros
elementos grficos y etiquetado de los puntos finales (extremos.)
7.8
Implementacin y documentacin de la medicin
En un plan de implementacin debera documentarse el enfoque global de la medicin. El

plan de implementacin debera incluir como mnimo la siguiente informacin:
a)
El Programa de Medicin de Seguridad de la Informacin implementado
para la organizacin;
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
32 de 72
b)
Especificacin de la medicin incluyendo:
c)
constructores de mediciones genricos de la organizacin;
d)
constructores de mediciones individuales de la organizacin, y
e)
datos;
definicin del alcance y los procedimientos para la recopilacin y anlisis de
f)
el calendario (cronograma) de plan para llevar a cabo actividades de
medicin;
g)
Los registros creados realizando actividades de medicin, incluidos los
datos recopilados y el anlisis de los registros; y
h)
los formatos de los informes de presentacin de resultados de la medicin a
ser informados a la direccin / partes interesadas (vase ISO / IEC 27001:2005 el
captulo 7, "Revisin de la gestin").
8.
OPERACIN DE MEDICIN
8.1
Visin general
La operacin de medicin de la seguridad de la informacin incluye actividades que son

esenciales para asegurar que los resultados de la medicin desarrollada proporcionan
informacin precisa con respecto a la eficacia del SGSI implementado, los controles o el
grupo de los controles y las necesidades de acciones de mejora apropiadas.
Esta actividad incluye lo siguiente:
a)
SGSI.
Integrar procedimientos de medicin en el funcionamiento general del
b)
Recolectar, almacenar y verificar los datos.
NORMA TCNICA
PERUANA
8.2
NTP-ISO/IEC 27004
33 de 72
Procedimiento de integracin
El Programa de Medicin de Seguridad de la Informacin debe estar plenamente integrado

y ser utilizado por el SGSI. Los procedimientos de medicin deberan coordinarse con el
funcionamiento del SGSI, incluyendo:
a)
Definicin y documentacin de las funciones, autoridad y responsabilidad,
viendo el desarrollo, implementacin y mantenimiento de la medicin de la
seguridad de la informacin;
b)
Recoleccin de los datos y, en caso necesario, modificacin del
funcionamiento actual del SGSI para dar cabida a la generacin de datos y recogida
de las actividades;
c)
Comunicacin de los cambios en las actividades de recoleccin de datos a
las partes interesadas;
d)
Mantenimiento de la competencia de los recolectores de la informacin y la
comprensin de los tipos de datos necesarios, herramientas de recoleccin de datos y
procedimientos de recoleccin;
e)
Desarrollo de polticas y procedimientos que definen el uso de la medicin
dentro de la organizacin, la difusin de la informacin de la medicin, auditora y
revisin del Programa de Medicin de Seguridad de la informacin;
f)
Integracin del anlisis de datos y la presentacin de informes en los
procesos pertinentes para asegurar su funcionamiento regular;
g)
Seguimiento, revisin y evaluacin de los resultados de la medicin;
h)
Establecimiento de un proceso para la eliminacin de las medidas y el
agregado de nuevas medidas para garantizar que evolucionan con la organizacin, y
i)
Establecimiento de un proceso para determinar la vida til de los datos
histricos para el anlisis de tendencias.
8.3
Recoleccin, almacenamiento y verificacin de Datos
Las actividades de recoleccin, almacenamiento y verificacin de los datos incluyen:
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
34 de 72
a)
Recolectar los datos requeridos en intervalos regulares utilizando un mtodo
de medicin designado;
b)
Documentar la recoleccin de datos, incluyendo:

1)
fecha, hora y lugar de la recoleccin;
2)
recolector de la informacin;
3)
propietario de la informacin;
4) cualquier situacin que ocurra durante la recoleccin de datos que pueda ser
til;
5)
informacin para la verificacin de datos y validacin de medicin; y
c)
Verificacin de los datos recolectados contra el criterio de medicin
seleccionado y el criterio de validacin del constructor de medicin.
Los datos recolectados y cualquier informacin de contexto necesaria deberan ser

consolidados y almacenados en un formato de almacenamiento propicio para el anlisis de
datos.
9.
ANLISIS DE DATOS Y REPORTE DE LOS RESULTADOS DE LA
MEDICIN
9.1
Visin general
Los datos recolectados deberan ser analizados para desarrollar resultados de la medicin y
los resultados de la medicin desarrollados deberan ser comunicados.
Esta actividad incluye lo siguiente:
a)
Analizar los datos y desarrollar los resultados de las mediciones; y
b)
Comunicar los resultados de las mediciones a las partes interesadas
pertinentes.
NORMA TCNICA
PERUANA
9.2
NTP-ISO/IEC 27004
35 de 72
Analizar los datos y desarrollar resultados de las mediciones
Los datos recolectados deberan ser analizados e interpretados en trminos de los criterios
de decisin. Los datos deberan ser agregados, transformados o re-codificados previo al
anlisis.
Durante esta tarea, los datos deberan ser procesados para producir los indicadores. Pueden
ser aplicadas un nmero de tcnicas de anlisis. La profundidad del anlisis debera ser
determinado por la naturaleza de los datos y de la necesidad de informacin.
NOTA: Una gua para la realizacin de anlisis estadstico puede encontrarse en la norma ISO TR
10017 (Gua de tcnicas estadsticas para la norma ISO 9001).
El resultado del anlisis de los datos debera ser interpretado. La persona analizando los
resultados (comunicador) debera ser capaz de sacar algunas conclusiones iniciales basado
en los resultados. Sin embargo, como el comunicador puede no estar directamente
involucrado en el proceso tcnico y de gestin, estas conclusiones necesitan ser revisadas
por las partes interesadas. Todas las interpretaciones deberan tener en cuenta el contexto
de las mediciones.
El anlisis de los datos debe identificar distancias/diferencias(gaps) entre los resultados

de las mediciones esperadas y las actuales, de un SGSI implementado, controles o grupos
de controles.
Las distancias identificadas indicarn las necesidades de mejora de el SGSI implementado,

incluyendo su alcance, polticas, objetivos, controles, procesos y procedimientos.
Aquellos indicadores que demuestren no-conformidad o un pobre rendimiento deberan ser

identificados y pueden ser clasificados como sigue:
a)
Falla en la implementacin del plan de tratamiento de riesgos o en
implementar, operar y gestionar los controles o procesos del SGSI suficientemente.
(e.j., controles y procesos del SGSI pueden ser bypassed por las amenazas);
b)
Falla en la evaluacin del riesgo:
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
36 de 72
1) Los controles o procesos del SGSI son inefectivos porque son insuficientes
para contar las amenazas estimadas (Por ejemplo: porque la probabilidad de las
amenazas fue subestimada) o las nuevas amenazas;
2) Controles o procesos del SGSI no fueron implementados, porque se pasaron
por alto amenazas.
Los reportes que son usados para comunicar los resultados de las mediciones a las partes
interesadas pertinentes, deberan ser preparados utilizando formatos de reporte apropiados
(vase el apartado 7.7) de acuerdo con el plan de implementacin del Programa de
Medicin de Seguridad de la Informacin.
Las conclusiones del anlisis deberan ser revisadas por las partes interesadas pertinentes
para asegurar la apropiada interpretacin de los datos. Los resultados del anlisis de los
datos deberan ser documentados para la comunicacin a las partes interesadas.
9.3
Comunicar los resultados de las mediciones
Los comunicadores de la informacin deberan determinar cmo comunicar los resultados

de las mediciones de seguridad, tales como:
Cules
externamente;
resultados
de
medicin
sern
reportados
internamente
Listar las medidas correspondientes a las partes interesadas individuales y

partes interesadas;
Resultados de mediciones especficos a ser provistos, y el tipo de
presentacin, adaptado a las necesidades de cada grupo; y
Medios para la obtencin de retroalimentacin de las partes interesadas, a
ser utilizadas para la evaluacin de la utilidad de los resultados de las mediciones y
de la efectividad del Programa de Medicin de Seguridad de la Informacin.
Los resultados de las mediciones deberan ser comunicados a una variedad de partes
interesadas incluyendo pero no limitndose a:
-
Clientes de la medicin (vase el apartado 7.5.8);
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
37 de 72
Dueos de la informacin (vase el apartado 7.5.8);
Personal a cargo de la gestin de seguridad de la informacin,

especialmente donde se han identificado fallas en la evaluacin de riesgo; y
-
Personal responsable de las reas identificadas con necesidad de mejora.
Se puede requerir, en algunos casos, a la organizacin la distribucin de los reportes de

resultados de las mediciones a partes externas, incluyendo autoridades reguladoras,
accionistas, clientes, y proveedores. Es recomendable que los reportes de los resultados de
las mediciones sean aprobados por la direccin y por las partes interesadas pertinentes,
antes de ser liberados.
10.
EVALUACIN Y MEJORA DEL PROGRAMA DE MEDICIN DE
SEGURIDAD DE LA INFORMACIN
10.1
Visin general
La organizacin debera evaluar a intervalos planificados lo siguiente:

a)
La efectividad del Programa de Medicin de Seguridad de la Informacin
implementado para asegurar que el mismo:
1)
Produce resultados de las mediciones de forma efectiva;
2)
Se ejecuta segn lo planificado;
3)
Considera los cambios en el SGSI y/o controles implementados;
4) Considera los cambios en el entorno (e.j. Requerimientos, legislacin, o

tecnologa); y
b)
Utilidad de los resultados de las mediciones desarrolladas para garantizar
que satisfacen las necesidades de la informacin pertinente.
La direccin debera especificar la frecuencia de esta evaluacin, planificar
revisiones peridicas y establecer los mecanismos para hacer estas revisiones
posibles (vase el apartado 7.2 de la norma ISO/IEC 27001:2005).
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
38 de 72
Las actividades pertinentes deberan ser las siguientes:

