Traducido del inglés al español - www.onlinedoctranslator.

com

Publicación especial NIST 800-55 Revisión 1

Guía de medición del rendimiento para la
seguridad de la información

Elizabeth Chew, Marianne Swanson, Kevin Stine,

Nadya Bartol, Anthony Brown y Will Robinson

INFORMACIÓN SEGURIDAD

División de Seguridad Informática Laboratorio de

Tecnología de la Información Instituto Nacional de
Estándares y Tecnología Gaithersburg, MD 20899-8930

julio de 2008

Departamento de Comercio de EE. UU.

Carlos M. Gutiérrez, Secretario

Instituto Nacional de Normas y Tecnología

James M. Turner, director adjunto
 Informes sobre Tecnología de Sistemas Informáticos

El Laboratorio de Tecnología de la Información (ITL) del Instituto Nacional de Estándares y Tecnología (NIST)
promueve la economía y el bienestar público de los EE. UU. proporcionando liderazgo técnico para la infraestructura
de medición y estándares de la nación. ITL desarrolla pruebas, métodos de prueba, datos de referencia,
implementaciones de prueba de concepto y análisis técnicos para avanzar en el desarrollo y el uso productivo de la
tecnología de la información. Las responsabilidades de ITL incluyen el desarrollo de normas y pautas de gestión,
administrativas, técnicas y físicas para la seguridad y privacidad rentables de la información confidencial no
clasificada en los sistemas informáticos federales. Esta publicación especial de la serie 800 informa sobre la
investigación, las pautas y los esfuerzos de divulgación de ITL en seguridad de la información, y sus actividades de
colaboración con la industria, el gobierno,

yo
 Autoridad

Este documento ha sido desarrollado por el Instituto Nacional de Estándares y Tecnología (NIST) en cumplimiento de
sus responsabilidades estatutarias bajo la Ley Federal de Administración de Seguridad de la Información (FISMA) de
2002, Ley Pública 107-347.

NIST es responsable de desarrollar estándares y pautas, incluidos los requisitos mínimos, y de proporcionar seguridad de
información adecuada para todas las operaciones y activos de la agencia, pero dichos estándares y pautas no se aplicarán
a los sistemas de seguridad nacional. Esta directriz es consistente con los requisitos de la Circular A-130 de la Oficina de
Administración y Presupuesto (OMB), Sección 8b(3),Asegurar los sistemas de información de la agencia, según se analiza
en A-130, Apéndice IV:Análisis de secciones clave. Se proporciona información complementaria en A-130, Apéndice III.

Esta guía ha sido preparada para uso de las agencias federales. También puede ser utilizado por organizaciones
no gubernamentales de forma voluntaria y no está sujeto a las normas de derechos de autor. (NIST agradecería la
atribución).

Nada en este documento debe interpretarse como contradictorio con las normas y pautas que el Secretario de Comercio
hizo obligatorias y vinculantes para las agencias federales en virtud de la autoridad legal. Estas pautas tampoco deben
interpretarse como que alteran o reemplazan las autoridades existentes del Secretario de Comercio, el Director de la
OMB o cualquier otro funcionario federal.

Ciertas entidades comerciales, equipos o materiales pueden identificarse en este documento para
describir adecuadamente un procedimiento o concepto experimental. Dicha identificación no
pretende implicar recomendación o respaldo por parte del NIST, ni pretende implicar que las
entidades, materiales o equipos sean necesariamente los mejores disponibles para el propósito.

iii
 Agradecimientos

Los autores desean agradecer a Joan Hash (NIST), Arnold Johnson (NIST), Elizabeth Lennon (NIST), Karen
Scarfone (NIST), Kelley Dempsey (NIST) y Karen Quigg (MITRE) quienes revisaron los borradores de este
documento y/o contribuido a su desarrollo. Los autores también reconocen y aprecian con gratitud las
numerosas contribuciones de personas y organizaciones de los sectores público y privado cuyos
comentarios reflexivos y constructivos mejoraron la calidad y la utilidad de esta publicación.

IV
 TABLA DE CONTENIDO

RESUMEN EJECUTIVO ................................................ .................................................... ...VII

1. INTRODUCCIÓN............................................... .................................................... .................1

1.1 Propósito y alcance ............................................... .................................................... ...........1
1.2 Audiencia .................................................. .................................................... ........................2
1.3 Historia.................................................. .................................................... ............................2
1.4 Factores Críticos de Éxito ............................................... .................................................... ...3
1.5 Relación con otros documentos del NIST ............................................... ..............................4
1.6 Organización del documento ............................................... .................................................... ..5
2. FUNCIONES Y RESPONSABILIDADES .................................................. .............................................6

2.1 Jefe de la agencia .................................................. .................................................... ...................6

2.2 Director de Información .................................................. ..................................................6
2.3 Oficial Superior de Seguridad de la Información de la Agencia .................................. .......................7
2.4 Administrador del programa/propietario del sistema de información .................................. .....................8
2.5 Oficial de Seguridad del Sistema de Información .................................. ....................................8
2.6 Otros roles relacionados ............................................... .................................................... ..........8
3. ANTECEDENTES DE LAS MEDIDAS DE SEGURIDAD DE LA INFORMACIÓN ..........................9
3.1 Definición .................................................. .................................................... .......................9
3.2 Beneficios del uso de medidas ............................................... .............................................10
3.3 Tipos de medidas ............................................... .................................................... ........11
3.3.1 Medidas de implementación ............................................. .............................................13
3.3.2 Medidas de eficacia/eficiencia .................................................. ..........................13
3.3.3 Medidas de impacto ............................................. .................................................... ........14
3.4 Consideraciones de medición ............................................... ..........................................15
3.4.1 Consideraciones organizativas ............................................... ......................................15
3.4.2 Manejabilidad .............................................. .................................................... ............15
3.4.3 Inquietudes sobre la gestión de datos ............................................... ..........................................dieciséis
3.4.4 Automatización de la recopilación de datos de medición .................................. .................dieciséis
3.5 Alcance del Programa de Medición de la Seguridad de la Información .................................. ..........17
3.5.1 Sistemas de información individuales ............................................... .....................................17
3.5.2 Ciclo de vida del desarrollo del sistema ........................................... ..................................17
3.5.3 Programas para toda la empresa ........................................... .............................................19
4. IMPULSORES LEGISLATIVOS Y ESTRATÉGICOS ........................................... ...................20
4.1 Consideraciones legislativas ............................................... .............................................20
4.1.1 Ley de Resultados de Desempeño Gubernamental .................................. ..........................20
4.1.2 Ley Federal de Gestión de la Seguridad de la Información .................................. ..............21
4.2 Arquitectura empresarial federal ............................................... ..........................................22
4.3 Vínculo entre la planificación estratégica empresarial y la seguridad de la información .....23

5. PROCESO DE DESARROLLO DE MEDIDAS.................................................. .........................24

5.1 Identificación de intereses de las partes interesadas .................................. ....................................25

v
 5.2 Definición de Metas y Objetivos.................................................... ..........................................26
5.3 Revisión de políticas, lineamientos y procedimientos de seguridad de la información ..............27
5.4 Revisión de la implementación del programa de seguridad de la información .................................. ....27
5.5 Desarrollo y selección de medidas ............................................... .............................28
5.5.1 Enfoque de desarrollo de medidas ........................................... ..........................29
5.5.2 Priorización y selección de medidas ............................................... ..........................29
5.5.3 Establecimiento de objetivos de desempeño ........................................... ..........................30
5.6 Plantilla de desarrollo de medidas ........................................... ....................................31
5.7 Retroalimentación dentro del proceso de desarrollo de medidas .................................. .......33
6. IMPLEMENTACIÓN DE LA MEDICIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ...............35
6.1 Prepárese para la recopilación de datos ............................................... .............................................35
6.2 Recopilación de datos y análisis de resultados .................................. ......................................36
6.3 Identificar Acciones Correctivas ............................................... .............................................38
6.4 Desarrollar un caso de negocio y obtener recursos.................................... ...................38
6.5 Aplicar Acciones Correctivas ............................................... ..........................................40
APÉNDICE A: MEDIDAS CANDIDATAS ............................................... ............................. A-1

ANEXO B: ACRÓNIMOS ............................................... .................................................... ...B-1

APÉNDICE C: REFERENCIAS .................................................. ................................................. C -1

APÉNDICE D: ESPECIFICACIONES PARA LOS REQUISITOS MÍNIMOS DE SEGURIDAD. D-1

vi
 LISTA DE FIGURAS

Figura 1-1. Estructura del Programa de Medición de la Seguridad de la Información ............................................... ...3
Figura 3-1. Programa de Seguridad de la Información Madurez y Tipos de Medición ..........................12
Figura 5-1. Proceso de desarrollo de medidas de seguridad de la información ............................................... ..25
Figura 5-2. Ejemplo de tendencia de las medidas de seguridad de la información ....................................... .............31
Figura 6-1. Proceso de Implementación del Programa de Medición de la Seguridad de la Información ......35

LISTA DE TABLAS

Tabla 1. Medición durante el desarrollo del sistema ........................................... .........................18

Tabla 2. Plantilla de Medidas e Instrucciones ........................................... ..................................32

viii
 RESUMEN EJECUTIVO

Este documento es una guía para ayudar en el desarrollo, selección e implementación

de medidas que se utilizarán a nivel del sistema de información y del programa. Estas
medidas indican la eficacia de los controles de seguridad aplicados a los sistemas de
información y los programas de seguridad de la información de apoyo. Tales medidas
se utilizan para facilitar la toma de decisiones, mejorar el desempeño y aumentar la
rendición de cuentas a través de la recopilación, el análisis y la presentación de
informes de datos relevantes relacionados con el desempeño, lo que proporciona una
manera de vincular la implementación, la eficiencia y la eficacia de los controles de
seguridad del programa y del sistema de información a el éxito de una agencia en el
logro de su misión.

Varias leyes, normas y reglamentos existentes, incluida la Ley Clinger-Cohen, la Ley de desempeño y
resultados del gobierno (GPRA), la Ley de eliminación del papeleo del gobierno (GPEA) y la Ley federal de
gestión de la seguridad de la información (FISMA), citan información la medición del desempeño en general, y
la medición del desempeño de la seguridad de la información en particular, como requisito. Además del
cumplimiento legislativo, las agencias pueden usar medidas de desempeño como herramientas de gestión en
sus esfuerzos de mejora interna y vincular la implementación de sus programas de seguridad de la
información con los esfuerzos de planificación estratégica a nivel de agencia.

Los siguientes factores deben ser considerados durante el desarrollo e implementación de un programa
de medición de seguridad de la información:

• Las medidas deben producir información cuantificable (porcentajes, promedios y números);

• Los datos que respaldan las medidas deben poder obtenerse fácilmente;

• Solo los procesos de seguridad de la información repetibles deben considerarse para la medición; y

• Las medidas deben ser útiles para el seguimiento del rendimiento y la dirección de los recursos.

El proceso de desarrollo de medidas descrito en este documento garantiza que las medidas se
desarrollen con el propósito de identificar las causas del bajo rendimiento y señalar las acciones
correctivas apropiadas.

Este documento se centra en el desarrollo y recopilación de tres tipos de medidas:

• Medidas de implementación para medir la ejecución de la política de seguridad;

• Medidas de eficacia/eficiencia para medir los resultados de la prestación de servicios de seguridad; y

• Medidas de impacto para medir las consecuencias comerciales o de misión de los eventos de seguridad.

viii
Los tipos de medidas que se pueden obtener de manera realista, y que también pueden ser útiles para mejorar el
desempeño, dependen de la madurez del programa de seguridad de la información de la agencia y la implementación del
control de seguridad del sistema de información. Aunque se pueden usar diferentes tipos de medidas simultáneamente, el
enfoque principal de las medidas de seguridad de la información cambia a medida que madura la implementación de los
controles de seguridad.

ix
1. INTRODUCCIÓN

El requisito de medir el desempeño de la seguridad de la información está impulsado por razones regulatorias,
financieras y organizacionales. Varias leyes, normas y reglamentos existentes citan como requisito la medición
del desempeño de la información en general y la medición del desempeño de la seguridad de la información
en particular. Estas leyes incluyen la Ley Clinger-Cohen, la Ley de Resultados y Desempeño del Gobierno
(GPRA), la Ley de Eliminación de Trámites del Gobierno (GPEA) y la Ley Federal de Gestión de la Seguridad de la
Información (FISMA).

Si bien estas leyes, normas y reglamentos son impulsores importantes para la medición
de la seguridad de la información, los beneficios que la medición del desempeño de la
seguridad de la información puede generar para las organizaciones son igualmente
convincentes. Las agencias pueden utilizar medidas de rendimiento como herramientas
de gestión en sus esfuerzos de mejora interna y vincular la implementación de sus
programas de seguridad de la información con los esfuerzos de planificación estratégica
a nivel de agencia. Las medidas de seguridad de la información se utilizan para facilitar
la toma de decisiones y mejorar el desempeño y la rendición de cuentas a través de la
recopilación, el análisis y la presentación de informes de datos relevantes relacionados
con el desempeño. Proporcionan los medios para vincular la implementación, la
eficiencia y la eficacia de los controles de seguridad con el éxito de una agencia en sus
actividades de misión crítica.

1.1 Propósito y alcance

Este documento es una guía para el desarrollo, la selección y la implementación específicos de medidas a nivel de
programa y de sistema de información para indicar la implementación, la eficiencia/eficacia y el impacto de los
controles de seguridad y otras actividades relacionadas con la seguridad. Proporciona pautas sobre cómo una
organización, mediante el uso de medidas, identifica la idoneidad de los controles, políticas y procedimientos de
seguridad existentes. Proporciona un enfoque para ayudar a la gerencia a decidir dónde invertir en recursos
adicionales de seguridad de la información, identificar y evaluar controles de seguridad no productivos y priorizar
controles de seguridad para el monitoreo continuo. Explica los procesos de desarrollo e implementación de
mediciones y cómo se pueden usar las medidas para justificar adecuadamente las inversiones en seguridad de la
información y respaldar las decisiones basadas en el riesgo. Los resultados de un programa eficaz de medición de la
seguridad de la información pueden proporcionar datos útiles para dirigir la asignación de recursos de seguridad de
la información y deberían simplificar la preparación de informes relacionados con el desempeño. La implementación
exitosa de dicho programa ayuda a las agencias a cumplir con los requisitos anuales de la Oficina de Administración
y Presupuesto (OMB) para informar el estado de los programas de seguridad de la información de la agencia.

La publicación especial (SP) 800-55 del NIST, revisión 1, amplía el trabajo anterior del NIST en el campo de las medidas de
seguridad de la información para proporcionar pautas adicionales a nivel de programa para cuantificar el desempeño de la
seguridad de la información en apoyo de los objetivos estratégicos de la organización. Los procesos y metodologías
descritos en este documento vinculan el desempeño de la seguridad del sistema de información con el desempeño de la
agencia al aprovechar los procesos de planificación estratégica a nivel de agencia. Al hacerlo, los procesos y metodologías
ayudan a demostrar cómo la seguridad de la información

1
contribuye al logro de las metas y objetivos estratégicos de la agencia. Las medidas de desempeño
desarrolladas de acuerdo con esta guía mejorarán la capacidad de las agencias para responder a una
variedad de mandatos e iniciativas del gobierno federal, incluida FISMA.

Esta publicación utiliza los controles de seguridad identificados en NIST SP 800-53,Controles de seguridad
recomendados para sistemas de información federales, como base para desarrollar medidas que apoyen la
evaluación de los programas de seguridad de la información. Además de brindar pautas sobre el desarrollo de
medidas, la guía enumera una serie de medidas candidatas que las agencias pueden adaptar, expandir o usar como
modelos para desarrollar otras medidas.1Si bien se enfoca en los controles de seguridad NIST SP 800-53, el proceso
descrito en esta guía se puede aplicar para desarrollar medidas específicas de la agencia relacionadas con los
controles de seguridad que no están incluidas en NIST SP 800-53.

El programa de medición de seguridad de la información descrito en este documento puede ser útil para cumplir con
los requisitos reglamentarios. El programa proporciona una infraestructura subyacente de recopilación, análisis e
informes de datos que se puede adaptar para respaldar las medidas de rendimiento de FISMA, los requisitos del
Modelo de referencia de rendimiento (PRM) de Federal Enterprise Architecture (FEA) y cualquier otro requisito
específico de la empresa para informar información cuantificable sobre la información. rendimiento de seguridad.

1.2 Audiencia

Esta guía está escrita principalmente para los directores de información (CIO), los directores de seguridad de la
información de la agencia (SAISO), a menudo denominados directores de seguridad de la información (CISO), y
los oficiales de seguridad del sistema de información (ISSO). Está dirigido a personas que están familiarizadas
con los controles de seguridad como se describe en NIST SP 800-53. Los conceptos, procesos y medidas
candidatas presentados en esta guía se pueden utilizar en contextos gubernamentales e industriales.

1.3 Historia

El enfoque para medir la efectividad del control de seguridad ha estado en desarrollo durante varios años. NIST SP
800-55,Guía de métricas de seguridad para sistemas de tecnología de la informacióny NIST Borrador SP 800-80,Guía
para desarrollar métricas de rendimiento para la seguridad de la información,ambos abordaron la medición de la
seguridad de la información. Este documento reemplaza estas publicaciones y se basa en ellas para alinear este
enfoque con los controles de seguridad proporcionados en NIST SP 800-53, Controles de seguridad recomendados
para sistemas de información federales. El documento también amplía los conceptos y procesos introducidos en la
versión original de NIST SP 800-55 para ayudar con la evaluación de la implementación del programa de seguridad
de la información.

La implementación del control de seguridad para los sistemas de información y los programas de
seguridad de la información se revisa y se informa anualmente a la OMB de acuerdo con la Ley de Gobierno
Electrónico de 2002, que incluye FISMA. La Ley requiere que los departamentos y agencias demuestren que

1Las medidas candidatas que ofrece esta guía no constituyen requisitos obligatorios. Más bien, proporcionan una muestra de
medidas a considerar para su uso por parte de los lectores de esta guía.

2
están cumpliendo con los requisitos aplicables de seguridad de la información y para documentar el nivel de desempeño en
función de los resultados de las revisiones anuales del programa.

1.4 Factores críticos de éxito

Un programa de medición de la seguridad de la información dentro de una organización debe incluir cuatro
componentes interdependientes (consulte la Figura 1-1).

Figura 1-1. Estructura del programa de medición de la seguridad de la información

La base de un fuerte apoyo de la gerencia de nivel superior es fundamental, no solo para el éxito del programa de
seguridad de la información, sino también para la implementación del programa. Este apoyo establece un enfoque
en la seguridad de la información dentro de los niveles más altos de la organización. Sin una base sólida (es decir,
apoyo proactivo del personal en puestos que controlan los recursos de información), el programa de medición de la
seguridad de la información puede fallar cuando se ve presionado por la dinámica organizacional y las limitaciones
presupuestarias.

El segundo componente de un programa eficaz de medición de la seguridad de la información es la existencia de políticas y

procedimientos de seguridad de la información respaldados por la autoridad necesaria para hacer cumplir las normas. Las
políticas de seguridad de la información delinean la estructura de gestión de la seguridad de la información, asignan
claramente las responsabilidades de seguridad de la información y sientan las bases necesarias para medir de manera
confiable el progreso y el cumplimiento. Los procedimientos documentan la posición de la gerencia sobre la implementación
de un control de seguridad de la información y el rigor con el que se aplica. Las medidas no son fáciles de obtener si no
existen procedimientos que suministren los datos que se utilizarán para la medición.

3
El tercer componente es desarrollar y establecer medidas de desempeño cuantificables que están diseñadas para capturar
y proporcionar datos de desempeño significativos. Para proporcionar datos significativos, las medidas cuantificables de
seguridad de la información deben basarse en las metas y objetivos de desempeño de la seguridad de la información, y
ser fáciles de obtener y factibles de medir. También deben ser repetibles, proporcionar tendencias de rendimiento
relevantes a lo largo del tiempo y ser útiles para realizar un seguimiento del rendimiento y dirigir los recursos.

Finalmente, el propio programa de medición de la seguridad de la información debe enfatizar el análisis periódico consistente de los
datos de las medidas. Los resultados de este análisis se utilizan para aplicar las lecciones aprendidas, mejorar la eficacia de los
controles de seguridad existentes y planificar la implementación de futuros controles de seguridad para cumplir con los nuevos
requisitos de seguridad de la información a medida que se presenten. La recopilación precisa de datos debe ser una prioridad para
las partes interesadas y los usuarios si se quiere que los datos recopilados sean significativos y útiles para mejorar el programa
general de seguridad de la información.

El éxito de la implementación de un programa de seguridad de la información debe juzgarse por el grado en que se
producen resultados significativos. Un programa integral de medición de la seguridad de la información debe proporcionar
una justificación sustancial para las decisiones que afectan directamente la postura de seguridad de la información de una
organización. Estas decisiones incluyen solicitudes de presupuesto y personal y asignación de recursos disponibles. Un
programa de medición de la seguridad de la información debe ayudar en la preparación de los informes requeridos
relacionados con el desempeño de la seguridad de la información.

1.5 Relación con otros documentos del NIST

Este documento es la continuación de una serie de publicaciones especiales del NIST destinadas a ayudar al personal de
gestión de la información y seguridad de la información en el establecimiento, implementación y mantenimiento de un
programa de seguridad de la información. Se enfoca en cuantificar el desempeño de la seguridad de la información con
base en los resultados de una variedad de actividades de seguridad de la información. Este enfoque se basa en muchas
fuentes de datos, que incluyen:

• Evaluación de seguridad de la información y esfuerzos de prueba como los descritos en NIST SP 800-53A,
Guía para la Evaluación de los Controles de Seguridad en los Sistemas de Información Federales;

• Esfuerzos de evaluación de riesgos de seguridad de la información, como los descritos en NIST SP 800-30,
Guía de Gestión de Riesgos para Sistemas de Tecnologías de la Información; y

• Controles mínimos de seguridad recomendados en NIST SP 800-53,Controles de seguridad

recomendados para sistemas de información federales.

