Pregunta 1.

DIFERENCIA ENTRE ISO 27004 Y SP 800-55

La norma SP 800-55 y la ISO 27004, presentan las acciones, los recursos y los responsables que
deben tener en cuenta para el desarrollo de un sistema de métricas en las etapas de diseño,
desarrollo, implementación y evaluación.

Estas dos normas no son mutuamente excluyentes, por el contrario se complementan y

contribuyen al fortalecimiento del SGSI.

Desarrollar un sistema de métricas de seguridad de la información aporta al entendimiento del

SGSI de una organización y permite presentar resultados de su evolución, evidenciar posibles
fallos o incumplimiento de los objetivos y contribuir al desarrollo de acciones correctivas o
preventivas.

Debido a su importancia el sistema de métricas debe ser respaldado por la alta gerencia, este
respaldo deberá ser reflejado mediante la aprobación de una política que este soportada y por
unos objetivos, con medidas que se ajusten al nivel de desarrollo y madurez del SGSI. Desde el
diseño del sistema de métricas es necesario definir la ejecución de evaluaciones periódicas del
mismo, para que este no se aleje de sus objetivos y evolucione a medida que lo hace el SGSI.

El sistema de métricas de la seguridad de la información debe ser una respuesta a las

necesidades propias de las compañías, por eso se deben involucrar en el desarrollo de las
mediciones los objetivos estratégicos del negocio, la visión, la misión y todos los insumos de
importancia contemplados para el cumplimiento de los objetivos del negocio, además es
necesario tener en cuenta a todo el personal interesado, para que estos desde las perspectiva
de sus procesos indiquen que información es relevante, cual es la disponibilidad de la
información y si existen o no datos que permitan establecer las tendencias.

A continuación se presenta una tabla comparativa entre las normas ISO 27004 y la NIST 800-
55, con la cual se busca tener una visión general y un marco de referencia para apoyar el
proceso de diseño, desarrollo, implementación y evaluación del sistema de métricas de la
seguridad de la información.

Características de las normas ISO 27004 y NIST 800-55

Norma ISO Norma 800-

característicaws 27004 55
Generalidades
Responsables x x
Se soporta en políticas y procedimientos del SGSI x x
Deben contar con el apoyo de la alta gerencia x x
Alineada con la planeación estratégica y los objetivos del
negocio
x x
Contempla evaluación periódica del sistema x x
Repetible x x
 Implementación x x
Evaluación del programa SGSI x
Avance con relación a la madurez del SGSI x x
Tiene en cuenta las fuentes de información x x
Tiene en cuenta los datos históricos para la generación
de tendencias x
Tiene en cuenta la eficiencia de las medidas x x
Tiene en cuenta la eficacia de las medidas x x
Proporciona información del cumplimiento de los
controles x x
Tiene en cuenta la estructura específica de la empresa y
sus recursos x x
Involucra a las partes interesadas en el desarrollo de las
mediciones x x
Tiene en cuenta prioridades de las mediciones x x
Tiene en cuenta el número de mediciones asignadas a los
responsables x
Estandariza los métodos de recolección de datos y
repositorios x
Recopilación automatizada de los datos x
Desarrollo de medidas
Identificación y definición del SGSI actual x x
Tiene en cuenta la eficacia, eficiencia e impacto de los
controles de seguridad x x
Identificación de partes interesadas x x
Enfoque basado en riesgos (priorizar medidas) x x
Generación de formatos estandarizados x x
Retroalimentación de SGSI x x
Aplicación
Definición de implementación de acciones de mejora x
Monitoreo al SGSI x x
Identificación de brechas entre el desempeño real y el
deseado x x
Priorizar las acciones correctivas basados en el análisis
de riesgo general x
Análisis de rentabilidad y obtención de recursos x x
Costos del ciclo de vida de las acciones correctivas x
Seguimiento de medidas corretivas x
Indicadores de cumplimiento x
Tiene en cuenta a personas con discapacidades para la
presentación de indicadores x
Establecer política para el sistema de medición x x
Establecer propósitos de medición para cada medida
construida x
Seleccionar el objeto de medida y sus atributos x
Definición de metodología de cálculo y documentación x
Casos prácticosx x x