1) Identificar los criterios de evaluacin para el Programa de Medicin de
Seguridad de la Informacin (vase el apartado 10.2);
2)
Monitorear, revisar y evaluar las mediciones (vase el apartado 10.3); e
3)
Implementar las mejoras (vase el apartado 10.4).
10.2
Identificacin de criterios de evaluacin para el Programa de Medicin
de Seguridad de la Informacin
La organizacin debera definir el criterio para evaluar la efectividad del Programa de
Medicin de Seguridad de la Informacin, as como la utilidad de los resultados de las
mediciones desarrolladas. El criterio debera definirse al comienzo de la implementacin
del Programa de Medicin de Seguridad de la Informacin, teniendo en cuenta el contexto
de los objetivos tcnicos y de negocio de la organizacin.
Los criterios ms probables cuando las organizaciones deben evaluar y mejorar el
Programa de Medicin de Seguridad de la Informacin implementado son:
-
Cambios en los objetivos del negocio de la organizacin;
Cambios en requerimientos legales o reguladores y obligaciones

contractuales en seguridad de la informacin;
Cambios en los requerimientos de seguridad de la informacin de la
organizacin;
-
Cambios en los riesgos de seguridad de la informacin de la organizacin;
Incremento en la disponibilidad de datos y/o mtodos ms refinados o

adecuados para la recoleccin de datos para propsitos de medicin; y
-
Cambios en el objeto de la medicin y/o sus atributos;
Los siguientes criterios pueden aplicar para evaluar los resultados de las mediciones
desarrolladas:
NORMA TCNICA
PERUANA
a)
NTP-ISO/IEC 27004
39 de 72
Los resultados de las mediciones son:

1)
Fciles de entender;
2)
Comunicados en tiempo; y
3)
Objetivos, comparables y reproducibles.
b)
Los procesos establecidos para el desarrollo de las mediciones son:

1)
Bien definidos;
2)
Fciles de operar; y
3)
Seguidos correctamente.
c)
Los resultados de las mediciones son tiles para mejorar la seguridad de la
informacin
d)
Los resultados de las mediciones consideran las correspondientes
necesidades de la informacin.
10.3
Monitorear, revisar y evaluar el Programa de Medicin de Seguridad
de la Informacin
La organizacin debera monitorear, revisar y evaluar su Programa de Medicin de

Seguridad de la Informacin con el criterio establecido (vase 10.2).
La organizacin debera identificar sus necesidades de mejora del Programa de Medicin

de Seguridad de la Informacin, incluyendo:
a)
Revisar o remover los constructores de medida adoptados que ya no son
adecuados; y
b)
Re-ubicar los recursos para soportar el Programa de Medicin de Seguridad
de la Informacin.
La organizacin debera identificar las necesidades potenciales de mejora del SGSI

NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
40 de 72
procedimientos; y documentar las decisiones de gestin para permitir comparar y analizar

la tendencia durante las revisiones subsecuentes.
Los resultados de esta evaluacin y las necesidades potenciales de mejora identificados,

deberan ser comunicados a las partes interesadas relevantes para permitir la toma de
decisiones con respecto a las mejoras necesarias.
La organizacin debera garantizar la retroalimentacin de las partes interesadas, en los

resultados de esta evaluacin y en las necesidades potenciales de mejora identificadas. La
organizacin debera comprender que la retroalimentacin es una de las entradas
relacionadas con la efectividad del Programa de Medicin de Seguridad de la informacin.
10.4
Implementar mejoras
La organizacin debera garantizar que las partes interesadas relevantes identificaran las
mejoras necesarias del Programa de Medicin de Seguridad de la Informacin (vase el
apartado 7.3 e) de la norma ISO/IEC 27001). Las mejoras identificadas deberan ser
aprobadas por la gerencia. El plan aprobado debera ser documentado y comunicado a las
partes interesadas apropiadas.
La organizacin debera garantizar que las mejoras aprobadas del Plan de Medicin de
Seguridad de la Informacin se implementen segn lo planificado.
La organizacin podra aplicar tcnicas de gestin de proyectos para lograr las mejoras.
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
41 de 72
ANEXO A
(INFORMATIVO)
PLANTILLA PARA UN CONSTRUCTOR DE MEDICIN

DE SEGURIDAD DE LA INFORMACIN
El anexo A provee una plantilla ejemplo para un constructor de medicin que incluye todos
los componentes identificados en el apartado 7.5 como se describen en el apartado 5.4. Las
organizaciones pueden modificar la plantilla de acuerdo a sus requerimientos.
Identificacin del Constructor de Medicin
Nombre del Constructor de
Nombre de la Medicin
Medicin
Identificador Numrico
Identificador numrico nico, especfico para la organizacin
Describe las razones para introducir la medicin.
Propsito del Constructor de
Medicin
Objetivo de control/proceso
Objetivo de control/proceso bajo medicin (planificado o
implementado)
Control (1)/proceso (1)
Control/proceso bajo medicin
Opcional: controles/procesos adicionales dentro de la agrupacin incluido en
la misma medida, si aplica (planificado o implementado).
Objeto de la Medicin y Atributos
Objeto de la Medicin
Objeto (entidad) que se caracteriza a travs de la medicin de sus atributos. Un
objeto puede incluir procesos, planes, proyectos, recursos, y sistemas o
componentes de sistemas.
Atributo
Propiedad o caracterstica de un objeto de medicin que se puede distinguir
cuantitativamente o cualitativamente por medios humanos o automatizados.
Especificacin de la Medida Base (para cada medida [1...n])
Medida Base
Una medida base se define en trminos de un atributo y el mtodo de medicin
especificado para cuantificarlo (por ejemplo, nmero de personas capacitadas,
nmero de sitios, costo acumulado a la fecha). Segn se recogen los datos, se
asigna un valor a la medida base.
Mtodo de Medicin
Secuencia lgica de operaciones utilizada para cuantificar un atributo con
respecto a una escala especificada.
Tipo de Mtodo de Medicin
Dependiendo de la naturaleza de las operaciones utilizadas para cuantificar un
atributo, se pueden distinguir dos tipos de mtodos:
Subjetivo: cuantificacin que involucra el juicio humano.
Objetivo: cuantificacin basada en reglas numricas, como contar.
Escala
Conjunto ordenado de valores o categoras a las cuales se asigna el atributo de
las medidas base.
Tipo de Escala
Se definen comnmente cuatro tipos de escala, dependiendo de la naturaleza
de la relacin entre los valores de la escala: Nominal, Ordinal, Intervalo y
Ratio.
Unidad de Medida
Cantidad particular, definida y adoptada por convencin, con la cual cualquier
otra cantidad del mismo tipo puede ser comparada para expresar la relacin de
las dos cantidades como un nmero.
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
42 de 72
Especificacin de la Medida Derivada

Medida Derivada
Una medida que es derivada como una funcin de dos o ms
medidas base.
Funcin de Medicin
Algoritmo o clculo realizado para combinar dos o ms medidas. La escala y
unidad de la medida derivada depende de las escalas y unidades de las
medidas base, de las cuales est compuesta as como tambin de cmo son
combinadas por la funcin.
Especificacin del Indicador
Indicador
Medida que provee una estimacin o evaluacin de los atributos especificados
derivados de un modelo analtico con respecto a una definida necesidad de
informacin. Los indicadores son la base para el anlisis y la toma de
decisiones.
Modelo
Algoritmo o clculo que combina una o ms medidas base o derivada con un
criterio de decisin asociado. Se basa en la comprensin, o la suposicin de,
Analtico
la relacin esperada entre la medida base o derivada o su comportamiento a lo
largo del tiempo. Un modelo analtico produce estimaciones o evaluaciones
relevantes a una definida necesidad de informacin.
Especificacin de los Criterios de Decisin
Criterio de Decisin
Umbrales, objetivos o modelos utilizados para determinar la necesidad de una
accin o investigacin, o para describir el nivel de confianza en un
determinado resultado. Criterios de decisin para ayudar a interpretar los
resultados de la medicin.
Resultados de la Medicin
Interpretacin del Indicador
Un descriptor de cmo el indicador de la muestra (vase figura de la muestra
en descripcin del indicador) debera ser interpretado.
Formatos de Reporte
Los formatos de reporte deberan ser identificados y documentados. Describen
las observaciones que la organizacin o el propietario de la informacin
pueden querer registrar. Los formatos de los reportes mostrarn visualmente
las medidas y proveern una explicacin verbal de los indicadores. Los
formatos de los reportes deberan ser personalizados para la informacin del
cliente.
Partes interesadas
Cliente de la medicin
La direccin u otra parte interesada que solicite o requiera informacin sobre
la efectividad del SGSI, controles o grupos de controles.
Revisor de medicin
Persona o unidad organizacional que valida que los Constructores de Medicin
desarrollados son apropiados para evaluar la efectividad de un SGSI, controles
o grupos de controles.
Dueo de la Informacin
Persona o unidad organizacional que es duea de la informacin sobre un
objeto de medicin y sus atributos, y es responsable por la medicin.
Recolector de la informacin
Persona o unidad organizacional responsable de recolectar, registrar y
almacenar los datos.
Comunicador de la informacin Persona o unidad organizacional responsable de analizar los datos y comunicar
los resultados de las mediciones.
Frecuencia/Periodo
Frecuencia de la Recoleccin de Con que frecuencia se recolectan los datos.
Datos
Con que frecuencia se analizan los datos
Frecuencia del Anlisis de los
Datos
Frecuencia de reporte de los
Con que frecuencia se reportan los resultados de las mediciones (esto puede
resultados de las mediciones
ser menos frecuente que la recoleccin de datos).
Revisin de la Medicin
Fecha de revisin de la medicin ( (vencimiento o renovacin de validez de la
medicin)
Perodo de Medicin
Define el perodo que se mide.
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
43 de 72
ANEXO B
(INFORMATIVO)
EJEMPLOS DE CONSTRUCTORES DE MEDICIN

Los siguientes apartados proveen ejemplos de Constructores de Medicin. Estos ejemplos
tienen la finalidad de mostrar cmo aplicar esta Norma Tcnica Peruana utilizando la
plantilla provista en el Anexo A.
Tabla de contenidos
B.1
B.1.1
B.1.2
B.1.3
B.2
B.2.1
B.2.2
B.3
B.4
B.4.1
B.4.2
B.5
B.6
B.7
B.8
B.9
B.10
Formacin en SGSI
Personal formado en SGSI
Formacin en Seguridad de la Informacin
Cumplimiento de la Concientizacin en Seguridad de la Informacin
Polticas de Contraseas
Calidad de las contraseas - manual
Calidad de las contraseas - automatizado
Proceso de revisin del SGSI
Mejora continua del SGSI
Efectividad de la Gestin de Incidentes de Seguridad de la Informacin
Implementacin de Acciones Correctivas
Compromiso de la Direccin
Proteccin Contra Cdigo Malicioso
Controles de Acceso Fsico
Revisin de Archivos de Registro
Gestin de Mantenimiento Peridico
Seguridad en Acuerdos con Terceras Partes
Ejemplos de
Constructor de
Procesos y Controles Relacionados
Medicin
(Apartado de ISO/IEC 27001:2005 o
relacionados
nmero de control en Anexo A)
(referencias a este
Anexo)
Apartado 4.2.2 h)
B.4.1
Apartado 5.2.2 d)
Apartado 8.2
Control A.6.1.8
Control A.6.1.1 y A.6.1.2
B.1.1
B.4.2
B.3
B.5
Ejemplo de nombres de Constructores de

