¿Cuáles son los principales indicadores en seguridad de la información?
Seguridad de la información
Disponer un Sistema de Gestión de Seguridad de la Información permite a la empresa demostrar a sus clientes, proveedores y organizaciones gubernamentales que garantizan la seguridad de la información en todos los aspectos.
Cada día, más organizaciones entienden la importancia que tiene la implementación del Sistema de Gestión de Seguridad de la Información. La alta dirección se encuentra más concienciada en cuanto a seguridad de la información.
Aunque un Sistema de Gestión de Seguridad de la Información es certificable mediante la norma ISO 27001, no es necesario contar con la certificación para demostrar que se dispone de un Sistema de Gestión de Seguridad de la Información maduro, aunque ayuda a que se asegure que la información que maneja cumple con todos los requisitos y etapas del ciclo Deming (PHVA), que consta de la fase planificar, hacer, verificar y actuar.
Puede ser que se pregunte ¿cómo se demuestra a la alta dirección lo útil que es implementar un Sistema de Gestión de Seguridad de la Información?
Durante este artículo queremos hablar sobre la implementación de dos tipos de indicadores o métricas. Podemos hablar sobre Indicadores Clave de Desempeño, conocidos comúnmente como KPI (Key Performance Indicator) cuando se quiere reflejar la adquisición de un resultado relevante para la actividad de la empresa. En cambio, hablamos de Indicadores Clave de Riesgos o KRI (Key Risk Indicator), cuando una métrica muestre advertencias en relación al riesgo situado en los ámbitos operacionales.
¿Qué aporta un indicador?
Los indicadores no son nada menos que métricas generales de evaluación sobre la eficiencia o riesgo de un SGSI implementado según el estándar ISO/IEC 27001. De esta forma, un indicador permite realizar un seguimiento del compromiso de la alta dirección, en lo que a seguridad de la información se refiere.
En consecuencia, y al tratarse la norma de un estándar de gestión, el papel fundamental recae sobre dichos indicadores, los cuales pueden ser representados a través de un cuadro de mando para su administración. Concretamente, lo que se pretende conseguir es presentar frente a la alta dirección un informe periódico (ya sea mensual, trimestral o anual, dependiendo de las necesidades de la organización) sobre la gestión de la seguridad de los sistemas de información dentro de la entidad.
Desde la experiencia, es recomendable que cada indicador disponga de un progreso en el tiempo y, a su vez, un punto de alcance deseado. De esta forma determinaremos un objetivo al que se quiere llegar para un correcto funcionamiento del SGSI.
Es recomendable que los objetivos sean los adecuados según las tendencias de las métricas. Por ejemplo, si un indicador fuese “Porcentaje de puestos de trabajo segurizados” y estuviese al 100%, no hay margen de mejora a partir de ese punto.
Los principales indicadores están relacionados con los siguientes dominios relacionados con el Anexo A, Objetivos de Control de la norma ISO/IEC 27001 y con la ISO 20000-1, aunque se pueden utilizar otros marcos:
- Gestión del riesgo
- Control de la seguridad
- Ciclo de vida de los sistemas
- Planes de seguridad
- Seguridad en Recursos Humanos
- Protección física de las oficinas de trabajo
- Seguridad en el puesto de trabajo
- Control de la información saliente/entrante
- Continuidad del negocio
- Mantenimiento y actualización del hardware y software
- Documentación de las políticas, procesos, guías e instrucciones técnicas
- Concienciación de los empleados
- Respuesta ante incidentes
Cada dominio tiene indicadores que pueden disponer de sus propias formas extracción de datos de manera que podamos disponer de listados de indicadores en una simple hoja de cálculo.
En próximos post, daremos ejemplos de KPIs y KRIs, útiles para la dirección.
La Plataforma ISOTools facilita la automatización de la ISO 27001
La ISO 27001 para los SGSI es sencilla de automatizar y mantener con la Plataforma Tecnológica ISOTools.
Con ISOTools se da cumplimiento a los requisitos basados en el ciclo PHVA (Planear – Hacer – Verificar – Actuar) para establecer, implementar, mantener y mejorar el Sistema Gestión de la Seguridad de la Información, así como se da cumplimiento de manera complementaria a las buenas prácticas o controles establecidos en ISO 27002.
ISOTools también permite aplicar los requisitos de otras normas de Seguridad de la Información como PMG SSI de los Servicios Públicos de Chile, entre otros.
Este software, permite integrar la ISO 27001 con otras normas, como ISO 9001, ISO 14001 y OHSAS 18001 de una forma sencilla gracias a su estructura modular.