7/21/2019 Act3_ISO27000.pdf

http://slidepdf.com/reader/full/act3iso27000pdf 1/7

 

Actividad 3. ISO 27000

Martínez de la Torre, Ver a 18 de Mayo de 2015

Ingeniería de

 SoftwareM.A. Armando Hernández Basilio

Unidad IV. Seguridad en Ingeniería

de Software

7/21/2019 Act3_ISO27000.pdf

http://slidepdf.com/reader/full/act3iso27000pdf 2/7

1

Introducción.

El sistema especializado para la normalización en todo el mundo está conformado por ISO

(Organización Internacional de Normalización) e IEC (Comisión Electrotécnica

Internacional). En el desarrollo de las Normas Internacionales, participan los organismos

nacionales que son miembros de ISO e IEC, así como también las organizaciones

internacionales, gubernamentales y no gubernamentales.

La norma ISO/ IEC 27000:2014 proporciona la visión general

de los Sistemas de Gestión de Seguridad de la Información

(SGSI), y los términos y definiciones de uso común en la

familia de normas de SGSI.

Cualquier empresa de software es candidata a la certificación ISO/IEC-

27001, describe los factores que influyen en la decisión.

(ISO, ISO, 2013) ISO/IEC 270001 más reciente (2013) especifica los requisitos para

establecer, implementar, mantener y mejorar continuamente un SGSI en el contexto de la

organización. Incluye requisitos para la evaluación y el tratamiento de los riesgos de

seguridad de la información a medida de las necesidades de la organización. Los requisitos

establecidos en la norma ISO / IEC 27001:2013 son genéricos y se pretende que seanaplicables a todas las organizaciones, sin importar su tipo, tamaño o naturaleza

Esta norma también incluye requisitos para la evaluación y el tratamiento de los riesgos de

seguridad de la información a la medida de las necesidades de la organización.

Los requisitos establecidos que tiene esta norma internacional son genéricos y se pretende

que sean aplicables a todas las organizaciones, sin importar su tipo, tamaño o naturaleza.

Para que una empresa obtenga la certificación de la ISO/IEC-27001 debe cumplir una serie

de factores:  Solicitud de certificación:

La empresa debe llenar la solicitud de servicio y enviar una serie de documentación

como lo son el Acta constitutiva, RFC, Alta ante hacienda, comprobante de domicilio,

identificación oficial del representante legal.

7/21/2019 Act3_ISO27000.pdf

http://slidepdf.com/reader/full/act3iso27000pdf 3/7

2

  Revisión documental

Se realiza una revisión documental donde se revisa que en la empresa existan los

documentos que requiere el sistema de gestión, como lo son el manual o plan de

gestión, procedimientos, procesos, políticas y planes. Este factor es muy importante

dentro de la certificación para que se realice el proceso de la auditoria. De locontrario la empresa no podrá obtener este certificado.

  Informe de la auditoria de certificación

Se realiza una visita a la empresa con el fin de confirmar la existencia del sistema

de gestión, después se evalúa la operación y seguimiento de la gestión del sistema

para evaluar la compañía y el auditor realiza un informe para conocer si la empresa

es o no merecedora de la certificación.

Si la empresa cumple con los factores mencionados anteriormente podrá obtener la

certificación, y recordar que cualquier empresa puede ser candidata a esta certificación

ISO/IEC-27001.

La norma ISO/IEC-27004 describe las métricas que se pueden aplicar al

SGSI, describe el contenido de este estándar y explica, por lo menos, 5

métricas mencionadas en el estándar.

(ISO, ISO, 2009) ISO / IEC 27004: 2009 proporciona orientación sobre el desarrollo y uso

de las medidas y la medición con el fin de evaluar la eficacia de un SGSI y controles o

grupos de controles, como se especifica en la norma ISO / IEC 27001. Son métricas para

la gestión de seguridad de la información. Es la que proporciona recomendaciones de

quién, cuándo y cómo realizar mediciones de seguridad de la información. Publicada el 7

de diciembre del 2009, no se encuentra traducida al español actualmente. 

ISO 27004 nos facilita una serie de mejores prácticas para poder medir el resultado de un

SGSI basado en ISO 27001. Este estándar ayuda a cómo configurar el programa de

medición, qué parámetros medir, cuándo y ayuda a las empresas a crear objetivos de

7/21/2019 Act3_ISO27000.pdf

http://slidepdf.com/reader/full/act3iso27000pdf 4/7

3

rendimiento y criterios de éxito. La medición de la seguridad aporta protección a los

sistemas de la organización y da respuesta a las amenazas de la misma.

La norma ya mencionada explica que el tipo de medidas requeridas dependerá del tamaño

y la complejidad de la organización, de la relación costos beneficio y del nivel de integraciónde la seguridad de la información en los procesos de la propia organización. También

establece cómo se deben constituir estas medidas y cómo se deben documentar e integrar

los datos obtenidos en el SGSI.

 A continuación se muestran las etapas que son propuestas por esta ISO con el objetivo de

medir la eficacia de la seguridad de la información:

  Selección de procesos y objetos de medición: las empresas deben definir lo que hayque medir y el alcance de la medida.