Medicin
Efectividad de la Gestin de Incidentes de

Seguridad de la Informacin
Proceso de Revisin del SGSI
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
44 de 72
Control A.6.2.3
B.10
Control A.8.2. y A.8.2.2

Control A.8.2. y A.8.2.2
B.1.2
B.1.3
Control A.9.1.2
Control A.9.2.4
B.7
B.9
Control A.10.4.1
Control A.10.10.1 y A.10.10.2
Control A.11.3.1
Control A.11.3.1
B.6
B.8
B.2.1
B.2.2
B.1
Formacin en SGSI
B.1.1
Seguridad en los acuerdos con terceras

partes
Formacin en Seguridad de la Informacin
Cumplimiento con la concientizacin en
seguridad de la informacin
Controles de acceso fsico
Gestin del mantenimiento
peridico
Proteccin contra cdigo malicioso
Revisin de archivos de registro
Calidad de las contraseas - manuales
Calidad de las contraseas - automatizadas

Medicin
Identificador numrico
Especfico de la Organizacin
Para establecer conformidad con la poltica de seguridad de la
Medicin
informacin de la organizacin.
Proceso /Objetivo de control
Apartado 5.2.2 [27001:2005]. Formacin, toma de conciencia y
competencia
Apartado 5.2.2.d [27001:2005]. Formacin, toma de conciencia y
competencia. La organizacin debe asegurar que todo el personal al
que se asigne responsabilidades definidas en el SGSI sea competente
para realizar las tareas exigidas, mediante: d) el mantenimiento de
registros de la educacin, formacin, habilidades, experiencia y
calificaciones.
Base de datos de empleados
Atributo
Registros de capacitacin
Especificacin de la Medida Base (1)
Medida Base
Nmero de empleados que recibieron capacitacin en SGSI de acuerdo
al plan anual de capacitacin del SGSI.
Nmero de empleados que deben recibir capacitacin en SGSI.
Mtodo de Medicin
Contar registros/logs en los cuales el campo/fila
capacitacin est identificado como Recibido.
Objetivo
Escala
Numrico
Tipo de escala
Ratio
Unidad de Medida
Empleado
Especificacin de la Medida Derivada
Medida Derivada
Porcentaje de personal capacitado en SGSI
Funcin de Medicin
Nmero de empleados que reciben capacitacin en SGSI/nmero de
empleados que tienen que recibir capacitacin en SGSI * 100.
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
45 de 72
Especificacin del indicador

Indicador
Uso de cdigo de colores con identificadores de colores. Grfica de

barras representando el cumplimiento a lo largo de varios perodos de
reporte en relacin con los umbrales (rojo, amarillo, verde) definidos
por el Modelo Analtico. El nmero de perodos de reporte que se
utilizar en la grfica debera ser definido por la organizacin.
Modelo
0-60 %-Rojo; 60-90 %-Amarillo; 90-100 %Verde. Para el Amarillo, si
Analtico
no se logra un progreso de al menos un 10 % por trimestre, la
clasificacin se pasa a Rojo en forma automtica
Criterios de Decisin
Rojo - requiere intervencin, se debe conducir un anlisis de
causalidad para determinar las razones de no cumplimiento y bajo
desempeo
Amarillo - el indicador debe ser vigilado de cerca debido a posibles
desplazamiento al Rojo
Verde - no se requieren acciones
Especficos de la organizacin.
Formatos de reporte
Grfica de barras con barras de cdigo de colores basados en los
criterios de decisin. Se deberan adjuntar a la grfica de barras,
pequeos resmenes del significado de las medidas y las posibles
acciones de la direccin.
Partes interesadas
Cliente de la Medicin
Gerentes responsables del SGSI
Revisor de la medicin
Dueo de la informacin
Gerente de capacitacin Recursos Humanos
Gerencia de Capacitacin Departamento de Recursos Humanos.
Comunicador de la informacin Gerentes responsables del SGSI
Frecuencia/Perodo
Frecuencia de la Recoleccin de Mensualmente, el primer da laboral del mes.
datos
Trimestral
Datos
Trimestral
Revisin de la medicin
Revisin anual
Perodo de Medicin
Anual
B.1.2
Formacin en seguridad de la informacin

Formacin en seguridad de la informacin
Medicin
Evaluar el cumplimiento con los requisitos de formacin en
concientizacin de seguridad de la informacin
Medicin
A.8.2 Durante el empleo
Objetivo: asegurar que los empleados, contratistas y usuarios de
terceras partes sean conscientes de las amenazas y la pertinencia de la
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
46 de 72
seguridad de la informacin, de sus responsabilidades y obligaciones,

y estn equipados para sustentar la poltica de seguridad de la
organizacin en el curso de su trabajo normal, y para reducir el riesgo
de errores humanos.
A.8.2.2 [27001:2005]. Concientizacin, educacin y formacin en
Todos los empleados de la organizacin, y en donde sea pertinente, los
contratistas y usuarios de terceras partes, deben recibir formacin
adecuada en concientizacin y actualizaciones regulares en polticas y
procedimientos organizacionales, relevantes para su funcin laboral.

Base de datos de empleados
Atributo
Registros de formacin
Medida Base
Nmero de empleados que han recibido anualmente formacin de
concientizacin en seguridad de la informacin
Nmero de empleados que necesitan recibir formacin anual de
Mtodo de Medicin
Contar logs/registro con el campo/fila correspondiente a
formacin anual de concientizacin en seguridad de la
informacin completado como "Recibido"
Objetivo
Escala
Numrico
Tipo de escala
Ratio
Unidad de Medida
Empleado
Especificacin de Medida Derivada
Medida Derivada
Porcentaje del personal que ha recibido entrenamiento anual de
Funcin de Medicin
Nmero de empleados que han recibido entrenamiento anual de
concientizacin en seguridad de la informacin/nmero de empleados
que necesitan recibir entrenamiento anual de concientizacin en
seguridad de la informacin * 100
Indicador
Grfico de barras que represente el cumplimiento durante varios
perodos en relacin a los umbrales (rojo, amarillo, verde, con
identificador de color) definidos por el Modelo analtico. El nmero de
perodos de reporte a usar en el grfico debera ser definido por la
organizacin
Modelo
Analtico
0-60%-Rojo; 60-90%-Amarillo; 90-100%Verde. Para el Amarillo, si

no se logra un progreso de al menos un 10% por trimestre, la
clasificacin se pasa a Rojo en forma automtica

Rojo - requiere intervencin, se debe conducir un anlisis de
causalidad para determinar las razones de no cumplimiento y bajo
desempeo
Amarillo - el indicador debe ser vigilado de cerca debido a posibles
desplazamiento al Rojo
Verde - no se requieren acciones
NORMA TCNICA
PERUANA
Formatos de reporte
Partes interesadas
Comunicador de la informacin
Frecuencia/Perodo
Frecuencia de la Recoleccin de
datos
Datos
Perodo de Medicin
B.1.3
NTP-ISO/IEC 27004
47 de 72
Especficos de la organizacin.
Grafica de barras con barras de cdigo de colores basados en los
criterios de decisin. Se deberan adjuntar a la grfica de barras,
pequeos resmenes del significado de las medidas y las posibles
acciones de la direccin.
Gerentes responsables del SGSI. Gerente de Seguridad. Gerente de
capacitacin
Gerente de Seguridad
Oficial de Seguridad de la Informacin y Gerente de capacitacin
Gerente de capacitacin - Departamento de Recursos Humanos
Mensualmente, el primer da laboral del mes.
Trimestral
Trimestral
Revisin anual
Anual
Cumplimiento de la Concientizacin en Seguridad de la Informacin

Cumplimiento con la poltica de concientizacin en seguridad de la
informacin
Medicin
Medicin
Evaluar el estado del cumplimiento con la poltica de concientizacin
en seguridad de la organizacin entre el personal relevante
A.8.2 Durante el empleo

Objetivo: asegurar que los empleados, contratistas y usuarios de
terceras partes sean conscientes de las amenazas y la pertinencia de la
seguridad de la informacin, de sus responsabilidades y obligaciones,
y estn equipados para sustentar la poltica de seguridad de la
organizacin en el curso de su trabajo normal, y para reducir el riesgo
de errores humanos.
A.8.2.2 Todos los empleados de la organizacin, y en donde sea
pertinente, los contratistas y usuarios de terceras partes, deben recibir
formacin adecuada en concientizacin y actualizaciones regulares en
polticas y procedimientos organizacionales, relevantes para su funcin
laboral.
(Implementacin) Todo el personal relevante para el SGSI debe recibir

formacin de concientizacin en seguridad de la informacin antes de
que se le conceda acceso a sistemas de informacin. La formacin
incluye.....
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
48 de 72
A.8.2.1 La direccin debe exigir a los empleados, contratistas y

usuarios de terceras partes aplicar la seguridad de acuerdo con las
polticas y procedimientos establecidos por la organizacin.
(Implementacin) Todo el personal relevante para el SGSI debe firmar
acuerdos de usuario antes de garantizarle acceso a un sistema de
informacin

1.1 Plan/agenda de formacin de concientizacin en seguridad de la
informacin
1.2 Personal cuya formacin se ha completado o est en curso
2.1 Plan/agenda para firmar acuerdos de usuario
2.2 Personal que tiene acuerdos firmados
Atributo
1.1 Personal identificado en el plan
1.2 Estado del personal con respecto a la formacin
2.1 Personal identificado en el plan para firmar
2.2 Estado del personal respecto de la firma de acuerdos
Medida Base
1.1 Nmero de empleados planificados hasta la fecha
1.2 Nmero de empleados que han firmado
2.1 Nmero de empleados planificados para firmar hasta la fecha
2.2 Nmero de empleados que han firmado hasta la fecha
Mtodo de Medicin
1.1 Contar el nmero de empleados agendados para firmar y completar
la formacin hasta la fecha
1.2 Preguntar al responsable por el porcentaje del personal que ha
completado la formacin y ha firmado
2.1 Contar el nmero de empleados agendados para firmar hasta la
fecha
2.2 Contar el nmero de empleados que han firmado el acuerdo de
usuario
1.1 Objetivo
1.2 Subjetivo
2.1 Objetivo
2.2 Objetivo
Escala
1.1 Enteros de cero a infinito
1.2 Enteros de cero a cien
Tipo de escala
1.1 Ordinal
1.2 Razn
2.1 Ordinal
2.2 Ordinal
Unidad de Medida
1.1 Personal
1.2 Porcentaje
2.1 Personal
2.2 Personal
Medida Derivada
1. Progreso hasta la fecha
2. Progreso de firmados hasta la fecha
Funcin de Medicin
1. Agregar el estado a todo el personal que ha firmado, planificado y
por completar hasta la fecha
2. Dividir el personal que ha firmado hasta la fecha por el personal
planificado para firmar hasta la fecha
NORMA TCNICA
PERUANA