NIST SP 800-55, Revisión 1, se diferencia de NIST SP 800-53A en que proporciona un enfoque cuantitativo para medir
y analizar la implementación y la eficacia de los controles de seguridad en los niveles de programas y sistemas de
información, agregados a través de múltiples esfuerzos individuales. También proporciona un enfoque para agregar
información de múltiples sistemas de información para medir y analizar la seguridad de la información desde una
perspectiva de nivel empresarial. NIST SP 800-53A proporciona procedimientos para evaluar si los controles de
seguridad están implementados y funcionan según lo previsto de acuerdo con el plan de seguridad del sistema de
información para el sistema. Los datos de evaluación producidos como resultado de la aplicación de los
procedimientos de evaluación NIST SP 800-53A pueden servir como fuente de datos para la medición de la
seguridad de la información.

4
Los resultados de las mediciones de seguridad de la información descritos en esta guía proporcionarán información para las
actividades del programa de seguridad de la información descritas en varias publicaciones del NIST, que incluyen:

• NIST SP 800-100,Manual de seguridad de la información: una guía para gerentes; y

• NIST SP 800-65,Integración de la seguridad de TI en el proceso de planificación de capital y control

de inversiones.

Estas medidas también se pueden usar para ayudar con la priorización para el monitoreo continuo de los
controles de seguridad, como se describe en NIST SP 800-37,Guía para la Certificación y Acreditación de
Seguridad de los Sistemas de Información Federales.

1.6 Organización del Documento

Las secciones restantes de esta guía tratan lo siguiente:

• La Sección 2, Funciones y responsabilidades, describe las funciones y responsabilidades del personal de la

agencia que tiene un interés directo en el éxito del programa de seguridad de la información y en el
establecimiento de un programa de medición de la seguridad de la información.

• Sección 3, Antecedentes de las medidas de seguridad de la información,proporciona pautas sobre los

antecedentes y la definición de las medidas de seguridad de la información, los beneficios de la
implementación, varios tipos de medidas de seguridad de la información y los factores que afectan
directamente el éxito de un programa de medición de seguridad de la información.

• La Sección 4, Impulsores legislativos y estratégicos, vincula la seguridad de la información con la planificación

estratégica a través de la legislación y las directrices pertinentes.

• La Sección 5, Proceso de desarrollo de medidas, presenta el enfoque y el proceso utilizado para el

desarrollo de medidas de seguridad de la información.

• La Sección 6, Implementación de la medición de la seguridad de la información, analiza los factores que

pueden afectar la implementación de un programa de medición de la seguridad de la información.

Esta guía contiene cuatro apéndices. El Apéndice A, Medidas candidatas, proporciona ejemplos prácticos de medidas de
seguridad de la información que se pueden usar o modificar para cumplir con los requisitos específicos de la agencia. El
Apéndice B proporciona una lista de los acrónimos utilizados en este documento. El Apéndice C enumera las referencias. El
Apéndice D enumera las especificaciones para los requisitos mínimos de seguridad tomados del Estándar federal de
procesamiento de información (FIPS) 200,Requisitos mínimos de seguridad para información federal y sistemas de
información.

5
2. FUNCIONES Y RESPONSABILIDADES

Esta sección describe las funciones y responsabilidades clave para desarrollar e implementar medidas de seguridad de la
información. Si bien la seguridad de la información es responsabilidad de todos los miembros de la organización, los
puestos descritos en las Secciones 2.1 a 2.6 son partes interesadas clave en la seguridad de la información que deben
trabajar para inculcar una cultura de concienciación sobre la seguridad de la información en toda la organización.

2.1 Jefe de agencia

Las responsabilidades específicas del Jefe de la Agencia relacionadas con la medición de la seguridad de la información son las
siguientes:

• Garantizar que las medidas de seguridad de la información se utilicen en apoyo de los procesos de planificación
estratégica y operativa de la agencia para asegurar la misión de la organización;

• Garantizar que las medidas de seguridad de la información se integren en los informes anuales sobre la
eficacia del programa de seguridad de la información de la agencia por parte del Director de
Información (CIO);

• Demostrar apoyo para el desarrollo e implementación de medidas de

seguridad de la información, y comunicar el apoyo oficial a la agencia;

• Garantizar que las actividades de medición de la seguridad de la información cuenten con los recursos financieros y
humanos adecuados para el éxito;

• Promover activamente la medición de la seguridad de la información como un facilitador esencial

de la mejora del desempeño de la seguridad de la información en toda la agencia; y

• Aprobar la política para instituir de oficio las medidas de cobro.

2.2 Director de Información2

El Director de Información (CIO) tiene las siguientes responsabilidades relacionadas con la medición de la
seguridad de la información:

• Usar medidas de seguridad de la información para ayudar a monitorear el cumplimiento de los requisitos de
seguridad de la información aplicables;

• Usar medidas de seguridad de la información al informar anualmente sobre la efectividad del programa de seguridad de
la información de la agencia al director de la agencia;

• Demostrar el compromiso de la gerencia con el desarrollo e implementación de medidas de

seguridad de la información a través de un liderazgo formal;

2Cuando una agencia no ha designado un puesto formal de Director de Información, FISMA requiere las responsabilidades asociadas
ser manejado por un funcionario de la agencia comparable.

6
 • Comunicar formalmente la importancia de utilizar medidas de seguridad de la información para
monitorear el estado general del programa de seguridad de la información y cumplir con las
reglamentaciones aplicables;

• Garantizar el desarrollo y la implementación del programa de medición de la seguridad de la información;

• Asignar recursos financieros y humanos adecuados al programa de medición de la

seguridad de la información;

• Revisar las medidas de seguridad de la información regularmente y usar los datos de las medidas de seguridad de la información
para respaldar las políticas, la asignación de recursos, las decisiones presupuestarias y la evaluación de la postura del programa
de seguridad de la información y los riesgos operativos para los sistemas de información de la agencia;

• Asegurarse de que exista un proceso para abordar los problemas descubiertos a través del análisis de medidas y
tomar medidas correctivas, como revisar los procedimientos de seguridad de la información y brindar capacitación
adicional en seguridad de la información al personal; y

• Emitir políticas, procedimientos y lineamientos para desarrollar, implementar e instituir medidas

oficialmente.

2.3 Oficial superior de seguridad de la información de la agencia

Dependiendo de la agencia, el Oficial superior de seguridad de la información de la agencia (SAISO) a veces puede
denominarse Oficial principal de seguridad de la información (CISO). Dentro de este documento, el término SAISO
se utiliza para representar tanto al SAISO como al CISO. La SAISO tiene las siguientes responsabilidades
relacionadas con la medición de la seguridad de la información:

• Integrar la medición de la seguridad de la información en el proceso de planificación, implementación,

evaluación y documentación de acciones correctivas para abordar cualquier deficiencia en las políticas,
procedimientos y prácticas de seguridad de la información de la agencia;

• Obtener los recursos financieros y humanos adecuados para apoyar el desarrollo y la

implementación del programa de medición de la seguridad de la información;

• Liderar el desarrollo de cualquier directriz o política interna relacionada con las medidas de seguridad de la
información;

• Usar medidas de seguridad de la información en apoyo del informe anual del CIO de la agencia al director
de la agencia sobre la eficacia del programa de seguridad de la información de la agencia, incluido el
progreso de las acciones correctivas;

• Llevar a cabo el desarrollo e implementación de medidas de seguridad de la información;

• Garantizar que se utilice un proceso estándar en toda la agencia para el desarrollo, la creación, el análisis y la
elaboración de informes de medidas de seguridad de la información; y,

• Uso de medidas de seguridad de la información para políticas, asignación de recursos y decisiones

presupuestarias.

7
2.4 Administrador del programa/propietario del sistema de información

Los administradores de programas, así como los propietarios de los sistemas de información, son responsables de garantizar que
se implementen los controles de seguridad adecuados para abordar la confidencialidad, integridad y disponibilidad de la
información y los sistemas de información. El administrador del programa/propietario del sistema de información tiene las
siguientes responsabilidades relacionadas con la medición de la seguridad de la información:

• Participar en el desarrollo e implementación del programa de medición de la seguridad de la

información brindando retroalimentación sobre la viabilidad de la recopilación de datos e
identificando fuentes y repositorios de datos;

• Educar al personal sobre el desarrollo, recopilación, análisis y presentación de informes de medidas de seguridad de
la información y cómo afectará la política de seguridad de la información, los requisitos, la asignación de recursos y
las decisiones presupuestarias;

• Asegurarse de que los datos de medición se recopilen de manera consistente y precisa y se

proporcionen al personal designado que analiza e informa los datos;

• Dirigir la plena participación y cooperación del personal, cuando sea necesario;

• Revisar los datos de medidas de seguridad de la información regularmente y usarlos para políticas, asignación de
recursos y decisiones presupuestarias; y

• Apoyar la implementación de acciones correctivas, identificadas a través de la medición del

desempeño de la seguridad de la información.

2.5 Oficial de Seguridad del Sistema de Información

El Oficial de Seguridad del Sistema de Información (ISSO) tiene las siguientes responsabilidades relacionadas con la
medición de la seguridad de la información:

• Participar en el desarrollo e implementación del programa de medición de la seguridad de la

información brindando retroalimentación sobre la viabilidad de la recopilación de datos e
identificando fuentes y repositorios de datos; y

• Recopilar datos o proporcionar datos de medición al personal designado que está recopilando,
analizando y reportando los datos.

2.6 Otros roles relacionados

La medición de la seguridad de la información puede requerir aportes de una variedad de componentes organizacionales o
partes interesadas, incluida la respuesta a incidentes, operaciones de tecnología de la información, privacidad, arquitectura
empresarial, recursos humanos, seguridad física y otros. La Sección 5.1 enumera las partes interesadas adicionales.

8
3. MEDIDAS DE SEGURIDAD DE LA INFORMACIÓN ANTECEDENTES

Esta sección proporciona información básica sobre qué son las medidas de seguridad de la información y por qué se debe
medir el desempeño de la seguridad de la información. Adicionalmente, esta sección define tipos de medidas que pueden
ser utilizadas; analiza los aspectos clave para lograr que un programa de medición de la seguridad de la información sea
exitoso; e identifica los usos de las medidas para la gestión, la presentación de informes y la toma de decisiones.

3.1 Definición

Las medidas de seguridad de la información se utilizan para facilitar la toma de decisiones y mejorar el desempeño y la
rendición de cuentas a través de la recopilación, el análisis y la presentación de informes de datos relevantes relacionados
con el desempeño. El propósito de medir el desempeño es monitorear el estado de las actividades medidas y facilitar la
mejora en esas actividades mediante la aplicación de acciones correctivas basadas en las mediciones observadas.

Las medidas de seguridad de la información se pueden obtener en diferentes niveles dentro de una organización.
Las medidas detalladas, recopiladas a nivel del sistema de información, pueden agregarse y ampliarse
progresivamente a niveles más altos, según el tamaño y la complejidad de una organización. Si bien se puede
argumentar el uso de diferentes términos para elementos más detallados y agregados, como "métricas" y
"medidas", este documento estandariza las "medidas" para referirse a los resultados de la recopilación, el análisis y
la presentación de informes de datos. Este documento se refiere al proceso de recopilación, análisis e informe de
datos como “medición”.

Las medidas de seguridad de la información se basan en las metas y objetivos de desempeño de la seguridad de la
información. Los objetivos de desempeño de la seguridad de la información establecen los resultados deseados de la
implementación de un programa de seguridad o de la información, tales como, “Todos los empleados deben recibir una
capacitación adecuada de concientización sobre la seguridad de la información”. Los objetivos de desempeño de la
seguridad de la información permiten el logro de las metas mediante la identificación de prácticas definidas por las políticas
y procedimientos de seguridad de la información que dirigen la implementación consistente de controles de seguridad en
toda la organización. Ejemplos de objetivos de desempeño de seguridad de la información, correspondientes al objetivo de
ejemplo citado anteriormente, son: Todos los empleados nuevos reciben capacitación para empleados nuevos. La
capacitación de los empleados incluye un resumen de las Reglas de Comportamiento. La capacitación de los empleados
incluye un resumen de, y una referencia a,

Las medidas de seguridad de la información monitorean el logro de metas y objetivos al cuantificar la

implementación, eficiencia y efectividad de los controles de seguridad; analizar la adecuación de las actividades del
programa de seguridad de la información; e identificar posibles acciones de mejora. Durante el desarrollo de
medidas, se identifican y priorizan las metas y los objetivos de las directrices, la legislación, las reglamentaciones y la
orientación a nivel empresarial federales para garantizar que los aspectos medibles del desempeño de la seguridad
de la información se correspondan con las prioridades operativas de la organización.

Las medidas de seguridad de la información deben generar información cuantificable para fines de comparación, aplicar fórmulas
de análisis y realizar un seguimiento de los cambios utilizando los mismos puntos de referencia. Porcentajes

9
o promedios son los más comunes. Los números absolutos a veces son útiles, dependiendo de la
actividad que se esté midiendo.

Los datos necesarios para calcular las medidas deben poder obtenerse fácilmente y el proceso
que se está considerando debe poder medirse. Solo los procesos que pueden ser consistentes
y repetibles deben ser considerados para la medición. Aunque los procesos pueden ser
repetibles y estables, los datos medibles pueden ser difíciles de obtener si los procesos y su
desempeño no han sido documentados. Las medidas deben usar datos fácilmente obtenibles
para garantizar que la carga de la medición sobre la organización no anule el propósito de la
medición al absorber recursos que pueden ser necesarios en otros lugares. Los ejemplos de
actividades de seguridad de la información que pueden proporcionar datos para la medición
incluyen evaluaciones de riesgos, pruebas de penetración, evaluaciones de seguridad y
monitoreo continuo.

Para ser útiles en el seguimiento del rendimiento y la dirección de los recursos, las medidas deben proporcionar
tendencias de rendimiento relevantes a lo largo del tiempo y apuntar a acciones de mejora que se pueden aplicar a
las áreas problemáticas. La gerencia debe usar medidas para revisar el desempeño observando tendencias,
identificando y priorizando acciones correctivas y dirigiendo la aplicación de esas acciones correctivas en función de
los factores de mitigación de riesgos y los recursos disponibles. El proceso de desarrollo de medidas, descrito en la
Sección 5, garantiza que las medidas se desarrollen con el propósito de identificar las causas del bajo rendimiento y
señalar las acciones correctivas apropiadas.

3.2 Beneficios del uso de medidas

Un programa de medición de la seguridad de la información proporciona una serie de beneficios organizacionales y

financieros. Los principales beneficios incluyen una mayor responsabilidad por el desempeño de la seguridad de la
información; mejorar la eficacia de las actividades de seguridad de la información; demostrar el cumplimiento de las
leyes, normas y reglamentos; y proporcionar insumos cuantificables para las decisiones de asignación de recursos.

Aumentar la responsabilidad:Las medidas de seguridad de la información pueden aumentar la responsabilidad por la

seguridad de la información al ayudar a identificar controles de seguridad específicos que se implementan
incorrectamente, no se implementan o son ineficaces. Los procesos de recopilación y análisis de datos pueden facilitar la
identificación del personal responsable de la implementación de controles de seguridad dentro de componentes
organizacionales específicos o para sistemas de información específicos.

Mejore la eficacia de la seguridad de la información:Un programa de medición de la seguridad de la información

permitirá a las organizaciones cuantificar las mejoras en la seguridad de los sistemas de información y demostrar un
progreso cuantificable en el logro de las metas y objetivos estratégicos de la agencia. Las medidas de seguridad de la
información pueden ayudar a determinar la efectividad de los procesos, procedimientos y controles de seguridad de la
información implementados al relacionar los resultados de las actividades y eventos de seguridad de la información (p. ej.,
datos de incidentes, ingresos perdidos por ciberataques) con los controles de seguridad y las inversiones en seguridad de
la información.

Demostrar cumplimiento:Las organizaciones pueden demostrar el cumplimiento de las leyes, normas y reglamentos
aplicables mediante la implementación y el mantenimiento de un programa de medición de la seguridad de la
información. Las medidas de seguridad de la información ayudarán a satisfacer el informe FISMA anual.

10
requisito de declarar medidas de desempeño para años fiscales pasados y actuales. Además, las medidas de seguridad de
la información se pueden utilizar como entrada en las auditorías de la Oficina de Responsabilidad Gubernamental (GAO) y
los Inspectores Generales (IG). La implementación de un programa de medición de la seguridad de la información
demostrará el compromiso de la agencia con la seguridad de la información proactiva. También reducirá en gran medida el
tiempo que las agencias dedican a la recopilación de datos, que la GAO y el IG solicitan de forma rutinaria durante las
auditorías y para las actualizaciones de estado posteriores.

Proporcione insumos cuantificables para las decisiones de asignación de recursos:Las restricciones fiscales y las
condiciones del mercado obligan al gobierno ya la industria a operar con presupuestos reducidos. En tal entorno, es difícil
justificar grandes inversiones en la infraestructura de seguridad de la información. Las inversiones en seguridad de la
información deben asignarse de acuerdo con un programa integral de gestión de riesgos. El uso de medidas de seguridad
de la información respaldará la toma de decisiones basada en riesgos al contribuir con información cuantificable al proceso
de gestión de riesgos. Permitirá a las organizaciones medir los éxitos y los fracasos de las inversiones en seguridad de la
información pasadas y actuales, y debería proporcionar datos cuantificables que respaldarán la asignación de recursos para
futuras inversiones. Utilizando los resultados del análisis de medidas, los administradores de programas y los propietarios
del sistema pueden aislar problemas, utilizar los datos recopilados para justificar las solicitudes de inversión, y luego dirigir
las inversiones específicamente a las áreas que necesitan mejoras. Mediante el uso de medidas para orientar las inversiones
en seguridad, estas medidas pueden ayudar a las organizaciones a obtener el mejor valor de los recursos disponibles.

3.3 Tipos de medidas

La madurez del programa de seguridad de la información de una organización determina el tipo de medidas
que se pueden recopilar con éxito. La madurez de un programa se define por la existencia e
institucionalización de procesos y procedimientos. A medida que madura un programa de seguridad de la
información, sus políticas se vuelven más detalladas y mejor documentadas, los procesos que utiliza se
vuelven más estandarizados y repetibles, y el programa produce una mayor cantidad de datos que se pueden
usar para medir el desempeño.

La Figura 3-1 representa este continuo al ilustrar las consideraciones de medición para los programas de seguridad
de la información. Como ilustra la Figura 3-1, los programas de seguridad de la información menos maduros
necesitan desarrollar sus metas y objetivos antes de poder implementar una medición efectiva. Los programas más
maduros usan medidas de implementación para evaluar el desempeño, mientras que los programas más maduros
usan medidas de efectividad/eficiencia y de impacto comercial para determinar el efecto de sus procesos y
procedimientos de seguridad de la información.

Un programa de seguridad de la información depende del apoyo de la gerencia de nivel superior para definir sus
metas y objetivos. Estas metas y objetivos pueden expresarse a través de políticas y procesos de seguridad de la
información al inicio del programa, o en una variedad de otras fuentes. (Las metas y los objetivos se abordan con
más detalle en las Secciones 4.1 y 5.2). Las políticas de seguridad de la información se documentan y los
procedimientos de seguridad de la información comienzan a estabilizarse a medida que el programa se implementa
y comienza a madurar. Para ser útil, la medición de la seguridad de la información requiere la existencia de
procedimientos documentados y algunos datos disponibles sobre la implementación de controles de seguridad.

11
 Figura 3-1. Madurez del programa de seguridad de la información y tipos de medición

Un programa maduro normalmente usa múltiples mecanismos de seguimiento para documentar y

cuantificar varios aspectos de su desempeño. A medida que se dispone de más datos, disminuye la
dificultad de la medición y aumenta la capacidad de automatizar la recopilación de datos. La
automatización de la recopilación de datos depende de la disponibilidad de datos de fuentes
automatizadas frente a la disponibilidad de entrada de datos por parte del personal. La recopilación
manual de datos implica el desarrollo de cuestionarios y la realización de entrevistas y encuestas con el
personal de la organización. Hay más datos utilizables disponibles de fuentes de datos
semiautomatizadas y automatizadas, como herramientas de autoevaluación, bases de datos de
certificación y acreditación (C&A) y bases de datos de informes/respuesta a incidentes, a medida que
madura un programa de seguridad de la información.

Los tipos de medidas (implementación, eficacia/eficiencia e impacto) que se pueden obtener de manera realista y que son
útiles para mejorar el desempeño dependen de la madurez de la implementación del control de seguridad. Aunque se
pueden usar diferentes tipos de medidas simultáneamente, el enfoque principal de las medidas de seguridad de la
información cambia a medida que madura la implementación del programa de seguridad de la información. Como los
objetivos del programa de seguridad de la información y los planes estratégicos son

12
documentados e implementados, mejora la capacidad de recopilar de manera confiable el resultado de su
implementación. A medida que el programa de seguridad de la información de una organización evoluciona y los
datos de rendimiento están más disponibles, las medidas se centrarán en la eficacia/eficiencia del programa y los
resultados operativos de la implementación del control de seguridad. Una vez que la seguridad de la información se
integra en los procesos de una organización, los procesos se vuelven repetibles, la recopilación de datos de medición
se automatiza por completo y la misión o el impacto comercial de las acciones y eventos relacionados con la
seguridad de la información se pueden determinar mediante el análisis y la correlación de los datos de medición. El
Apéndice A contiene ejemplos de medidas de implementación, eficacia/eficiencia e impacto.

