Indicadores más útiles para un sistema de gestión de seguridad de la información

Indicadores de Seguridad de la Información

Para poder contar con indicadores eficaces necesitamos crear una cultura de medición en la organización. En palabras de William Kelvin, lo que no se define no se puede medir: “cuando puedes medir aquello de lo que estás hablando y expresarlo en números, puede decirse que sabes algo acerca de ello; pero, cuando no puedes expresarlo en números, tu conocimiento es muy deficiente y poco satisfactorio”.

Cuando implementamos un sistema de gestión de seguridad de la información (SGSI) y empleamos indicadores, podemos medir presupuestos, planes, programas, procesos, personas, sistemas, prácticas de negocios, productos, servicios, ventas, proveedores y clientes. Un indicador es una medida que proporciona una estimación o una evaluación de determinados atributos, usando un modelo analítico, para satisfacer unas necesidades de información. Podemos clasificarlos en:

• Preindicadores: son aquellos que se identifican antes de que ocurran los hechos. Por ejemplo, año de elecciones, tendencias económicas, entre otros.
• Indicadores concurrentes: son aquellos que se establecen por adelantado, pero que evolucionan mientras transcurre la acción. Por ejemplo, producción por días de trabajo, números de retrasos al mes, etc.
• Indicadores terminales: solo pueden utilizarse después de terminados los hechos, por lo que tienen menos utilidad. Por ejemplo, fecha de término de un proyecto, índice de rotación del personal, número de ascensos, entre otros.

Podemos concebir a los indicadores como medidas de riesgo (KRI),    medidas  de  desempeño  (Key  performance  indicator o  KPI)  y  medidas  de  control  (key control  indicator  o  KCI).

Indicadores clave

Un SGSI requiere indicadores que incluyan criterios como eficiencia, efectividad, eficacia, oportunidad y calidad. De acuerdo con nuestra experiencia, estos son algunos de los más relevantes:

• Porcentaje de efectividad del control de acceso.
• Porcentaje de efectividad de controles de seguridad de la información.
• Disponibilidad de la infraestructura de TI.
• Disponibilidad de los servidores.
• Disponibilidad del servicio de internet.
• Disponibilidad de equipos de TI.
• Disponibilidad del correo electrónico.
• Disponibilidad del servicio de telefonía.
• Proporción de costos de TI.
• Tiempo promedio entre fallas de TI.
• Tiempo promedio para reparar de TI.
• Porcentaje de eficacia de administración de usuarios.
• Número de usuarios activos conformes.
• Porcentaje de eficacia en acceso a redes y aplicaciones.
• Porcentaje de eficacia en acceso a servidores.
• Porcentaje de eficacia acceso a instalaciones.
• Porcentaje de cumplimiento de backups.
• Porcentaje de eficacia del plan de mantenimiento de equipos.
• Porcentaje de fallas de TI atendidas.
• Porcentaje de oportunidad del soporte técnico
• Porcentaje de oportunidad de instalación y mantenimiento.
• Promedio de nivel de riesgo de SI.
• Porcentaje de conformidad de software.
• Tasa de fallas de TI por día.

¿Cómo deben ser los indicadores?

A continuación, te explicamos brevemente cómo podrías crear indicadores eficaces:

1. Solo se debe medir lo que es importante.
2. No crees demasiados, pues podría ser contraproducente.
3. Toma en cuenta que no hay un indicador protagonista, todos son importantes.
4. Los indicadores deben propiciar un entorno de mejora continua y estar vinculados a los objetivos del SGSI.
5. No olvides interpretarlos.
6. Los indicadores deben englobar procesos importantes o críticos. También tienen que ser fáciles de mantener y utilizar.
7. Ser compatibles con el resto de los indicadores.
8. Los indicadores deben permitir conocer la situación en tiempo real.

Los indicadores potencian el éxito

Existen creencias erradas como que medir es difícil y complejo. Y que, si lo logramos, luego nos enteraremos de malas noticias y vendrán castigos. Otras veces pensamos que hay trabajos y áreas que no se pueden medir. O que, si nunca hemos medido nada, ¿por qué empezar a hacerlo ahora? La realidad es que los indicadores sirven para entender fácilmente cómo evoluciona la seguridad de la información, nos ayuda a enfocarnos en lo que importa. Los resultados son objetivos y nos permiten comprender qué aspectos reforzar, en qué áreas capacitar a los colaboradores, qué labores recompensar, entre otros. Además:

• son útiles para el control del riesgo operativo, permiten  acciones  preventivas  o  que  minimicen pérdidas materiales al posibilitar una acción temprana,
• ofrecen señales de alerta temprana al hacer  resaltar  los  cambios  en  el  entorno,  eficiencia  de  los  controles  y  exposición  a  riesgos  potenciales  antes  que  se
• posibilitan detectar tendencias y cambios en el nivel de riesgo.
• pueden contribuir a la  toma  de  decisiones a través del establecimiento de umbrales mínimos  y  rangos  de  tolerancia  para  los  diversos  riesgos,   que  deberían  ser  definidos  por  las máximas autoridades.

Software para la gestión de la Seguridad de la Información

La seguridad de la información es clave para las organizaciones y no se debe descuidar la monitorización y mejora continua de los indicadores. Un error en lo relativo a la seguridad de la información puede ser decisivo para la continuidad de negocio de la compañía.

Para una óptima gestión de los indicadores, su cálculo y alimentación es de gran ayuda un Software de Gestión de la Seguridad de la Información con el que mantener un control total de todo lo relacionado con la Seguridad de la Información.

Puede solicitar más información acerca del software de Seguridad de la Información aquí.