Indicador
Modelo
Analtico
NTP-ISO/IEC 27004
49 de 72
a) Estado expresado como una combinacin de razones y

b) Tendencias
a) [(Dividir el progreso hasta la fecha por personal planificado hasta la
fecha) * 100] y progreso hasta la fecha con firmados
b) Comparar el estado con estados anteriores

a) Las razones resultantes deben caer entre 0.9 y 1.1 y entre 0.99 y
1.01 respectivamente para concluir que el objetivo de control se ha
logrado y que no se necesitan acciones y
b) La tendencia debe ser ascendente o estable
La interpretacin del indicador a) debe realizarse como sigue:
-El criterio de la organizacin para el cumplimiento con la poltica de
concientizacin en seguridad de la organizacin se ha logrado en
forma satisfactoria en 0.91er razn1.1 y 0.992da razn1.01;
correspondientes a la fuente estndar
-El criterio de la organizacin no se ha logrado satisfactoriamente entre
[1er razn<0.9 o 1er razn>1.01] y 0.992da razn1.01;
correspondiente a fuente itlica
-El criterio de la organizacin no se ha logrado entre [2da razn<0.99
o 2da razn>1.01]; correspondiente a fuente en negrita
La interpretacin del indicador b) debe realizarse como sigue:
-Una tendencia ascendente indica una mejora en el cumplimiento, una
tendencia descendente indica un deterioro en el cumplimiento. El
grado de cambio de la tendencia puede proveer una idea de la
efectividad de la implementacin del control. Cambios bruscos en
cualquier direccin indica que la implementacin del control requiere
un examen cercano para determinar la causa. Las tendencias negativas
pueden requerir intervencin de la gerencia. Las tendencias positivas
deben ser examinadas para identificar buenas prcticas potenciales.
Formatos de reporte
Fuente estndar = el criterio ha sido logrado satisfactoriamente
Fuente itlica = el criterio no ha sido logrado satisfactoriamente
Fuente negrita = el criterio no ha sido logrado
Partes interesadas
Gerentes responsables del SGSI. Gerente de seguridad. Gerente de
capacitacin
Gerente de Seguridad
Oficial de Seguridad de la Informacin y Gerente de capacitacin
Gerente de capacitacin - Departamento de Recursos Humanos
Comunicador de la informacin Gerentes responsables del SGSI
Frecuencia/Perodo
Frecuencia de la Recoleccin de Mensualmente, el primer da laboral del mes.
datos
Trimestral
Datos
Trimestral
Revisin anual
Perodo de Medicin
Anual
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
50 de 72
B.2
Polticas de contraseas
B.2.1
Calidad de las contraseas - manual

Calidad de las contraseas
Medicin
Evaluar la calidad de las contraseas utilizadas por los usuarios para
Medicin
acceder a los sistemas de TI de la organizacin
Evitar que el usuario selecciones contraseas poco seguras
A.11.3.1 Se debe exigir a los usuarios el cumplimiento de buenas
prcticas de seguridad en la seleccin y uso de las contraseas.
Implementacin
Todos los usuarios deben seleccionar, para cada sistema, contraseas
slidas que:
1) su largo sea superior a 8;
2) no se basen en algo que alguien pueda adivinar
fcilmente o usando informacin relacionada con la
persona, por ejemplo, nombres, nmeros telefnicos,
fechas de nacimiento, etc.;
3) no se trata de palabras incluidas en los diccionarios;
4) libres de caracteres idnticos sucesivos ya sean todos
numricos o alfabticos;
Todas las cuentas de usuario y contraseas para los sistemas de TI de
la organizacin deben ser controladas por el sistema empleado.
Base de datos de contraseas de usuario
Atributo
Contraseas individuales
Especificacin de la Medida Base
Medida Base
1 Nmero de contraseas registradas
2 Nmero de contraseas que cumplen la poltica de calidad de
contraseas de la organizacin para cada usuario.
Mtodo de Medicin
1 Contar el nmero de contraseas en la base de datos de contraseas
de usuarios
2 Preguntar a cada usuario sobre el nmero de contraseas que
cumplen la poltica de contraseas de la organizacin
1 Objetivo
2 Subjetivo
Escala
1 Enteros de cero a infinito
Tipo de escala
1 Ordinal
2 Ordinal
Unidad de Medida
1 Contraseas
2 Contraseas
Medida Derivada
Total de nmero de contraseas que cumplen la poltica de calidad de
contraseas de la organizacin
Funcin de Medicin
de [Total de nmero de contraseas que cumplen la poltica de
calidad de contraseas de la organizacin para cada usuario]
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
51 de 72

Indicador
a) Ratio de contraseas que cumplen la poltica de calidad de

contraseas de la organizacin.
b) Tendencias de la situacin de cumplimiento en relacin con la
poltica de calidad de contraseas.
Modelo
a) Dividir [Nmero total de contraseas que cumplen la poltica de
Analtico
calidad de contraseas de la organizacin] por [Nmero de contraseas
registradas].
b) Comparar el ratio con el ratio previo.
Si el ratio resultante es superior a 0,9 se ha alcanzado el objetivo de
control y no se requiere ninguna accin. Si el ratio resultante es de
entre 0,8 y 0,9 el objetivo de control no se logra, pero la tendencia
positiva indica mejora. Si el ratio resultante es inferior a 0,8 se
deberan tomar acciones inmediatas.
La interpretacin del indicador a) debera ser la siguiente:
El criterio de la organizacin para el cumplimiento de la poltica de
contraseas de la organizacin se ha logrado satisfactoriamente en los
ratios > 0,9.
contraseas de la organizacin no se ha logrado satisfactoriamente en
[0,8 ratio 0,9].
contraseas de la organizacin no se ha logrado en los ratios < 0,8.
La interpretacin del indicador b) debera ser la siguiente:
La tendencia al alza indica un mejor cumplimiento, tendencia a la baja
indica el deterioro del cumplimiento.
El grado de cambio de tendencia puede dar una idea de la eficacia de
los controles implantados.
Tendencia negativa puede requerir ms controles, tales como
concientizacin, o medios tcnicos para forzar la seleccin de
contraseas robustas o cambiar las contraseas peridicamente.
Las tendencias positivas deberan ser examinadas para estimar los
medios necesarios para cumplir con la poltica de contraseas desde el
ratio actual.
El efecto/impacto de los criterios no cumplidos incrementa el riesgo de
violaciones a la confidencialidad.
Entre las posibles causas de desviacin se encuentra, la falta de
concientizacin en seguridad, deficiencias en la implementacin
tcnica y la falta de tiempo para la implementacin en todos los
sistemas de TI.
Formatos de reporte
La lnea de tendencia que muestra el nmero de contraseas conforme
con la poltica de calidad de contraseas de la organizacin,
superpuestas con las lneas de tendencia producidas durante los
periodos anteriores.
Partes interesadas
Gerentes responsables del SGSI. Gerente de seguridad.
Gerente de seguridad.
Administrador de sistema.
Personal de seguridad.
Comunicador de la informacin Personal de seguridad.
NORMA TCNICA
PERUANA
Frecuencia/Perodo
datos
Datos
Perodo de Medicin
B.2.2
NTP-ISO/IEC 27004
52 de 72
Anual.
Anual.
Anual.
Revisin y actualizacin todos los aos
Anual.
Calidad de las contraseas - automatizado

Calidad de las contraseas
Medicin
Especfico de la organizacin.
Evaluar la calidad de las contraseas utilizadas por los usuarios para
Medicin
acceder a los sistemas de TI de la organizacin
Evitar que el usuario seleccione contraseas poco seguras
A.11.3.1 Se debe exigir a los usuarios el cumplimiento de buenas
prcticas de seguridad en la seleccin y uso de las contraseas.
Implementacin
Todos los usuarios deben seleccionar, para cada sistema, contraseas
slidas que:
a. su largo sea superior a 8;
b. no se basen en algo que alguien pueda adivinar
fcilmente o usando informacin relacionada con la
persona, por ejemplo, nombres, nmeros telefnicos,
fechas de nacimiento, etc.;
c. no se trata de palabras incluidas en los diccionarios;
d. libres de caracteres idnticos sucesivos ya sean todos
numricos o alfabticos;
Todas las cuentas de usuario y contraseas para los sistemas de TI de
la organizacin deben ser controladas por el sistema empleado.
La robustez de la contrasea debe ser examinada por un software de
craqueo de contrasea.
Base de datos de cuentas de sistemas de empleados
Atributo
Contraseas individuales almacenadas en registros de cuentas de
sistemas de empleados
Medida Base
1 Nmero total de contraseas.
2 Nmero total de contraseas no craqueables.
Mtodo de Medicin
1 Ejecutar una consulta sobre los registros de cuentas de empleados.
2 Ejecutar un software de craqueo de contraseas sobre los registros de
cuentas de empleados usando ataques hbridos.
1 Objetivo
2 Objetivo
Escala
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
53 de 72
Tipo de escala
1 Ordinal
2 Ordinal
Unidad de Medida
1 Contraseas
2 Contraseas
Medida Derivada
Ninguna
Funcin de Medicin
Ninguna
Indicador
a) Ratio de contraseas craqueables en 4 horas.
b) Tendencia del ratio a).
Modelo
a) Dividir [Nmero de contraseas no craqueables] por [Nmero total
Analtico
de contraseas].
b) Comparar el ratio con el ratio previo.
Si el ratio resultante es superior a 0,9 se ha alcanzado el objetivo de
control y no se requiere ninguna accin. Si el ratio resultante es de
entre 0,8 y 0,9 el objetivo de control no se logra, pero la tendencia
positiva indica mejora. Si el ratio resultante es inferior a 0,8 se
deberan tomar acciones inmediatas.
contraseas de la organizacin se ha logrado satisfactoriamente en los
ratios > 0,9.
contraseas de la organizacin no se ha logrado satisfactoriamente en
[0,8 ratio 0,9].
contraseas de la organizacin no se ha logrado en los ratios < 0,8.
La interpretacin del indicador b) debera ser la siguiente:
La tendencia al alza indica un mejor cumplimiento, tendencia a la baja
indica el deterioro del cumplimiento.
El grado de cambio de tendencia puede dar una idea de la eficacia de
los controles implantados.
Tendencia negativa puede requerir ms controles, tales como
concientizacin, o medios tcnicos para forzar la seleccin de
contraseas robustas o cambiar las contraseas peridicamente.
Las tendencias positivas deberan ser examinadas para estimar los
medios necesarios para cumplir con la poltica de contraseas desde el
ratio actual.
El efecto/impacto de los criterios no cumplidos incrementa el riesgo de
comprometer la contrasea lo que puede conducir al acceso no
autorizado de sistemas.
Entre las posibles causas de desviacin se encuentra, la falta de
concientizacin en seguridad, deficiencias en la implementacin
tcnica y la falta de tiempo para la implementacin en todos los
sistemas de TI.
Formatos de reporte
La lnea de tendencia que representa la facilidad de craquear la
contrasea para todos los registros probados, superpuestas con las
lneas de tendencia producidas durante pruebas anteriores.
NORMA TCNICA
PERUANA
Partes interesadas
Frecuencia/Perodo
datos
Datos
Perodo de Medicin
NTP-ISO/IEC 27004
54 de 72