3.3.1 Medidas de implementación

Las medidas de implementación se utilizan para demostrar el progreso en la implementación de programas de seguridad de
la información, controles de seguridad específicos y políticas y procedimientos asociados. Los ejemplos de medidas de
implementación relacionadas con los programas de seguridad de la información incluyen laporcentaje de sistemas de
información con planes de seguridad del sistema aprobadosy elporcentaje de sistemas de información con políticas de
contraseñas configuradas según se requiera. Al principio, los resultados de estas medidas pueden ser menos del 100 por
ciento. Sin embargo, a medida que maduran el programa de seguridad de la información y sus políticas y procedimientos
asociados, los resultados deben alcanzar y permanecer en el 100 por ciento. En este punto, la organización debería
comenzar a centrar sus esfuerzos de medición en medidas de eficacia/eficiencia y de impacto.

Las medidas de implementación también pueden examinar áreas a nivel del sistema, por ejemplo, elporcentaje de
servidores dentro de un sistema con una configuración estándar.Al principio, es probable que los resultados de esta medida
a nivel del sistema sean inferiores al 100 por ciento. Cuando los resultados de la medida de implementación alcanzan y se
mantienen en el 100 por ciento, se puede concluir que los sistemas de información han implementado completamente los
controles de seguridad abordados por esta medida, y las actividades de medición pueden reenfocarse en otros controles
que necesitan mejoras. Después de que la mayoría de las medidas de implementación alcancen y se mantengan al 100 por
ciento, la organización debe comenzar a enfocar sus esfuerzos de medición en
medidas de eficacia/eficiencia y de impacto. Las organizaciones nunca deben retirar por completo las
medidas de implementación porque son efectivas para señalar controles de seguridad específicos que
necesitan mejoras; sin embargo, a medida que una organización madura, el énfasis y los recursos del
programa de medición deben pasar de la implementación a medidas de eficacia/eficiencia e impacto.

Las medidas de implementación requieren datos que se puedan obtener fácilmente de los informes de evaluación de la
seguridad de la información, informes FISMA trimestrales y anuales, planes de acción e hitos (POA&M) y otros medios
comúnmente utilizados para documentar y rastrear las actividades del programa de seguridad de la información.

3.3.2 Medidas de eficacia/eficiencia

Las medidas de eficacia/eficiencia se utilizan para monitorear si los procesos a nivel de programa y los controles de
seguridad a nivel de sistema se implementan correctamente, funcionan según lo previsto y alcanzan el resultado deseado.
Estas medidas se concentran en la evidencia y los resultados de las evaluaciones y pueden requerir múltiples puntos de
datos que cuantifiquen el grado en que se aplican los controles de seguridad de la información.

13
implementado y los efectos resultantes en la postura de seguridad de la información de la organización.
por ejemplo, elporcentaje de vulnerabilidades del sistema operativo empresarial para las que se han
aplicado parches o que se han mitigado de otro modoes tanto una medida de implementación como de
efectividad. Mide la implementación de la Corrección de fallas de control de seguridad (SI-2) en SP
800-53 porque el resultado de la medida demuestra si las vulnerabilidades se mitigan o no a través de
parches u otros medios. Al mismo tiempo, el resultado indica la eficacia del control de seguridad Alertas
y avisos de seguridad (SI-5) porque cualquier resultado inferior al objetivo indica una falta de capacidad
para recibir alertas y utilizarlas para mitigar con éxito las vulnerabilidades.

Las medidas de eficacia/eficiencia abordan dos aspectos de los resultados de la implementación del control
de seguridad: la solidez del resultado en sí mismo, denominadoeficacia, y la oportunidad del resultado,
denominadaeficiencia.por ejemplo, eleficacia/medida de eficiencia—porcentaje de incidentes de seguridad
de la información causados por controles de acceso mal configurados—se basa en información sobre la
implementación yeficaciade los siguientes controles de seguridad: Monitoreo de Incidentes (IR-5);
Supervisión, análisis y presentación de informes de auditoría (AU-6); y Supervisión de Cambios de
Configuración (CM-4).

Además, la eficacia/eficienciamedida-el porcentaje de componentes del sistema que se someten a

mantenimiento a tiempo—se basa en información sobre laeficienciade los siguientes controles de
seguridad: Mantenimiento Periódico (MA-2) y Soporte de Ciclo de Vida (SA-3).

Las medidas de eficacia/eficiencia proporcionan información clave para los responsables de la toma de decisiones sobre la
seguridad de la información sobre los resultados de políticas anteriores y decisiones de adquisición. Estas medidas pueden
ofrecer información para mejorar el rendimiento de los programas de seguridad de la información. Además, las medidas
de eficacia/eficiencia se pueden utilizar como fuente de datos para los esfuerzos de monitoreo continuo porque ayudan a
determinar la eficacia de los controles de seguridad. Los resultados de las medidas de eficacia/eficiencia se pueden utilizar
para determinar si los controles de seguridad seleccionados funcionan correctamente y ayudan a facilitar la priorización de
acciones correctivas.

Las medidas de eficacia/eficiencia pueden requerir la fusión de los datos de las actividades del programa de seguridad de la información con
los datos obtenidos de las herramientas automatizadas de monitoreo y evaluación de una manera que pueda vincularse directamente con la
implementación de controles de seguridad.

3.3.3 Medidas de impacto

Las medidas de impacto se utilizan para articular el impacto de la seguridad de la información en la misión de una
organización. Estas medidas son inherentemente específicas de la organización, ya que cada organización tiene una
misión única. Dependiendo de la misión de la organización, las medidas de impacto se pueden utilizar para cuantificar:

• Ahorros de costos producidos por el programa de seguridad de la información o a través de los costos incurridos
por abordar eventos de seguridad de la información;

• El grado de confianza pública ganada/mantenida por el programa de seguridad de la información; o

• Otros impactos relacionados con la misión de la seguridad de la información.

14
Estas medidas combinan información sobre los resultados de la implementación de controles de seguridad
con una variedad de información sobre recursos. Pueden proporcionar la percepción más directa del valor de
la seguridad de la información para la organización y son los que buscan los ejecutivos. Por ejemplo,el
porcentaje del presupuesto del sistema de información de la agencia dedicado a la seguridad de la
informaciónse basa en información sobre la implementación, la eficacia y el resultado de los siguientes
controles de seguridad NIST SP 800-53: asignación de recursos (SA-2) y adquisiciones (SA-4). Otra medida de
impacto más generalizada relacionada con el presupuesto seríala cantidad de inversiones en seguridad de la
información informadas a la OMB en un Anexo 300.En lugar de examinar el impacto de un control o controles
de seguridad, esta medida evalúa la relación entre la cartera de inversiones en seguridad de la información y
el proceso presupuestario.

Las medidas de impacto requieren el seguimiento de una variedad de información de recursos en toda la organización de una manera que
pueda vincularse directamente con las actividades y eventos de seguridad de la información.

3.4 Consideraciones de medición

Las organizaciones que se embarcan en la medición del desempeño de la seguridad de la información deben tener en
cuenta varias consideraciones que pueden ayudar a que su programa sea un éxito. Estos incluyen la estructura y los
procesos organizativos específicos, así como la comprensión del presupuesto, el personal y los recursos de tiempo
necesarios.

3.4.1 Consideraciones organizativas

Se debe incluir a las partes interesadas apropiadas en el desarrollo de medidas de seguridad de la información y la
implementación del programa. Los elementos organizacionales que no tienen la seguridad de la información como
su responsabilidad principal pero que interactúan con la seguridad de la información de forma regular (por ejemplo,
capacitación, administración de recursos, departamento legal) pueden necesitar ser incluidos en este proceso.
(Consulte la Sección 5.1 para obtener más información sobre las partes interesadas). Si existe un elemento
organizacional responsable de la medición del desempeño en general, el desarrollo y la implementación de un
programa de medición de la seguridad de la información deben coordinarse con esa organización. Si existe un
proceso para aprobar llamadas y acciones de datos en toda la organización, el desarrollo y la implementación del
programa de medición de la seguridad de la información deben cumplir con el proceso existente.

3.4.2 Manejabilidad

Cualquier programa de medición de la seguridad de la información debe ser manejable para la organización
implementadora. Los resultados de muchas actividades de seguridad de la información se pueden cuantificar y utilizar
para medir el desempeño; sin embargo, dado que los recursos son limitados y la mayoría de los recursos se deben aplicar
para corregir las brechas de desempeño, las organizaciones deben priorizar los requisitos de medición para garantizar que
se recopile una cantidad limitada de medidas. Cada parte interesada debe ser responsable de la menor cantidad de
medidas posible, generalmente de dos a tres medidas por parte interesada. Esto ayuda a garantizar que las medidas que
se recopilan sean significativas, produzcan hallazgos de impacto y resultados, y brinden a las partes interesadas el tiempo
necesario para usar los resultados para abordar las brechas de desempeño. A medida que el programa madura y se
alcanzan los niveles objetivo de medición,

15
las medidas obsoletas deben eliminarse gradualmente y deben usarse otras nuevas que midan la finalización y la
eficacia de elementos más actuales. También se requerirán nuevas medidas si se redefine la misión de la
organización o si se realizan cambios en las políticas y directrices de seguridad de la información.

3.4.3 Inquietudes sobre la gestión de datos

Para determinar la calidad y validez de los datos, se deben estandarizar los métodos de recopilación de datos y los
repositorios de datos utilizados para la recopilación y el informe de datos de medidas, ya sea directamente o como
fuentes de datos. La validez de los datos es sospechosa si la fuente de datos primaria es una base de datos de informes
de incidentes que almacena solo la información informada por algunos elementos organizacionales, o si los procesos de
informes entre organizaciones son inconsistentes. No se puede exagerar la importancia de estandarizar los procesos de
presentación de informes. Cuando las organizaciones están desarrollando e implementando procesos que pueden servir
como entradas en un programa de medición de seguridad de la información, deben asegurarse de que la recopilación y
el informe de datos estén claramente definidos para facilitar la recopilación de datos válidos.

Las organizaciones deben comprender que, aunque pueden recopilar cantidades sustanciales de datos de seguridad
de la información, no todos los datos serán útiles para su programa de medición de seguridad de la información en
un momento dado. Cualquier recopilación de datos específicamente con el propósito de medidas de seguridad de la
información debe ser lo menos intrusiva posible y de máxima utilidad para garantizar que los recursos disponibles
se utilicen principalmente para corregir problemas en lugar de recopilar datos. El establecimiento de un programa
de medición de seguridad de la información requerirá una inversión sustancial para garantizar que el programa se
implemente de una manera que maximizará sus beneficios. Se espera que los beneficios del programa superen los
costos de invertir recursos para mantener el programa.

Finalmente, la información contenida en los repositorios de datos de seguridad de la información representa una
colección importante de datos operativos y de vulnerabilidad. Debido a la sensibilidad de estos datos, los repositorios
de datos de medición del rendimiento de la seguridad de la información deben protegerse en consecuencia.

3.4.4 Automatización de la recopilación de datos de medición

La gestión eficiente de datos se facilita mediante la automatización de la recopilación de datos de medición. Automatizar la
recopilación de datos de medición estandariza la recopilación de datos y los informes, y ayuda a institucionalizar la actividad de
medición integrándola en los procesos comerciales. Además, la recopilación de datos automatizada minimiza las oportunidades de
error humano, lo que lleva a una mayor precisión de los datos disponibles. La recopilación y la presentación de informes
estandarizados también pueden aumentar la disponibilidad de los datos, ya que es probable que las recopilaciones se alojen en una
base de datos centralizada o en un repositorio de datos similar.

Como complemento a la automatización de la medición del desempeño, las organizaciones también deben considerar cómo la
automatización de la medición del desempeño puede complementar otras tareas automatizadas de seguridad de la información. Por
ejemplo, las listas de verificación de configuración con formato de lenguaje de marcado extensible (XML) pueden permitir que las
organizaciones utilicen herramientas comerciales listas para usar (COTS), gubernamentales listas para usar (GOTS) o de código
abierto para verificar automáticamente su configuración de seguridad de la información. y asignarlo a los requisitos de
cumplimiento técnico. Si bien estas listas de verificación se utilizan principalmente para

dieciséis
cumplimiento de regulaciones como FISMA, también se pueden usar para asignar configuraciones de control técnico
específicas a los controles de seguridad NIST SP 800-53 correspondientes, lo que puede hacer que la verificación del
cumplimiento sea más consistente y eficiente. Por ejemplo, una lista de verificación podría examinar la configuración de
seguridad de la contraseña en un sistema e informar si esa configuración cumple o no con los requisitos especificados en
NIST SP 800-53. Los resultados de dicha recopilación de datos automatizada podrían brindar actualizaciones dinámicas a las
medidas de desempeño de seguridad de la información automatizadas de una agencia para indicar si se están logrando los
objetivos de seguridad de la información y dónde se requieren acciones correctivas y actividades de mitigación.

3.5 Alcance del Programa de Medición de la Seguridad de la Información

Un programa de medición de la seguridad de la información puede abarcar una variedad de entornos y

necesidades:

• Cuantificación del rendimiento de seguridad a nivel del sistema de información para un sistema de
información operativo;

• Cuantificar la integración de la seguridad de la información en el ciclo de vida de desarrollo de

sistemas (SDLC) durante los procesos de desarrollo de software y sistemas de información; y

• Cuantificación del rendimiento de la seguridad de la información en toda la empresa.

Las medidas de seguridad de la información se pueden aplicar a unidades organizativas, sitios u otras estructuras organizativas.
Las organizaciones deben definir cuidadosamente el alcance de su programa de medición de seguridad de la información en
función de las necesidades específicas de las partes interesadas, las metas y objetivos estratégicos, los entornos operativos, las
prioridades de riesgo y la madurez del programa de seguridad de la información.

3.5.1 Sistemas de información individuales

La medición de la seguridad de la información se puede aplicar al nivel del sistema de información para proporcionar datos
cuantificables sobre la implementación, la eficacia/eficiencia o el impacto de los controles de seguridad requeridos o
deseados. Los propietarios del sistema de información pueden usar medidas para respaldar la determinación de la postura
de seguridad del sistema de información, demostrar el cumplimiento de los requisitos de la organización e identificar las
áreas que necesitan mejoras. La medición de la seguridad de la información puede respaldar las actividades de certificación
y acreditación (por ejemplo, evaluaciones de riesgos, planes de seguridad del sistema de información y monitoreo
continuo), actividades de informes FISMA o actividades de planificación de capital.

3.5.2 Ciclo de vida del desarrollo del sistema

La medición de la seguridad de la información debe usarse en todo el SDLC para monitorear la implementación
de los controles de seguridad apropiados. La medición formalizada de la seguridad de la información durante el
SDLC brinda información al gerente del proyecto que es esencial para comprender qué tan bien se integra la
seguridad de la información en el SDLC y en qué medida se están introduciendo vulnerabilidades en el sistema
de información. Se pueden tomar diferentes medidas

17
 útil para diferentes actividades del proyecto. La siguiente tabla proporciona ejemplos de medidas de seguridad de la
información que se pueden usar durante el SDLC para una variedad de actividades del proyecto.

Tabla 1. Medición durante el desarrollo del sistema3

Fase SDLC Medidas Relevantes Objetivo Valor

Adquisición/Desarrollo • Porcentaje de defectos del • Identificar software • Proporciona información sobre la

producto que impactan defectos que pueden eficacia de los procesos del ciclo de
negativamente en la seguridad ser explotado en el vida y la capacitación en seguridad
postura del sistema futuro de la información para
desarrolladores

• Indica la necesidad de controles de

seguridad adicionales en
operaciones

Adquisición/Desarrollo • Porcentaje de requisitos de • determinar si • Proporciona información sobre la

seguridad de la información seguridad inclusión de los requisitos de

(es decir, controles de seguridad los requisitos son seguridad de la información en las

implementados) que son siendo planeado y primeras versiones

asignado al diseño implementado • Proporciona información sobre la

complejidad de la implementación de la

seguridad de la información.

• Indica la necesidad a corto y

largo plazo de controles de
seguridad adicionales en
operaciones

Adquisición/Desarrollo • Número de puntos de entrada • Menos entrada • Proporciona información sobre la

para un módulo (debe ser el puntos reduce la posibilidad de vulnerabilidades
mínimo necesario) cantidad de inherentes y un mayor riesgo
supervisión empresarial
requerido

Adquisición/Desarrollo • Número de defectos descubiertos que • Proactivamente • Ayuda a minimizar

se conocen como vulnerabilidades de dirección de seguridad desarrollo y
software (p. ej., desbordamientos de defectos antes de costos de reelaboración de mantenimiento

búfer y secuencias de comandos entre prueba y

sitios) implementación
• Número de desviaciones
entre diseño, código,
y requisitos
• Número de defectos y la
zona del código en la que
se encontraron (es mayor el
riesgo de tener los defectos
entre
componentes, costuras
unitarias u otras interfaces)
• Porcentaje de vulnerabilidades
descubiertas que han sido
mitigadas

3Estas medidas se desarrollaron en colaboración con el Programa de Garantía de Software del Departamento de Seguridad Nacional.

18
 Fase SDLC Medidas Relevantes Objetivo Valor

Adquisición/Desarrollo • Variación de costo/horario en • Supervisar la planificación • Proporciona información sobre los riesgos

seguridad de la información y de costo y cronograma para el éxito del

actividades implementación de proyecto

actividades de seguridad • Aumenta la precisión en la

planificación de proyectos futuros.

Implementación/Evaluación
• Porcentaje de módulos • Identificar software • Proporciona información sobre el
que contienen defectos que pueden riesgo de que el sistema sea explotado
vulnerabilidades ser explotado en el cuando se implementa

• Porcentaje de control de futuro • Indica la necesidad de controles de

seguridad fallido seguridad adicionales en
requisitos operaciones

Recopilar y analizar este tipo de medidas ayudará al director del proyecto de la siguiente
manera:

• Determinar si los defectos de software que pueden afectar la seguridad de la información se identifican
temprano en el ciclo de vida, donde es más rentable corregirlos;

• Identificar y eliminar posibles vulnerabilidades en el software y desarrollar prácticas de diseño más

seguras;

• Identificar e investigar tendencias que requieran acciones correctivas, como capacitación o revisión de
procedimientos confusos y mal redactados;

• Determinar si el sistema de información cumplirá con los controles de seguridad requeridos; y

• Realice un seguimiento de las tendencias en el riesgo de seguridad de la información en todo el SDLC.

La recopilación, el análisis y la notificación de las medidas de seguridad adecuadas durante el SDLC se pueden utilizar para mejorar
la integración de la seguridad de la información en el esfuerzo de desarrollo del sistema de información para aumentar la garantía
general de que los requisitos de seguridad del sistema están integrados en lugar de agregarse más tarde.

3.5.3 Programas para toda la empresa

La medición de la seguridad de la información se puede implementar a nivel de toda la empresa para monitorear
la implementación, la eficacia/eficiencia y el impacto en las actividades de seguridad de la información de la
organización. Las medidas a nivel de empresa pueden derivarse mediante la agregación de múltiples medidas a
nivel de sistema de información o desarrollarse utilizando toda la empresa como alcance.

Para que una medición en toda la empresa sea efectiva, la organización debe operar en un cierto nivel de
madurez para garantizar que los procesos de los que dependen las medidas sean consistentes, repetibles y
puedan garantizar la disponibilidad de datos en toda la empresa.

19
4. IMPULSORES LEGISLATIVOS Y ESTRATÉGICOS

Esta sección explica la relación entre los informes de medidas de desempeño generales de la agencia y los informes
de medidas de desempeño de la seguridad de la información, y brinda a las agencias pautas sobre cómo vincular
estas dos actividades para garantizar que su programa de seguridad de la información contribuya al logro general
de la misión, las metas y los objetivos de la agencia. . Las Secciones 4.1 y 4.2 brindan una descripción general de la
Ley de Resultados de Desempeño del Gobierno (GPRA), la Ley Federal de Gestión de la Seguridad de la Información
(FISMA) y la Arquitectura Empresarial Federal desde el punto de vista de la medición del rendimiento y describen sus
requisitos de gestión del rendimiento asociados, mientras que la Sección 4.3 analiza el vínculo entre la planificación
estratégica empresarial y la seguridad de la información.

4.1 Consideraciones legislativas

La legislación como GPRA y FISMA, junto con las regulaciones ejecutivas, está impulsando un mayor énfasis en la
gestión, cuantificación y presentación de informes sobre el desempeño de las agencias. El propósito de estos
esfuerzos es facilitar la racionalización de las operaciones del gobierno de los EE. UU., mejorar la eficiencia en la
prestación de servicios y demostrar el valor de estos servicios al público. Se requiere que las agencias planifiquen
estratégicamente sus iniciativas y pongan a disposición del público estos planes y las medidas de desempeño
correspondientes. El Poder Ejecutivo también desarrolla iniciativas que pueden requerir que las organizaciones
recopilen e informen medidas de desempeño.

4.1.1 Ley de resultados del desempeño del gobierno

GPRA se enfoca en mejorar la efectividad y eficiencia del programa articulando adecuadamente los objetivos del
programa y brindando información sobre el desempeño del programa. Para estructurar y facilitar la mejora del
programa, requiere que las agencias desarrollen planes estratégicos multianuales e informen anualmente su
desempeño en comparación con estos planes.

