miércoles, 10 de mayo de 2006

Guía para el desarrollo de métricas en seguridad de la información

En gestión es un criterio básico que "Lo que no se puede medir, no se puede controlar. Sin control por tanto no puede haber gestión y sin gestión no hay dirección".

El NIST ha publicado el día 4 un nuevo documento borrador con la guía para el desarrollo de métricas de rendimiento en seguridad de la información titulado Draft Special Publication 800-80, Guide for Developing Performance Metrics for Information Security


Este documento intenta ayudar a las organizaciones al desarrollo de métricas entorno a la implementación de la seguridad de la información. La medición y evolución del estado es un factor muy importante que ya está siendo trabajado y que generará la publicación de la norma ISO 27004. Además es uno de los puntos todavía muy verdes respecto a la gestión y mejora de los sistemas de gestión de la seguridad de la información.

Mientras tanto, podemos ir comprendiendo los diferentes enfoques que van surgiendo entorno a este concepto de medición de la protección y la rentabilidad de la seguridad.

Esta guía quiere facilitar la tarea de generar métricas e indicadores proporcionando plantillas e incluye algunos ejemplos interesantes. Este nuevo borrador viene a complementar el documento SP 800-55 "Security Metrics Guide for Information Technology Systems" ya publicado en el 2003.
 
;