Semanal.
Semanal.
Semanal.
Revisin y actualizacin todos los aos
Aplicable a los 3 aos.
NORMA TCNICA
PERUANA
B.3
NTP-ISO/IEC 27004
55 de 72

Medicin
Evaluar el grado de realizacin de una revisin independiente de la
Medicin
Gestionar la seguridad de la informacin dentro de la organizacin
A.6.1.8 El enfoque de la organizacin para la gestin de la seguridad

de la informacin y su implementacin (es decir, objetivos de control,
controles, polticas, procesos y procedimientos para seguridad de la
informacin) se debe revisar independientemente a intervalos
planificados, o cuando ocurran cambios significativos en la
implementacin de la seguridad.
(Implementacin)
El enfoque de la organizacin para la gestin de la seguridad de la
informacin y su implementacin es revisado por un consultor de
seguridad externo trimestralmente.

1 Informes de las revisiones de terceras partes
2 Planes de las revisiones de terceras partes
Atributo
1 Revisiones de terceras partes informadas
2 Revisiones de terceras partes planificadas
Medida Base
1 Nmero de revisiones de terceras partes llevadas a cabo.
2 Nmero total de revisiones de terceras partes planificadas.
Mtodo de Medicin
1 Contar el nmero de informes de revisiones peridicas realizadas por
terceras partes.
2 Contar el nmero total de revisiones de terceras partes planificadas.
1 Objetivo
2 Objetivo
Escala
Tipo de escala
1 Ordinal
2 Ordinal
Unidad de Medida
1 Revisin
2 Revisin
Medida Derivada
Ninguna
Funcin de Medicin
Ninguna
Indicador
Ratio de progreso de revisiones independientes llevadas a cabo
Modelo
Dividir [Nmero de revisiones de terceras partes llevadas a cabo] por
Analtico
[Total de nmero de revisiones de terceras partes planificadas].
El ratio resultante del indicador debera caer primariamente entre 0,8 y
1,1 para concluir que el objetivo de control se ha logrado y no se
requiera accin. Si no cumple la condicin primaria debera estar sobre
0,6.
NORMA TCNICA
PERUANA
Formatos de reporte
Partes interesadas
Frecuencia/Perodo
datos
Datos
Perodo de Medicin
NTP-ISO/IEC 27004
56 de 72
La interpretacin del indicador debera ser la siguiente:

El criterio de la organizacin para gestionar la seguridad de la
informacin dentro de la organizacin a travs de revisiones de
terceras partes ha sido logrado satisfactoriamente en [0,8 ratio 1,1].
El criterio de la organizacin no se ha logrado satisfactoriamente en
[0.6 ratio<0.8 o ratio>1.1]. Se requiere seguimiento
para asegurar que se realice la mejora adecuada.
El criterio de la organizacin no se ha logrado en [0 ratio<0.6]. Se
requiere intervencin inmediata para asegurar que se realice la mejora
adecuada.
Si al final del segundo trimestre, el indicador a) no es satisfactorio, es
necesaria una accin correctiva y debera comunicarse a la gerencia
responsable del SGSI. Si al final del ao el indicador a) no es
satisfactorio, la alta direccin tiene que ser informada y debera
solicitrsele apoyo.
El efecto/impacto de los criterios no cumplidos est en un ineficaz
proceso de revisin de la gestin.
Entre las posibles causas de desviacin se encuentran, bajo
presupuesto, planificacin incorrecta y falta de personal
crtico/compromiso de la direccin.
Grfico de barras que representa el cumplimiento a lo largo de varios
perodos de presentacin de informes en relacin con los umbrales
definidos por los criterios de decisin.
Gerentes responsables del SGSI. Responsable del Sistema de Calidad.
Gerentes responsables del SGSI.
Auditora interna. Gerente de Calidad.
Auditora interna. Gerente de Calidad. Gerentes responsables del
SGSI.
Trimestral.
Trimestral.
Trimestral.
Revisin y actualizacin cada 2 aos
Aplicable a los 2 aos.
B.4
Mejora continua del SGSI
B.4.1
Efectividad de la Gestin de Incidentes de Seguridad de la Informacin

Efectividad de la Gestin de Incidentes de Seguridad de la
Informacin
Medicin
NORMA TCNICA
PERUANA
Medicin
Atributo
Medida Base
Mtodo de Medicin
NTP-ISO/IEC 27004
57 de 72
Evaluar la efectividad de la gestin de incidentes de seguridad de la
informacin
Posibilitar la deteccin temprana de eventos de seguridad y dar
respuesta a los incidentes de seguridad.
Apartado 4.2.2 h) [27001:2005]
SGSI.
Incidentes individuales.
Nmero pre-determinado como umbral.

Contar las ocurrencias de incidentes de seguridad de la informacin
reportadas por fecha
Objetivo
Escala
Numrica
Tipo de escala
Ordinal
Unidad de Medida
Incidentes
Medida Derivada
Incidentes que exceden el umbral
Funcin de Medicin
Comparacin del nmero total de incidentes con el umbral.
Indicador
Grfico de lnea que representa la lnea horizontal constante que ilustra
el umbral contra el nmero total de incidentes durante varios perodos
examinados.
Rojo cuando el nmero total de incidentes supera el umbral (supera la
Modelo
Analtico
lnea); amarillo cuando el nmero total de incidentes est dentro del
10% del umbral; verde cuando el nmero total de incidentes es inferior
al umbral en 10% o ms.
Rojo se requiere una investigacin inmediata de las causas del
aumento del nmero de incidentes. Amarillo Los nmeros necesitan
ser controlados estrechamente y debera iniciarse una investigacin si
los nmeros no estn mejorando. Verde - no se requieren acciones.
Si se observan rojos en dos ciclos de presentacin de informes, se
requiere una revisin de los procedimientos de gestin de incidentes
para corregir los procedimientos existentes o para identificar
procedimientos adicionales. Si la tendencia no se invierte durante los
prximos dos perodos de presentacin de informes se requieren
medidas correctivas, como la de proponer la ampliacin del alcance
del SGSI.
Formatos de reporte
Grfico de lneas.
Partes interesadas
Comit de gestin del SGSI.
Gerente de Incidentes.
Gerencia de gestin de incidentes.
Comunicador de la informacin Comit de gestin del SGSI.
Frecuencia/Perodo
NORMA TCNICA
PERUANA
datos
Datos
Perodo de Medicin
B.4.2
NTP-ISO/IEC 27004
58 de 72
Mensual.
Mensual.
Mensual.
Semestral.
Mensual.

Implementacin de acciones correctivas
Medicin
Evaluar el desempeo de la implementacin de acciones correctivas
Medicin
Apartado 8.2 [27001:2005]. Accin correctiva.
La organizacin debe emprender acciones para eliminar la causa de no
conformidades asociadas con los requisitos del SGSI, con el fin de
prevenir que ocurran nuevamente.
El procedimiento documentado para la accin correctiva debe definir
requisitos para:
a) identificar las no conformidades;
b) determinar las causas de las no conformidades;
c) evaluar la necesidad de acciones que aseguren que las no
conformidades no vuelven a ocurrir;
d) determinar e implementar la accin correctiva necesaria;
e) registrar los resultados de la accin tomada (vase el apartado
4.3.3); y
f) revisar la accin correctiva tomada.
(implementacin)
La organizacin determina las acciones correctivas necesarias, y emite
el informe de accin correctiva documentando la informacin acerca
de la no conformidad, sus causas y la fecha de vencimiento de las
acciones correctivas que deban adoptarse.
Al recibir el informe, es necesario que el gerente responsable del rea
donde la no conformidad fue detectada se asegure que se adopten, sin
demora, acciones para eliminar las no conformidades detectadas y sus
causas.
Si la accin correctiva no se ha implementado como se ha requerido, la
causa de la no implantacin tiene que ser identificada, as como las
alternativas a la accin correctiva original determinada como
apropiada.
Deberan estar documentados las acciones adoptadas con la fecha
correspondiente y los resultados. Si la accin correctiva no se aplica
segn lo previsto las razones y las acciones alternativas tienen que ser
documentadas. El informe debera ser proporcionado al Gerente de
Seguridad de la Informacin.
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
59 de 72

