10/5/06

Guía para el desarrollo de métricas de seguridad de la información

En gestión es un criterio básico que "Lo que no se puede medir, no se puede controlar. Sin control por tanto no puede haber gestión y sin gestión no hay dirección".

El NIST ha publicado el día 4 un nuevo documento borrador con la guía para el desarrollo de métricas de rendimiento en seguridad de la información titulado Draft Special Publication 800-80, Guide for Developing Performance Metrics for Information Security


Este documento intenta ayudar a las organizaciones al desarrollo de métricas entorno a la implementación de la seguridad de la información. La medición y evolución del estado es un factor muy importante que ya está siendo trabajado y que generará la publicación de la norma ISO 27004. Además es uno de los puntos todavía muy verdes respecto a la gestión y mejora de los sistemas de gestión de la seguridad de la información.

Mientras tanto, podemos ir comprendiendo los diferentes enfoques que van surgiendo entorno a este concepto de medición de la protección y la rentabilidad de la seguridad.

Esta guía quiere facilitar la tarea de generar métricas e indicadores proporcionando plantillas e incluye algunos ejemplos interesantes. Este nuevo borrador viene a complementar el documento SP 800-55 "Security Metrics Guide for Information Technology Systems" ya publicado en el 2003.

2 comentarios:

Manuel Zayas dijo...

Estoy tratando de encontrar aunque sea una versión draft de la ISO 27004. ¿Alguien pudiera indicarme de dónde bajarla?. Gracias

Javier Cao Avellaneda dijo...

Buenas,
Tenemos la suerte de que la iniciativa en materia de ISO 27004 está llevandola AENOR y en concreto Paloma LLaneza. Puedes consultar en su blog el estado actual o bien preguntarle a ella directamente. Ha publicado en su Web la siguiente referencia respecto al estado ISO 27004.
(http://bitacora.palomallaneza.com/2007/02/20/las-27000/)

Un saludo