  Definición de las líneas base: Los valores base que muestran el punto de referencia

deben definirse para cada objeto que se está midiendo.

  Recopilación de datos: los datos deben ser dimensionales, precisos y oportunos.

  Desarrollo de un método de medición: la secuencia lógica de operaciones se aplicaen diversos atributos del objeto seleccionado para la medición.

  Interpretación de los valores medidos: mediante procesos y la tecnología para el

análisis y la interpretación de los valores de deben identificar las brechas entre el

valor inicial y el valor de medición real.

  Comunicación de los valores de medición: los resultados de medición del SGSI se

comunicaran a las partes interesadas.

Este estándar al igual que ISO 27001 se basa en un ciclo de vida PLAN-DO-CHECK-ACT

(PDCA) para toda la estructura de procesos de SGSI. En este se describen los cuatro pasos

esenciales que se deben llevar a cabo de forma sistemática para lograr la mejora continua.

7/21/2019 Act3_ISO27000.pdf

http://slidepdf.com/reader/full/act3iso27000pdf 5/7

4

La aplicación de esta metodología está enfocada principalmente para ser usada en

empresas y organizaciones.

Todo esto en su conjunto nos ayudará a tener una mejor continua e ir verificando en que

aspectos estamos fallando, verificar en que riesgos estamos cayendo y poder corregirlos.

Métricas.

  Métricas orientadas al tamaño.

Consideran el tamaño de software que se ha producido, siendo por ello las líneas de código

(LDC) el valor de normalización. Son medidas directas del resultado y del proceso.

Si una organización de software mantiene registros sencillos, se puede crear una tabla de

datos orientados al tamaño

Métricas:

  Productividad = KLDC/Esfuerzo  Calidad = errores/KLDC (miles de líneas de código)  Costo = $/KLDC  Documentación = Pags. Doc/KLDC

  Métricas orientadas a la función

Son medidas indirectas del software y del proceso. Se centran en la funcionalidad o utilidad

del programa. “Emplean como un valor de normalización una medida de la funcionalidad

que entrega la aplicación. La métrica orientada a la función utilizada con mayor amplitud es

el punto de función” 

  Métricas para calidad del software

Las métricas de calidad de software se enfocan sobre el proceso, el proyecto y el producto.

Estas métricas las podemos dividir en dos grupos; el primer grupo se le recolecta antes de

la entrega del producto y las otras luego de haberlo entregado.

  Medidas de la calidad

  Corrección: Es el grado en que el software desempeña la función para la que fue

creado.

7/21/2019 Act3_ISO27000.pdf

http://slidepdf.com/reader/full/act3iso27000pdf 6/7

5

  Facilidad de Mantenimiento: es la facilidad para corregir un error, adaptar un

programa a cambios, o mejorarlo si el cliente desea un cambio.

  Integridad: Es la capacidad para resistir ataques, provocados o no, contra su

seguridad, ya sea sobre programas, datos y documentos.

  Métricas para organizaciones pequeñas

Una organización pequeña puede seleccionar el siguiente conjunto de medidas que se

recopilan con facilidad:

o  tcola: Tiempo desde solicitud hasta que evaluación está completa

o  Teval: Esfuerzo para realizar evaluación (persona-horas)

o  teval: Tiempo desde que se completa la evaluación hasta la asignación de pedido

de cambioo  Tcambio: Esfuerzo para hacer el cambio (persona-horas)

o  tcambio: Tiempo requerido para hacer el cambio (persona-horas)

o  Ecambio: Errores descubiertos durante el trabajo para hacer el cambio.

o  Dcambio: Defectos descubiertos después de que el cambio es liberado.

Bibliografía

(17 de JUNIO de 2014). Obtenido dehttp://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=63411 

27000 . (15 de DICIEMBRE de 2009). Obtenido de ISO/IEC 27004:2009:http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=42106

CARELO MUÑOZ, C. (OCTUBRE de 2006). MÉTRICAS DEL SOFTWARE:. Obtenido deConceptos básicos, definición y formalizacion:http://eisc.univalle.edu.co/materias/Material_Desarrollo_Software/Metricas4.pdf

ISO. (2009). ISO. Obtenido de ISO:

http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=42106

ISO. (2013). Obtenido de ISO/IEC 27001:2013:http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=63411

ISO 27000.es. (2005). Obtenido de El portal de ISO 27001 en Español:http://iso27000.es/certificacion.html

7/21/2019 Act3_ISO27000.pdf

http://slidepdf.com/reader/full/act3iso27000pdf 7/7

6

ISO/IEC 27001:2013. (01 de OCTUBRE de 2013). Obtenido de ISO:http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=54534

NYCE . (s.f.). Obtenido de Seguridad y Confianza:http://www.nyce.org.mx/index.php/sistemas/faq-sgti

SGSI . (24 de ENERO de 2014). Obtenido de ISO/IEC 27004 – Medición de la Seguridadde la Información: http://www.pmg-ssi.com/2014/01/isoiec-27004-medicion-de-la-seguridad-de-la-informacion/