Informes de acciones correctivas
Atributo
Fechas de vencimiento de las acciones correctivas en el informe
Fechas de adopcin de las acciones correctivas registradas en el
informe
Razones de demoras y acciones no tomadas
Medida Base
1. Nmero de acciones correctivas planificadas hasta la fecha.
2. Nmero de acciones correctivas implementadas segn lo planificado
hasta la fecha.
3. Nmero de acciones correctivas que no se han implementado con
justificacin, hasta la fecha.
Mtodo de Medicin
1. Contar las acciones correctivas planificadas hasta la fecha.
2. Contar las acciones correctivas registradas como implementadas por
fecha de vencimiento
3. Contar las acciones correctivas registradas como acciones
planificadas no tomadas con la justificacin
1-3 Objetivo
Escala
1-3 Enteros de cero a infinito
Tipo de escala
1-3 Ordinal
Unidad de Medida
1-3 Acciones correctivas
Medida Derivada
a) Acciones correctivas no implementadas hasta la fecha
b) Acciones correctivas no implementadas sin justificacin legtima
Funcin de Medicin
a) Restar [acciones correctivas tomadas segn lo planificado hasta la
fecha] de
[acciones correctivas planificadas hasta la fecha]
b) Restar [acciones correctivas no implementadas hasta la fecha] de
[acciones correctivas no tomadas segn lo planificado, con
justificacin, hasta la fecha]
Indicador
a) Estado, expresado como ratio, de las acciones correctivas no
implementadas.
b) Estado, expresado como ratio, de las acciones correctivas no
implementadas sin justificacin.
Modelo
a) Dividir [Acciones correctivas no implementadas hasta la fecha] por
Analtico
[Acciones correctivas planificadas hasta la fecha].
b) Dividir [Acciones correctivas no implementadas sin justificacin]
por [Acciones correctivas planificadas hasta la fecha].
c) Comparar los estados con los estados previos.
Para concluir el logro de los objetivos y no requerir accin, los ratios
de los indicadores a) y b) deberan situarse, respectivamente, entre el
0,4 y 0,0 y entre 0,2 y 0,0, y la tendencia del indicador c) debera haber
disminuido en los ltimos 2 perodos reportados. El indicador c)
debera presentarse en comparacin con los indicadores anteriores,
para que la tendencia en la implementacin de acciones correctivas
pueda ser examinada.
NORMA TCNICA
PERUANA
Formatos de reporte
Partes interesadas
Frecuencia/Perodo
datos
Datos
Perodo de Medicin
NTP-ISO/IEC 27004
60 de 72
La interpretacin de los indicadores a) y b) debera ser la siguiente:

Las acciones correctivas planificadas deben implementarse a menos
que las prioridades de la organizacin hayan cambiado lo que
determina la necesidad de implementar acciones correctivas diferentes
o la reorientacin de los recursos destinados a la implementacin de
acciones correctivas. Si ms del 40% de las acciones correctivas no
estn implementadas independientemente de la justificacin, es
necesario adoptar medidas de gestin. Si ms del 20% de las acciones
correctivas no estn implementadas sin una buena razn, es necesario
adoptar medidas de gestin.
Las acciones correctivas que no se hayan implementado deberan ser
examinadas para identificar las razones de la no implementacin.
Dependiendo del porcentaje global no implementado y las razones de
la no implementacin, otras medidas pueden ser necesarias.
La interpretacin del indicador c) debera ser la siguiente:
La tendencia sobre la implementacin de las acciones correctivas
debera ser examinada por un deterioro global en el desempeo o una
mejora significativa en el desempeo.
Si el porcentaje de acciones correctivas implementadas ha ido
disminuyendo en los ltimos 2 perodos reportados, es necesario
adoptar medidas de gestin, independientemente de las razones de su
incumplimiento.
El efecto/impacto de los criterios no cumplidos est en una potencial
falta de mejora continua del SGSI.
Las posibles causas pueden incluir la falta de recursos, incorrecta
planificacin y la falta de personal crtico y compromiso de la
direccin.
Grfico de barras apiladas con la declaracin de los resultados de
medicin, incluyendo un resumen ejecutivo con las conclusiones y
posibles acciones de gestin, que represente el nmero total de
acciones correctivas, separadas en implementadas, no implementadas
sin una razn legtima, y no implementada con una razn legtima.
Gerentes responsables del SGSI. Gerente de Seguridad de la
Informacin.
Trimestral.
Trimestral.
Trimestral.
Revisin anual
Aplicable 1 ao.
NORMA TCNICA
PERUANA
B.5
NTP-ISO/IEC 27004
61 de 72

Frecuencia de la revisin por la direccin
Medicin
Evaluar el compromiso de la direccin y las actividades de revisin de
Medicin
la seguridad de la informacin relativas a las actividades de revisin
por la direccin
A.6.1 Gestionar la seguridad de la informacin dentro de la
organizacin (planificado).
Gestionar la seguridad de la informacin dentro de la organizacin a
travs de peridicas revisiones por la direccin.
A.6.1.1 Compromiso de la direccin con la seguridad de la
informacin
La direccin debe apoyar activamente la seguridad dentro de la
organizacin a travs de una orientacin clara, compromiso
demostrado, y la asignacin explcita de las responsabilidades de
seguridad de la informacin y su reconocimiento.
(implantacin)
La organizacin debe mantener reuniones de revisin por la direccin
mensualmente para apoyar a la seguridad dentro de la organizacin a
travs de una orientacin clara, compromiso demostrado, y la
asignacin explcita de las responsabilidades de seguridad de la
informacin y su reconocimiento.
La revisin por la direccin del SGSI debera combinarse con la
revisin por la direccin del SGC.
A.6.1.2 Coordinacin de la seguridad de la informacin
Las actividades referentes a la seguridad de la informacin deben estar
coordinadas por representantes de diferentes partes de la organizacin
con funciones y roles pertinentes.
(implantacin)
Los representantes de los diferentes departamentos que ocupan roles
de relevancia y tienen responsabilidades deberan coordinar y
participar en la revisin por la direccin.
1. Plan/cronograma de revisin por la direccin de la seguridad de la
informacin.
2. Registro de minutas de revisin por la direccin
Atributo
1.1 Fechas de las reuniones de revisin por la direccin previstas en el
plan
1.2 Planificacin de los gerentes para atender las reuniones de revisin
por la direccin
2.1 Fechas de las reuniones de revisin por la direccin registradas en
las minutas de reunin
2.2 Registro de asistencia de los gerentes a las reuniones de revisin
por la direccin
Medida Base
1.1 Nmero de reuniones de revisin por la direccin planificadas
hasta la fecha
1.2 Nmero planificado de gerentes que asistirn a las reuniones de
revisin por la direccin
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
62 de 72
2.1.1 Nmero de reuniones de revisin por la direccin planificadas

mantenidas hasta la fecha
2.1.2 Nmero de reuniones de revisin por la direccin no planificadas
2.1.3 Nmero de reuniones de revisin por la direccin re-planificadas
hasta la fecha
2.2 Nmero de gerentes que han asistido a las reuniones de revisin
por la direccin hasta la fecha
Mtodo de Medicin
1.1 Contar las reuniones de revisin por la direccin planificadas hasta
la fecha
1.2 Por reuniones de revisin por la direccin hasta la fecha, contar
gerentes planificados para asistir y aadir una nueva entrada con el
valor por defecto para las reuniones no planificadas realizadas de
forma ad-hoc
2.1.1 Contar reuniones de revisin por la direccin planificadas
2.1.2 Contar reuniones de revisin por la direccin no planificadas
2.1.3 Contar reuniones de revisin por la direccin re-planificadas
hasta la fecha
2.2 Para todas la reuniones de revisin por la direccin que han sido
mantenidas, contar el nmero de gerentes que ha asistido.
1.1 Objetivo
1.2 Objetivo o subjetivo
2.1.1 Objetivo
2.1.2 Objetivo
2.1.3 Objetivo
2.2 Objetivo.
Escala
2.1.1 Enteros de cero a infinito
Tipo de escala
1.1 Ordinal
1.2 Ordinal
2.1.1 Ordinal
2.1.2 Ordinal
2.1.3 Ordinal
2.2 Ordinal
Unidad de Medida
1.1 Reuniones
1.2 Personal
2.1.1 Reuniones
2.1.2 Reuniones
2.1.3 Reuniones
2.2 Personal
Medida Derivada
a) Nmero de reuniones de revisin por la direccin mantenidas hasta
la fecha
b) Ratio de participacin en las reuniones de revisin por la direccin
Funcin de Medicin
a)Sumar [nmero de reuniones de revisin por la direccin
planificadas hasta la fecha] y [nmero de reuniones de revisin por la
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
63 de 72
direccin no planificadas hasta la fecha] y [nmero de reuniones de

revisin por la direccin re-planificadas hasta la fecha]
b) Para cada reunin de revisin por la direccin dividir [nmero de
gerentes que ha asistido a la reunin de revisin por la direccin] por
[nmero de gerentes planificado para asistir a la reunin de revisin
por la direccin]
Indicador
a) Reuniones de revisin por la direccin completadas hasta la fecha.

b) Ratios promedios de participacin en las reuniones de revisin por
la direccin hasta la fecha.
Modelo
a) Dividir [reuniones de revisin por la direccin mantenidas] por
Analtico
[reuniones de revisin por la direccin planificadas].
b) Calcular la desviacin media y estndar de todos los ratios de
participacin en las reuniones de revisin por la direccin.
El ratio resultante del indicador a) debera situarse entre 0.7 y 1.1 para
concluir que el objetivo de control se ha alcanzado y que no se
requiere ninguna accin. Incluso si esto falla, debera estar sobre 0,5
para celebrar un menor logro.
Con respecto al indicador b), los lmites de confianza calculados sobre
la base de la desviacin estndar indican la probabilidad de que se
alcance un resultado prximo al promedio de participacin. Lmites de
confianza muy amplios sugieren una salida potencialmente grande y la
necesidad de un plan de contingencia para hacer frente a este resultado.
El criterio de la organizacin para la gestin de la seguridad de la
informacin dentro de la organizacin a travs de revisiones por la
direccin se ha logrado satisfactoriamente en [0,7 ratio 1,1]
El criterio de la organizacin no se ha logrado satisfactoriamente en
[0,5 ratio < 0,7 o ratio > 1,1]. Este resultado puede indicar posible
prdida de compromiso de la direccin y puede requerir una accin
correctiva. Los resultados de mediciones posteriores deberan ser
supervisados y evaluados para la mejora
El criterio de la organizacin no se ha logrado en [0 ratio < 0,5]. Este
resultado indica la falta de compromiso de la direccin y requiere una
intervencin inmediata para poner en prctica una accin correctiva
apropiada. La alta direccin debe ser notificada del resultado. Un ratio
cercano a 0 puede indicar la falta de compromiso de la alta direccin.
Si los gerentes responsables del SGSI no ven las revisiones del SGSI
por la direccin como una prioridad, puede estar influenciado por la
alta direccin.
Los efectos / impactos de los criterios no alcanzados son la posible
falta de un continuo y efectivo proceso de revisin por la direccin.
Entre las posibles causas de la desviacin en el indicador b) puede
incluirse la planificacin incorrecta, insuficiente compromiso de los
gerentes responsables del SGSI, prioridades encontradas o sobrecarga
de trabajo sobre los gerentes responsables del SGSI.
NORMA TCNICA
PERUANA
Formatos de reporte
Partes interesadas
Frecuencia/Perodo
datos
Datos
Perodo de Medicin
B.6
NTP-ISO/IEC 27004
64 de 72
Grfico de lneas que representan el indicador con los criterios sobre la

recoleccin de datos y varios periodos de informacin con la
declaracin de los resultados de la medicin. El nmero de datos
recogidos y los periodos de informacin deberan ser definidos por la
organizacin.
Gerentes responsables del SGSI. Responsable del Sistema de Calidad.
Autoridad sobre el programa de auditora interna del SGSI.
Responsable del Sistema de Calidad.
Responsable de los sistemas de gestin conjunta, SGC y SGSI.
Gerente de Calidad. Gerente de Seguridad de la Informacin
Gerente de Seguridad de la Informacin. Gerente de Calidad.
Mensual.
Trimestral.
Trimestral.
Aplicable 2 aos.
Proteccin contra Cdigo Malicioso