El propósito de GPRA es:

• Mejorar la confianza del pueblo estadounidense en la capacidad del gobierno federal al

responsabilizar sistemáticamente a las agencias federales por lograr los resultados del
programa;

• Iniciar la reforma del desempeño del programa con una serie de proyectos piloto para establecer metas del
programa, medir el desempeño del programa frente a esas metas e informar públicamente sobre su
progreso;

• Mejorar la efectividad del programa federal y la responsabilidad pública al promover un nuevo enfoque en
los resultados, la calidad del servicio y la satisfacción del cliente;

• Ayudar a los administradores federales a mejorar la prestación de servicios exigiéndoles que planifiquen para
cumplir con los objetivos del programa y brindándoles información sobre los resultados del programa y la
calidad del servicio;

20
 • Mejorar la toma de decisiones del Congreso al proporcionar información más objetiva
sobre el logro de los objetivos estatutarios y al informar sobre la eficacia y eficiencia
relativas de los programas y gastos federales; y

• Mejorar la gestión interna del gobierno federal.4

GPRA obliga a las agencias a realizar una planificación estratégica y de desempeño que culmina con
presentaciones anuales de planes estratégicos e informes de medidas de desempeño. GPRA pone esta
planificación en el contexto del proceso general de planificación de capital y control de inversiones (CPIC)
de la agencia al enfatizar la "gestión para obtener resultados: lo que logra el programa y qué tan bien
coinciden los logros con el propósito y los objetivos del programa".5

Como parte de sus procesos anuales de planificación estratégica y de desempeño, las agencias deben:

• Definir sus metas y objetivos a largo plazo y anuales;

• Establecer objetivos medibles de desempeño; y

• Informar trimestralmente a la Oficina de Administración y Presupuesto (OMB) sobre su desempeño

en relación con las metas y objetivos.

Este informe de medidas de desempeño apoya directamente a GPRA al proporcionar un medio para rastrear el
desempeño contra las metas y objetivos de la agencia y objetivos de desempeño medibles. Las agencias pueden
demostrar el impacto de la seguridad de la información en sus misiones alineando las medidas de desempeño de la
seguridad de la información con sus metas y objetivos de seguridad de la información.

GPRA es implementado por OMB Circular A-11,Preparación, Presentación y Ejecución del Presupuesto,
Parte 6.

4.1.2 Ley Federal de Gestión de la Seguridad de la Información

FISMA requiere que las agencias federales brinden la protección adecuada a sus recursos mediante la
implementación de un programa integral de seguridad de la información que sea proporcional a la sensibilidad
de la información que procesan, transmiten y almacenan los sistemas de información de la agencia. También
requiere que las agencias evalúen e informen su desempeño en la implementación y gestión de sus programas
de seguridad de la información.

El propósito de FISMA es:

• Proporcionar un marco integral para garantizar la eficacia de los controles de seguridad sobre los
recursos de información que respaldan las operaciones y los activos federales;

• Reconocer la naturaleza altamente interconectada del entorno informático federal actual y

proporcionar una gestión y supervisión eficaz a nivel gubernamental de la información relacionada.

4Ley Pública 103-62, Ley de Resultados y Desempeño Gubernamental de 1993.

5Circular A-11 de la OGP,Elaboración, Presentación y Ejecución del Presupuesto 2005, Sección 15, cláusula 15.5.

21
 riesgos de seguridad, incluida la coordinación de los esfuerzos de seguridad de la información en las
comunidades civil, de seguridad nacional y de aplicación de la ley;

• Proveer para el desarrollo y mantenimiento de controles mínimos de seguridad requeridos para proteger
la información federal y los sistemas de información;

• Proporcionar un mecanismo para mejorar la supervisión de los programas de seguridad de la información de las agencias
federales;

• Reconocer que los productos de seguridad de la información desarrollados comercialmente ofrecen

soluciones de seguridad de la información avanzadas, dinámicas, sólidas y efectivas para la protección de
infraestructuras de información críticas importantes para la defensa nacional y la seguridad económica que
están diseñadas, construidas y operadas por el sector privado; y

• Reconocer que la selección de soluciones técnicas específicas de seguridad de la información de

hardware y software debe ser realizada por agencias individuales entre los productos desarrollados
comercialmente.6

FISMA también ordenó a NIST que desarrolle y promulgue estándares y pautas relacionadas con los
sistemas de información federales.

FISMA requiere que las agencias identifiquen y evalúen los riesgos para sus sistemas de información y definan e
implementen controles de seguridad apropiados para proteger sus recursos de información. También requiere que las
agencias informen trimestral y anualmente sobre el estado de sus programas de seguridad de la información.
Un programa institucionalizado de medición del desempeño de la seguridad de la información permite a las agencias
recopilar e informar sobre indicadores de desempeño FISMA relevantes. Por ejemplo, las medidas de desempeño de la
seguridad de la información permiten a las agencias determinar rápidamente el porcentaje de sus sistemas que están
certificados y acreditados, el porcentaje de su personal que ha tomado la capacitación requerida en seguridad de la
información y su cumplimiento con otros requisitos de informes de FISMA. Un programa maduro de medición de la
seguridad de la información también permite a las agencias cumplir con los nuevos requisitos de informes de medidas de
desempeño de seguridad de la información requeridos interna o externamente al proporcionar una base para la
recopilación, el análisis, la cuantificación y el informe de datos de seguridad de la información.

La OMB publica directrices anuales sobre el proceso y los elementos de los informes FISMA anuales y
trimestrales.

4.2 Arquitectura empresarial federal

Además de los requisitos legislativos de medición del desempeño de la seguridad de la información, el

Poder Ejecutivo implementa periódicamente iniciativas diseñadas para monitorear y mejorar la eficacia
de las organizaciones federales. Una de esas iniciativas del Poder Ejecutivo que se basa en medidas de
seguridad de la información es la Arquitectura Empresarial Federal (FEA). Uno de los modelos de
referencia de FEA es el modelo de referencia de rendimiento (PRM). El PRM es un estándar

6Ley Pública 107-347, Ley de Gobierno Electrónico de 2002, Título III

22
marco para medir el desempeño de las principales inversiones en TI y su contribución al
desempeño del programa.

Las organizaciones deben considerar vincular el desarrollo y la implementación de medidas de seguridad de la información
en los esfuerzos de FEA para reducir la duplicación de la recopilación de datos y facilitar la integración de la seguridad de la
información en sus arquitecturas empresariales.

4.3 Vínculo entre la planificación estratégica empresarial y la seguridad de la información

Las agencias federales desarrollan sus objetivos estratégicos a largo plazo como parte de su proceso de
planificación estratégica, un requisito de la GPRA. Por lo general, se establecen de cinco a seis metas
estratégicas, cada una con varios objetivos de desempeño que describen cómo se logrará la meta. Como
parte de este proceso, las agencias desarrollan medidas de desempeño para cuantificar el logro de sus
metas y objetivos con metas trimestrales y anuales para cada medida de desempeño.

Las medidas de desempeño de la seguridad de la información proporcionan un medio para monitorear e informar sobre
la implementación de una agencia de su programa de seguridad de la información y las medidas de desempeño asociadas
según lo dispuesto por FISMA. Estas medidas también pueden ayudar a evaluar la eficacia de los controles de seguridad
para proteger los recursos de información de la agencia en apoyo de la misión de la agencia.

En última instancia, todos los esfuerzos deben respaldar las metas y objetivos generales de la agencia, que se definen y
reevalúan anualmente durante sus actividades de planificación estratégica. La seguridad de la información debe vincularse
explícitamente con al menos una meta u objetivo en el proceso de planificación estratégica para demostrar su importancia
en el cumplimiento de la misión de la agencia. Esta conexión se puede establecer mediante la identificación de metas y
objetivos que articularían los requisitos de seguridad de la información de la agencia dentro del contexto de la misión
general de la agencia. El progreso hacia el logro de estas metas y objetivos puede monitorearse mediante la
implementación de medidas de desempeño de seguridad de la información apropiadas.

Las medidas de rendimiento de la seguridad de la información se pueden desarrollar y utilizar en múltiples niveles
dentro de una organización, incluido el programa general de seguridad de la información de la agencia, los
programas de seguridad de la información de la oficina operativa o los programas de agencias individuales.
También se pueden acotar a diferentes tipos de esfuerzos, como se analiza en la Sección 3.6. Las medidas
desarrolladas en diferentes niveles de una organización deben utilizarse para la gestión interna y la mejora de
procesos. También se pueden agregar a las medidas de desempeño del programa de seguridad de la información a
nivel de agencia. Las medidas a nivel de agencia se informarán a la alta dirección de la organización o se utilizarán
para informes externos, como GPRA y FISMA.

23
5. PROCESO DE DESARROLLO DE MEDIDAS

El beneficio de dedicar el tiempo para establecer un programa de medidas de desempeño de seguridad de la

información por adelantado es similar al de dar tiempo para la definición de requisitos durante el desarrollo del
sistema de información: invertir tiempo temprano en el proceso es más efectivo que adaptar los requisitos una vez
que el esfuerzo está en marcha. . Las consideraciones importantes para establecer un programa de medidas de
desempeño de seguridad de la información incluyen:

• Seleccionar las medidas más apropiadas para la estrategia y el entorno comercial de la

organización, incluidas las prioridades, el entorno y los requisitos de la misión y la seguridad de
la información;

• Tomarse el tiempo para recopilar aportes y obtener la aceptación de todas las partes interesadas pertinentes y
brindarles educación; y

• Garantizar que se cuenta con la infraestructura técnica y de procesos adecuada, incluida la creación/
modificación de herramientas de recopilación, análisis y generación de informes de datos.

Dos procesos, desarrollo de medidas e implementación de medidas, guían el establecimiento y la operación de un

programa de medición de la seguridad de la información. El proceso de desarrollo de medidas establece el conjunto
inicial de medidas, así como la selección del subconjunto de medidas que es apropiado para una organización en un
momento dado. El proceso de implementación del programa de medición de la seguridad de la información es
iterativo por naturaleza y asegura que los aspectos apropiados de la seguridad de la información se midan durante
un período de tiempo específico. El resto de esta sección describe el proceso de desarrollo de medidas. (La Sección 6
describe el proceso de implementación del programa de medición de la seguridad de la información).

La Figura 5-1 ilustra el lugar de las medidas de seguridad de la información dentro de un contexto organizacional
más amplio y demuestra que se pueden usar para medir progresivamente la implementación, la eficacia/
eficiencia y el impacto comercial de las actividades de seguridad de la información dentro de las organizaciones o
para sistemas de información específicos.

El proceso de desarrollo de medidas de seguridad de la información consta de dos actividades principales:

• Identificación y definición del programa de seguridad de la información vigente; y

• Desarrollo y selección de medidas específicas para medir la implementación,

eficacia, eficiencia e impacto de los controles de seguridad.

Las actividades descritas en la Figura 5-1 no necesitan realizarse secuencialmente. El proceso se proporciona como
una forma de pensar en las medidas y facilitar la identificación de medidas adaptadas a una organización específica
y sus diferentes grupos de partes interesadas.

24
 Figura 5-1. Proceso de desarrollo de medidas de seguridad de la información

5.1 Identificación de intereses de las partes interesadas

La fase 1 del proceso de desarrollo de medidas (consulte la Figura 5-1) identifica a las partes interesadas relevantes y sus
intereses en la medición de la seguridad de la información. Cualquier persona dentro de una organización puede ser una
parte interesada en la seguridad de la información, aunque algunas personas o grupos tienen más interés que otros. Los
principales interesados en la seguridad de la información son:

• Jefe de Agencia;

• director de información;

• SAISO/CISO;
• ISO;
• Gerente de programa/propietario del sistema de información;

• administrador de sistemas de información/administrador de redes;

• ingenieros de seguridad; y

• Personal de apoyo al sistema de información.

Las partes interesadas secundarias en la seguridad de la información son miembros de grupos dentro de una organización que no
tienen la seguridad de la información como su misión principal, pero están involucradas con la seguridad de la información en
algunos aspectos de sus operaciones. Los ejemplos de partes interesadas secundarias en la seguridad de la información pueden
incluir:

• Director Financiero (CFO);

25
 • Organización de la formación;

• recursos humanos/organización del personal;

• Inspectores Generales (IG); y

• Director de Privacidad u otro funcionario designado con responsabilidades de privacidad.

Los intereses de las partes interesadas diferirán, según los aspectos de seguridad de la información de su rol particular y su
posición dentro de la jerarquía organizacional. Cada parte interesada puede requerir un conjunto adicional de medidas
personalizadas que brinden una vista del desempeño de la seguridad de la información de la organización dentro de su
área de responsabilidad. Los intereses se pueden determinar a través de múltiples lugares, como entrevistas, sesiones de
lluvia de ideas y revisiones de la declaración de la misión. En muchos casos, los intereses de las partes interesadas están
regidos por leyes y reglamentos. Como se menciona en la Sección 3.4.2, cada parte interesada debe ser inicialmente
responsable de dos o tres medidas. Se recomienda que se usen menos medidas por parte interesada cuando una
organización está estableciendo un programa de seguridad de la información; el número de medidas por parte interesada
debe aumentar gradualmente a medida que maduren el programa de seguridad de la información y el programa de
medición de la seguridad de la información.

Las partes interesadas deben participar en cada paso del desarrollo de medidas de seguridad de la información para
garantizar que la organización acepte el concepto de medir el desempeño de la seguridad de la información. Esta
participación también asegurará que exista un sentido de propiedad de las medidas de seguridad del sistema de
información en múltiples niveles de la organización para alentar el éxito general del programa.

Los tres aspectos medibles de la seguridad de la información (impacto empresarial, eficiencia/eficacia e

implementación) hablan de diferentes partes interesadas. Por ejemplo, un ejecutivo estará interesado en el impacto
comercial y de misión de las actividades de seguridad de la información (p. ej., ¿cuál es el costo monetario y de
confianza pública del último incidente? ¿Hay un artículo sobre nosotros en un periódico importante?), seguridad de la
información y los administradores de programas estarán interesados en la eficacia/eficiencia de los programas de
seguridad de la información (p. ej., ¿podríamos haber evitado el incidente? ¿Qué tan rápido respondimos?), y los
administradores de redes o sistemas de información querrán saber qué salió mal (p. ej., ¿Hemos realizado todos los
pasos necesarios para evitar o minimizar el impacto del incidente?).

5.2 Definición de Metas y Objetivos

La fase 2 del proceso de desarrollo de medidas (consulte la Figura 5-1) es identificar y documentar las metas y
objetivos de rendimiento de la seguridad del sistema de información que guiarían la implementación del control de
seguridad para el programa de seguridad de la información de un sistema de información específico. Para los
sistemas de información federales, estas metas y objetivos pueden expresarse en forma de políticas y requisitos de
alto nivel, leyes, reglamentos, directrices y guías.7

7Consulte la Sección 4 para obtener información adicional sobre requisitos, leyes, reglamentos, pautas y orientación..

26
Las metas y los objetivos del programa de seguridad de la información también se pueden derivar de las
metas y los objetivos a nivel empresarial en apoyo de la misión general de la organización, que generalmente
se articulan en los planes estratégicos y de desempeño de la agencia. Los documentos aplicables deben
revisarse para identificar y extraer las metas y objetivos de rendimiento de seguridad de la información
aplicables. Las metas y objetivos extraídos deben validarse con las partes interesadas de la organización para
garantizar su aceptación y participación en el proceso de desarrollo de medidas.

Estándar federal de procesamiento de información (FIPS) 200,Requisitos mínimos de seguridad para

información federal y sistemas de información,proporciona especificaciones para los requisitos mínimos
de seguridad. NIST SP 800-53 proporciona controles de seguridad mínimos correspondientes a las
categorías de bajo impacto, impacto moderado y alto impacto como se define en FIPS 199,Normas para
la categorización de la seguridad de la información federal y los sistemas de información. Las agencias
deben definir e implementar controles mínimos de seguridad basados en la sensibilidad de los datos
procesados, almacenados y transmitidos en sus sistemas de información. Como tal, los programas de
seguridad de la información de la agencia deben incluir la planificación, implementación, monitoreo e
informes sobre la implementación y efectividad de estos controles de seguridad del sistema de
información. Para facilitar la vinculación explícita de las actividades de seguridad de la información con
la planificación estratégica a nivel de agencia, las agencias pueden usar especificaciones para los
requisitos mínimos de seguridad, establecidos en FIPS 200, como entrada en los objetivos para
desarrollar medidas de desempeño de seguridad de la información. (Estas especificaciones, que
corresponden a las 17 familias de control de seguridad en NIST SP 800-53, se proporcionan en el
Apéndice D.

5.3 Revisión de políticas, lineamientos y procedimientos de seguridad de la información

La fase 3 del proceso de desarrollo de medidas (consulte la Figura 5-1) se centra en las prácticas de seguridad de la
información específicas de la organización. Los detalles de cómo deben implementarse los controles de seguridad
generalmente se establecen en políticas y procedimientos específicos de la organización que definen una línea base de
prácticas de seguridad de la información para el sistema de información. Específicamente, describen cómo la
implementación de controles, requisitos y técnicas de seguridad conducen al logro de metas y objetivos de desempeño de
seguridad de la información. Estos documentos deben examinarse no solo durante el desarrollo inicial de medidas, sino
también en futuras actividades de desarrollo de medidas cuando la lista inicial de medidas esté agotada y deba ser
reemplazada. Los documentos aplicables deben revisarse para identificar los controles de seguridad de la información, los
procesos aplicables y los objetivos de desempeño.

5.4 Revisión de la implementación del programa de seguridad de la información

En la Fase 4 del proceso de desarrollo de medidas (consulte la Figura 5-1), se deben revisar todas las medidas
existentes y los depósitos de datos que se pueden utilizar para derivar datos de medidas. Después de la revisión, la
información aplicable debe extraerse y usarse para identificar la implementación adecuada.

27
evidencia para apoyar el desarrollo de medidas y la recopilación de datos.8La evidencia de implementación
apunta a aspectos de los controles de seguridad que serían indicativos del cumplimiento del objetivo de
desempeño de la seguridad de la información, o al menos que se realizan acciones que conducen al
cumplimiento del objetivo de desempeño en el futuro. Los requisitos, procesos y procedimientos de
seguridad del sistema de información que se han implementado se pueden extraer consultando múltiples
fuentes, incluidos documentos, entrevistas y observación.

Las siguientes fuentes pueden contener información a partir de la cual se pueden generar datos de medidas:

• Planes de Seguridad del Sistema;9

• informes del Plan de Acción e Hitos (POA&M);

• Últimos hallazgos de GAO e IG;

• Rastreo de actividades relacionadas con la seguridad de la información, como manejo e informes de incidentes,
pruebas, administración de redes, registros de auditoría y facturación de redes y sistemas de información;

• Evaluaciones de riesgo y resultados de pruebas de penetración;

• documentación de C&A (p. ej., informes de evaluación de seguridad);

• Resultados de monitoreo continuo;

• Planes de Contingencia;

• planes de gestión de la configuración; y

• Resultados de entrenamiento y estadísticas.

A medida que las prácticas de seguridad de los sistemas de información evolucionen y los documentos que las describen
cambien, las medidas existentes se retirarán y se desarrollarán nuevas medidas. Para garantizar que las medidas
desarrolladas recientemente sean apropiadas, estos y otros documentos similares deberán examinarse para identificar
nuevas áreas que deben capturarse en las medidas.

5.5 Desarrollo y Selección de Medidas

Las fases 5, 6 y 7 del proceso de desarrollo de medidas, representadas en la Figura 5-1, involucran el desarrollo de
medidas que rastrean la implementación del proceso, la eficiencia/eficacia y el impacto de la misión. El proceso de
desarrollo de medidas de desempeño presentado en esta sección describe cómo desarrollar medidas en estas tres
áreas para la seguridad de la información. (El Apéndice A proporciona medidas candidatas, algunas de las cuales
corresponden a familias de control de seguridad seleccionadas en NIST SP 800-53). Para respaldar la mejora continua
de la seguridad para los sistemas y programas de información, el proceso conecta explícitamente las actividades de
seguridad de la información con los objetivos estratégicos de la organización.

8La evidencia de implementación se refiere a los datos recopilados para respaldar una medida de desempeño de seguridad de la información. Implementación
la evidencia se discute con mayor detalle en la Tabla 2 contenida en la Sección 5.6.

9NIST SP 800-18 proporciona pautas sobre el desarrollo del Plan de seguridad del sistema.

28
a través del desarrollo y uso de medidas de desempeño. Este enfoque supone que las organizaciones
tienen múltiples objetivos estratégicos y que un solo objetivo puede requerir aportes de múltiples
medidas.

5.5.1 Enfoque de desarrollo de medidas

Según el alcance del esfuerzo de medición, el desarrollo de medidas de seguridad de la información debe
centrarse en medir el rendimiento de seguridad de un control de seguridad específico, un grupo de controles de
seguridad o un programa de seguridad. Tal enfoque dará como resultado medidas que ayuden a determinar
dónde se encuentra una organización determinada en apoyo del objetivo estratégico correspondiente y, cuando
se miden múltiples controles o el programa completo, proporcione una visión amplia del desempeño de la
seguridad de la información.

Las medidas correspondientes a familias de control de seguridad o controles de seguridad individuales deben:

• Asignarse directamente a los controles de seguridad individuales;

• Utilice datos que describan la implementación del control de seguridad para generar las medidas
necesarias, como POA&M, pruebas y seguimiento de proyectos; y

• Caracterice la medida como aplicable a la categorización del sistema de información bajo,

moderado o alto.

Las medidas relacionadas con el desempeño general del programa de seguridad de la información deberían:

• Estar asignados a metas y objetivos de seguridad de la información que pueden abarcar el desempeño de la
seguridad de la información en todo el espectro de controles de seguridad; y

• Utilice los datos que describen el desempeño del programa de seguridad de la información para generar las
medidas requeridas.

5.5.2 Priorización y selección de medidas

El universo de posibles medidas, con base en las políticas y procedimientos existentes, será bastante amplio. Se deben
priorizar las medidas para garantizar que el conjunto seleccionado para la implementación inicial tenga las siguientes
cualidades:

• Facilita la mejora de la implementación del control de seguridad de

alta prioridad según se define utilizando un enfoque basado en el
Las organizaciones gestionan lo
riesgo. “Alta prioridad” puede ser definida por los últimos informes
que miden. Es importante
de GAO o IG, resultados de un riesgo
seleccionar dos o tres medidas
evaluación, a través de un seguimiento continuo o en función
de alta prioridad por
de un objetivo organizativo interno.
parte interesada, determinada mediante el

• Utiliza datos que pueden obtenerse de manera realista de uso de un enfoque basado en el riesgo.

fuentes y depósitos de datos existentes (p. ej., inventarios de

sistemas, bases de datos de capacitación, POA&M).

