Tal y como comentábamos en el post anterior, disponer de KPIs y KRIs para evaluar un SGSI (Sistema de Gestión de la Seguridad de la Información) es una tarea fundamental que tiene como objetivo ayudar a la toma de decisiones de forma más productiva. En el post de hoy, más práctico que la primera parte, veremos algunos ejemplos de éstos.

En la fase de creación de un indicador, debemos tener en cuenta las siguientes partes:

  • Descripción: Se definirá a través de una breve descripción qué es lo que vamos a medir, de forma que, de forma clara, cualquier miembro del departamento pueda interpretarlo.
  • Medición: Se debe determinar el cómo se va a medir el indicador y cómo se va a conseguir la información. Por ejemplo: horas de formación/empleado.
  • Unidad de medida: Se indica la medida del indicador, por ejemplo, en ratios o porcentajes.
  • Frecuencia: Se determinará con qué periodicidad se medirá. Ya sea mensualmente, trimestralmente, anualmente, etc.
  • Responsable del indicador: Persona/s al frente de llevar a cabo las acciones de dicho indicador.
  • Valor Objetivo.
  • Valor Actual.

Aconsejo que, a la hora de determinar indicadores en un SGSI, se tengan en cuenta los dominios citados en el último apartado del post anterior. A partir de estos se pueden generar indicadores en nuestro cuadro de mando que puedan resultar útiles pero, sobre todo, medibles y alcanzables. Por ejemplo:

  • Si lo que queremos es medir el desempeño, disponemos de KPI interesantes como:
    • Establecer los activos críticos que afectan a la organización.
    • Mejora de la satisfacción de los clientes a través del proceso de resolución de tickets relacionados con incidencias de usuarios, desde que se solicitan hasta que se resuelven.
    • Divulgación de la política de seguridad a los empleados, asegurando su lectura y aceptación.
    • Controlar que el ciclo de mejora continua se cumple de forma efectiva.
  • En cambio, si lo que nos interesa es medir el riesgo, tenemos KRI como:
    • Porcentaje de pruebas relacionadas con el Plan de Continuidad que hayan sido superadas de forma correcta.
    • Medir incidentes relacionados con la seguridad de la información que afecten a la disponibilidad, confidencialidad o integridad de la información.
    • Copias de seguridad realizadas con éxito.
    • Formación en seguridad de la información a los empleados según jerarquías.
    • Disponer de un parque tecnológico con dispositivos móviles correctamente cifrados.

¿Con qué periodicidad debo actualizar las métricas correspondientes a estos indicadores?

Depende. No hay una cifra mágica que determine exactamente cuándo se debe medir un indicador. Es el responsable del SGSI el que debe reflexionar sobre cuando es útil para su empresa realizar una métrica, de forma que ésta sea fácil de extraer y útil para la retroalimentación positiva del sistema de gestión de la seguridad de la información (requisito indispensable en la norma ISO/IEC 27001).

Como hemos comentado, estos indicadores representan uno de los principales “inputs” para la revisión por dirección, siendo una herramienta de gran valor para los CISOs para trasladar la evolución de la organización a la alta dirección.

La evaluación de SGSI es necesaria y se realiza, en gran medida, a través de los indicadores. Este proceso no finaliza, ya que siempre debemos medir y llevar a cabo medidas para mejorar. Para más información respecto a la evaluación del SGSI, podéis buscar más información sobre la norma “ISO/IEC 27004. Evaluación de la Seguridad de la Información“.

En conclusión, es necesario establecer unos indicadores que estén alineados con los objetivos, tanto de seguridad como de negocio de la empresa. Esto ayudará en gran medida a definir las acciones que sean más productivas y generará confianza a la hora de saber si estamos trabajando correctamente por los objetivos establecidos.

 

 

Compartir
Artículo anteriorSAP SuccessFactors y la era Cloud
Artículo siguienteEl Internet de las Nano Cosas (IoNT – Internet of NanoThings)
mm
Ingeniero Informático en la UPV, decide realizar el Master de Seguridad en las Tecnologías de la Información y las Comunicaciones de la Universitat Oberta de Catalunya para ampliar sus conocimientos en seguridad de la información. Actualmente trabaja en Sothis apoyando al departamento de Gobierno de Seguridad de la Información. Su objetivo es ayudar a las organizaciones a adoptar una visión más segura del uso de la información