Disponer de un SGSI (Sistema de Gestión de la Seguridad de la Información) permite a las compañías demostrar a sus clientes, proveedores y organizaciones gubernamentales que garantizan la seguridad de la información.
Afortunadamente, cada vez son más las empresas que entienden la importancia de tal implementación debido a la concienciación de la alta dirección en materia de seguridad de la información (fíjese que hablamos de información y no informática). Aunque un SGSI es certificable a través de la normativa ISO/IEC 27001, no es necesaria dicha certificación para demostrar que se dispone de un SGSI maduro, aunque ayuda a que se asegure que la información que se maneja cumple con los requisitos y etapas del ciclo Deming:
- Plan (Planificar)
- Do (Hacer)
- Check (Verificar)
- Act (Actuar)
Vale y como CISO… ¿Cómo demuestro a la alta dirección lo útil que es implantar un SGSI?
En el siguiente artículo vamos a hablar sobre la implementación de dos tipos de indicadores o métricas. Hablaremos de Indicadores Clave de Desempeño, conocidos como KPI (Key Performance Indicator), cuando queramos reflejar la adquisición de un resultado relevante para la actividad de la organización. En cambio, hablaremos de Indicadores Clave de Riesgo o KRI (Key Risk Indicator), cuando una métrica muestre advertencias en relación al riesgo situado en los ámbitos operacionales.
A partir de esto,
¿Qué aporta un indicador?
Los indicadores no son nada menos que métricas generales de evaluación sobre la eficiencia o riesgo de un SGSI implementado según el estándar ISO/IEC 27001. De esta forma, un indicador permite realizar un seguimiento del compromiso de la alta dirección, en lo que a seguridad de la información se refiere.
En consecuencia, y al tratarse la norma de un estándar de gestión, el papel fundamental recae sobre dichos indicadores, los cuales pueden ser representados a través de un cuadro de mando para su administración. Concretamente, lo que se pretende conseguir es presentar frente a la alta dirección un informe periódico (ya sea mensual, trimestral o anual, dependiendo de las necesidades de la organización) sobre la gestión de la seguridad de los sistemas de información dentro de la entidad.
Desde mi experiencia, recomiendo que cada indicador disponga de un progreso en el tiempo y, a su vez, un punto de alcance deseado. De esta forma determinaremos un objetivo al que se quiere llegar para un correcto funcionamiento del SGSI.
Es recomendable que los objetivos sean los adecuados según las tendencias de las métricas. Por ejemplo, si un indicador fuese “Porcentaje de puestos de trabajo securizados” y estuviese al 100%, no hay margen de mejora a partir de ese punto.
Los principales indicadores están relacionados con los siguientes dominios relacionados con el Anexo A, Objetivos de Control de la norma ISO/IEC 27001 y con la ISO 20000-1, aunque se pueden utilizar otros marcos:
- Gestión del riesgo
- Control de la seguridad
- Ciclo de vida de los sistemas
- Planes de seguridad
- Seguridad en Recursos Humanos
- Protección física de las oficinas de trabajo
- Seguridad en el puesto de trabajo
- Control de la información saliente/entrante
- Continuidad del negocio
- Mantenimiento y actualización del hardware y software
- Documentación de las políticas, procesos, guías e instrucciones técnicas
- Concienciación de los empleados
- Respuesta ante incidentes
A modo gráfico, podríamos generar un gráfico de dominio que nos permitiese ver la madurez del SGSI. Si usamos los dominios de la ISO/IEC27001, podríamos obtener un gráfico como el siguiente, y de forma visual, mostrar una “fotografía” del estado de la empresa en materia de seguridad de la información a la alta dirección.
Cada dominio tiene indicadores que pueden disponer de sus propias formas extracción de datos de manera que podamos disponer de listados de indicadores en una simple hoja de cálculo.
En el próximo post, daremos ejemplos de KPIs y KRIs, útiles para la dirección.