Proteccin contra cdigo malicioso
Medicin
Evaluar la eficacia del sistema de proteccin contra software malicioso
Medicin
y ataques de software.
Objetivo de control A.10.4 [27001:2005]. Proteger la integridad del
software y la informacin.
(planificado)
Proteger la integridad del software y la informacin de software
maliciosos.
Control 10.4.1 [27001:2005]. Controles contra cdigo malicioso.
Deben implantarse controles de deteccin, prevencin y recuperacin
para protegerse contra cdigos maliciosos, junto a procedimientos
adecuados para concientizar a los usuarios.
1 Reportes de incidentes
2 Registros del software de salvaguarda contra el software malicioso
Atributo
Incidentes causados por software malicioso
Medida Base
1 Nmero de incidentes de seguridad causados por software malicioso.
2 Total de ataques bloqueados causados por software malicioso.
Mtodo de Medicin
1 Contar el nmero de incidentes de seguridad causados por software
malicioso en el Reporte de incidentes.
2 Contar el nmero de registros de ataques bloqueados
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
65 de 72
1 Objetivo
2 Objetivo
Escala
Tipo de escala
1 Ordinal
2 Ordinal
Unidad de Medida
1 Incidentes de seguridad
2 Registros
Medida Derivada
Fortaleza de la proteccin contra software malicioso.
Funcin de Medicin
Nmero de incidentes de seguridad causados por software
malicioso/nmero de ataques detectados y bloqueados causados por
software malicioso.
Indicador
Tendencia de los ataques detectados que no fueron bloqueadas durante
varios perodos reportados.
Modelo
Comparar el ratio con el porcentaje previo.
Analtico
Las lneas de tendencia deberan mantenerse bajo el nmero
especificado. La tendencia resultante debera ser a la baja o constante.
Una tendencia al alza indica deterioro del cumplimiento, una tendencia
a la baja indica mejora del cumplimiento; y cuando la tendencia se
eleva notablemente, debera ser necesaria la investigacin de la causa y
espacio para salvaguardas adicionales.
Formatos de reporte
Lnea de tendencia que representa ratio de deteccin y prevencin de
software malicioso junto a las lneas generadas durante los periodos
anteriores reportados.
Partes interesadas
Gerente de seguridad; Administrador de sistema; Administrador de
red.
Comunicador de la informacin Coordinacin del servicio.
Frecuencia/Perodo
Frecuencia de la Recoleccin de Diaria.
datos
Mensual.
Datos
Mensual.
Revisin anual
Perodo de Medicin
Aplicable 1 ao.
NORMA TCNICA
PERUANA
B.7
NTP-ISO/IEC 27004
66 de 72
Controles de Acceso Fsico

Controles de Acceso Fsico mediante tarjetas de acceso
Medicin
Demostrar la existencia, alcance y calidad del sistema utilizado para el
Medicin
control de acceso.
Objetivo de control A.9.1 [27001:2005]. Evitar accesos fsicos no
autorizados, daos e interferencias contra las instalaciones y la
informacin de la organizacin.
Control A.9.1.2 [27001:2005]. Controles de acceso fsico. Las reas
seguras deben estar protegidas por controles de entrada apropiados que
aseguren que slo se permite el acceso a personal autorizado.
Atributo
Medida Base
Mtodo de Medicin
reas seguras
Registros de la gestin de identidad.
Control de acceso fsico mediante tarjetas de acceso.

Mtodo de medicin relativo donde cada nivel es una parte del nivel
anterior. Controlar el tipo de sistema de control de acceso e
inspeccionar los siguientes aspectos:
- Sistema de control de acceso mediante tarjeta existente;
- uso del cdigo PIN;
- Registro de funcionalidad;
- Autenticacin biomtrica.
Subjetivo
Escala
0-5
0 No hay sistema de control de acceso.
1 Existe un sistema de acceso donde se utiliza un cdigo PIN
(sistema de un factor) para control de entrada.
2 Existe un sistema de control de acceso mediante tarjeta donde se
utiliza la tarjeta de acceso (sistema de un factor) para control de
entrada.
3 Existe un sistema de control de acceso mediante tarjeta donde se
utiliza la tarjeta de acceso y un cdigo PIN para control de entrada.
4 Los controles previos + registro de funcionalidad activado.
5 Los controles previos + el cdigo PIN es remplazado por
autenticacin biomtrica (huellas digitales, reconocimiento de voz,
escaneo de retina, etc.).
Tipo de escala
Ordinal
Unidad de Medida
N/A
Medida Derivada
Ninguna
Funcin de Medicin
ninguna
Indicador
Barra de progreso. Rojo hasta 0,8, Verde entre 0,8 y 1.
Modelo
Anlisis de las medidas.
Analtico
Valor 3 = satisfactorio.
NORMA TCNICA
PERUANA
Formatos de reporte
Partes interesadas
Frecuencia/Perodo
datos
Datos
Perodo de Medicin
B.8
NTP-ISO/IEC 27004
67 de 72
Por debajo de 3 insatisfactoria, donde (3 nivel real = brecha de

seguridad), deberan adoptarse medidas basadas en la magnitud de la
brecha de seguridad. Por encima de 3 satisfactoria con excelencia, lo
que puede indicar exceso de inversin sobre posibles medidas.
Graficas.
Comit de direccin.
Auditor interno / auditor externo.
Responsable edilicio.
Auditor interno / auditor externo.
Auditora interna y Gerencia de Seguridad.
Anual.
Anual.
Anual.
12 meses
Aplicable 12 meses.
Revisin de archivos de registro

Revisin de archivos de registro(logs)
Medicin
Identificador numrico nico especfico de la organizacin
Evaluar el estado de conformidad de las revisiones regulares a los
Medicin
archivos de registro (logs) de sistemas crticos.
Objetivo de control
Objetivo de Control A.10.10 [27001:2005]. Detectar actividades de
procesamiento de informacin no autorizadas.
(planificado)
Detectar actividades de procesamiento de informacin no autorizadas
en sistemas crticos a partir de los sistemas de registros(logs)
Control (1)
Control A.10.10.2 [27001:2005]. Se deben establecer procedimientos
para hacer el seguimiento al uso de las instalaciones de procesamiento
de la informacin se deben revisar regularmente los resultados de las
actividades de seguimiento.
Sistema.
Atributo
Archivo de registro(log) individual
Medida Base
Nmero de archivos de registro (logs).
Mtodo de Medicin
Sume el nmero total de archivos de registro que figuran en la lista de
registros de revisin
Objetivo.
Escala
Enteros de cero a infinito.
Tipo de escala
Ordinal.
Unidad de Medida
Archivo de registro(log)
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
68 de 72
Medida Base
Mtodo de Medicin
Nmero de archivos de registro (logs) revisados.

Sume el nmero total de archivos de registro para todos los sistemas
dentro del alcance del SGSI
Objetivo.
Escala
Numrica.
Tipo de escala
Ratio.
Unidad de Medida
Medida Base
Nmero de sistemas dentro del alcance del SGSI.
Mtodo de Medicin
Nmero de identificacin de los archivos de registro (logs) revisados.
Objetivo.
Escala
Numrica.
Tipo de escala
Ratio.
Unidad de Medida
Medida Derivada
Porcentaje de archivos de registro de auditora revisados cuando es
requerido por perodo de tiempo
Funcin de Medicin
(# de archivos de registro revisados dentro del perodo de tiempo
especificado)/(# total de archivos de registro)*100.
Indicador
Grfica de lneas de la tendencia en un perodo de tiempo del ndice de
revisin de los registros de auditora.
Modelo
Es deseable una tendencia al alza hacia el 100 % .
Analtico
Resultados por debajo de un 20 % deberan ser examinados para
analizar las causas del bajo rendimiento.
Los valores por debajo del valor definido por la organizacin no son
satisfactorios cuando (valor definido por la organizacin - valor real =
brecha de seguridad). Son necesarias acciones basadas en la magnitud
de la brecha de seguridad. Valores por encima del valor definido por la
organizacin pueden indicar exceso de inversin a menos que estos
mecanismos de control de acceso sean requeridos por la evaluacin de
riesgos.
Formatos de reporte
Grfico de lneas que muestra la tendencia con un resumen de los
resultados y cualquier accin de gestin propuesta.
Partes interesadas
Frecuencia/Perodo
Frecuencia de la Recoleccin de Mensual.
datos
Mensual.
Datos
Trimestral.
Perodo de Medicin
Aplicable 2 aos.
NORMA TCNICA
PERUANA
B.9
NTP-ISO/IEC 27004
69 de 72

Medicin
Evaluar el cumplimiento del cronograma de las actividades de
Medicin
mantenimiento en relacin a lo programado.
Objetivo de control
Objetivo de control A.9.2 [27001:2005]. Prevenir prdidas, daos,
hurtos o comprometer los activos as como la interrupcin de las
actividades de la organizacin.
(planificado)
Control (1)
Prevenir prdidas, daos, hurtos o comprometer los activos as como la

interrupcin de las actividades de la organizacin a travs del
mantenimiento peridico de sistemas.
Control A.9.2.4 [27001:2005]. El equipamiento debe recibir el
mantenimiento correcto para asegurar su permanente disponibilidad e
integridad.

