Agustinas 1022 OF 1004, Santiago

+569 3179 0476

contacto@gaconsultingsolutions.com

Cómo crear y hacer útil un indicador de seguridad de la información en 7 pasos

Por Mariángela Gatta

20 de mayo de 2024

¿Vamos a la deriva o tenemos controles para la seguridad de la información? ¿Sabemos a qué riesgos nos enfrentamos y estamos haciendo algo para tratarlos? ¿La organización cumple con las regulaciones legales, normativas y contractuales? Muchas preguntas y una sola forma de llegar a respuestas claras y objetivas: los indicadores, esas herramientas que nos ayudan a entender nuestros resultados y qué debemos mejorar, que sirven como base de la toma de decisiones y que son verdaderos puentes hacia la confidencialidad, integridad y disponibilidad.

Los indicadores eficaces, prácticos y alineados con los objetivos de tu sistema de gestión de seguridad de la información se pueden desarrollar en 8 pasos:

1: Define el propósito y objetivos del indicador:

Decide qué y para qué: Determina qué aspectos del SGSI necesitas medir o hacer seguimiento y para qué lo necesitas medir o hacer seguimiento. Esto puede depender de los requisitos de la dirección, objetivos de la organización, procesos clave para la seguridad, riesgos críticos, o controles que necesitan seguimiento.

En este sentido, se puede pensar en hacer mediciones o seguimiento directo a la confidencialidad, integridad y disponibilidad de la información, debido a que estas son propiedades que se buscan preservar con los sistemas de gestión.

2: Diseña el indicador

Define la métrica: Especifica cómo se medirá o hará seguimiento. Por ejemplo, el número de incidentes de seguridad detectados en un mes o el % de incidentes ocurridos en un periodo respecto al periodo anterior. Ambos miden la ocurrencia de incidentes, pero con diferentes propósitos, por tanto, la métrica depende de lo que necesitamos saber a partir del indicador.

Elige el método de recopilación de datos: Decide cómo se reunirán los datos necesarios para el indicador, ya sea a través de software automatizado, registros manuales, etc.

3: Establece puntos de referencia

Define límites y umbrales: Establece los valores objetivo y los umbrales de alerta para cada indicador. Estos servirán como puntos de referencia para evaluar si el resultado es satisfactorio o si se necesitan correcciones y/o acciones correctivas.

4: Documenta el proceso de medición y seguimiento

Desarrolla procedimientos de medición y seguimiento: Documenta cómo y cuándo se recolectarán los datos, cómo y cuándo se analizarán y evaluarán los resultados de los indicadores.

Asigna responsabilidades: Determina quién será responsable de realizar la medición y el seguimiento, y quién analizará y evaluará los resultados de los indicadores.

5: Implementa el proceso de medición y seguimiento

Recopila los datos: Los responsables deberán asegurar el registro de los datos conforme al método definido, para poder contar con estos al momento de calcular el indicador.

Analiza los resultados: Los responsables deberán utilizar los datos recopilados para calcular el indicador, revisar tendencias y solicitar correcciones.

Evalúa los resultados: Los responsables deberán comparar los resultados de los indicadores con sus valores objetivo, para verificar que se ha cumplido o que hay que tomar acciones correctivas.

Comunica los resultados: Desarrolla informes que presenten los hallazgos de manera clara y útil para la toma de decisiones.

6: Haz mejoras

Identifica oportunidades de mejora: Basándote en los resultados de los indicadores, identifica controles de seguridad que pueden ser fortalecidos o donde los procesos pueden aumentar su desempeño y eficacia.

Ajusta los indicadores si es necesario: Si los indicadores no brindan información útil o relevante, ajusta los métodos de medición y seguimiento, o redefine los indicadores.

Paso 7: Comunica y retroalimenta

Comunica los resultados: Comparte los resultados con las partes interesadas relevantes para asegurar la transparencia y fomentar la mejora continua.

Obtén retroalimentación: Solicita opiniones sobre los indicadores y el proceso de medición y seguimiento, para mejorar su relevancia y eficacia.

Aunque de entrada te parezca un proceso largo, con la práctica puedes asumir los 7 pasos como una forma natural de hacer un buen trabajo desde el comienzo, porque tus indicadores de seguridad de la información no solo serán relevantes y útiles, sino que también fomentarán un enfoque proactivo en la gestión de seguridad de la información.

Contenido relacionado

0 comentarios

Enviar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Abrir chat
GACS
Hola.
Te queremos asesorar, escríbenos para más.
Expertos en Sistemas de Gestión
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.