Inicio / Protege tu empresa / Blog / Medición de un SGSI: diseñando el cuadro de mandos (II)

Medición de un SGSI: diseñando el cuadro de mandos (II)

Publicado el 16/02/2011, por Javier Cao Avellaneda

Tal como se pudo ver en el post anterior, los objetivos de seguridad de un SGSI se estratifican a diferente altura teniendo como niveles las decisiones estratégicas, tácticas y operativas que la Organización puede tomar.

En este contexto y dentro del marco de trabajo de la serie ISO 27000, se publicó el año pasado la norma ISO 27004 Information technology -- Security techniques -- Information security management – Measurement que tal como se expresa en la introducción, tiene por objetivo permitir a las organizaciones dar respuesta a los interrogantes de cuán efectivo es el SGSI y qué niveles de implementación y madurez han sido alcanzados por los controles seleccionados en la declaración de aplicabilidad. Estas mediciones permitirán comparar los logros obtenidos en seguridad de la información sobre períodos de tiempo en áreas de negocio similares de la organización y como parte del proceso de mejora continua servirá para evaluar los avances del proceso de mejora continua.

La primera pregunta que surge es si ISO 27004:2009 establece un catálogo de métricas o indicadores que pudieran ser utilizados con carácter general por todas las organizaciones que han implantado un SGSI. La respuesta es no. Esta norma se centra en establecer una metodología para lograr determinar la efectividad de un SGSI. Como ocurre con ISO 27001:2005, la norma establece las actividades y procesos para lograrlo pero no se centra en determinar cuáles son los medidores y qué resultados deben esperarse de ellos. Ello se justifica también porque dado el ámbito de aplicación y el carácter general de una norma internacional, no puede dar recetas que sean válidas en todos los entornos y para todo tipo de organizaciones. Cada SGSI tiene un contexto determinado y unos objetivos concretos que lo hacen único. Lo que si debe destacarse es que la aplicación de esta norma es de vital importancia dentro del proceso de operación y mantenimiento de un SGSI.

¿Por qué?

Si ISO 27004:2009 es la norma que sirve para conocer el grado de efectividad de las medidas de seguridad, es la norma que proporciona el criterio para decidir cómo ajustar el sistema dentro del proceso de mejora continua. El ciclo PDCA funciona porque es un sistema de control retroalimentado que establece dentro de su ejecución dos fases de vital importancia para lograr satisfacer los objetivos planteados: la auditoria y la mejora continua.

La auditoria sería la revisión del sistema respecto a su implantación y funcionamiento. En esta actividad se comprueba que todo funciona según lo establecido. Es decir, las cosas se ejecutan según se ha determinado atendiendo a los objetivos de la organización, los niveles de riesgo gestionados y las normas y procedimientos internos que hayan sido desarrolladas para lograrlo.

Pero hacer las cosas bien no tiene por qué implicar obtener buenos resultados. Por ejemplo, podemos haber definido que la actualización del antivirus se realice con una periodicidad semanal, que los técnicos lo hagan rigurosamente todas las semanas dejando el parte de operación correspondiente y con todo ello no lograr satisfacer el objetivo propuesto sobre la tasa de infección del parque de equipos PC.

Los objetivos de seguridad no dependen solo de la aplicación de la medida de seguridad. Es necesario evaluar si ésta es eficaz para el propósito planteado y si realmente los resultados que se obtienen se ajustan a nuestras necesidades.

ISO 27004:2009 establece la metodología para generar los “inputs” necesarios que permitan valorar y revisar los controles existentes y detectar los ajustes o mejoras que pudieran ser necesarios. Para ello, define el programa de medición de la seguridad de la información que asiste a la Dirección en la identificación y evaluación de posibles no cumplimiento y de controles ineficaces, determinando un plan de mejora a implantar a través de las acciones preventivas o correctivas que sean necesarias.

La cuestión importante es estudiar y decidir qué vamos a querer medir y por qué.