29
 • Mide procesos que ya existen y están establecidos. La medición de procesos inconsistentes no
proporcionará datos significativos sobre el desempeño de la seguridad de la información y no será útil para
identificar aspectos específicos del desempeño. Sin embargo, intentar dicha medición aún puede ser útil
para lograr una línea de base para ser monitoreada de cerca a través de una evaluación continua y una
medición adicional para mejorar la postura de seguridad de la información.

Las organizaciones pueden decidir utilizar una escala de ponderación para diferenciar la importancia de las medidas
seleccionadas y garantizar que los resultados reflejen con precisión las prioridades del programa de seguridad de la
información existente. Esto implicaría asignar valores a cada medida en función de su importancia en el contexto del
programa general de seguridad de la información. La ponderación debe basarse en los objetivos generales de mitigación
de riesgos y probablemente reflejaría una mayor criticidad de las iniciativas a nivel empresarial frente a las iniciativas a
menor escala. Esta escala es una herramienta útil que facilita la integración de medidas de seguridad de la información en
el proceso de planificación de capital departamental.

5.5.3 Establecimiento de objetivos de rendimiento

Establecer objetivos de rendimiento es un componente importante de la definición de medidas de seguridad de la

información. Los objetivos de desempeño establecen un punto de referencia por el cual se mide el éxito. El grado
de éxito se basa en la proximidad del resultado de la medida al objetivo de rendimiento establecido. La mecánica
para establecer metas de desempeño difiere para las medidas de implementación y los otros dos tipos de medidas
(efectividad/eficiencia e impacto). Para las medidas de implementación, los objetivos se establecen en el 100 por
ciento de finalización de tareas específicas.

Establecer objetivos de rendimiento para las medidas de eficacia/eficiencia y de impacto es complejo porque la
dirección necesitará aplicar un razonamiento cualitativo y subjetivo para determinar los niveles apropiados de
eficacia y eficiencia de la seguridad, y usar estos niveles como objetivos de rendimiento para las medidas aplicables.
Aunque cada organización desea una implementación eficaz de los controles de seguridad, una prestación eficiente
de los servicios de seguridad y un impacto mínimo de los eventos de seguridad en su misión, las medidas asociadas
serán diferentes para los diferentes sistemas. Una organización puede intentar establecer objetivos de rendimiento
para estas medidas y debe estar lista para ajustar estos objetivos, en función de las mediciones reales, una vez que
se obtengan. La organización también puede decidir no establecer objetivos para estas medidas hasta que se
recopile la primera medición que se pueda utilizar como referencia de rendimiento. Una vez que se obtiene la línea
de base y se identifican las acciones correctivas, se pueden definir los objetivos de medición apropiados y los hitos de
implementación que sean realistas para un entorno de sistema específico. Si los objetivos de rendimiento no se
pueden establecer después de que se haya obtenido la línea de base, la gerencia debe evaluar si las actividades
medidas y las medidas correspondientes están proporcionando el valor esperado para la organización.

30
El establecimiento de líneas de base de medidas de eficacia/eficiencia y de impacto y objetivos de rendimiento puede
facilitarse si se dispone de datos históricos relacionados con estas medidas. Las tendencias observadas en el pasado
proporcionarán información sobre los rangos de rendimiento que han existido anteriormente y guiarán la creación
de objetivos realistas para el futuro. En el futuro, las recomendaciones y estándares de expertos dentro de la
industria, cuando se publiquen, pueden proporcionar un medio para establecer objetivos. La Figura 5-2 proporciona
un ejemplo de una medida de implementación que se basa en el porcentaje de planes de seguridad del sistema
aprobados.

Porcentaje de Planes de Seguridad del Sistema Aprobados

100%

80%

60%

40%

20%

0%
oct-05 abr-06 6 de octubre abr-07 oct-07

Figura 5-2. Ejemplo de tendencia de las medidas de seguridad de la información

5.6 Plantilla de Desarrollo de Medidas

Las organizaciones deben documentar sus medidas de rendimiento en un formato

estándar para garantizar la repetibilidad de las actividades de desarrollo, adaptación,
Esta plantilla y las
recopilación y generación de informes de medidas. Un formato estándar proporcionará
medidas candidatas
los detalles necesarios para guiar las actividades de recopilación, análisis y presentación
proporcionado en el Apéndice
de informes de medidas. La plantilla de medidas, proporcionada en la Tabla 2, es un
A son ejemplos, y están
ejemplo de dicho formato.
destinados a ser
adaptados a las
Si bien la plantilla de medidas proporciona un enfoque sugerido para la
necesidades de la
medición, según las prácticas y los procedimientos internos, las
organizaciones pueden adaptar sus propias plantillas de medición del organización.
desempeño utilizando un subconjunto de los campos proporcionados o
agregando más campos en función de su entorno y requisitos.

31
 Tabla 2. Plantilla de Medidas e Instrucciones

Campo Datos

Identificador de medida Indique el identificador único utilizado para el seguimiento y la clasificación de medidas. El identificador único puede ser de una
convención de nomenclatura específica de la organización o puede hacer referencia directamente a otra fuente.

Meta Declaración de objetivo estratégico y/o objetivo de seguridad de la información. Para las medidas de control de
seguridad a nivel de sistema, el objetivo guiaría la implementación del control de seguridad para ese sistema de
información. Para las medidas a nivel de programa, se pueden incluir tanto los objetivos estratégicos como los
objetivos de seguridad de la información. Por ejemplo, los objetivos de seguridad de la información se pueden
derivar de los objetivos a nivel empresarial en apoyo de la misión de la organización. Estos objetivos generalmente
se articulan en planes estratégicos y de desempeño. Cuando sea posible, incluya tanto el objetivo a nivel de empresa
como el objetivo de seguridad de la información específico extraído de la documentación de la agencia, o identifique
un objetivo del programa de seguridad de la información que contribuiría al logro del objetivo estratégico
seleccionado.

Medida Declaración de medición. Use una declaración numérica que comience con la palabra
"porcentaje", "número", "frecuencia", "promedio" o un término similar.

Si corresponde, enumere los controles de seguridad NIST SP 800-53 que se están midiendo. Los controles de
seguridad que proporcionan datos de respaldo deben indicarse en la Evidencia de implementación. Si la
medida es aplicable a un nivel de impacto específico de FIPS 199 (alto, moderado o bajo), indique este nivel
dentro de la medida.

Tipo Declaración de si la medida es de implementación, eficacia/eficiencia o impacto.

Fórmula Cálculo a realizar que da como resultado una expresión numérica de una medida. La información
recopilada a través del listado de evidencias de implementación sirve como insumo para la fórmula
de cálculo de la medida.

Objetivo Umbral para una calificación satisfactoria de la medida, como la finalización de un hito o una medida estadística.
El objetivo se puede expresar en porcentajes, tiempo, dólares u otras unidades de medida apropiadas. El objetivo
puede estar vinculado a un marco de tiempo de finalización requerido. Seleccione el objetivo final e intermedio
para permitir el seguimiento del progreso hacia el objetivo establecido.

Implementación La evidencia de implementación se utiliza para calcular la medida, validar que se realiza la actividad
Evidencia e identificar las causas probables de resultados insatisfactorios para una medida específica.

• Para la recopilación manual de datos, identifique preguntas y elementos de datos que proporcionarían
las entradas de datos necesarias para calcular la fórmula de la medida, calificar la medida para su
aceptación y validar la información proporcionada.

• Para cada pregunta o consulta, indique el número de control de seguridad de NIST SP 800-53
que brinda información, si corresponde.

• Si la medida es aplicable a un nivel de impacto FIPS 199 específico, las preguntas deben
indicar el nivel de impacto.

• Para la recopilación de datos automatizada, identifique los elementos de datos que serían necesarios
para la fórmula, califique la medida para su aceptación y valide la información proporcionada.

Frecuencia Indicación de la frecuencia con la que se recopilan y analizan los datos, y con qué frecuencia se notifican los datos.
Seleccione la frecuencia de recopilación de datos en función de una tasa de cambio en un control de seguridad
particular que se está evaluando. Seleccione la frecuencia de los informes de datos en función de los requisitos de
informes externos y las preferencias de los clientes internos.

32
 Campo Datos

Responsable Indique las siguientes partes interesadas clave:

Fiestas
• Propietario de la información: identifique el componente organizacional y la persona que
posee la información requerida;

• Recolector de información: identifique el componente organizacional y el individuo

responsable de recopilar los datos. (Nota:Si es posible, el recopilador de información debe ser
una persona diferente o incluso un representante de una unidad organizativa diferente a la del
propietario de la información, para evitar la posibilidad de un conflicto de intereses y garantizar
la separación de funciones. Las organizaciones más pequeñas deberán determinar si es factible
separar estas dos responsabilidades); y

• Cliente de Información: Identifique el componente organizacional y el individuo que

recibirá los datos.

Fuente de datos Ubicación de los datos a utilizar en el cálculo de la medida. Incluya bases de datos, herramientas de seguimiento,
organizaciones o roles específicos dentro de las organizaciones que puedan proporcionar la información
requerida.

Informes Indicación de cómo se informará la medida, como un gráfico circular, un gráfico de líneas, un gráfico de barras u
Formato otro formato. Indique el tipo de formato o proporcione una muestra.

Las medidas candidatas provistas en el Apéndice A son ejemplos de medidas de seguridad de la información y
pueden o no ser requeridas para informes regulatorios u organizacionales en cualquier momento (por
ejemplo, FISMA). El propósito de enumerar estas medidas es demostrar ejemplos de medidas que pueden ser:

• Usado como se indica;

• Modificado y adaptado a los requisitos de una organización específica; o

• Se utiliza como plantilla para otras medidas de seguridad de la información.

Se anima a las organizaciones, pero no se les exige, a utilizar estas medidas como punto de partida para sus esfuerzos de
medición de la seguridad de la información.

5.7 Comentarios dentro del proceso de desarrollo de medidas

Las medidas que finalmente se seleccionan para la implementación serán útiles no solo para medir el desempeño,
identificar las causas del desempeño insatisfactorio y señalar las áreas de mejora, sino también para facilitar la
implementación de políticas coherentes, efectuar cambios en las políticas de seguridad de la información, redefinir
metas y objetivos y apoyar la mejora continua. . Esta relación está representada por las flechas de retroalimentación
en la Figura 5-1, que están marcadas como Redefinición de Meta/Objetivo, Actualización de Política y Mejora
Continua. Una vez que comienza la medición de la implementación del control de seguridad, se pueden usar medidas
posteriores para identificar tendencias de desempeño y determinar si la tasa de implementación es adecuada. Una
frecuencia específica de cada colección de medidas dependerá del ciclo de vida de un evento medido. Por ejemplo,
una medida que se relaciona con el porcentaje de planes de seguridad del sistema completados o actualizados no se
debe recopilar con más frecuencia que semestralmente, mientras que una medida que se relaciona con contraseñas
descifrables se debe recopilar con más frecuencia. Con el tiempo, las mediciones apuntarán a

33
implementación continua de los controles de seguridad aplicables. Una vez que se implementen las
medidas de eficacia/eficiencia, facilitarán la comprensión de si los objetivos de desempeño del control de
seguridad, identificados en las políticas y procedimientos de seguridad de la información, son realistas y
apropiados.

Por ejemplo, si una política de seguridad de la información define una configuración de contraseña específica, el cumplimiento de esta política podría determinarse midiendo el

porcentaje de contraseñas que están configuradas de acuerdo con la política. Esta medida aborda el nivel de implementación del control de seguridad. Se supone que configurar

todas las contraseñas de acuerdo con la política reducirá significativamente, si no eliminará, los compromisos del sistema de información a través de contraseñas rotas. Para medir

la efectividad de la implementación de la política de contraseñas existente, se podría identificar el porcentaje de contraseñas que se pueden descifrar mediante herramientas

comunes para descifrar contraseñas. Esta medida aborda la efectividad del control de seguridad implementado. Si queda un porcentaje significativo de contraseñas descifrables

después de implementar la política de contraseñas requerida, la conclusión lógica es que la política subyacente puede ser ineficaz para frustrar los compromisos de contraseñas. Si

este es el caso, una organización deberá considerar fortalecer la política o implementar otras medidas de mitigación. También se deben determinar los costos y beneficios de

mantener la política de contraseñas tal como está, reforzarla o reemplazar la autenticación de contraseña con otras técnicas. La realización de análisis de costo-beneficio generará

medidas de impacto comercial para abordar el tema de la redefinición de los objetivos de identificación y autenticación del sistema de información y realinear adecuadamente estos

objetivos con la misión del sistema de información. También se deben determinar los costos y beneficios de mantener la política de contraseñas tal como está, reforzarla o

reemplazar la autenticación de contraseña con otras técnicas. La realización de análisis de costo-beneficio generará medidas de impacto comercial para abordar el tema de la

redefinición de los objetivos de identificación y autenticación del sistema de información y realinear adecuadamente estos objetivos con la misión del sistema de información.

También se deben determinar los costos y beneficios de mantener la política de contraseñas tal como está, reforzarla o reemplazar la autenticación de contraseña con otras

técnicas. La realización de análisis de costo-beneficio generará medidas de impacto comercial para abordar el tema de la redefinición de los objetivos de identificación y

autenticación del sistema de información y realinear adecuadamente estos objetivos con la misión del sistema de información.

34
6. IMPLEMENTACIÓN DE MEDIDAS DE SEGURIDAD DE LA INFORMACIÓN

La implementación de la medición de la seguridad de la información implica aplicar medidas para monitorear el

desempeño del control de la seguridad de la información y usar los resultados para iniciar acciones de mejora del
desempeño. El proceso de implementación del programa de medición de la seguridad de la información consta de
seis fases que, una vez ejecutadas en su totalidad, garantizarán el uso continuo de estas medidas para el monitoreo
y la mejora del desempeño del control de la seguridad. El proceso se muestra en la Figura 6-1.

Figura 6-1. Proceso de Implementación del Programa de Medición de la Seguridad de la Información

6.1 Prepárese para la recopilación de datos

Fase 1 del proceso de implementación del programa de medición de seguridad de la información,Prepárese para la
recopilación de datos, implica actividades que son esenciales para establecer un programa integral de medición de
seguridad de la información, incluida la identificación, definición, desarrollo y selección de medidas de seguridad de
la información. El siguiente paso es desarrollar un plan de implementación del programa de medición de la
seguridad de la información.10

Los pasos de implementación específicos deben definirse en función de cómo se deben recopilar, analizar e
informar los datos para las medidas. Estos pasos deben documentarse en el plan de implementación del
programa de medición. Los siguientes elementos pueden incluirse en el plan:

10El plan de implementación del programa de medición de seguridad de la información puede ser formal o informal, dependiendo de la
necesidades de la organización.

35
 • Audiencia para el plan;

• Roles y responsabilidades de medición, incluidas las responsabilidades de recopilación de

datos (tanto solicitar como enviar), análisis e informes;

• Proceso de recopilación, análisis e informe de medidas, adaptado a la estructura, los procesos, las
políticas y los procedimientos específicos de la organización;

• Detalles de la coordinación dentro de la Oficina del CIO, en relación con áreas tales como
evaluación de riesgos, C&A y actividades de informes FISMA;

• Detalles de la coordinación entre SAISO y otras funciones dentro de la agencia (p. ej., seguridad física,
seguridad del personal y privacidad) para garantizar que la recopilación de datos de medidas sea
eficiente y no intrusiva;

• Creación o selección de herramientas de recopilación y seguimiento de datos;

• Modificaciones de las herramientas de recopilación y seguimiento de datos; y

• Formatos de informe de resumen de medidas.

Además, el plan de implementación de medidas de seguridad de la información debe contener disposiciones

para el monitoreo continuo del programa de seguridad de la información. Las actividades de monitoreo
continuo incluyen la gestión de la configuración, los análisis de impacto en la seguridad de la información de
los cambios en el sistema de información, la evaluación de un subconjunto de controles de seguridad y los
informes de estado. Las prácticas sólidas de monitoreo continuo dictan que la organización establezca
criterios de selección para un subconjunto de los controles de seguridad empleados dentro del sistema de
información para fines de monitoreo continuo. NIST SP 800-37 proporciona pautas sobre el proceso de
monitoreo continuo. NIST SP 800-53A proporciona pautas sobre la evaluación de los controles de seguridad.
Los resultados generados a partir del monitoreo continuo brindan los datos necesarios para respaldar y
complementar los datos recopilados en la Fase 2,

6.2 Recopilación de datos y análisis de resultados

Fase 2 del proceso de implementación del programa de medición de la seguridad de la información,Recopilar

datos y analizar resultados, implica actividades esenciales para garantizar que las medidas recopiladas se
utilicen para comprender la seguridad del sistema de información e identificar las acciones de mejora
apropiadas. Esta fase incluye las siguientes actividades:

• Recopilar datos de medidas de acuerdo con los procesos definidos en el Plan de

Implementación del Programa de Medición;

• Agregar medidas según corresponda para derivar medidas de nivel superior (p. ej., "acumular"
medidas a nivel del sistema de información para derivar medidas a nivel de programa);

36
 • Consolide los datos recopilados y guárdelos en un formato propicio para el análisis y la generación de informes de
datos, por ejemplo, en una base de datos o una hoja de cálculo;

• Llevar a cabo un análisis de brechas para comparar las mediciones recopiladas con los objetivos (si están
definidos) e identificar las brechas entre el desempeño real y el deseado;

• Identificar las causas del bajo rendimiento; y

• Identificar las áreas que requieren mejoras.

Las causas de un rendimiento deficiente a menudo se pueden identificar utilizando los datos de más de una
medida. Por ejemplo, determinar que el porcentaje de planes de seguridad del sistema aprobados es
inaceptablemente bajo no sería útil para determinar cómo corregir el problema. Para determinar la causa del
bajo cumplimiento, será necesario obtener información sobre las razones de los bajos porcentajes (p. ej.,
falta de directrices, experiencia insuficiente o prioridades en conflicto). Esto se puede recopilar como
medidas separadas o como evidencia de implementación para el porcentaje de planes de seguridad del
sistema aprobados. Una vez que se recopila y compila esta información, se pueden dirigir acciones
correctivas a la causa del problema.

Los siguientes son ejemplos de factores que contribuyen a una implementación y eficacia deficientes de la
seguridad:

• Recursos—Recursos humanos, monetarios o de otro tipo insuficientes;

• Capacitación: falta de capacitación adecuada para el personal que instala,

administra, mantiene o usa los sistemas de información;

• Actualizaciones del sistema de información: parches de seguridad de la información que se eliminaron pero no se
reemplazaron durante las actualizaciones del sistema de información;

• Prácticas de gestión de la configuración: sistemas de información nuevos o actualizados que no están

configurados con las configuraciones y parches de seguridad de la información requeridos;

• Compatibilidad de software: parches o actualizaciones de seguridad de la información que son incompatibles

con las aplicaciones de software admitidas por el sistema de información;

• Conciencia y compromiso—Falta de conciencia y/o compromiso de la gerencia con la seguridad

de la información;

• Políticas y procedimientos: falta de políticas y procedimientos necesarios para garantizar la existencia, el uso y la
auditoría de las funciones de seguridad de la información requeridas;

• Arquitecturas: sistema de información deficiente y arquitecturas de seguridad de la información que hacen que
los sistemas de información sean vulnerables; y

37
 • Procesos ineficientes: procesos de planificación e implementación ineficientes que influyen en las
medidas, incluidos los procesos de comunicación necesarios para dirigir las acciones de la organización.

6.3 Identificar acciones correctivas

Fase 3 del proceso de implementación del programa de medición de seguridad de la información,Identificar

acciones correctivas, implica el desarrollo de un plan que sirva como hoja de ruta para cerrar la brecha de
implementación identificada en la Fase 2. Incluye las siguientes actividades:

• Determine el rango de acciones correctivas: en función de los resultados y los factores causales, identifique las posibles
acciones correctivas para cada problema de rendimiento. Estos pueden incluir cambiar las configuraciones del sistema
de información; capacitar al personal de seguridad de la información, al personal del administrador del sistema de
información o a los usuarios regulares; compra de herramientas de seguridad de la información; cambiar la
arquitectura del sistema de información; establecer nuevos procesos y procedimientos; y actualizar las políticas de
seguridad de la información.

• Priorice las acciones correctivas en función de los objetivos generales de mitigación de riesgos: se pueden
aplicar varias acciones correctivas a un solo problema de rendimiento; sin embargo, algunos pueden ser
inapropiados si son demasiado costosos o son inconsistentes con la magnitud del problema. Las acciones
correctivas aplicables deben priorizarse para cada problema de desempeño en orden ascendente de costo y
descendente de impacto. El proceso de gestión de riesgos descrito en NIST SP 800-30,Guía de Gestión de
Riesgos para Sistemas de Tecnologías de la Información, o el proceso de priorización de acciones correctivas
descrito en NIST SP 800-65,Integración de la seguridad de TI en el proceso de planificación de capital y
control de inversiones,debe utilizarse para priorizar las acciones correctivas. Si se asignaran pesos a las
medidas en elPrepárese para la recopilación de datosfase, deben utilizarse para priorizar las acciones
correctivas. Alternativamente, las prioridades pueden ser asignadas en elIdentificar acciones correctivasfase
basada en la criticidad de implementar acciones correctivas específicas, el costo de las acciones y la
magnitud de su impacto en la postura de seguridad de la información de la organización. Las acciones
correctivas deben documentarse en el POA&M para el sistema de información u organización
correspondiente y deben rastrearse como parte del proceso de monitoreo continuo.

• Seleccione las acciones correctivas más apropiadas: las acciones correctivas viables de la parte superior de la lista de
prioridades deben seleccionarse para su uso en un análisis completo de costo-beneficio.

