Agustinas 1022 OF 1004, Santiago

+569 3179 0476

contacto@gaconsultingsolutions.com

Cómo crear y hacer útil un indicador de seguridad de la información en 7 pasos

Por Mariángela Gatta

20 de mayo de 2024

¿Vamos a la deriva o tenemos controles para la seguridad de la información? ¿Sabemos a qué riesgos nos enfrentamos y estamos haciendo algo para tratarlos? ¿La organización cumple con las regulaciones legales, normativas y contractuales? Muchas preguntas y una sola forma de llegar a respuestas claras y objetivas: los indicadores, esas herramientas que nos ayudan a entender nuestros resultados y qué debemos mejorar, que sirven como base de la toma de decisiones y que son verdaderos puentes hacia la confidencialidad, integridad y disponibilidad.

Los indicadores eficaces, prácticos y alineados con los objetivos de tu sistema de gestión de seguridad de la información se pueden desarrollar en 8 pasos:

1: Define el propósito y objetivos del indicador:

Decide qué y para qué: Determina qué aspectos del SGSI necesitas medir o hacer seguimiento y para qué lo necesitas medir o hacer seguimiento. Esto puede depender de los requisitos de la dirección, objetivos de la organización, procesos clave para la seguridad, riesgos críticos, o controles que necesitan seguimiento.

En este sentido, se puede pensar en hacer mediciones o seguimiento directo a la confidencialidad, integridad y disponibilidad de la información, debido a que estas son propiedades que se buscan preservar con los sistemas de gestión.

2: Diseña el indicador

Define la métrica: Especifica cómo se medirá o hará seguimiento. Por ejemplo, el número de incidentes de seguridad detectados en un mes o el % de incidentes ocurridos en un periodo respecto al periodo anterior. Ambos miden la ocurrencia de incidentes, pero con diferentes propósitos, por tanto, la métrica depende de lo que necesitamos saber a partir del indicador.

Elige el método de recopilación de datos: Decide cómo se reunirán los datos necesarios para el indicador, ya sea a través de software automatizado, registros manuales, etc.

3: Establece puntos de referencia

Define límites y umbrales: Establece los valores objetivo y los umbrales de alerta para cada indicador. Estos servirán como puntos de referencia para evaluar si el resultado es satisfactorio o si se necesitan correcciones y/o acciones correctivas.

4: Documenta el proceso de medición y seguimiento

Desarrolla procedimientos de medición y seguimiento: Documenta cómo y cuándo se recolectarán los datos, cómo y cuándo se analizarán y evaluarán los resultados de los indicadores.

Asigna responsabilidades: Determina quién será responsable de realizar la medición y el seguimiento, y quién analizará y evaluará los resultados de los indicadores.

5: Implementa el proceso de medición y seguimiento

Recopila los datos: Los responsables deberán asegurar el registro de los datos conforme al método definido, para poder contar con estos al momento de calcular el indicador.

Analiza los resultados: Los responsables deberán utilizar los datos recopilados para calcular el indicador, revisar tendencias y solicitar correcciones.

Evalúa los resultados: Los responsables deberán comparar los resultados de los indicadores con sus valores objetivo, para verificar que se ha cumplido o que hay que tomar acciones correctivas.

Comunica los resultados: Desarrolla informes que presenten los hallazgos de manera clara y útil para la toma de decisiones.

6: Haz mejoras

Identifica oportunidades de mejora: Basándote en los resultados de los indicadores, identifica controles de seguridad que pueden ser fortalecidos o donde los procesos pueden aumentar su desempeño y eficacia.

Ajusta los indicadores si es necesario: Si los indicadores no brindan información útil o relevante, ajusta los métodos de medición y seguimiento, o redefine los indicadores.

Paso 7: Comunica y retroalimenta

Comunica los resultados: Comparte los resultados con las partes interesadas relevantes para asegurar la transparencia y fomentar la mejora continua.

Obtén retroalimentación: Solicita opiniones sobre los indicadores y el proceso de medición y seguimiento, para mejorar su relevancia y eficacia.

Aunque de entrada te parezca un proceso largo, con la práctica puedes asumir los 7 pasos como una forma natural de hacer un buen trabajo desde el comienzo, porque tus indicadores de seguridad de la información no solo serán relevantes y útiles, sino que también fomentarán un enfoque proactivo en la gestión de seguridad de la información.

Contenido relacionado

0 comentarios

Enviar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Abrir chat
GACS
Hola.
Te queremos asesorar, escríbenos para más.