Cómo nos ayudan los indicadores a mantener la ISO27001
ISO27001
Gracias a la norma ISO27001 podemos utilizar ciertos indicadores clave de rendimiento (KPI) que deben ser considerados para evaluar el desempeño del Sistema de Gestión de Seguridad de la Información.
¿Por qué necesito indicadores de información de rendimiento clave de seguridad?
Un indicador clave de rendimiento (KPI) es una medida utilizada para evaluar los factores que son cruciales para obtener el éxito en una empresa. Se diferencia de un objetivo porque un objetivo es algo claro que queremos conseguir, mientras que un KPI es algo que se utiliza para verificar si todos nuestros esfuerzos nos están llevando hacía el objetivo definido. Por ejemplo, si 60 mph es el objetivo de velocidad, el velocímetro le ayuda a conseguir y mantener dicha velocidad.
En este escenario se deben tomar ciertas decisiones pero siempre teniendo en cuenta la información obtenida, y tienen recursos limitados para trabajar en objetivos, definir los KPI más relevantes y cómo y cuándo tiene que presentarse, siendo una buena forma de ayudar al control de los resultados y a la toma de decisiones de una forma adecuada.
Para verificar si estamos en el camino correcto para alcanzar nuestros objetivos utilizaremos los indicadores clave del rendimiento, que también sirven para apoyar la norma ISO27001, lo que favorece la comunicación sobre la gestión llevada y sobre los objetivos de seguridad de la información.
Criterios para la selección de indicadores
Aunque existan muchos criterios que se pueden utilizar para la selección de KPI se deben tener en cuenta ciertos aspectos comunes, pudiendo hacer que su tarea sea mucho más fácil:
- Negocios relevantes: el indicador debe estar alineado para aclarar los objetivos de negocio o los requisitos legales, lo que hace que sea mucho más fácil que las personas entiendan por qué tiene que ser medido y evaluado. La norma ISO27001 tienen algunos requisitos que pueden ser atendidos para la utilización de indicadores relacionados con la eficacia y el cumplimiento, pero una empresa tiene que considerar los indicadores de eficiencia.
- Proceso integrado: las actividades necesarias para recoger los datos requeridos para un KPI tienen que agregar la menor cantidad de trabajo posible, en comparación con las actividades que se realizan de forma habitual para ofrecer el producto/servicio, y la información que se necesita debe utilizarse en la misma forma en cada proceso.
- Asertivo: el indicado tiene que ser capaz de identificar temas relevantes que necesitan atención. Por ejemplo, un KPI relacionado con el número de intento de conexión fallidos limita explícitamente al alcance del proceso de inicio de sesión.
Ejemplos de indicadores de rendimiento
Los siguientes ejemplos abarcan el ciclo PHVA (Planificar, hacer, verificar y actuar), y se muestran cómo los diferentes indicadores que pueden utilizar para obtener una vista completa del rendimiento de los procesos relacionados con la gestión de la seguridad de la información.
Planificar
Porcentaje de iniciativas empresariales con el apoyo del Sistema de Gestión de Seguridad de la Información: es un indicador que muestra el nivel de alineación e integración con el negocio dentro del Sistema de Gestión de Seguridad de la Información. Cuanto mayor sea el valor, más optimizado se encuentran los recursos para el Sistema de Gestión de Seguridad de la Información, ya que los recursos de gestión se utilizan sobre otros aspectos diferentes de la empresa.
Porcentaje de iniciativas de seguridad de la información que contienen las estimaciones de costo-beneficio: es un indicador que muestra el nivel de madurez de la empresa en el tratamiento del riesgo. Cuanto mayor sea el valor, las decisiones de tratamiento basado en riesgos se basan en hechos reales. Puede utilizar la evaluación de riesgos y el informe de tratamiento, en comparación con todas las iniciativas de seguridad implementadas, para obtener la información.
Porcentaje de cláusulas de seguridad de la información: este indicador muestra cómo los servicios y productos son proporcionados por los aspectos legamente compatibles y tienen en cuenta los aspectos de seguridad de la información. Cuanto mayor sea el valor, mejor apoyo tendrá en sus relaciones con los clientes y los proveedores.
Hacer
Número de paradas en los servicios relacionados con la seguridad: los tiempos de parada relacionados con los problemas de seguridad de información reflejan directamente la eficacia del Sistema de Gestión de Seguridad de la Información según ISO27001. Esta información puede obtenerse a partir de informes operativos.
Duración de las interrupciones del servicio: es tan importante como el número de paradas, la duración media de los tiempos de parada es una medida importante de la eficacia del Sistema de Gestión de Seguridad de la Información basado en la norma ISO27001. Esta información puede obtenerse a partir de informes operativos.
Tiempo de resolución: esta información puede obtenerse a partir de informes operativos.
Verificar
Porcentaje de controles: es un indicador que ofrece una visión de cómo se revisan las medidas de seguridad en su organización. Cuanto más alto sea el valor, más controles se están analizando en términos de eficiencia, eficacia y oportunidades de mejora. Se puede utilizar el plan de tratamiento de riesgos, en comparación con los planes de formación, registros de incidentes, los informes de auditoría y la gestión de la revisión.
Actuar
Número de iniciativas de mejora: es un indicador que muestra la proactividad del Sistema de Gestión de Seguridad de la Información de una empresa con respecto a los cambios en el medio ambiente y las oportunidades identificadas. Se producen cambios en los objetivos de mejora, se evitan pérdidas y son buenos ejemplos que reflejan un elevado valor en su KPI.
Software ISO 27001
El estándar internacional ISO 27001, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un Sistema de Gestión de Seguridad de la Información de una forma rápida y sencilla, además el Software ISOTools Excellence para la norma 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa.