Indicadores de Seguridad de la Información. ¿Con cuáles debería contar?

Los Indicadores SGSI

Los indicadores de Seguridad de la Información son métricas con el objetivo de realizar evaluaciones sobre la eficacia y eficiencia del tratamiento de riesgos dentro de un sistema de gestión, también se da la posibilidad de que se lleven seguimientos de los planes de acción que se están ejecutando.

Se debe tener en cuenta en la norma ISO 27001, la cual está dirigida a la seguridad de la información dentro de las organizaciones, los indicadores juegan un papel importante dentro de las gestiones de riesgos y se encomienda que estos se representados en cuadros para su administración sea más sencillo, esto permite que se pueda llevar a cabo un mejor control y que en el momento de generar reportes sobre la seguridad de la información sea de una forma precisa. Cada uno de los indicadores debe contar con un proceso donde se demuestre si es eficaz.

Los indicadores de gestión de seguridad de la información son los siguientes:

1.- Organización de la seguridad de la información. Este indicador vela por identificar y realizar seguimientos al compromiso de las directivas con respecto al tema de seguridad de la información. Además, permite que se designen a quienes serán los responsables de esta temática dentro de la organización.

2.- Cubrimiento del SGSI, activos de la información. Este indicador es importante ya que, gracias a este, se puede llevar a cabo el seguimiento a los activos críticos y controles relacionados.

3.- Tratamiento de Eventos. Es un indicador de gestión el cual se puede identificar como se encuentra el tratamiento de eventos asociados.

4.- Plan Sensibilización. Es un indicador que se encuentra relacionado con los temas sensibles en la seguridad de la información, los cuales son suministrados por parte de los usuarios. Cabe recalcar que estas mediciones se ejecutan a través de las auditorias.

5.- Cumplimiento de políticas dentro de la organización. Es este indicador, se encuentra dentro del grupo de indicadores de cumplimiento donde permite que se cumpla de manera eficaz las políticas trazadas de seguridad de la información de la organización.

6.- Identificación de los lineamientos de seguridad en la organización: Es un indicador de cumplimiento que brinda posibilidad de realizar evaluaciones de que tan capacitados se encuentra el recurso humano frente a los temas y los equipos que se van a manipular en este proceso.

7.- Control de Acceso. Este es un indicador de cumplimiento cuyo papel es identificar si existen políticas o normas relacionadas al control de acceso de la organización.

8.- Adquisición y mantenimiento del software. Este indicador permite identificar el grado de protección de la infraestructura tecnológica de la organización.

9.- Implementación de los procesos. Este indicador permite examinar si existen normas relacionados al registro y auditorias de seguridad de la información. Cabe resaltar que este indicador hace parte del grupo de cumplimiento de indicadores.

10.- Políticas de Privacidad y de confidencialidad. Este es un indicador de cumplimiento, conocer las políticas implementadas dentro de la organización en relación a la privacidad y confidencialidad de la información.

11.- Políticas de integridad de la información. También es un indicador de cumplimiento, son la medida que se tienen en cuenta con la finalidad de resguardar la integridad de la información de la organización.

12.- Servicio disponible. Este es un indicador de cumplimiento, que busca corroborar el nivel de disponibilidad del servicio y de la información.

13.- Ataques Cibernéticos. Es uno de los indicadores mas importantes, es un indicador de cumplimiento y revele o nos indica la probabilidad de que la organización pueda sufrir amenazas o en su defecto ya sufrió alguno.

14.- Implementación de Controles. Este es un indicador e gestión, que permite realizar evaluaciones sobre las implementaciones de controles dentro del sistema de gestión de seguridad de la información.

Para concluir, los puntos señalados anterior constituyen a los indicadores de seguridad de la información, donde ha contribuido de manera importante, para identificar y considerar para llevar a cabo una exitosa implementación del sistema de seguridad de la información.  Algo importante para destacar que la mayoría de las violaciones de ciberseguridad se deben a errores humanos. Por esta razón para minimizar el nivel de incidentes y vulnerabilidades, es importante las capacitaciones en seguridad de la información para todos lo colaboradores.

Software de gestión de indicadores clave de riesgo KRI

Toda esta labor de monitorización, recolección de información, cálculo y control requiere una gran cantidad de tiempo y esfuerzo. Esto implica que, salvo que se consiga automatizar la totalidad o al menos una buena parte de esta gestión, la monitorización de los riesgos mediante KRI tenderá a quedar relevada a un segundo plano. Esto es así ya que requerirá más recursos que aporten beneficio.

El uso del Software ISOTools para la gestión de riesgo e indicadores facilita toda esta labor. La herramienta permite a los responsables que el proceso de definición, alimentación y gestión del mismo se pueda realizar desde un mismo lugar. Todo ello, de forma sencilla.

Además, el uso de un software de gestión de indicadores permitirá establecer sistemas de alarma y avisos. De esta forma es posible estar siempre en previos de la posibilidad de materialización de un riesgo. Cuando el indicador clave de riesgo alcanza niveles por encima de la tolerancia definida por los responsables habrá que actuar.