¿Vamos a la deriva o tenemos controles para la seguridad de la información? ¿Sabemos a qué riesgos nos enfrentamos y estamos haciendo algo para tratarlos? ¿La organización cumple con las regulaciones legales, normativas y contractuales? Muchas preguntas y una sola forma de llegar a respuestas claras y objetivas: los indicadores, esas herramientas que nos ayudan a entender nuestros resultados y qué debemos mejorar, que sirven como base de la toma de decisiones y que son verdaderos puentes hacia la confidencialidad, integridad y disponibilidad.
Los indicadores eficaces, prácticos y alineados con los objetivos de tu sistema de gestión de seguridad de la información se pueden desarrollar en 8 pasos:
1: Define el propósito y objetivos del indicador:
Decide qué y para qué: Determina qué aspectos del SGSI necesitas medir o hacer seguimiento y para qué lo necesitas medir o hacer seguimiento. Esto puede depender de los requisitos de la dirección, objetivos de la organización, procesos clave para la seguridad, riesgos críticos, o controles que necesitan seguimiento.
En este sentido, se puede pensar en hacer mediciones o seguimiento directo a la confidencialidad, integridad y disponibilidad de la información, debido a que estas son propiedades que se buscan preservar con los sistemas de gestión.
2: Diseña el indicador
Define la métrica: Especifica cómo se medirá o hará seguimiento. Por ejemplo, el número de incidentes de seguridad detectados en un mes o el % de incidentes ocurridos en un periodo respecto al periodo anterior. Ambos miden la ocurrencia de incidentes, pero con diferentes propósitos, por tanto, la métrica depende de lo que necesitamos saber a partir del indicador.
Elige el método de recopilación de datos: Decide cómo se reunirán los datos necesarios para el indicador, ya sea a través de software automatizado, registros manuales, etc.
3: Establece puntos de referencia
Define límites y umbrales: Establece los valores objetivo y los umbrales de alerta para cada indicador. Estos servirán como puntos de referencia para evaluar si el resultado es satisfactorio o si se necesitan correcciones y/o acciones correctivas.
4: Documenta el proceso de medición y seguimiento
Desarrolla procedimientos de medición y seguimiento: Documenta cómo y cuándo se recolectarán los datos, cómo y cuándo se analizarán y evaluarán los resultados de los indicadores.
Asigna responsabilidades: Determina quién será responsable de realizar la medición y el seguimiento, y quién analizará y evaluará los resultados de los indicadores.
5: Implementa el proceso de medición y seguimiento
Recopila los datos: Los responsables deberán asegurar el registro de los datos conforme al método definido, para poder contar con estos al momento de calcular el indicador.
Analiza los resultados: Los responsables deberán utilizar los datos recopilados para calcular el indicador, revisar tendencias y solicitar correcciones.
Evalúa los resultados: Los responsables deberán comparar los resultados de los indicadores con sus valores objetivo, para verificar que se ha cumplido o que hay que tomar acciones correctivas.
Comunica los resultados: Desarrolla informes que presenten los hallazgos de manera clara y útil para la toma de decisiones.
6: Haz mejoras
Identifica oportunidades de mejora: Basándote en los resultados de los indicadores, identifica controles de seguridad que pueden ser fortalecidos o donde los procesos pueden aumentar su desempeño y eficacia.
Ajusta los indicadores si es necesario: Si los indicadores no brindan información útil o relevante, ajusta los métodos de medición y seguimiento, o redefine los indicadores.
Paso 7: Comunica y retroalimenta
Comunica los resultados: Comparte los resultados con las partes interesadas relevantes para asegurar la transparencia y fomentar la mejora continua.
Obtén retroalimentación: Solicita opiniones sobre los indicadores y el proceso de medición y seguimiento, para mejorar su relevancia y eficacia.
Aunque de entrada te parezca un proceso largo, con la práctica puedes asumir los 7 pasos como una forma natural de hacer un buen trabajo desde el comienzo, porque tus indicadores de seguridad de la información no solo serán relevantes y útiles, sino que también fomentarán un enfoque proactivo en la gestión de seguridad de la información.
0 comentarios