Las normas ISO 27004 y la NIST 800-55 se encuentran entre los principales modelos de
referencia que orientan el desarrollo de métricas de seguridad de la información. La norma
NIST presenta un enfoque práctico en la selección y evaluación de las mediciones, definiendo
claramente el tipo de control, el propósito de la medición, objeto de medición, responsables y
cada uno de los actores, procesos y procedimientos involucrados en la medición, de manera
que las mediciones establecidas sean producto de un proceso estándar y repetible.

La norma ISO 27004 hace parte del grupo de estándares de la norma 27000 los cuales abarcan
los requisitos de los sistemas de gestión de la seguridad de la información, la gestión del
riesgo, métricas y medidas, guías de implementación y mejora continua. La norma ISO 27004
presenta un modelo de desarrollo de mediciones integrado al modelo PDCA con el cual
asegura el monitoreo constante del sistema y la mejora continua del mismo.

Analizando estas dos normas, la ISO n27004 y la NIST 800-55 se hace necesario plantear los
objetivos que se deben tener en cuenta a la hora de desarrollar métricas de seguridad de la
información. Estas dos normas no son excluyentes una de la otra, por el contrario estos dos
modelos son complementarios y permiten establecer un buen modelo de desarrollo de
métricas de seguridad de la información. A continuación se presenta como estas dos normas
coinciden en muchos aspectos claves para el desarrollo de las mediciones del modelo de
seguridad de la información.

 Integrar los objetivos estratégicos de la organización y los objetivos de la seguridad de

la información con los objetivos del sistema de métricas de la seguridad de la
información.
 Reconocer el nivel de madurez de la organización como factor determinante de
métricas sea acorde al desarrollo del SGSI.
 Reconocer que el modelo de seguridad de la información está en constante evolución,
por lo cual el sistema de métricas debe ir evolucionando conjuntamente con este y
contribuir al logro de sus objetivos.
 La métricas de seguridad deben actuar en tres escenarios, estratégico, táctico y
operativo de manera que sean presentados datos globales a la alta gerencia y la
información no sea segmentada.
 Las mediciones deben proveer valores concretos, sin subjetividades, deben ser fáciles
de recolectar y deben ser relevantes para la toma de decisiones.
 El propósito del sistema de métricas de la seguridad de las informaciónes recoger,
analizar y comunicar datos relacionados con los procesos de la seguridad de la
información.
  Demostrar objetivamente la eficacia y eficiencia de los controles de seguridad y/o del
sistema de gestión de la seguridad con la finalizad de sustituirlos, corregirlos,
modificarlos o mejorarlos.
 Las métricas requieren una definición limpia, objetiva y estable en el tiempo, de forma
que se pueda crear una concienciación en toda la organización que mejore la actitud
del personal frente a los temas relacionados con la seguridad de los sistemas de
información.
 Deben ayudar a entender el SGSI, por lo cual las mediciones deben ser consecuencia
de un proceso de diseño dirigido por objetivos.
 Es fundamental en un principio tener pocos indicadores bien definidos que expongan
claramente el objetivo de la medición.

Punto número 2.

No considero que el CEO encargue directamente la tarea al responsable técnico del desarrollo
y el correcto funcionamiento del sistema de información (CTO). Debería de encargárselos Al
CSO que es el encargado de la seguridad de la organización, física y tecnológica.

Punto número 3.

El CTO debería contar con la colaboración del departamento CISO, que es el responsable de
generar e implantar políticas de seguridad de la información, garantizar la seguridad y
privacidad de los datos y supervisar tanto la administración del control de acceso a la
información como el cumplimiento normativo de la seguridad de la información.