Publicada ISO/IEC 27004:2009

Después de tanto tiempo esperándola, por fín se ha publicado la ISO 27004. Desde el día 7 de este mes está disponible esta norma sobre métricas de seguridad. No obstante, me gustaría recalcar, ya que parece que hay cierta confusión al respecto, que esta norma lo que establece principalmente es el ciclo de vida de las métricas, es decir, cómo se deben definir y articular las métricas de seguridad para lograr medir la efectividad de los controles de seguridad establecidos en un SGSI. Lo digo porque hay gente que piensa que esta norma es un catálogo de métricas de seguridad, y aunque sí incluye una sugerencia de métricas en el anexo, su objetivo es que cada organización aprenda a establecer sus propias métricas, más que proponer una lista cerrada de métricas a utilizar. Para que no haya malos entendidos...