En anteriores artículos ya hemos visto la importancia de hacer un seguimiento y llevar un control del SGSI (Sistema de Gestión de Seguridad de la Información) para verificar que estamos alcanzando los objetivos de seguridad marcados.
Como en otros ámbitos de la vida, no todo es sí o no, blanco o negro, aprobado suspenso… Desde el negro hasta el blanco tenemos diferentes tonalidades de grises, y este símil nos puede ayudar a entender que, aunque se alcance una meta, hay muchas formas de hacerlo, los que nos lleva también posiblemente a diferentes niveles de eficiencia a la hora de lograr dicha meta.
Nuestro SGSI ha de ser evaluado periódicamente, y no me refiero solo a las auditorías internas o externas de nuestro sistema, me refiero al rendimiento. Podríamos decir que el rendimiento es la proporción que surge entre los medios empleados para obtener algo y el resultado que se consigue. En el mundo de la gestión de la seguridad siempre está la duda en cuánto tiempo, recursos y esfuerzo tenemos que dedicarle a nuestro SGSI para garantizar la protección de nuestros sistemas, que detectamos y respondemos bien ante amenazas y finalmente, en caso de incidente de seguridad, tengamos la capacidad de recuperarnos en el menor tiempo posible.
En este artículo nos vamos a centrar en la eficacia del sistema, en cómo podríamos medir y evaluar la eficacia de los procesos de seguridad y controles implantados. A estas alturas, espero que todos tengamos claro que el primer paso es medir; recordad que no podemos mejorar lo que no medimos. Una vez obtenidos los datos de las mediciones tendremos que evaluar esa información para verificar que estamos cumpliendo los objetivos, y en caso contrario, identificar el motivo del desvío o no consecución y definir un plan de acciones correctivas para corregir la situación.
Disponer de un programa de medición nos puede facilitar esta tarea, ya que nos ayuda a dar respuesta a preguntas que nos pueden surgir, tales como:
• ¿Qué tenemos medir? • ¿Cómo lo vamos a medir? • ¿Quién lo va a medir? • ¿Con qué periodicidad se va a medir?
Miguel Ángel es consultor de seguridad de la información, con certificación CISA de ISACA y 15 años de experiencia en el mundo de la ciberseguridad. Experiencia en auditorías de seguridad e implantación de SGSI (ISO/IEC 27001). Desempeña la labor de Director de Ciberseguridad, liderando la estrategia de seguridad para la gestión de riesgos IT. Es Co-Líder del Grupo de Expertos de Seguridad en la Asociación itSMF España. Profesor en varios másteres de ciberseguridad (UCLM, Universidad de Sevilla y Universidad de Córdoba). Es autor del blog hacking-etico.com, fundador de Hack&Beers y ponente en congresos de ciberseguridad de ámbito nacional.
Todo lo que un Directivo debe saber...
Ha llegado la hora de formar a la Alta Dirección
Sesiones Directivas en Directo y en Remoto sobre todos aquellos aspectos que debe conocer la Alta Dirección sobre Gobierno y Gestión Organizacional.
Debe estar conectado para enviar un comentario.