6.4 Desarrollar un caso de negocios y obtener recursos

Fase 4 del proceso de implementación del programa de medición de la seguridad de la información, Desarrollar
caso de negocio, y Fase 5,Obtener Recursos, abordar el ciclo presupuestario para adquirir los recursos necesarios
para implementar las acciones de remediación identificadas en la Fase 3. Los pasos involucrados en el desarrollo de
un caso de negocios se basan en las prácticas de la industria y las pautas obligatorias, incluida la Circular OMB
A-11, la Ley Clinger-Cohen y GPRA . Los resultados de las tres fases anteriores se incluirán en el caso comercial
como evidencia de respaldo.

38
Las siguientes actividades generalmente se realizan como parte del análisis del caso de negocios. Se persiguen
dentro de los límites de los procesos específicos de la agencia para obtener los recursos necesarios para
implementar acciones correctivas, e incluyen:

• Documentar la misión y los objetivos (identificados durante la Fase 2 del proceso de

desarrollo de medidas);

• Determinar el costo y los riesgos de mantener el statu quo para usarlo como referencia para comparar
alternativas de inversión;

• Documentar las brechas en el desempeño de la seguridad de la información entre el desempeño objetivo y el

desempeño actual, como lo demuestran las medidas actuales recopiladas durante la Fase 2 del proceso de
implementación del programa de medición de la seguridad de la información;

• Estimar los costos del ciclo de vida de cada acción correctiva o alternativa de inversión, según lo identificado en
la Fase 3 del proceso de implementación del programa de medición de seguridad de la información;

• Realizar análisis de sensibilidad para determinar qué variables tienen el mayor efecto sobre el costo;
11

• Caracterizar los beneficios que son rendimientos cuantificables y no cuantificables entregados a través de
un mejor desempeño, con base en la priorización de las acciones correctivas realizadas en
Fase 3 del proceso de implementación del programa de medición de seguridad de la información;

• Realizar análisis de riesgo para evaluar la probabilidad de obstáculos y riesgos programáticos

inherentes a una alternativa en particular; y

• Prepare la presentación del presupuesto resumiendo los aspectos clave del caso comercial para ilustrar con
precisión sus méritos.12

Cada agencia debe seguir las pautas específicas de su caso de negocios durante esta fase del proceso. Las agencias
suelen tener procesos de casos comerciales únicos y umbrales de gastos del ciclo de vida que determinan qué
inversiones y solicitudes de presupuesto requieren un caso comercial formal. En general, el nivel de esfuerzo para
desarrollar el caso comercial debe corresponder con el tamaño y el alcance de la solicitud de financiamiento. Por
ejemplo, el caso de negocios para construir y mantener un sitio de recuperación ante desastres sería más
exhaustivo que un caso de negocios para establecer un proceso de revisión de cuentas.

Independientemente del alcance y la complejidad del caso comercial, sus componentes y análisis subyacentes
permiten completar más fácilmente las solicitudes de presupuesto internas y externas. Una minuciosa

11Si un pequeño cambio en el valor de una variable provoca un gran cambio en el resultado del cálculo, se dice que el resultado es sensible a
ese parámetro o suposición.

12VerNIST SP 800-65, Integración de la seguridad de TI en el proceso de planificación de capital y control de inversiones, para más información
sobre cómo preparar la información de solicitud de presupuesto adecuada para las acciones correctivas.

39
El examen del caso de negocio apoyará y facilitará laObtener recursosfase, que comprende
las siguientes actividades:

• Responder a las consultas de evaluación del presupuesto;

• Recibir el presupuesto asignado;

• Priorizar los recursos disponibles (si no se asignan todos los recursos solicitados); y

• Asignar recursos para realizar acciones correctivas.

6.5 Aplicar acciones correctivas

Fase 6 del proceso de implementación del programa de medición de seguridad de la información,Aplicar

acciones correctivas, implica implementar acciones correctivas en el programa de seguridad, o en las áreas
técnicas, gerenciales y operativas de los controles de seguridad. El proceso POA&M se utiliza para
documentar y monitorear el estado de la acción correctiva.

La recopilación, el análisis y la generación de informes iterativos de datos harán un seguimiento del progreso de las
acciones correctivas, medirán las mejoras e identificarán las áreas en las que se necesitan más mejoras. La naturaleza del
ciclo monitorea el progreso y asegura que las acciones correctivas influyan en la implementación del control de seguridad
del sistema de información de la manera prevista. Las mediciones de desempeño frecuentes señalarán las acciones que no
se implementan según lo planeado o que no tienen el efecto deseado, lo que permite correcciones de curso rápidas dentro
de la organización para evitar problemas que podrían descubrirse durante auditorías externas, esfuerzos de C&A o
actividades relacionadas.

40
Apéndice A: MEDIDAS CANDIDATAS

Dedicar suficiente tiempo a establecer medidas de desempeño de la seguridad de la información es fundamental

para obtener el máximo valor de medir el desempeño de la seguridad de la información.

Esta sección ofrece una muestra de medidas a nivel de programa y de sistema. Las medidas de muestra incluyen
medidas programáticas de seguridad de la información y medidas que se alinean con los requisitos mínimos de
seguridad en el Estándar federal de procesamiento de información (FIPS) 200, Requisitos mínimos de seguridad
para información federal y sistemas de información, que corresponden a las 17 familias de control de seguridad en
NIST SP 800-53. No están destinados a ser adoptados como un conjunto completo, pero se proporcionan como
ejemplos que las organizaciones pueden adaptar y adaptar para medir el rendimiento de sus programas de
seguridad de la información. Los ejemplos de personalización incluyen marcos de tiempo específicos, evidencia de
implementación, fuentes de datos, fórmulas, formatos de informes, frecuencia, partes responsables o agregar más
campos a la plantilla.

Cabe señalar que estas medidas no abordan por completo los requisitos mínimos de seguridad de FIPS 200,
pero abordarán uno o más aspectos importantes de los requisitos. Las organizaciones deben considerar el
desarrollo de medidas adicionales para complementar o reemplazar las proporcionadas en esta sección si las
muestras no son apropiadas para sus necesidades.

Estas medidas candidatas ofrecen ejemplos de controles de seguridad específicos implementados a

nivel de programa o a nivel de sistema e incluyen todos los tipos de medidas: implementación,
eficacia/eficiencia e impacto.

A-1
 Medida 1: Presupuesto de seguridad (a nivel de programa)

Campo Datos

Identificador de medida Presupuesto de Seguridad Medida 1

Meta • Objetivo estratégico:Garantizar un entorno de seguridad integral y responsabilidad para el

personal, las instalaciones y los productos.

• Objetivo de seguridad de la información:Proporcionar los recursos necesarios para asegurar adecuadamente la

información de la agencia y los sistemas de información.

Medida Porcentaje (%) del presupuesto del sistema de información de la agencia dedicado a la seguridad de la
información

NIST SP 800-53 Controles – SA-2; Asignación de recursos

Tipo de medida Impacto

Fórmula (Presupuesto de seguridad de la información/presupuesto total de tecnología de la información de la agencia) *100

Objetivo Este debe ser un porcentaje definido por la organización.

Implementación 1. ¿Cuál es el presupuesto total de seguridad de la información en todos los sistemas de la agencia (SA-2)? _____
Evidencia

2. ¿Cuál es el presupuesto total de tecnología de la información en todos los sistemas de la agencia (SA-2)? _____

Frecuencia Frecuencia de recopilación: definida por la organización (ejemplo: anualmente)

Frecuencia de informes: definida por la organización (ejemplo: anualmente)

Responsable • Propietario de la información: director de información (CIO), director financiero (CFO), director de
Fiestas seguridad de la información de la agencia (SAISO) (p. ej., director de seguridad de la información
[CISO])

• Recopilador de información: administrador del sistema u oficial de seguridad del sistema de información (ISSO),
personal de presupuesto

• Cliente de información: Director de información (CIO), Oficial superior de seguridad de la

información de la agencia (SAISO) (p. ej., Director de seguridad de la información [CISO]),
audiencias externas (p. ej., Oficina de administración y presupuesto)

Fuente de datos Anexo 300, Anexo 53, documentación del presupuesto de la agencia

Informes Gráfico circular que ilustra el presupuesto total de tecnología de la información de la agencia y la parte de ese
Formato presupuesto dedicada a la seguridad de la información

A-2
 Medida 2: Gestión de vulnerabilidades (a nivel de programa)

Campo Datos

Identificador de medida Medida de vulnerabilidad 1

Meta • Objetivo estratégico:Garantizar un entorno de seguridad integral y responsabilidad para el

personal, las instalaciones y los productos.

• Objetivo de seguridad de la información:Asegurar que todas las vulnerabilidades sean identificadas y mitigadas.

Medida Porcentaje (%) de alta13vulnerabilidades mitigadas dentro de los períodos de tiempo definidos por la organización después
del descubrimiento

NIST SP 800-53 Controles: RA-5; Escaneo de vulnerabilidades

Tipo de medida Eficacia/Eficiencia
Fórmula (Número de vulnerabilidades altas identificadas y mitigadas dentro del marco de tiempo objetivo durante
el período de tiempo/número de vulnerabilidades altas identificadas dentro del período de tiempo)
* 100

Objetivo Este debe ser un porcentaje alto definido por la organización.

Implementación 1. ¿Número de vulnerabilidades altas identificadas en toda la empresa durante el período de
Evidencia tiempo (RA-5)? _____

2. ¿Número de vulnerabilidades altas mitigadas en toda la empresa durante el período de tiempo

(RA-5)? _____

Frecuencia Frecuencia de recopilación: definida por la organización (ejemplo: trimestral)

Frecuencia de informes: definida por la organización (ejemplo: trimestral)

Responsable • Propietario de la información: director de información (CIO), director de seguridad de la información de

Fiestas la agencia (SAISO) (p. ej., director de seguridad de la información [CISO]), propietario del sistema

• Recopilador de información: administrador del sistema u oficial de seguridad del sistema de información (ISSO)

• Cliente de información: director de información (CIO), director de seguridad de la información de

la agencia (SAISO) (p. ej., director de seguridad de la información [CISO])

Fuente de datos Software de exploración de vulnerabilidades, registros de auditoría, sistemas de gestión de vulnerabilidades,
sistemas de gestión de parches, registros de gestión de cambios

Informes Gráfico de barras apiladas que ilustra el porcentaje de vulnerabilidades altas cerradas dentro de los marcos de tiempo
Formato específicos después del descubrimiento durante varios períodos de informes

13La base de datos nacional de vulnerabilidades (NVD) proporciona clasificaciones de gravedad de "Bajo", "Medio" y "Alto" para todas las
vulnerabilidades y exposiciones comunes (CVE) en la base de datos. El NVD es accesible enhttp://nvd.nist.gov .

A-3
 Medida 3: Control de acceso (AC) (nivel del sistema)

Campo Datos

Identificador de medida Medida de control de acceso remoto 1 (o un identificador único que debe completar la
organización)

Meta • Objetivo estratégico:Garantizar un entorno de seguridad integral y responsabilidad para el

personal, las instalaciones y los productos.

• Objetivo de seguridad de la información:Restrinja el acceso a la información, el sistema y los

componentes a personas o máquinas que sean identificables, conocidas, creíbles y autorizadas.

Medida Porcentaje (%) de puntos de acceso remoto utilizados para obtener acceso no

autorizado NIST SP 800-53 Controles: AC-17; Acceso remoto

Tipo de medida Eficacia/Eficiencia

Fórmula (Número de puntos de acceso remoto utilizados para obtener acceso no autorizado/número total de puntos de acceso
remoto) *100

Objetivo Este debe ser un porcentaje bajo definido por la organización.

Implementación 1. ¿Utiliza la organización herramientas automatizadas para mantener un diagrama de red actualizado que
Evidencia identifique todos los puntos de acceso remoto (CM-2)?

Sí No
2. ¿Cuántos puntos de acceso remoto existen en la red de la organización? _____

3. ¿La organización emplea Sistemas de Detección de Intrusos (IDS) para monitorear el tráfico que
atraviesa los puntos de acceso remoto (SI-4)?

Sí No
4. ¿La organización recopila y revisa los registros de auditoría asociados con todos los puntos de acceso
remoto (AU-6)?

Sí No
5. ¿La organización mantiene una base de datos de incidentes de seguridad que identifica categorías de
incidentes estandarizados para cada incidente (IR-5)?

Sí No
6. Según las revisiones de la base de datos de incidentes, los registros y alertas de IDS y/o los archivos de
registro de puntos de acceso remoto apropiados, ¿cuántos puntos de acceso se han utilizado para obtener
acceso no autorizado dentro del período del informe? ______

Frecuencia Frecuencia de recopilación: definida por la organización (ejemplo: mensual)

Frecuencia de informes: definida por la organización (ejemplo: trimestral)

Responsable • Propietario de la información: Equipo de respuesta a incidentes de seguridad informática (CSIRT)

Fiestas
• Recopilador de información: administrador del sistema u oficial de seguridad del sistema de información (ISSO)

• Cliente de información: director de información (CIO), director de seguridad de la información de

la agencia (SAISO) (p. ej., director de seguridad de la información [CISO])

Fuente de datos Base de datos de incidentes, registros de auditoría, diagramas de red, registros y alertas de IDS

Informes Gráfico de barras apiladas, por mes, que ilustra el porcentaje de puntos de acceso remoto utilizados
Formato para acceso no autorizado frente al número total de puntos de acceso remoto

A-4
 Medida 4: Concientización y Capacitación (AT) (a nivel de programa)

Campo Datos

Identificador de medida Medida de capacitación en seguridad 1 (o un identificador único que debe completar la organización)

Meta • Objetivo estratégico:Garantice una fuerza laboral de alta calidad respaldada por una infraestructura
y capacidades operativas modernas y seguras.

• Objetivo de seguridad de la información:Asegúrese de que el personal de la organización esté adecuadamente capacitado para

llevar a cabo sus funciones y responsabilidades relacionadas con la seguridad de la información asignadas.

Medida Porcentaje (%) del personal de seguridad de sistemas de información que ha recibido capacitación en
seguridad

NIST SP 800-53 Controles: AT-3: Capacitación en seguridad

Tipo de medida Implementación

Fórmula (Número de personal de seguridad del sistema de información que completó la capacitación en seguridad
en el último año/número total de personal de seguridad del sistema de información) *100

Objetivo Este debe ser un porcentaje alto definido por la organización.

Implementación
1. ¿Se definen las responsabilidades de seguridad significativas con criterios de calificación y
Evidencia
se documentan en la política (AT-1 y PS-2)?

Sí No

2. ¿Se mantienen registros de qué empleados tienen responsabilidades significativas de seguridad (AT-3)?

Sí No

3. ¿Cuántos empleados en su agencia (o componente de la agencia, según corresponda) tienen

responsabilidades significativas de seguridad (AT-3)? _____

4. ¿Se mantienen registros de capacitación (AT-4)? (Los registros de capacitación indican la capacitación
que han recibido empleados específicos).

Sí No

5. ¿Cuántos de los que tienen importantes responsabilidades de seguridad han recibido la

capacitación requerida (AT-4)? _____

6. Si no todo el personal ha recibido capacitación, indique todas las razones que correspondan (AT-4):

Financiamiento insuficiente

Tiempo insuficiente

Cursos no disponibles

El empleado no se ha registrado

Otra especificar) ______________

Frecuencia Frecuencia de recopilación: definida por la organización (ejemplo: trimestral)

Frecuencia de informes: definida por la organización (ejemplo: anual)

Responsable • Propietario de la información: definido por la organización (ejemplo: administrador de capacitación)

A-5
 Campo Datos

Fiestas • Recopilador de información: definido por la organización (ejemplo: Oficial de seguridad del sistema de
información [ISSO], Gerente de capacitación)

• Cliente de información: Director de información (CIO), Oficial de seguridad del sistema de información
(ISSO), Oficial superior de seguridad de la información de la agencia (SAISO) (p. ej., Director de
seguridad de la información [CISO])

Fuente de datos Registros de seguimiento de capacitación y concientización

Informes Gráfico circular que ilustra el porcentaje de personal de seguridad que ha recibido capacitación frente a
Formato los que no han recibido capacitación. Si el rendimiento está por debajo del objetivo, gráfico circular que
ilustra las causas del rendimiento por debajo de los objetivos

A-6
 Medida 5: Auditoría y Rendición de Cuentas (AU) (a nivel del sistema)

Campo Datos

Identificador de medida Registro de auditoría Medida de revisión 1 (o un identificador único que debe completar la
organización)

Meta • Objetivo estratégico:Garantizar un entorno de seguridad integral y responsabilidad para el

personal, las instalaciones y los productos.

• Objetivo de seguridad de la información:Crear, proteger y conservar los registros de auditoría del sistema
de información en la medida necesaria para permitir el seguimiento, el análisis, la investigación y la
notificación de actividades ilícitas, no autorizadas o inapropiadas.

Medida Frecuencia promedio de revisión y análisis de registros de auditoría para actividades

inapropiadas NIST SP 800-53 Controles: AU-6: Monitoreo, análisis e informes de auditoría

Tipo de medida Eficacia/Eficiencia

Fórmula Frecuencia promedio durante el período del informe

Objetivo Esta debe ser una alta frecuencia definida por la organización.
Implementación Para cada sistema:
Evidencia
1. ¿Está activado el registro en el sistema (AU-2)?

Sí No
2. ¿Tiene la organización criterios claramente definidos sobre lo que constituye evidencia de actividad
“inapropiada” dentro de los registros de auditoría del sistema?

Sí No
3. Para el período del informe, cuántos registros de auditoría del sistema se revisaron dentro de los
siguientes marcos de tiempo por actividad inapropiada (elija el período de tiempo más cercano para cada
sistema) (AU-3 y AU-6):

En el último día _____ En la

última semana _____ 2
semanas a 1 mes _____ 1
mes a 6 meses _____ Más
de 6 meses _____
Frecuencia Frecuencia de recopilación: definido por la organización (ejemplo: diario)

Frecuencia de informes: definido por la organización (ejemplo: trimestral)

Responsable • Propietario de la información: definido por la organización (ejemplo: propietario del sistema)
Fiestas
• Recopilador de información: definido por la organización (ejemplo: administrador del sistema)

• Cliente de información: Director de información (CIO), Oficial de seguridad del sistema de información
(ISSO), Oficial superior de seguridad de la información de la agencia (SAISO) (p. ej., Director de
seguridad de la información [CISO])

Fuente de datos Informes de registro de auditoría

Informes Gráfico de barras que muestra la cantidad de sistemas con revisiones promedio de registros de auditoría en cada una de las
Formato cinco categorías dentro del campo Evidencia de implementación

A-7
Medida 6: Certificación, Acreditación y Evaluaciones de Seguridad (CA) (a nivel de programa)

Campo Datos

Identificador de medida Medida de finalización 1 de C&A (o un identificador único que debe completar la organización)

Meta • Objetivo estratégico:Garantizar un entorno de seguridad integral y responsabilidad para el

personal, las instalaciones y los productos.

• Objetivo de seguridad de la información:Asegúrese de que todos los sistemas de información hayan sido certificados y

acreditados según sea necesario.

Medida Porcentaje (%) de nuevos sistemas que han completado la certificación y acreditación
(C&A) antes de su implementación
NIST SP 800-53 Control: CA-6: Acreditación de seguridad

Tipo de medida Eficacia/Eficiencia

Fórmula (Número de nuevos sistemas con paquetes C&A completos con aprobación del Oficial Autorizador
[AO] antes de la implementación)/(número total de nuevos sistemas) *100

Objetivo Este debe ser un porcentaje alto definido por la organización.

Implementación
1. ¿Su agencia (o componente de la agencia, si corresponde) mantiene un inventario del sistema
Evidencia completo y actualizado?

Sí No

2. ¿Existe un proceso formal de C&A dentro de su agencia (CA-1)?

Sí No

3. Si la respuesta a la Pregunta 2 es afirmativa, ¿se requiere que los proyectos de desarrollo de

sistemas completen C&A antes de la implementación (CA-1)?

Sí No

4. ¿Cuántos sistemas nuevos se han implementado durante el período del informe? _____

5. ¿Cuántos sistemas indicados en la Pregunta 4 han recibido una autorización para operar antes de la
implementación (CA-6)? _____

Frecuencia Frecuencia de recopilación: definida por la organización (ejemplo: trimestral)

Frecuencia de informes: definida por la organización (ejemplo: anual)

Responsable • Propietario de la información: definido por la organización (ejemplo: Autorizador oficial [AO])
Fiestas
• Recopilador de información: definido por la organización (ejemplo: propietarios del sistema)

• Cliente de información: Director de información (CIO), Oficial de seguridad del sistema de información
(ISSO), Oficial superior de seguridad de la información de la agencia (SAISO) (p. ej., Director de
seguridad de la información [CISO])

Fuente de datos Inventario del sistema, documentación C&A del sistema

Informes Gráfico circular que compara el porcentaje de sistemas nuevos con paquetes C&A aprobados por AO
Formato frente a sistemas nuevos sin paquetes C&A aprobados por AO

A-8
 Medida 7: Gestión de la configuración (CM) (nivel de programa)

Campo Datos

Identificador de medida Cambios de configuración Medida 1 (o un identificador único que debe completar la
organización)

Meta • Objetivo estratégico:Acelerar el desarrollo y uso de una infraestructura de

información electrónica.

• Objetivo de seguridad de la información:Establecer y mantener configuraciones de referencia e

inventarios de los sistemas de información de la organización (incluidos el hardware, el software, el
firmware y la documentación) a lo largo de los respectivos ciclos de vida de desarrollo del sistema.

Medida Porcentaje (%) de cambios de configuración aprobados e implementados identificados en la última

configuración de referencia automatizada

Controles NIST SP 800-53–CM-2: Configuración de línea de base y CM-3: Control de cambios de

configuración

Tipo de medida Implementación

Fórmula (Número de cambios de configuración aprobados e implementados identificados en la última

configuración de línea base automatizada/número total de cambios de configuración identificados a
través de escaneos automatizados) *100

Objetivo Este debe ser un porcentaje alto definido por la organización.