Implantar un SGSI debe siempre tener una motivación y unos objetivos concretos. Por tanto, parece obvio que los termómetros que queramos situar dentro del sistema tiendan a medir cómo de real es el cumplimiento de dichos objetivos. Podemos establecer tres grandes ejes donde situar los objetivos y por tanto, donde colocar sensores de medición relacionados con las metas del SGSI:

  • Eje de Metas de la Dirección: La organización establece su estrategia de seguridad basándose en el análisis de riesgos pero estos resultados no son los únicos que determinan las necesidades de seguridad. Hay organizaciones que consideran no tolerable sufrir un incumplimiento legal o no poder recuperarse frente a un desastre aunque ello no suponga riesgos fuera del umbral aceptable. Por tanto en este eje se tienen en consideración aquellos requisitos de negocio que están relacionados con la seguridad de la información o su buen funcionamiento.
  • Eje del riesgo: Estos objetivos estarán directamente relacionados con los resultados del análisis de riesgos y tendrán como finalidad la reducción de los mismos. Por tanto, los indicadores serán situados entorno a las medidas de seguridad que velan por reducir los riesgos mas preocupantes que no han sido aceptados y sobre los que se ha diseñado un plan de tratamiento a poner en marcha. Estas son las medidas de seguridad mas importantes para nuestro SGSI dado que su error o fallo implica un problema severo de seguridad (que sitúa al riesgo fuera del umbral aceptable).
  • Eje del tiempo: Es necesario también medir la evolución a lo largo del tiempo del grado de implantación del plan de tratamiento del riesgo así como la evolución de la madurez de las medidas. Dado que una de las actividades dentro del ciclo de gestión del SGSI es la definición de un plan de tratamiento, el seguimiento de la ejecución en el tiempo será otro eje a atender.

En cada uno de estos ejes se podrán situar diferentes tipos de indicadores, de acuerdo a la naturaleza del elemento medido. Es necesario considerar que la medición de la eficacia será una entrada dentro del ciclo retroalimentado del SGSI (PDCA) que servirá para ajustar también el análisis de riesgos. Según los resultados obtenidos en el funcionamiento de las medidas y controles, se tendrán que valorar los niveles de riesgo efectivo y residual realmente obtenidos con el despliegue de las medidas puestas en marcha.

Es necesario identificar qué información vamos a suministrar en cada una de ellas para que en cada revisión del sistema por la Dirección se tomen las mejores decisiones.

En el nivel estratégico, podemos hablar de “Indicadores clave”. Se sitúan en el eje de metas de Dirección para informar del estado de situación y del grado de logro de las metas. Deben proporcionar información de muy alto nivel y sirven para determinar si se requieren nuevas decisiones o si la seguridad evoluciona según lo previsto. Deben definir valores que hay que alcanzar y valorar el grado de consecución de una meta.

En el nivel táctico, podemos situar “indicadores de progreso” que sirven para medir la evolución en el tiempo y podrían estar relacionados con el seguimiento de las actuaciones del plan de tratamiento del riesgo. Podrían utilizarse las herramientas de gestión de proyectos como los Diagramas de Gantt y se establecerían los porcentajes de completitud de los planes en marcha.

En el nivel operacional, podemos situar los “Indicadores de rendimiento”. Se definen unos valores que nos explican en qué rango óptimo de rendimiento nos deberíamos situar al alcanzar los objetivos y se valoran un conjunto de métricas que alimentan el grado de cumplimiento de estos indicadores. Las métricas son valores que recogen el resultado de la ejecución de un proceso o actividad.

La verificación del buen funcionamiento de los indicadores de rendimiento en ciertos controles particulares, junto a los datos obtenidos en la valoración de indicadores de progreso pueden servir para alimentar los indicadores claves que serán los que presentemos a la Dirección como información para la toma de decisiones. Como se puede ver, la información asciende de abajo hacia arriba para dar a conocer a la Dirección los datos más significativos que sean precisos. Si la Dirección requiere o necesita más detalle, podrá entonces recorrerse este camino en sentido inverso, justificando cada indicador clave en base a los indicadores de niveles inferiores que han sido utilizados para la valoración. Como si estuviéramos en un mapa, la Dirección puede ir haciendo el zoom que considere necesario para conocer los detalles o quedarse a muy alto nivel para tomar decisiones.

Ello también permite una gestión eficiente dado que se prestará atención en aquellos puntos donde los indicadores clave no están logrando sus metas y permitirá profundizar, descendiendo por indicadores de progreso o indicadores de rendimiento hasta averiguar en dónde están las deficiencias o problemas que no están permitiendo alcanzar el rumbo deseado.