| 25 años generando CONFIANZA
Indicadores de Seguridad de la Información
Para poder contar con indicadores eficaces necesitamos crear una cultura de medición en la organización. En palabras de William Kelvin, lo que no se define no se puede medir: “cuando puedes medir aquello de lo que estás hablando y expresarlo en números, puede decirse que sabes algo acerca de ello; pero, cuando no puedes expresarlo en números, tu conocimiento es muy deficiente y poco satisfactorio”.
Cuando implementamos un sistema de gestión de seguridad de la información (SGSI) y empleamos indicadores, podemos medir presupuestos, planes, programas, procesos, personas, sistemas, prácticas de negocios, productos, servicios, ventas, proveedores y clientes. Un indicador es una medida que proporciona una estimación o una evaluación de determinados atributos, usando un modelo analítico, para satisfacer unas necesidades de información. Podemos clasificarlos en:
- Preindicadores: son aquellos que se identifican antes de que ocurran los hechos. Por ejemplo, año de elecciones, tendencias económicas, entre otros.
- Indicadores concurrentes: son aquellos que se establecen por adelantado, pero que evolucionan mientras transcurre la acción. Por ejemplo, producción por días de trabajo, números de retrasos al mes, etc.
- Indicadores terminales: solo pueden utilizarse después de terminados los hechos, por lo que tienen menos utilidad. Por ejemplo, fecha de término de un proyecto, índice de rotación del personal, número de ascensos, entre otros.
Podemos concebir a los indicadores como medidas de riesgo (KRI), medidas de desempeño (Key performance indicator o KPI) y medidas de control (key control indicator o KCI).
Indicadores clave
Un SGSI requiere indicadores que incluyan criterios como eficiencia, efectividad, eficacia, oportunidad y calidad. De acuerdo con nuestra experiencia, estos son algunos de los más relevantes:
- Porcentaje de efectividad del control de acceso.
- Porcentaje de efectividad de controles de seguridad de la información.
- Disponibilidad de la infraestructura de TI.
- Disponibilidad de los servidores.
- Disponibilidad del servicio de internet.
- Disponibilidad de equipos de TI.
- Disponibilidad del correo electrónico.
- Disponibilidad del servicio de telefonía.
- Proporción de costos de TI.
- Tiempo promedio entre fallas de TI.
- Tiempo promedio para reparar de TI.
- Porcentaje de eficacia de administración de usuarios.
- Número de usuarios activos conformes.
- Porcentaje de eficacia en acceso a redes y aplicaciones.
- Porcentaje de eficacia en acceso a servidores.
- Porcentaje de eficacia acceso a instalaciones.
- Porcentaje de cumplimiento de backups.
- Porcentaje de eficacia del plan de mantenimiento de equipos.
- Porcentaje de fallas de TI atendidas.
- Porcentaje de oportunidad del soporte técnico
- Porcentaje de oportunidad de instalación y mantenimiento.
- Promedio de nivel de riesgo de SI.
- Porcentaje de conformidad de software.
- Tasa de fallas de TI por día.
¿Cómo deben ser los indicadores?
A continuación, te explicamos brevemente cómo podrías crear indicadores eficaces:
- Solo se debe medir lo que es importante.
- No crees demasiados, pues podría ser contraproducente.
- Toma en cuenta que no hay un indicador protagonista, todos son importantes.
- Los indicadores deben propiciar un entorno de mejora continua y estar vinculados a los objetivos del SGSI.
- No olvides interpretarlos.
- Los indicadores deben englobar procesos importantes o críticos. También tienen que ser fáciles de mantener y utilizar.
- Ser compatibles con el resto de los indicadores.
- Los indicadores deben permitir conocer la situación en tiempo real.
Los indicadores potencian el éxito
Existen creencias erradas como que medir es difícil y complejo. Y que, si lo logramos, luego nos enteraremos de malas noticias y vendrán castigos. Otras veces pensamos que hay trabajos y áreas que no se pueden medir. O que, si nunca hemos medido nada, ¿por qué empezar a hacerlo ahora? La realidad es que los indicadores sirven para entender fácilmente cómo evoluciona la seguridad de la información, nos ayuda a enfocarnos en lo que importa. Los resultados son objetivos y nos permiten comprender qué aspectos reforzar, en qué áreas capacitar a los colaboradores, qué labores recompensar, entre otros. Además:
- son útiles para el control del riesgo operativo, permiten acciones preventivas o que minimicen pérdidas materiales al posibilitar una acción temprana,
- ofrecen señales de alerta temprana al hacer resaltar los cambios en el entorno, eficiencia de los controles y exposición a riesgos potenciales antes que se
- posibilitan detectar tendencias y cambios en el nivel de riesgo.
- pueden contribuir a la toma de decisiones a través del establecimiento de umbrales mínimos y rangos de tolerancia para los diversos riesgos, que deberían ser definidos por las máximas autoridades.
Software para la gestión de la Seguridad de la Información
La seguridad de la información es clave para las organizaciones y no se debe descuidar la monitorización y mejora continua de los indicadores. Un error en lo relativo a la seguridad de la información puede ser decisivo para la continuidad de negocio de la compañía.
Para una óptima gestión de los indicadores, su cálculo y alimentación es de gran ayuda un Software de Gestión de la Seguridad de la Información con el que mantener un control total de todo lo relacionado con la Seguridad de la Información.
Puede solicitar más información acerca del software de Seguridad de la Información aquí.
¿Desea saber más?
Entradas relacionadas
La ISO14001 es una norma internacional que establece los requisitos para la gestión ambiental en las organizaciones. Los controles...
La norma ISO 31000 es el estándar internacional para la gestión de riesgos y proporciona un enfoque estructurado y flexible para identificar...
La Estrategia Europea de Seguridad y Salud en el Trabajo es un nuevo marco estratégico para la Seguridad…