Implementación
1. ¿Gestiona la organización los cambios de configuración de los sistemas de información mediante un
Evidencia
proceso aprobado por la organización (CM-3)?

Sí No

2. ¿Utiliza la organización el escaneo automatizado para identificar los cambios de

configuración que se implementaron en sus sistemas y redes (CM-2, Mejora 2)?

Sí No

3. En caso afirmativo, ¿cuántos cambios de configuración se identificaron a través del escaneo automatizado
durante el último período de informe (CM-3)? _____

4. ¿Cuántas solicitudes de control de cambios se aprobaron e implementaron durante el último

período de informe (CM 3)? _____

Frecuencia Frecuencia de recopilación: definida por la organización (ejemplo: trimestral)

Frecuencia de informes: definida por la organización (ejemplo: anual)

Responsable • Propietario de la información: definido por la organización (ejemplo: Administrador de configuración)

Fiestas
• Recopilador de información: definido por la organización (ejemplo: responsable de seguridad del sistema de
información (ISSO), propietario del sistema, administrador del sistema)

• Cliente de información: Director de información (CIO), Oficial de seguridad del sistema de información
(ISSO), Oficial superior de seguridad de la información de la agencia (SAISO) (p. ej., Director de
seguridad de la información [CISO]), Oficial de autorización [AO], Junta de control de configuración)

Fuente de datos Planes de seguridad del sistema, base de datos de gestión de configuración, registros de herramientas de seguridad

Informes Gráfico circular que compara el porcentaje de cambios aprobados e implementados documentados en la
Formato configuración de referencia más reciente frente al porcentaje de cambios no documentados en la
configuración de referencia más reciente

A-9
 Medida 8: Planificación de contingencia (CP) (a nivel de programa)

Campo Datos

Identificador de medida Medida de prueba del plan de contingencia 1 (o un identificador único que debe completar la
organización)

Meta • Objetivo estratégico:Garantizar un entorno de seguridad integral y responsabilidad para el

personal, las instalaciones y los productos.

• Objetivo de seguridad de la información:Establecer, mantener e implementar de manera efectiva planes de

respuesta a emergencias, operaciones de respaldo y recuperación posterior a un desastre para los sistemas
de información de la organización para garantizar la disponibilidad de recursos de información críticos y la
continuidad de las operaciones en situaciones de emergencia.

Medida Porcentaje (%) de sistemas de información que han realizado pruebas anuales del plan de contingencia

NIST SP 800-53 Controles: CP-4: Pruebas y ejercicios del plan de contingencia

Tipo de medida Eficacia/Eficiencia

Fórmula (Número de sistemas de información que han realizado pruebas anuales de planes de
contingencia/número de sistemas de información en el inventario de sistemas) *100

Objetivo Este debe ser un porcentaje alto definido por la organización.

Implementación 1. ¿Cuántos sistemas de información hay en el inventario de sistemas? _____
Evidencia
2. ¿Cuántos sistemas de información cuentan con un plan de contingencia aprobado (CP-2)? _____

3. ¿Cuántos planes de contingencia se probaron con éxito en el último año (CP-4)?

_____
Frecuencia Frecuencia de recopilación: definida por la organización (ejemplo: anualmente)

Frecuencia de informes: definida por la organización (ejemplo: anualmente)

Responsable • Propietario de la información: definido por la organización (ejemplo: administrador del plan de contingencia)
Fiestas
• Recopilador de información: definido por la organización (ejemplo: propietario del sistema,
administrador del sistema)

• Cliente de información: Director de información (CIO), Oficial de seguridad del sistema de información
(ISSO), Oficial superior de seguridad de la información de la agencia (SAISO) (p. ej., Director de
seguridad de la información [CISO])

Fuente de datos Resultados de las pruebas del Plan de Contingencia

Informes Gráfico circular que compara el porcentaje de sistemas que realizaron pruebas anuales del plan de
Formato contingencia frente al porcentaje de sistemas que no realizaron pruebas anuales del plan de contingencia

A-10
 Medida 9: Identificación y Autenticación (IA) (nivel de sistema)

Campo Datos

Identificador de medida Cuentas de usuario Medida 1 (o un identificador único que debe completar la organización)

Meta • Objetivo estratégico:Garantizar un entorno de seguridad integral y responsabilidad para el

personal, las instalaciones y los productos.

• Objetivo de seguridad de la información:Todos los usuarios del sistema están identificados y autenticados de
acuerdo con la política de seguridad de la información.

Medida Porcentaje (%) de usuarios con acceso a cuentas compartidas

Controles NIST SP 800-53–AC-2: Gestión de cuentas, AC-3: Cumplimiento de acceso e

IA-2: Identificación y autenticación de usuarios
Tipo de medida Eficacia/Eficiencia
Fórmula (Número de usuarios con acceso a cuentas compartidas/número total de usuarios) *100

Objetivo Este debe ser un porcentaje bajo definido por la organización.

Implementación
1. ¿Cuántos usuarios tienen acceso al sistema (IA-2)? _____
Evidencia

2. ¿Cuántos usuarios tienen acceso a cuentas compartidas (AC-2)? _____

Frecuencia Frecuencia de recopilación: definida por la organización (ejemplo: mensual)

Frecuencia de informes: definida por la organización (ejemplo: mensual)

Responsable • Propietario de la información: definido por la organización (ejemplo: propietario del sistema, administrador
Fiestas del sistema)

• Recopilador de información: definido por la organización (ejemplo: administrador del sistema)

• Cliente de información: Director de información (CIO), Oficial de seguridad del sistema de información
(ISSO), Oficial superior de seguridad de la información de la agencia (SAISO) (p. ej., Director de
seguridad de la información [CISO])

Fuente de datos Base de datos de gestión de configuración, lista de control de acceso, listas de ID de usuario producidas por el sistema

Informes Gráfico circular que compara el porcentaje de usuarios con acceso a cuentas compartidas frente al
Formato porcentaje de usuarios sin acceso a cuentas compartidas

A-11
 Medida 10: Respuesta a incidentes (IR) (a nivel de programa y a nivel de sistema)

Campo Datos

Identificador de medida Medida de respuesta a incidentes 1 (o un identificador único que debe completar la organización)

Meta • Objetivo estratégico:Hacer que la información precisa y oportuna sobre los programas y servicios de la
organización esté fácilmente disponible.

• Objetivo de seguridad de la información:Rastrear, documentar y reportar incidentes a los funcionarios y/o

autoridades organizacionales correspondientes.

Medida Porcentaje (%) de incidentes informados dentro del marco de tiempo requerido por categoría de
incidente aplicable (la medida se calculará para cada categoría de incidente descrita en Evidencia de
implementación)

Controles NIST SP 800-53–IR-6: Informe de incidentes

Tipo de medida Eficacia/Eficiencia

Fórmula Para cada categoría de incidente (número de incidentes notificados a tiempo/número total de
incidentes notificados) *100

Objetivo Este debe ser un porcentaje alto definido por la organización.

Implementación 1. ¿Cuántos incidentes se reportaron durante el período (IR-6)?
Evidencia
Categoría 1: ¿acceso no autorizado? _____
Categoría 2: ¿Denegación de servicio?
_____ Categoría 3: ¿Código malicioso?
_____ Categoría 4 - ¿Uso inadecuado? _____
Categoría 5 - ¿Escaneos/sondeos/intento de acceso? _____
Categoría 6 - ¿Investigación? _____
2. ¿Cuántos incidentes relacionados con información de identificación personal (PII) se informaron
durante el período (IR-6)? _____

3. De los incidentes reportados, ¿cuántos fueron reportados dentro del plazo

prescrito para su categoría, según los plazos establecidos por US-CERT (IR-6)?
Categoría 1: ¿acceso no autorizado? _____
Categoría 2: ¿Denegación de servicio? _____
Categoría 3: ¿Código malicioso? _____
Categoría 4 - ¿Uso inadecuado? _____
Categoría 5 - ¿Escaneos/sondeos/intento de acceso? _____
Categoría 6 - ¿Investigación? _____

4. De los incidentes de PII informados, ¿cuántos se informaron dentro del plazo prescrito
para su categoría, de acuerdo con los plazos establecidos por US-CERT y/o
Memorándum(s) OMB (IR-6)? _____

Frecuencia Frecuencia de recopilación: definida por la organización (ejemplo: mensual)

Frecuencia de informes: definida por la organización (ejemplo: anual)

A-12
 Campo Datos

Responsable • Propietario de la información: definido por la organización (ejemplo: equipo de respuesta a incidentes de
Fiestas seguridad informática [CSIRT])

• Recopilador de información: definido por la organización (ejemplo: propietario del sistema, oficial de
seguridad de la información [ISSO], CSIRT)

• Cliente de información: director de información (CIO), director de seguridad de la información de

la agencia (SAISO) (p. ej., director de seguridad de la información [CISO])

Fuente de datos Registros de incidentes, base de datos de seguimiento de incidentes (si está disponible)

Informes Para instantánea única–gráfico de barras apiladas que ilustra la proporción de incidentes informados
Formato por categoría que se informaron a tiempo

Para tendencias–gráfico de líneas donde cada línea representa una categoría individual más una línea que
representa el 100 por ciento

A-13
 Medida 11: Mantenimiento (MA) (nivel del sistema)

Campo Datos

Identificador de medida Medida de mantenimiento 1 (o un identificador único que debe completar la organización)

Meta • Objetivo estratégico:Acelerar el desarrollo y uso de una infraestructura de

información electrónica.

• Objetivo de seguridad de la información:Realizar el mantenimiento periódico y oportuno de los

sistemas de información de la organización y proporcionar controles efectivos sobre las herramientas,
técnicas, mecanismos y personal utilizados para realizar el mantenimiento del sistema de información.

Medida Porcentaje (%) de componentes del sistema que se someten a mantenimiento de acuerdo con
programas de mantenimiento formales

Controles NIST SP 800-53–MA-2: Mantenimiento Controlado y MA-6: Mantenimiento

Oportuno

Tipo de medida Eficacia/Eficiencia

Fórmula (Número de componentes del sistema que se someten a mantenimiento de acuerdo con los programas
de mantenimiento formales/número total de componentes del sistema) *100

Objetivo Este debe ser un porcentaje alto definido por la organización.

Implementación
1. ¿Cuenta el sistema con un programa de mantenimiento formal (MA-2)?
Evidencia

Sí No

2. ¿Cuántos componentes contiene el sistema (CM-8)? _____

3. ¿Cuántos componentes recibieron mantenimiento de acuerdo con el programa de

mantenimiento formal (MA-6)? _____

Frecuencia Frecuencia de recopilación: definida por la organización (ejemplo: trimestral)

Frecuencia de informes: definida por la organización (ejemplo: anual)

Responsable • Propietario de la información: definido por la organización (ejemplo: propietario del sistema)
Fiestas
• Recopilador de información: definido por la organización (ejemplo: administrador del sistema)

• Cliente de información: Director de información (CIO), Oficial de seguridad del sistema de información
(ISSO), Oficial superior de seguridad de la información de la agencia (SAISO) (p. ej., Director de
seguridad de la información [CISO])

Fuente de datos Programa de mantenimiento, registros de mantenimiento

Informes Gráfico circular que compara el porcentaje de componentes del sistema que reciben mantenimiento
Formato de acuerdo con el programa de mantenimiento formal frente al porcentaje de componentes del
sistema que no reciben mantenimiento de acuerdo con el programa de mantenimiento formal
durante el período especificado

A-14
 Medida 12: Protección de medios (MP) (nivel de programa y nivel de sistema)

Campo Datos

Identificador de medida Medida de desinfección de medios 1 (o un identificador único que debe completar la organización)

Meta • Objetivo estratégico:Garantizar un entorno de seguridad integral y responsabilidad para el

personal, las instalaciones y los productos.

• Objetivo de seguridad de la información:Desinfecte o destruya los medios del sistema de información antes de desecharlos o

liberarlos para su reutilización.

Medida Porcentaje (%) de medios que pasan las pruebas de procedimientos de desinfección para sistemas de alto
impacto FIPS 199

Controles NIST SP 800-53–MP-6: Desinfección y eliminación de medios

Tipo de medida Eficacia/Eficiencia

Fórmula (Número de medios que pasan las pruebas de procedimientos de desinfección/número total de medios
probados) * 100

Objetivo Este debe ser un porcentaje alto definido por la organización.

Implementación
1. ¿Existe una política para desinfectar los medios antes de desecharlos o reutilizarlos (MP-1)?
Evidencia

Sí No

2. ¿La organización prueba los procedimientos de desinfección de medios para los sistemas de alto
impacto FIPS 199 (MP-6, Mejora 2)?

Sí No
3. ¿Número de medios que pasaron con éxito las pruebas de desinfección para sistemas
de alto impacto FIPS 199 (MP-6, Mejora 2)? _____
4. Número total de medios probados para sistemas de alto impacto FIPS 199 (MP-6, Enhancement
2)? _____
Frecuencia Frecuencia de recopilación: definida por la organización (ejemplo: trimestral)

Frecuencia de informes: definida por la organización (ejemplo: anual)

Responsable • Propietario de la información: definido por la organización (ejemplo: responsable de seguridad de las instalaciones)
Fiestas
• Recopilador de información: definido por la organización (ejemplo: propietario del sistema, oficial de
seguridad del sistema de información (ISSO))

• Cliente de información: director de información (CIO), director de seguridad de la información de

la agencia (SAISO) (p. ej., director de seguridad de la información [CISO])

Fuente de datos Resultados de las pruebas de desinfección

Informes Gráfico circular que compara el porcentaje de medios que pasan las pruebas de procedimientos de desinfección frente
Formato al porcentaje de medios que no pasan las pruebas de procedimientos de desinfección durante el período especificado

A-15
 Medida 13: Física y Ambiental (PE) (a nivel de programa)
Campo Datos

Identificador de medida Incidentes de seguridad física Medida 1 (o un identificador único que debe completar la
organización)

Meta • Objetivo estratégico:Garantizar un entorno de seguridad integral y responsabilidad para el

personal, las instalaciones y los productos.

• Objetivo de seguridad de la información:Integrar mecanismos de protección de seguridad física y de la

información para garantizar la protección adecuada de los recursos de información de la organización.

Medida Porcentaje (%) de incidentes de seguridad física que permiten el ingreso no autorizado a instalaciones que
contienen sistemas de información

Control NIST SP 800-53–PE-6: Supervisión del acceso físico

Tipo de medida Eficacia/Eficiencia
Fórmula (Número de incidentes de seguridad física que permitieron el ingreso no autorizado a instalaciones
que contienen sistemas de información/número total de incidentes de seguridad física) *100

Objetivo Este debe ser un porcentaje bajo definido por la organización.

Implementación
1. ¿Cuántos incidentes de seguridad física ocurrieron durante el período especificado (PE-6)? _____
Evidencia

2. ¿Cuántos de los incidentes de seguridad física permitieron el ingreso no autorizado a instalaciones que
contienen sistemas de información (PE-6)? _____

Frecuencia Frecuencia de recopilación: definida por la organización (ejemplo: trimestral)

Frecuencia de informes: definida por la organización (ejemplo: trimestral)

Responsable • Propietario de la información: definido por la organización (ejemplo: oficial de seguridad física)
Fiestas
• Recopilador de información: definido por la organización (ejemplo: equipo de respuesta a incidentes de
seguridad informática [CSIRT])

• Cliente de información: Director de información (CIO), Oficial de seguridad del sistema de información
(ISSO), Oficial superior de seguridad de la información de la agencia (SAISO) (p. ej., Director de
seguridad de la información [CISO])

Fuente de datos Informes de incidentes de seguridad física, registros de control de acceso físico

Informes Gráfico circular que compara los incidentes de seguridad física que permiten la entrada no autorizada a las
Formato instalaciones que contienen sistemas de información frente al número total de incidentes de seguridad física

A-16
 Medida 14: Planificación (PL) (nivel de programa y nivel de sistema)

Campo Datos

Identificador de medida Medida de planificación 1 (o un identificador único que debe completar la organización)

Meta • Objetivo estratégico:Garantizar un entorno de seguridad integral y responsabilidad para el

personal, las instalaciones y los productos.

• Objetivo de seguridad de la información:Desarrollar, documentar, actualizar periódicamente e implementar planes de

seguridad para los sistemas de información de la organización que describan los controles de seguridad
implementados o planificados para los sistemas de información y las reglas de comportamiento para las personas que
acceden a estos sistemas.

Medida Porcentaje de empleados que tienen acceso autorizado a los sistemas de información solo
después de firmar un reconocimiento de haber leído y entendido las reglas de conducta

Controles NIST SP 800-53–PL-4: Reglas de Comportamiento y AC-2: Manejo de Cuentas

Tipo de medida Implementación

Fórmula (Número de usuarios a los que se les otorga acceso al sistema luego de firmar reglas de comportamiento/
número total de usuarios con acceso al sistema) *100

Objetivo Este debe ser un porcentaje alto definido por la organización.

Implementación
1. ¿Cuántos usuarios acceden al sistema (AC-2)? _____
Evidencia

2. ¿Cuántos usuarios firmaron reconocimientos de reglas de conducta (PL-4)? _____

3. ¿A cuántos usuarios se les ha otorgado acceso al sistema de información solo después de firmar las
normas de reconocimiento de conducta? _____

Frecuencia Frecuencia de recopilación: definida por la organización (ejemplo: trimestral)

Frecuencia de informes: definida por la organización (ejemplo: anual)

Responsable • Propietario de la información: definido por la organización (ejemplo: propietario del sistema, oficial de
Fiestas seguridad del sistema de información [ISSO])

• Recopilador de información: definido por la organización (ejemplo: administrador del sistema,

propietario del sistema)

• Cliente de información: Director de información (CIO), Oficial de seguridad del sistema de información
(ISSO), Oficial superior de seguridad de la información de la agencia (SAISO) (p. ej., Director de
seguridad de la información [CISO])

Fuente de datos Repositorios que contienen registros de reglas de comportamiento

Informes Gráfico circular que compara el porcentaje de usuarios que han firmado formularios de reconocimiento de reglas de
Formato comportamiento antes de que se les otorgue acceso al sistema de información con aquellos usuarios que han
accedido al sistema sin formularios de reconocimiento de reglas de comportamiento firmados

A-17
 Medida 15: Seguridad del personal (PS) (a nivel de programa y a nivel de sistema)

Campo Datos

Identificador de medida Medida de evaluación de la seguridad del personal 1 (o un identificador único que debe completar la
organización)

Meta • Objetivo estratégico:Garantizar un entorno de seguridad integral y responsabilidad para el

personal, las instalaciones y los productos.

• Objetivo de seguridad de la información:Asegurar que las personas que ocupan puestos de

responsabilidad dentro de las organizaciones sean confiables y cumplan con los criterios de seguridad
establecidos para esos puestos.

Medida Porcentaje (%) de personas examinadas antes de que se les conceda acceso a la información de la
organización y a los sistemas de información

Controles NIST SP 800-53–AC-2: Gestión de cuentas y PS-3: Selección de personal

Tipo de medida Implementación
Fórmula (Número de personas examinadas/número total de personas con acceso) *100

Objetivo Este debe ser un porcentaje alto definido por la organización.

Implementación
1. ¿A cuántas personas se les ha otorgado acceso a información organizacional y
Evidencia sistemas de información (AC-2)? _____

2. ¿Cuál es el número de personas que han completado la selección de personal (PS-3)? _____

Frecuencia Frecuencia de recopilación: definida por la organización (ejemplo: trimestral)

Frecuencia de informes: definida por la organización (ejemplo: anual)

Responsable • Propietario de la información: definido por la organización (ejemplo: recursos humanos)

Fiestas
• Recopilador de información: definido por la organización (ejemplo: administradores del sistema,
propietarios del sistema, oficial de seguridad del sistema de información [ISSO])

• Cliente de información: Director de información (CIO), Oficial de seguridad del sistema de información
(ISSO), Oficial superior de seguridad de la información de la agencia (SAISO) (p. ej., Director de
seguridad de la información [CISO])

Fuente de datos Registros de autorización, listas de control de acceso

Informes Gráfico circular que compara el porcentaje de personas examinadas frente al número total de
Formato personas

A-18
 Medida 16: Evaluación de riesgos (RA) (a nivel del sistema)

Campo Datos

Identificador de medida Medida de vulnerabilidad de evaluación de riesgos 1 (o un identificador único que debe completar la
organización)

Meta • Objetivo estratégico:Garantizar un entorno de seguridad integral y responsabilidad para el

personal, las instalaciones y los productos.

• Objetivo de seguridad de la información:Evalúe periódicamente el riesgo para las operaciones de la

organización (incluida la misión, las funciones, la imagen o la reputación), los activos de la organización y las
personas que resulten de la operación de los sistemas de información de la organización.

Medida Porcentaje (%) de vulnerabilidades remediadas dentro de los plazos especificados por la organización

Controles NIST SP 800-53–RA-5: Escaneo de Vulnerabilidades y CA-5: Plan de

Acciones e Hitos
Tipo de medida Eficacia/Eficiencia
Fórmula (Número de vulnerabilidades remediadas de acuerdo con el cronograma de POA&M/número total de
vulnerabilidades documentadas por POA&M identificadas a través de escaneos de vulnerabilidades) *100

Objetivo Este debe ser un porcentaje alto definido por la organización.

Implementación
1. ¿La organización realiza exploraciones periódicas de vulnerabilidades (RA-5)?
Evidencia

Sí No

2. ¿Cuál es la periodicidad de los escaneos de vulnerabilidades (RA-5)?

Semanalmente

Mensual

Trimestral

Otro ____________

3. ¿El proceso POA&M de la organización requiere que las vulnerabilidades identificadas a través del
análisis de vulnerabilidades se documenten en los POA&M del sistema apropiados (CA-5)?

