Inicio / Protege tu empresa / Blog / Estableciendo el rumbo de un SGSI

Estableciendo el rumbo de un SGSI

Publicado el 15/06/2009, por Javier Cao Avellaneda

Uno de los aspectos más importantes en el proceso de construcción de un SGSI es el establecimiento de los indicadores y métricas de gestión. Este hecho es tan relevante porque determina el lenguaje común que se hablará en el Comité de Seguridad para valorar si los esfuerzos realizados están o no cumpliendo con los objetivos planteados. Para ello utilizamos la medición como instrumento de control. Es necesario poder diagnosticar correctamente qué está pasando y qué es necesario corregir si de lo que estamos hablando es de gestionar. La célebre frase de Lord Kelvin es clara al respecto "Cuando se puede medir aquello de que se habla y expresarlo en cifras, se sabe algo de ello; pero cuando no se puede medir, cuando no se puede expresar numéricamente, el conocimiento que se tiene es de calidad débil y poco confiable”. En este sentido, el marco normativo actual ISO 27000 parece que antes de final de año va a sentar las bases sobre cómo debe establecerse la medición dentro de la gestión de la seguridad de la información. Debemos estar además de enhorabuena porque es el Subcomité 27 español, liderado por Paloma Llaneza, uno de los actores principales en pro del desarrollo de esta norma que actualmente se encuentra en sus fases finales antes de ser publicada como la futura norma internacional  "ISO 27004, Information technology -- Security techniques -- Information security management -- Measurement".

En relación al objeto del presente texto, vamos a empezar a definir los elementos necesarios para definir el funcionamiento adecuado de un SGSI. Lo primero que hay que tener claro, como todo en la vida, es a dónde se quiere llegar. En este sentido, el proceso de construcción del SGSI pasa siempre por la fase de diagnóstico de seguridad que nos proporciona la información obtenida del análisis de riesgos. Otros dos factores a considerar en relación a que influyen o condicionan también el rumbo de la seguridad son los requisitos legales de aplicación a la Organización y los objetivos propios establecidos por la propia Dirección de la Organización en materia de seguridad. Estos tres ejes: análisis de riesgos, requisitos legales y objetivos propios deben establecer el rumbo del "barco SGSI" y las primeras ordenes deben documentarse mediante la "Política de Seguridad de la Información de la Organización" (que por algo es un control y documento obligatorio dentro del SGSI). Ésta política suele tener una redacción planteada como declaración de intenciones pero debe servir para inspirar los objetivos medibles y cuantificables que el SGSI quiere lograr.

Por tanto, el primer elemento es "el rumbo" que determina la política de seguridad y que se transforma en los "objetivos del SGSI". Estos objetivos no son algo estático sino que deben ir ajustándose cada año en relación a los resultados que se viene registrando, las nuevas necesidades que la Organización va detectando o los cambios legislativos que se vengan produciendo. Estos ajustes se realizan normalmente dentro del proceso de "Revisión del SGSI por la Dirección" que establece la cláusula 7 de ISO 27001.

El segundo elemento es "la medición del funcionamiento", que es lo que intentamos plantear a través de los "indicadores del sistema". Cada indicador debe tener asociado valores que representen las metas a cumplir. En este sentido, cada organización debe definir su propio criterio respecto a qué aspectos quiere controlar y medir para lograr el cumplimiento de los objetivos. Para ello, se puede plantear la definición de diferentes grupos de indicadores que recojan los diferentes ámbitos que se quieren gestionar. Por tanto, se podrían tener:

  • Indicadores del grado de efectividad de las medidas de seguridad. Su sentido es valorar si las medidas implantadas están funcionando bien o son necesarios ajustes.
  • Indicadores de medición del entorno y la hostilidad. Su misión es detectar cambios en el entorno y contexto que rodea a nuestro SGSI para realizar ajustes respecto al análisis de riesgos por aparición de nuevas amenazas o cambios en sus frecuencias de ocurrencia. Por ejemplo, en relación a la aparición de nuevas amenazas internas, cambios en el clima laboral de la organización, frecuencia de publicación de vulnerabilidades, detección de nuevas aplicaciones malware, etc.
  • Indicadores de gestión interna. Éstos se establecen para evaluar el funcionamiento propio del propio SGSI y tiene que ver con la monitorización de las tareas propias de gestión. Por ejemplo, en relación al cierre en plazo de no conformidades, al porcentaje de cumplimiento de los objetivos planteados, al número de no conformidades detectadas por auditoría, etc.

El tercer elemento son los "resultados obtenidos" que son recogidos mediante el establecimiento de "métricas". Es la manera en la que vamos a alimentar a cada indicador para que nos proporcione información relevante respecto de lo que queremos gestionar y controlar. Cuando utilizamos el término métrica, nos referimos a una medida numérica directa que representa un conjunto de datos en relación a una o más dimensiones. Un ejemplo sería:  "el porcentaje de éxito mensual del proceso de ejecución de backups". En este caso, la medida sería un valor porcentual y la dimensión sería el tiempo (número de ejecuciones realizadas en un determinado momento). Desde esta perspectiva, un indicador puede tomar información desde diferentes métricas para lograr generar una imagen exacta de lo que está sucediendo dentro del SGSI.

Estos tres elementos son el corazón de las actividades de medición del SGSI. Un objetivo se vincula a uno o varios indicadores y éstos a su vez, se alimentan de una o varias métricas. Quizás éste sea el aspecto más trascendental del proceso de construcción del SGSI porque deben sintonizarse perfectamente los "deseos" con los "datos" para poder establecer si la seguridad de la información que creemos tener es avalada por los registros de funcionamiento que estamos recogiendo. Muchos de los lectores a estas alturas os estaréis preguntando si hay algunos ejemplos válidos que puedan ser utilizados como referencia en relación a la definición de métricas e indicadores. En este sentido circulan algunos documentos por Internet, pero a mi uno de los ejemplos que más me gusta por su claridad y precisión es el elaborado por ISACA Wellington que podéis descargar en este enlace. Aun así, esperemos que esta ausencia de criterios se vea solucionada cuando se publique ISO 27004.

Al final lo importante es no perder el sentido del por qué hacemos las cosas. Para ello, toda esta información debe transformarse en unas sencillas gráficas que la Dirección pueda entender y que sirvan como el auténtico "termómetro de situación" (aunque el término técnico que es más utilizado suele ser el "cuadro de mandos" o "balanced score card"). Estos datos, adecuadamente masticados y visualmente representados, sin disponer de excesivos detalles y conocimientos técnicos, permiten a la Dirección realizar su principal labor dentro del SGSI: tomar decisiones al respecto y realizar los ajustes necesarios para el logro de los objetivos.

Ésta es en sí misma la principal misión por la que se construye un SGSI y el auténtico motivo por el que merece la pena hacer el esfuerzo de implantar ISO 27001:2005. Las organizaciones que no tengan todos estos aspectos claros, no podrán hablar de gestión y es bastante probable que carezcan también de la seguridad de la información de la que quieren dotarse. Esta situación es lo que yo denomino "SGSI virtuales".