4.3 Las métricas de seguridad de la información.

Las métricas en seguridad de información nos permiten conocer la eficiencia y

habilidad de los responsables en esta área, sin embargo, no son definitivas ni
suficientes para determinar las mejoras alcanzadas por éstos. Es decir, los datos
por sí solos así como la identificación de vulnerabilidades no significan nada a
menos que los ubiquemos en un contexto y con un objetivo determinado, es decir,
únicamente podremos acceder y actuar con base a aquello que deseamos
atender.
Por lo tanto, para aprovechar la valía de las métricas en seguridad de información
es preciso trabajar con ella considerando a la compañía desde todo su modelo de
negocio y funcionamiento, sin limitarla únicamente al área de seguridad de la
información. Esto implica considerar aspectos como la incertidumbre, riesgos y
otras variables que afectan las diversas áreas que componen la empresa, pues en
alguna de ellas puede encontrarse el eslabón más débil de dónde puede surgir el
ataque de los intrusos.
Así pues, de las métricas en seguridad de información podemos extraer tres
lecciones importantes:
Las métricas en seguridad de información son una ventaja para la seguridad de
toda tu empresa, permitiéndote ver y comprender dónde te encuentras, qué
necesitas y cómo protegerte.
La seguridad es un proceso y como tal es medible, por consiguiente, tienes el
deber de medir y controlar todos tus procesos para salvaguardar tus activos más
valiosos.
Las métricas no son sólo cifras que aumentan o disminuyen, son el resultado de
gestiones, que nos muestran cuán eficiente ha sido tal persona. Por lo tanto,
debemos considerarlas desde un punto de vista más flexible y humano.
De acuerdo con especialistas en seguridad de la información, las métricas “son
acuerdos propios de las organizaciones en los cuales las buenas prácticas y/o
estándares nos permiten comprender la brecha que tenemos frente a los ideales y
no representan un ejercicio mandatorio o imprescindible para alcanzar modelos
certificables frente a nuestra gestión de riesgos relacionados con la información”.
Las buenas prácticas en los negocios son las que permiten el crecimiento y
protección ante las eventualidades, las métricas forman parte de éstas.
4.4 Norma ISO 17799.

Surgida de la norma británica BS 7799, la norma ISO 17799 ofrece instrucciones y

recomendaciones para la administración de la seguridad.

La norma 17799 también ofrece una estructura para identificar e implementar soluciones
para los siguientes riesgos:
 Política de seguridad: escribir y comunicar la política de seguridad de la compañía
 Organización de seguridad: definir los roles y las responsabilidades. Monitorear a
los socios y a las empresas tercerizadas
 Clasificación y control de activos: llevar un inventario de los bienes de la compañía
y definir cuán críticos son así como sus riesgos asociados
 Seguridad del personal: contratación, capacitación y aumento de concientización
relacionadas a la seguridad
 Seguridad física y del entorno: área de seguridad, inventarios del equipamiento de
seguridad
 Comunicación / Administración de operaciones: procedimientos en caso de
accidente, plan de recuperación, definición de niveles de servicio y tiempo de
recuperación, protección contra programas ilegales, etc.
 Control de acceso: establecimiento de controles de acceso a diferentes niveles
(sistemas, redes, edificios, etc.)
 Desarrollo y mantenimiento del sistema: consideración de la seguridad en
sistemas desde el diseño hasta el mantenimiento
 Plan de continuidad empresarial: definición de necesidades en términos de
disponibilidad, recuperación de tiempo y establecimiento de ejercicios de emergencia
 Contratación: respeto por la propiedad intelectual, las leyes y las reglamentaciones
de la compañía
 Estructura: objetivos de control.
ASPECTOS ORGANIZATIVOS PARA LA SEGURIDAD
 Gestionar la seguridad de la información dentro de la organización.
 Mantener la seguridad de los recursos de tratamiento de la información y de
los activos de información de la organización que son accedidos por
terceros.
 Mantener la seguridad de la información cuando la responsabilidad de su
tratamiento se ha externalizado a otra organización.
• Debe diseñarse una estructura organizativa dentro de la compañía que defina las
responsabilidades que en materia de seguridad tiene cada usuario o área de
trabajo relacionada con los sistemas de información de cualquier forma.
• Dicha estructura debe poseer un enfoque multidisciplinar: los problemas de
seguridad no son exclusivamente técnicos.
CLASIFICACIÓN Y CONTROL DE ACTIVOS
 Mantener una protección adecuada sobre los activos de la organización.
 Asegurar un nivel de protección adecuado a los activos de información.
• Debe definirse una clasificación de los activos relacionados con los sistemas de
información, manteniendo un inventario actualizado que registre estos datos, y
proporcionando a cada activo el nivel de protección adecuado a su criticidad en la
organización.
SEGURIDAD LIGADA AL PERSONAL
Reducir los riesgos de errores humanos, robos, fraudes o mal uso de las
instalaciones y los servicios.
 Asegurar que los usuarios son conscientes de las amenazas y riesgos en el
ámbito de la seguridad de la información, y que están preparados para sostener la
política de seguridad de la organización en el curso normal de su trabajo.
Minimizar los daños provocados por incidencias de seguridad y por el mal
funcionamiento, controlándolos y aprendiendo de ellos.