Sí No

4. ¿Cuántas vulnerabilidades se identificaron a través del análisis de vulnerabilidades y se

ingresaron en los POA&M aplicables (CA-5)? _____

5. ¿Cuántas de las vulnerabilidades de la Pregunta 4 se remediaron a tiempo de

acuerdo con sus POA&M (CA-5)? _____

Frecuencia Frecuencia de recopilación: definida por la organización (ejemplo: mensual)

Frecuencia de informes: definida por la organización (ejemplo: mensual)

A-19
 Campo Datos

Responsable • Propietario de la información: definido por la organización (ejemplo: propietarios del sistema, oficial de
Fiestas seguridad del sistema de información [ISSO])

• Recopilador de información: definido por la organización (ejemplo: administradores del sistema,

propietarios del sistema, oficial de seguridad del sistema de información [ISSO])

• Cliente de información: Director de información (CIO), Oficial de seguridad del sistema de información
(ISSO), Oficial superior de seguridad de la información de la agencia (SAISO) (p. ej., Director de
seguridad de la información [CISO])

Fuente de datos POA&Ms, informes de escaneo de vulnerabilidades

Informes Gráfico circular que compara el porcentaje de vulnerabilidades reparadas a tiempo frente al
Formato porcentaje de vulnerabilidades no reparadas a tiempo

A-20
 Medida 17: Adquisición de sistemas y servicios (SA) (a nivel de programa y a nivel de sistema)

Campo Datos

Identificador de medida Medida 1 del contrato de adquisición de servicios (o un identificador único que debe completar la
organización)

Meta • Objetivo estratégico:Acelerar el desarrollo y uso de una infraestructura de

información electrónica.

• Objetivo de seguridad de la información:Asegúrese de que los proveedores externos empleen medidas de

seguridad adecuadas para proteger la información, las aplicaciones o los servicios subcontratados por la
organización.

Medida Porcentaje (%) de contratos de adquisición de sistemas y servicios que incluyen requisitos
y/o especificaciones de seguridad

Control NIST SP 800-53–SA-4: Adquisiciones

Tipo de medida Implementación
Fórmula (Número de contratos de adquisición de sistemas y servicios que incluyen requisitos y especificaciones de
seguridad/número total de contratos de adquisición de sistemas y servicios) *100

Objetivo Este debe ser un porcentaje alto definido por la organización.

Implementación
1. ¿Cuántos contratos de adquisición de servicios activos tiene la organización? _____
Evidencia

2. ¿Cuántos contratos de adquisición de servicios activos incluyen requisitos y especificaciones

de seguridad (SA-4)? _____

Frecuencia Frecuencia de recopilación: definida por la organización (ejemplo: trimestral)

Frecuencia de informes: definida por la organización (ejemplo: anual)

Responsable • Propietario de la información: definido por la organización (ejemplo: oficial de contratación)

Fiestas
• Recolector de información: definido por la organización (ejemplo: representante técnico del
oficial de contratación, propietario del sistema)

• Cliente de información: representante técnico del oficial de contratación, propietario del sistema, oficial
de adquisiciones, director de información (CIO), oficial de seguridad del sistema de información (ISSO),
oficial superior de seguridad de la información de la agencia (SAISO) (p. ej., director de seguridad de la
información [CISO])

Fuente de datos Contratos de adquisición de servicios

Informes Gráfico circular que compara el porcentaje de contratos de adquisición de sistemas y servicios que
Formato incluyen requisitos y/o especificaciones de seguridad frente al porcentaje de contratos de
adquisición de sistemas y servicios que no incluyen requisitos y/o especificaciones de seguridad

A-21
 Medida 18: Sistema y Protección de Comunicaciones (SC) (nivel de programa)

Campo Datos

Identificador de medida Medida de protección del sistema y las comunicaciones 1 (o un identificador único que debe
completar la organización)

Meta • Objetivo estratégico:Acelerar el desarrollo y uso de una infraestructura de

información electrónica.

• Objetivo de seguridad de la información:Asignar recursos suficientes para proteger adecuadamente la

infraestructura de información electrónica.

Medida Porcentaje de computadoras y dispositivos móviles que realizan todas las operaciones criptográficas
utilizando módulos criptográficos validados FIPS 140-2 que funcionan en modos de operación aprobados

Control NIST SP 800-53–SC-13: Uso de Criptografía Validada

Tipo de medida Implementación
Fórmula (Número de computadoras y dispositivos móviles que realizan todas las operaciones criptográficas
utilizando módulos criptográficos validados por FIPS 140-2 que operan en modos de operación
aprobados/número total de computadoras y dispositivos móviles) *100

Objetivo Este debe ser un porcentaje alto definido por la organización.

Implementación 1. ¿Cuántas computadoras y dispositivos móviles se utilizan en la organización (CM-8)? _____
Evidencia
2. ¿Cuántas computadoras y dispositivos móviles emplean criptografía (CM-8)? _____
a. ¿Cuántas computadoras y dispositivos móviles emplean módulos de cifrado validados
FIPS 140-2 (SC-13)? _____
b. ¿Cuántas de esas computadoras y dispositivos móviles realizan todas las operaciones criptográficas
utilizando módulos criptográficos validados por FIPS 140-2 que funcionan en modos de operación
aprobados (SC-13)? _____

3. ¿Cuántas computadoras y dispositivos móviles tienen exenciones de implementación de

criptografía (CM-8)? _____

Frecuencia Frecuencia de recopilación: definida por la organización (ejemplo: trimestral)

Frecuencia de informes: definida por la organización (ejemplo: anual)

Responsable • Propietario de la información: definido por la organización (ejemplo: propietarios del sistema, oficial de
Fiestas seguridad del sistema de información [ISSO])

• Recopilador de información: definido por la organización (ejemplo: administradores del sistema,

propietarios del sistema, oficial de seguridad del sistema de información [ISSO])

• Cliente de información: Director de información (CIO), Oficial de seguridad del sistema de información
(ISSO), Oficial superior de seguridad de la información de la agencia (SAISO) (p. ej., Director de
seguridad de la información [CISO])

Fuente de datos Planes de seguridad del sistema.

Informes Gráfico circular que ilustra la cantidad de computadoras y dispositivos móviles que realizan todas las
Formato operaciones criptográficas (incluida la generación de claves) utilizando módulos criptográficos validados
por FIPS 140-2 que funcionan en modos de operación aprobados como porcentaje de la cantidad total de
computadoras y dispositivos móviles

A-22
Medida 19: Sistema e Integridad de la Información (SI) (nivel de programa y nivel de sistema)

Campo Datos

Identificador de medida Integridad del sistema y de la información 1 (o un identificador único que debe completar la
organización)

Meta • Objetivo estratégico:Acelerar el desarrollo y uso de una infraestructura de

información electrónica.

• Objetivo de seguridad de la información:Proporcione protección contra códigos maliciosos en las

ubicaciones apropiadas dentro de los sistemas de información de la organización, controle las alertas y
avisos de seguridad de los sistemas de información y tome las medidas apropiadas en respuesta.

Medida Porcentaje (%) de vulnerabilidades del sistema operativo para las que se han aplicado parches o
que se han mitigado de otro modo

Controles NIST SP 800-53–SI-2: Reparación de fallas

Tipo de medida Implementación yEficacia/Eficiencia
Fórmula (Número de vulnerabilidades abordadas en alertas y avisos distribuidos para los cuales se
implementaron parches, se determinaron como no aplicables o se les otorgó una exención/número
total de vulnerabilidades aplicables identificadas a través de alertas y avisos y a través de análisis de
vulnerabilidades) *100

Objetivo Este debe ser un porcentaje alto definido por la organización.

Implementación
1. ¿La organización distribuye alertas y avisos (SI-5)?
Evidencia

Sí No

2. ¿Cuántas vulnerabilidades se identificaron mediante el análisis de alertas y avisos distribuidos

(SI-5)? _____

3. ¿Cuántas vulnerabilidades se identificaron mediante análisis de vulnerabilidades (RA-5)? _____

4. ¿Cuántos parches o soluciones alternativas se implementaron para abordar las

vulnerabilidades identificadas (SI-2)? _____

5. ¿Cuántas vulnerabilidades se determinaron como no aplicables (SI-2)? _____

6. ¿Cuántas exenciones se han otorgado por debilidades que no pudieron remediarse mediante la
implementación de parches o soluciones temporales? _____

Frecuencia Frecuencia de recopilación: definida por la organización (ejemplo: semanal)

Frecuencia de informes: definida por la organización (ejemplo: mensual)

Responsable • Propietario de la información: definido por la organización (ejemplo: equipo de respuesta a incidentes de
Fiestas seguridad informática [CSIRT])

• Recopilador de información: definido por la organización (ejemplo: Oficial de seguridad del sistema de
información [ISSO], propietarios del sistema)

• Cliente de información: Director de información (CIO), Oficial de seguridad del sistema de información
(ISSO), Oficial superior de seguridad de la información de la agencia (SAISO) (p. ej., Director de
seguridad de la información [CISO])

Fuente de datos Exploraciones de vulnerabilidades, POA&M, repositorios de alertas y avisos, evaluaciones de riesgos

A-23
 Campo Datos

Informes Gráfico de barras apiladas con el número total de vulnerabilidades aplicables compuesto por
Formato porcentajes del número de vulnerabilidades abordadas en alertas y avisos distribuidos para los cuales
los parches se han determinado como no aplicables, se han implementado, se les ha otorgado una
exención u otros

A-24
Apéndice B: ACRÓNIMOS

C.A. Control de acceso

OA Oficial que autoriza
EN Concienciación y Formación
Australia Auditoría y Rendición de Cuentas
CALIFORNIA Certificación y Acreditación
director de Finanzas Director Financiero
director de información Director de información Director de
CISO seguridad de la información Gestión
CM de la configuración
CUNAS Planificación comercial de
PC contingencia lista para usar
CPIC Planificación de capital y control de inversiones Equipo
CSIRT de respuesta a incidentes de seguridad informática
FEA Arquitectura empresarial federal
FIP Normas federales de procesamiento de información Manual de
FISCAM auditoría de controles de sistemas de información federal Ley
FISMA federal de gestión de seguridad de la información Año fiscal
año fiscal

GAO Oficina de Responsabilidad

GOTS Gubernamental Gobierno listo para usar
GPEA Ley de Eliminación de Trámites Gubernamentales Ley
GPRA de Desempeño y Resultados Gubernamentales
IDENTIFICACIÓN Identificación
YO G Inspector General
infrarrojos Respuesta al incidente
ISEA Oficial de seguridad del sistema de información de la Asociación
ISSO Internacional de Ingeniería de Seguridad de Sistemas
ITL Protección de medios de laboratorio de
parlamentario tecnología de la información
NIST Instituto Nacional de Normas y Tecnología
OGP Oficina de Gerencia y Presupuesto
EDUCACIÓN FÍSICA Planificación Física y
ES Ambiental
POA&M Plan de Acción e Hitos
PMR Desempeño Modelo de
PD Referencia Seguridad Física
Evaluación
REAL ACADEMIA DE BELLAS ARTES de riesgos
SA Adquisición de sistemas y servicios Oficial superior
SAÍSO de seguridad de la información Protección de
CAROLINA DEL SUR sistemas y comunicaciones Ciclo de vida del
SDLC desarrollo del sistema
SI Publicación especial sobre integridad de
SP sistemas e información
USC Código de Estados Unidos

B-1
CERT de EE. UU. Equipo de preparación para emergencias informáticas de Estados
XML Unidos Lenguaje de marcado extensible

B-2
Apéndice C: REFERENCIAS

Bartol N., Givans N.,Midiendo la “bondad” de la seguridad, 2Dakota del NorteActas de la conferencia de la
Asociación Internacional de Ingeniería de Seguridad de Sistemas (ISSEA), febrero de 2001.

Bartolo N.,Medición del rendimiento de la seguridad de la información: en vivo,3rdActas de la

Conferencia ISSEA, marzo de 2002.

Ley Clinger-Cohen de 1996 (anteriormente conocida como Ley de Reforma de la Gestión de la Tecnología de la
Información), 10 de febrero de 1996.

Ley de Gobierno Electrónico, Título III—Ley Federal de Gestión de la Seguridad de la Información (PL 107-347),
diciembre de 2002.

Estándares Federales de Procesamiento de Información (FIPS) 199,Estándares para la Categorización de la Seguridad de la

Información Federal y los Sistemas de Información,febrero de 2004.

Estándares Federales de Procesamiento de Información (FIPS) 200,Requisitos mínimos de seguridad para

información federal y sistemas de información,marzo de 2006.

Ley de Autorización de Defensa Nacional Floyd D. Spence para el año fiscal 2001 (PL 106-398).

Oficina General de Contabilidad,Manual de Auditoría de Controles del Sistema de Información Federal

(FISCAM), GAO/AIMD-12.19.6, enero de 1996.

Ley de Desempeño y Resultados del Gobierno de 1993 (PL. 103-62).

Informe interinstitucional del Instituto Nacional de Estándares y Tecnología 7298,Glosario de términos clave
de seguridad de la información,abril de 2006.

Publicación especial del Instituto Nacional de Estándares y Tecnología 800-18,Guía para el Desarrollo de
Planes de Seguridad y Sistemas de Tecnologías de la Información,febrero de 2006.

Publicación especial del Instituto Nacional de Estándares y Tecnología 800-30,Guía de Gestión de Riesgos para
Sistemas de Tecnologías de la Información,junio de 2001.

Publicación especial del Instituto Nacional de Estándares y Tecnología 800-37,Guía para la

Certificación y Acreditación de Seguridad de los Sistemas de Información Federales, mayo de 2004.

Publicación especial del Instituto Nacional de Estándares y Tecnología 800-53,Controles de seguridad

recomendados para sistemas de información federales, diciembre de 2007..

Publicación especial del Instituto Nacional de Estándares y Tecnología 800-53A,Guía para la Evaluación de
los Controles de Seguridad en los Sistemas de Información Federales, junio de 2008.

Publicación especial del Instituto Nacional de Estándares y Tecnología 800-65,Integración de la seguridad en

el proceso de planificación de capital y control de inversiones, enero de 2005.

C-1
Publicación especial del Instituto Nacional de Estándares y Tecnología 800-100,Manual de seguridad
de la información: una guía para gerentes, octubre de 2006.

Oficina de Administración y Presupuesto, “Seguridad de los recursos de información automatizados

federales”, Apéndice III de la Circular OMB A-130,Manejo de Recursos Federales de Información, 8 de febrero
de 1996.

Oficina de Gerencia y Presupuesto Circular A-11,Preparación, Presentación y Ejecución del Presupuesto, Parte
6,Preparación y Presentación de Planes Estratégicos, Planes Anuales de Desempeño e Informes Anuales de
Desempeño del Programa(actualizado anualmente).

C-2
Apéndice D: ESPECIFICACIONES PARA LOS REQUISITOS MÍNIMOS DE SEGURIDAD14

• Control de acceso (CA):Las organizaciones deben limitar el acceso al sistema de información a los usuarios
autorizados, los procesos que actúan en nombre de los usuarios autorizados o los dispositivos (incluidos
otros sistemas de información) y los tipos de transacciones y funciones que los usuarios autorizados
pueden ejercer.

• Sensibilización y Formación (AT):Las organizaciones deben: (i) asegurarse de que los administradores y
usuarios de los sistemas de información de la organización sean conscientes de los riesgos de seguridad de la
información asociados con sus actividades y de las leyes aplicables, órdenes ejecutivas, directivas, políticas,
estándares, instrucciones, reglamentos o procedimientos relacionados con la seguridad de la información de los
sistemas de información organizacionales; y (ii) garantizar que el personal de la organización esté
adecuadamente capacitado para llevar a cabo las funciones y responsabilidades relacionadas con la seguridad de
la información asignadas.

• Auditoría y Rendición de Cuentas (AU):Las organizaciones deben: (i) crear, proteger y conservar los registros de
auditoría del sistema de información en la medida necesaria para permitir el seguimiento, análisis, investigación y
notificación de actividades del sistema de información ilegales, no autorizadas o inapropiadas; y (ii) garantizar que
las acciones de los usuarios individuales del sistema de información puedan rastrearse de manera única hasta esos
usuarios para que puedan rendir cuentas por sus acciones.

• Certificación, Acreditación y Evaluaciones de Seguridad (CA):Las organizaciones deben: (i) evaluar

periódicamente los controles de seguridad en los sistemas de información de la organización para
determinar si los controles son efectivos en su aplicación; (ii) desarrollar e implementar planes de acción
diseñados para corregir deficiencias y reducir o eliminar vulnerabilidades en los sistemas de información
organizacionales; (iii) autorizar el funcionamiento de los sistemas de información de la organización y las
conexiones a los sistemas de información asociados; y (iv) monitorear los controles de seguridad del sistema
de información de manera continua para asegurar la efectividad continua de los controles.

• Gestión de la configuración (CM):Las organizaciones deben: (i) establecer y mantener configuraciones de

referencia e inventarios de los sistemas de información de la organización (incluidos hardware, software,
firmware y documentación) a lo largo de los respectivos ciclos de vida de desarrollo del sistema de
información; y (ii) establecer y hacer cumplir los ajustes de configuración de seguridad de la información
para los productos de tecnología de la información empleados en los sistemas de información de la
organización.

• Planificación de Contingencias (CP):Las organizaciones deben establecer, mantener e implementar de manera eficaz
planes de respuesta ante emergencias, operaciones de respaldo y recuperación posterior a un desastre para los
sistemas de información de la organización a fin de garantizar la disponibilidad de recursos de información críticos y la
continuidad de las operaciones en situaciones de emergencia.

• Identificación y Autenticación (IA):Las organizaciones deben identificar a los usuarios del sistema de
información, los procesos que actúan en nombre de los usuarios o los dispositivos y autenticar (o verificar)

14FIP 200, Requisitos mínimos de seguridad para información federal y sistemas de información, marzo de 2006.

D-1
 las identidades de esos usuarios, procesos o dispositivos, como requisito previo para permitir el acceso a los
sistemas de información de la organización.

• Respuesta a incidentes (IR):Las organizaciones deben: (i) establecer una capacidad de manejo de incidentes
operativos para los sistemas de información de la organización que incluya actividades adecuadas de
preparación, detección, análisis, contención, recuperación y respuesta del usuario; y (ii) rastrear, documentar y
reportar incidentes a los funcionarios y/o autoridades organizacionales correspondientes.

• Mantenimiento (MA):Las organizaciones deben: (i) realizar un mantenimiento periódico y oportuno de los
sistemas de información de la organización; y (ii) proporcionar controles efectivos sobre las herramientas, técnicas,
mecanismos y personal utilizados para realizar el mantenimiento del sistema de información.

• Protección de medios (MP):Las organizaciones deben: (i) proteger los medios del sistema de información, tanto en papel
como digitales; (ii) limitar el acceso a la información en los medios del sistema de información a los usuarios autorizados; y
(iii) desinfectar o destruir los medios del sistema de información antes de desecharlos o liberarlos para su reutilización.

• Protección Física y Ambiental (PE):Las organizaciones deben: (i) limitar el acceso físico a los
sistemas de información, equipos y los respectivos entornos operativos a las personas autorizadas;
(ii) proteger la planta física y la infraestructura de apoyo a los sistemas de información; (iii)
proporcionar utilidades de apoyo a los sistemas de información; (iv) proteger los sistemas de
información contra riesgos ambientales; y (v) proporcionar controles ambientales adecuados en las
instalaciones que contengan sistemas de información.

• Planificación (PL):Las organizaciones deben desarrollar, documentar, actualizar periódicamente e implementar planes de
seguridad del sistema para los sistemas de información de la organización que describan los controles de seguridad
implementados o planificados para los sistemas de información y las reglas de comportamiento para las personas que
acceden a los sistemas de información.

• Seguridad del Personal (PS):Las organizaciones deben: (i) garantizar que las personas que ocupan puestos de
responsabilidad dentro de las organizaciones (incluidos los proveedores de servicios externos) sean confiables y
cumplan con los criterios de seguridad de la información establecidos para esos puestos; (ii) asegurar que la
información de la organización y los sistemas de información estén protegidos durante acciones de personal tales
como terminaciones y transferencias; y (iii) emplear sanciones formales para el personal que no cumpla con las
políticas y procedimientos de seguridad de la información de la organización.

• Evaluación de riesgos (RA):Las organizaciones deben evaluar periódicamente el riesgo para las operaciones de la
organización (incluida la misión, las funciones, la imagen o la reputación), los activos de la organización y las
personas que resultan de la operación de los sistemas de información de la organización y el procesamiento,
almacenamiento o transmisión asociados de la información de la organización.

• Adquisición de Sistemas y Servicios (SA):Las organizaciones deben: (i) asignar recursos suficientes para
proteger adecuadamente los sistemas de información de la organización; (ii) emplear procesos de ciclo de
vida de desarrollo de sistemas de información que incorporen consideraciones de seguridad de la
información; (iii) emplear restricciones de instalación y uso de software; y (iv) garantizar que los
proveedores externos empleen medidas de seguridad de la información adecuadas para proteger la
información, las aplicaciones y/o los servicios subcontratados de la organización.

D-2
• Protección de Sistemas y Comunicaciones (SC):Las organizaciones deben: (i) monitorear, controlar y
proteger las comunicaciones de la organización (es decir, la información transmitida o recibida por los
sistemas de información de la organización) en los límites externos y los límites internos clave de los
sistemas de información; y (ii) emplear diseños arquitectónicos, técnicas de desarrollo de software y
principios de ingeniería de sistemas de información que promuevan la seguridad de la información
efectiva dentro de los sistemas de información organizacionales.

• Sistema e Integridad de la Información (SI):Las organizaciones deben: (i) identificar, informar y corregir la
información y las fallas del sistema de información de manera oportuna; (ii) brindar protección contra
códigos maliciosos en ubicaciones apropiadas dentro de los sistemas de información de la organización; y
(iii) monitorear las alertas y avisos de seguridad del sistema de información y tomar las medidas apropiadas
en respuesta.

D-3