Medición de un SGSI: diseñando el cuadro de mandos (I)

En el momento actual de inicio y expansión de sistemas de gestión de la seguridad de la información (en adelante SGSI), la principal preocupación es naturalmente lograr la construcción y establecer bien los procesos que permitan lograr construir el ciclo de mejora continua y certificar el sistema.

Sin embargo, conforme vayan pasando los años estos sistemas deben ir madurando para lograr verdaderamente satisfacer los objetivos establecidos por la Dirección. Uno de los grandes beneficios de implantar un sistema de gestión basado en ISO 27001 debe ser pasar de una “seguridad basada en sensaciones” a una “seguridad basada en datos de comportamiento” que permita mostrar y sobre todo, demostrar que las cosas se están controlando y se mantienen dentro de unos rangos de valores aceptables o deseados.

En este sentido, los criterios de gestión establecidos por la Dirección y que debieran estar referenciados en la Política de Seguridad de la Entidad, son el marco de trabajo para todas las personas involucradas de forma activa o pasiva, dentro de las actividades de operación, mantenimiento y supervisión del SGSI. Estas directrices generales son tanto el rumbo como las metas que el sistema de gestión debe lograr. Todo el esfuerzo de construcción y mantenimiento de un SGSI no se justifica si con ello no se logran determinados resultados. Un SGSI tiene costes y por tanto, debe ser amortizado y rentabilizado lo máximo posible. Esto, dentro del ámbito de la seguridad, supone que las cosas deben funcionar con normalidad y los imprevistos, incidentes o accidentes deberán ser gestionados de forma correcta para minimizar los daños que pudieran producirse. Pero para lograr esto, es necesario justificar y demostrar con datos todo el esfuerzo que es necesario realizar para que las medidas de seguridad funcionen cuando hagan falta.

Partiendo de la célebre frase de Lord Kelvin (1824-1907), "Lo que no se define no se puede medir. Lo que no se mide, no se puede mejorar. Lo que no se mejora, se degrada siempre". Un SGSI debe tener establecidos criterios de medición de la eficacia y la eficiencia como así establece la propia normativa en las cláusulas 4.2.2. apartado e) y 4.2.3. apartado b).

En un SGSI, una Organización apuesta por montar un SGSI porque busca incorporar y fortalecer la seguridad de la información de la organización. Desde el principio, debe establecerse cuál es el contexto y sobre todo, determinar cuáles serán las prioridades a atender. Todas las organizaciones no son iguales y no comparten las mismas problemáticas. Dentro de las dimensiones de la seguridad, hay factores que según el modelo de negocio, pueden ser más prioritarios. Por ejemplo, empresas u organizaciones relacionadas con el mundo de la gestión de los recursos humanos estarán preocupadas por la confidencialidad y la protección de datos de carácter personal, entidades financieras por la integridad y exactitud de sus cuentas, empresas de servicios online por la disponibilidad de sus sistemas, entidades del mundo de la investigación por la confidencialidad y la protección de su propiedad intelectual, etc. Por tanto, las necesidades de seguridad vienen en primer lugar, condicionadas por los objetivos de la organización y su modelo de negocio. Todas estas cuestiones dentro del proceso de construcción de un SGSI están relacionadas con la definición de la política, la determinación del alcance y la realización del análisis y gestión del riesgo. Todas estas actividades sitúan a la Organización dentro del entorno y definen qué quiere y cuánto costará lograrlo.

Podemos decir que desde el principio se establecen unos “Objetivos estratégicos” que determinan hasta dónde se quiere llegar y qué habrá que hacer para conseguirlo. Estos objetivos condicionan el diseño del SGSI y para verificar si se cumplen una vez construido el sistema podríamos definir unos “indicadores-meta” que identifiquen en base a los resultados que se vayan obteniendo si se satisfacen o no los objetivos. Serían los medidores de más alto nivel que servirían para demostrar a la Dirección que se está logrando satisfacer sus deseos.

Esta fase de aterrizar el diseño y poder poner el SGSI en marcha está representada por la ejecución del plan de tratamiento del riesgo. En esta fase y supeditados a los “Objetivos estratégicos”, se determinarán las mediciones e indicadores que servirán para cuantificar los “Objetivos tácticos”. Éstos sirven para valorar cómo se realiza el despliegue de las medidas y qué resultados empiezan a proporcionar así como cuáles son sus rangos correctos de funcionamiento para que sean considerados aceptables. Si los indicadores no se mantienen dentro de los rangos esperados, deberán revisarse los controles asociados para hacer ajustes y que funcionen como se desea. En esta fase es esencial también medir la evolución del plan de tratamiento y cómo va avanzando según lo planificado para tener dispuestas y funcionando las medidas para el momento deseado.

Una vez finalizadas las dos primeras fases de definición de objetivos y despliegue técnico toca sufrir el día a día. En este momento ya se disponen de las medidas de seguridad funcionando y proporcionando resultados. Por tanto, se cuenta con lo que ya está operativo y lo que toca es empezar a monitorizar y evaluar el rendimiento. Es en este momento cuando se empieza a hablar de eficiencia y eficacia. Lo primero es comprobar que las cosas operativamente están correctamente funcionando y lo segundo es ver si lo hacen de la forma más correcta. El implantar una medida de seguridad no tiene por qué significar que ésta logre los objetivos. Tener el mecanismo no implica gozar de la protección esperada. Pueden darse circunstancias que hagan que esa medida no evite los incidentes para los que fue escogida. Es en este momento donde la monitorización y la medición cobran una vital importancia dado que proporcionan datos en tiempo real de cuánto del esfuerzo realizado en las fases de diseño e implantación están sirviendo sobre el escenario real. Hablamos entonces de los indicadores de rendimiento donde se trata de ver y valorar el funcionamiento de las cosas. En este sentido, tenemos que enfocar la medición hacia dos vertientes. Por un lado, tenemos que comprobar que las cosas se ejecutan según lo previsto y que se realizan de acuerdo a lo establecido para saber que los procesos funcionan bien (valorar la ejecución). Por otro lado, tenemos que medir los resultados de la actividad para ver si proporcionan los resultados esperados (valorar los resultados). En unos casos, mediciones no satisfactorias pueden deberse a una mala ejecución o a un mal resultado pero es importante hallar donde está el fallo para saber qué corregir.