1 Plan/cronograma de mantenimientos de sistemas.
2 Registros de mantenimientos de sistemas.
Atributo
1 Fechas del plan/cronograma de mantenimientos de sistemas.
2 Fechas de mantenimientos de sistemas completados.
Especificacin de la Medida Base (1-4)
Medida Base
1 Fechas de mantenimientos programados.
2 Fechas de mantenimientos completados.
3 Nmero total de eventos de mantenimiento planificados.
4 Nmero total de eventos de mantenimiento completados.
Mtodo de Medicin
1 Recoger las fechas programadas del plan de mantenimiento de
sistemas.
2 Recoger las fechas completadas de los registros de mantenimiento de
sistemas.
3 Contar el nmero de eventos de mantenimiento programados en el
plan de mantenimiento de sistemas.
4 Contar registros de mantenimiento.
Objetivo
Escala
1 Tiempo
2 Tiempo
Tipo de escala
1 Lista
2 Lista
3 Ordinal
4 Ordinal
Unidad de Medida
1 Intervalo
2 Intervalo
3 Eventos de mantenimiento
4 Eventos de mantenimiento
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
70 de 72

Medida Derivada
Mantenimientos retrasados por eventos de mantenimiento
completados.
Funcin de Medicin
Para cada evento completado, restar [Fecha de mantenimiento
efectivo] a [Fecha de mantenimiento programado]
Indicador
1 Promedio de mantenimientos retrasados.
2 Ratio de eventos de mantenimiento completados.
3 Tendencia del promedio de mantenimientos retrasados.
4 Tendencia del ratio de eventos de mantenimiento completados.
Modelo
1 Dividir (suma de [Mantenimiento retrasados por eventos de
Analtico
mantenimiento completados]) por [Nmero de eventos de
mantenimientos completados]
2 Dividir [Nmero de eventos de mantenimientos completados] por
[Nmero de eventos de mantenimientos planificados]
3 Comparar indicador 1 en mltiples perodos de tiempo.
4 Comparar indicador 2 en mltiples perodos de tiempo.
1. Especfico de la organizacin, por ejemplo, si el promedio de retraso
se muestra constantemente por sobre 3 das, las causas deben ser
examinados.
2. El ratio de los eventos de mantenimiento completados debera ser
superior a 0,9
3. La tendencia debe ser estable o cercana a 0.
4. La tendencia debe ser estable o al alza.
Los indicadores ayudan a evaluar la calidad del proceso de
mantenimiento de los equipos
Formatos de reporte
Grfica de lneas que muestra la desviacin media del retraso de
mantenimiento, con lneas superpuestas producidas durante los
periodos anteriores y el nmero de sistemas dentro del alcance.
Una explicacin de los resultados y recomendaciones sobre potenciales
acciones de gestin.
Partes interesadas
Frecuencia/Perodo
Frecuencia de la Recoleccin de Anual.
datos
Anual.
Datos
Anual.
Anual.
Perodo de Medicin
Anual.
NORMA TCNICA
PERUANA
B.10
NTP-ISO/IEC 27004
71 de 72
Seguridad en acuerdos con terceras partes

Seguridad en acuerdos con terceras partes
Medicin
Evaluar el grado en que la seguridad es abordada en los acuerdos con
Medicin
terceras partes para personal que procesa informacin.
Objetivo de Control A.6.2 [27001:2005]. Mantener la seguridad de la
informacin de la organizacin y de las instalaciones de procesamiento
de informacin a las que tienen acceso las partes externas, o que son
procesadas, comunicadas o gestionadas por stas.
Control A.6.2.3 [27001:2005]. Los acuerdos con terceros que
involucren acceso,
procesamiento,
comunicacin o gestin de la informacin de la organizacin o de las
instalaciones de procesamiento de informacin, o el agregado de
productos o servicios a las instalaciones de procesamiento de
informacin, deben cubrir todos los requisitos de seguridad
pertinentes.
Acuerdos con terceras partes.
Atributo
Requisitos o clusulas de seguridad dentro de cada acuerdo con
terceras partes.
Medida Base
Nmero de acuerdos con terceras partes.
Mtodo de Medicin
Revisar acuerdos con terceras partes, contar el nmero de acuerdos.
Objetivo
Escala
Enteros de cero a infinito
Tipo de escala
Ordinal
Unidad de Medida
Acuerdos con terceras partes
Medida Base
Nmero de requisitos de seguridad estndar requeridos en acuerdos
con terceras partes.
Mtodo de Medicin
Identificar el nmero de requisitos de seguridad que tienen que ser
considerados en cada acuerdo por poltica.
Objetivo
Escala
Tipo de escala
Ordinal
Unidad de Medida
Requisito
Medida Base
Nmero de requisitos de seguridad considerados en cada acuerdo con
terceras partes.
Mtodo de Medicin
Revisar acuerdos con terceras partes, contar el nmero de requisitos de
seguridad considerados en cada acuerdo.
Objetivo
Escala
Tipo de escala
Ordinal
Unidad de Medida
Requisito
NORMA TCNICA
PERUANA
NTP-ISO/IEC 27004
72 de 72

Medida Derivada
Porcentaje promedio de requisitos de seguridad relevantes
considerados en acuerdos con terceras partes.
Funcin de Medicin
Sumar (por cada acuerdo (nmero de requisitos requeridos nmero
de requisitos considerados)) / nmero de acuerdos.
Indicador
1 Ratio promedio de la diferencia de requisitos estndar y requisitos
considerados.
2 Tendencia del ratio.
Modelo
1 Sumar (para cada acuerdo ([Total de requisitos de seguridad
Analtico
considerados] [Total de requisitos de seguridad estndar]))/[Nmero
de acuerdos con terceras partes].
2 Comparar con el indicador 1 previo.
1 Indicador 1 debera ser mayor que 0,9.
2 Indicador 2 debera ser estable o al alza.
Este indicador proporciona informacin detallada sobre la capacidad
de la contratacin externa para hacer frente a los requisitos de
seguridad.
Formatos de reporte
Grfico de lneas que representan una tendencia a travs de mltiples
perodos reportados. Breve resumen de las conclusiones y las posibles
medidas de gestin.
Partes interesadas
Oficina de contratos.
Frecuencia/Perodo
Frecuencia de la Recoleccin de Mensual.
datos
Trimestral.
Datos
Trimestral.
2 aos.
Perodo de Medicin
Aplicable 2 aos.

Iso-Iec 27004-2012 NTP

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Iso-Iec 27004-2012 NTP

Hochgeladen von

Copyright:

Verfügbare Formate

NORMA TCNICA

Comisin de Normalizacin y de Fiscalizacin de Barreras Comerciales No Arancelarias-INDECOPI

TECNOLOGA DE LA INFORMACIN. Tcnicas de

R.0084-2012/CNB-INDECOPI. Publicada el 2012-10-12

PROHIBIDA LA REPRODUCCIN TOTAL O PARCIAL

ESTRUCTURA DE ESTA NORMA TCNICA PERUANA

VISIN GENERAL SOBRE LA MEDICIN DE LA

DESARROLLO DE MEDIDAS Y MEDICIONES

ANLISIS DE DATOS Y REPORTE DE LOS RESULTADOS

EVALUACIN Y MEJORA DEL PROGRAMA DE

ANEXO A (Informativo) PLANTILLA PARA UN

ANEXO B (Informativo) EJEMPLOS DE CONSTRUCTORES

PROHIBIDA LA REPRODUCCIN TOTAL O PARCIAL

PROHIBIDA LA REPRODUCCIN TOTAL O PARCIAL

CONSEJO NACIONAL DE LA MAGISTRATURA

DELOITTE & TOUCHE S.R.L.

DISTRIBUIDORA MAYORISTA SYMBOL S.A.

INTERNATIONAL ANALYTICAL SERVICE S.A.C.

OFICINA DE NORMALIZACION PREVISIONAL

PONT. UNIV. CATOLICA DEL PERU

PRESIDENCIA DEL CONSEJO

TECNOLOGA FLEXOGRAFICA S.A.

PROHIBIDA LA REPRODUCCIN TOTAL O PARCIAL

Esto incluira polticas, gestin del riesgo de seguridad de la informacin, objetivos de

La aplicacin de este enfoque constituye un Programa de Medicin de Seguridad de la

La aplicacin efectiva de un Programa de Medicin de Seguridad de la Informacin

PROHIBIDA LA REPRODUCCIN TOTAL O PARCIAL

Los resultados de la medicin acumulada permitirn la comparacin del progreso en el

Visin general de la gestin

ISO/IEC 27001 requiere a la organizacin "realizar revisiones peridicas de la

Recopilacin y anlisis de datos;

El desarrollo de los resultados de medicin;

PROHIBIDA LA REPRODUCCIN TOTAL O PARCIAL

Un nico Programa de Medicin de Seguridad de la Informacin puede ser suficiente

La orientacin proporcionada por esta Norma Tcnica Peruana se traducir en la

PROHIBIDA LA REPRODUCCIN TOTAL O PARCIAL

TECNOLOGA DE LA INFORMACIN. Tcnicas de

Esta Norma Tcnica Peruana es aplicable a todo tipo y tamao de organizacin

Los siguientes documentos referenciados son indispensables para la aplicacin de esta

Tecnologa de la Informacin. Tcnicas de seguridad.

PROHIBIDA LA REPRODUCCIN TOTAL O PARCIAL

Tecnologa de la Informacin. Tcnicas de seguridad.

Propiedad o caracterstica de un objeto que se puede distinguir cuantitativa o

Medida definida en trminos de un atributo y el mtodo para su cuantificacin

La NTP-ISO/IEC 27001 es equivalente a la ISO/IEC 27001

PROHIBIDA LA REPRODUCCIN TOTAL O PARCIAL

Coleccin de valores asignados a las medidas base, medidas derivadas o indicadores

Umbrales, objetivos o patrones utilizados para determinar la necesidad de una accin o

Medida que provee una estimacin o evaluacin de atributos especficos derivados de un

Conocimiento necesario para gestionar los objetivos, metas, riesgos y problemas

Variable a la que se asigna un valor como resultado de la medicin [ISO/IEC 15939:2007]

PROHIBIDA LA REPRODUCCIN TOTAL O PARCIAL

Proceso de obtencin de informacin acerca de la eficacia del SGSI y los controles

Algoritmo o clculo realizado para combinar dos o ms medidas base

Una secuencia lgica de las operaciones, descritas de forma genrica, utilizadas en la

subjetivo: cuantificacin mediante opinin humana;

Uno o ms indicadores y sus interpretaciones asociadas que conducen a la necesidad de

Un elemento caracterizado a travs de la medicin de sus atributos

PROHIBIDA LA REPRODUCCIN TOTAL O PARCIAL

Conjunto ordenado de valores, continuos o discretos, o un conjunto de categoras a las que

Comnmente se definen cuatro tipos de escala:

nominal: los valores de medicin son categricos;

ordinal: los valores de medicin se ponderan;