Evaluando la eficacia de nuestro SGSI

"Evaluando la eficacia de nuestro SGSI" artículo de Miguel Ángel Arroyo en la seccion "Hack & News" de la edición de Mayo de 2024 de la Revista Tecnología y Sentido Común TYSC a Revista Líder de Audiencia de la Alta Dirección y los Profesionales en Gestión de Proyectos, Servicios, Procesos, Riesgos y por supuesto Gobierno de Tecnologías de la Información

En anteriores artículos ya hemos visto la importancia de hacer un seguimiento y llevar un control del SGSI (Sistema de Gestión de Seguridad de la Información) para verificar que estamos alcanzando los objetivos de seguridad marcados.

Como en otros ámbitos de la vida, no todo es sí o no, blanco o negro, aprobado suspenso… Desde el negro hasta el blanco tenemos diferentes tonalidades de grises, y este símil nos puede ayudar a entender que, aunque se alcance una meta, hay muchas formas de hacerlo, los que nos lleva también posiblemente a diferentes niveles de eficiencia a la hora de lograr dicha meta.

Nuestro SGSI ha de ser evaluado periódicamente, y no me refiero solo a las auditorías internas o externas de nuestro sistema, me refiero al rendimiento. Podríamos decir que el rendimiento es la proporción que surge entre los medios empleados para obtener algo y el resultado que se consigue. En el mundo de la gestión de la seguridad siempre está la duda en cuánto tiempo, recursos y esfuerzo tenemos que dedicarle a nuestro SGSI para garantizar la protección de nuestros sistemas, que detectamos y respondemos bien ante amenazas y finalmente, en caso de incidente de seguridad, tengamos la capacidad de recuperarnos en el menor tiempo posible.

En este artículo nos vamos a centrar en la eficacia del sistema, en cómo podríamos medir y evaluar la eficacia de los procesos de seguridad y controles implantados. A estas alturas, espero que todos tengamos claro que el primer paso es medir; recordad que no podemos mejorar lo que no medimos. Una vez obtenidos los datos de las mediciones tendremos que evaluar esa información para verificar que estamos cumpliendo los objetivos, y en caso contrario, identificar el motivo del desvío o no consecución y definir un plan de acciones correctivas para corregir la situación.

Disponer de un programa de medición nos puede facilitar esta tarea, ya que nos ayuda a dar respuesta a preguntas que nos pueden surgir, tales como:

• ¿Qué tenemos medir? • ¿Cómo lo vamos a medir? • ¿Quién lo va a medir? • ¿Con qué periodicidad se va a medir?

Continuar leyendo…

Miguel Ángel es consultor de seguridad de la información, con certificación CISA de ISACA y 15 años de experiencia en el mundo de la ciberseguridad. Experiencia en auditorías de seguridad e implantación de SGSI (ISO/IEC 27001). Desempeña la labor de Director de Ciberseguridad, liderando la estrategia de seguridad para la gestión de riesgos IT. Es Co-Líder del Grupo de Expertos de Seguridad en la Asociación itSMF España. Profesor en varios másteres de ciberseguridad (UCLM, Universidad de Sevilla y Universidad de Córdoba). Es autor del blog hacking-etico.com, fundador de Hack&Beers y ponente en congresos de ciberseguridad de ámbito nacional.

Todo lo que un Directivo debe saber...

Ha llegado la hora de formar a la Alta Dirección

Sesiones Directivas en Directo y en Remoto sobre todos aquellos aspectos que debe conocer la Alta Dirección sobre Gobierno y Gestión Organizacional.

Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos. Contiene enlaces a sitios web de terceros con políticas de privacidad ajenas que podrás aceptar o no cuando accedas a ellos. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. Ver
Privacidad