Pasos para armar tu metodología de métricas y medir tu programa de seguridad
A estas alturas, tu programa de seguridad (o SGSI) debe estar en plena marcha y pronto la gerencia necesitará un informe de resultados para ver qué tal está funcionando todo.
Y te preguntarás ¿cómo medir cada control de seguridad?, ¿cómo puedo saber si el programa está funcionando bien o no?, ¿qué métricas o indicadores son más importantes?
En este punto, la metodología de indicadores será la herramienta que te ayudará a ordenar esta gestión. Será prácticamente tu mesías.
La metodología de indicadores es un documento que organiza una ruta para la obtención y comunicación de métricas de seguridad.
Es importante resaltar que también ayuda a las empresas a definir sus métricas, planificar la medición, delegar responsables y definir la comunicación de los resultados.
Veamos paso a paso cómo puedes crear la tuya y así puedas presentar todos los informes que te pidan.
¿Qué es una metodología de indicadores?
Comencemos por definir lo que es un indicador: en este contexto específico, un indicador es una métrica general que permite evaluar la eficiencia del SGSI o programa de seguridad (es decir, si están funcionando bien o no).
Por eso, cuando hablamos de una metodología de indicadores, nos referimos a una serie de pasos que permiten conseguir esos indicadores o métricas de seguridad.
La metodología debe estar plasmada en documento, no solo para formalizar el proceso sino también para permitir que la empresa sepa cómo obtener datos del funcionamiento del SGSI y de su estado de seguridad.
Por lo general, una metodología de indicadores se compone de:
- Métricas que se van a usar
- Herramientas con las que se obtendrán
- Pasos para registrarlas y analizarlas
- Planificación de la comunicación de las métricas
- Procedimiento para la mantención de la metodología
- Plan para mejorar las métricas
¿Para qué sirve la metodología de métricas e indicadores?
A estas alturas ya debes saber que no es suficiente con redactar políticas y documentos. Hay que conocer continuamente cuáles son las oportunidades de mejora que tiene el programa de seguridad con todas sus medidas.
Por eso, el objetivo final de la metodología de indicadores (junto con el programa de métricas que allí definas) es asegurar el buen desempeño de los procedimientos y políticas diseñados.
También, la metodología de indicadores facilita la emisión de informes periódicos que suelen pedir tanto la Alta Gerencia (para ver los resultados semestrales o anuales de la estrategia) y ayudan a contestar preguntas que los auditores de seguridad suelen hacer respecto de la eficacia y eficiencia del SGSI.
¿Es obligatorio tener una metodología de medición y métricas para el SGSI?
Si tu objetivo es cumplir con normativas y regulaciones como la Ley Fintech de México, PCI DSS o ISO 27001, sí es obligatorio.
Recuerda que esto es una evidencia de que tienes un proceso formal no solo para conocer el desempeño de las medidas implementadas, sino también una evidencia y una guía para saber cómo podrás mejorarlo.
Por esta razón, nuestra recomendación es (aun cuando tu objetivo no sea obtener una certificación) que diseñes la metodología de indicadores de seguridad y su programa de métricas, ya que eso te hará el mantenimiento del programa de seguridad mucho más fácil.
¿Quiénes participan de la confección y mantenimiento de la metodología?
Es importante definir quiénes serán los responsables de crear, revisar y mantener esta metodología dentro de la empresa. Generalmente, aquí entran en acción tres figuras:
Oficial de Seguridad de la Información
En el caso de las empresas pequeñas, por ejemplo, algunos líderes técnicos y/o CTO suelen absorber las responsabilidades de un Oficial de Seguridad de la Información. También puede realizarlo el CISO en caso de que tuvieras u otra persona que sea designada por el CEO. Esta persona se encargará principalmente de poner en marcha lo descrito en la metodología:
- Planificar anualmente la ejecución de las mediciones
- Realizar la medición
- Coordinar en dónde se va a realizar la evaluación del desempeño
- Supervisar el desarrollo de esta metodología
- Centralizar los resultados
- Generar el reporte de resultados
Comité de seguridad de la información
El comité debe revisar y aprobar la metodología y los reportes de resultados que se obtengan periódicamente. También deben documentar por medio de una minuta (puede ser un simple e-mail) con la aprobación del documento y el consentimiento (respuesta) de los aprobadores.
Si aún no sabes bien de qué se trata este comité, no te preocupes, puedes enterarte de todo en nuestra guía de cómo definir un comité de seguridad.
Líderes de área
Para obtener las métricas será clave la participación de los líderes de área ya que la información estará en diferentes sistemas. Ellos deberán brindar la información requerida para la medición de los indicadores cuando sea requerida por el OSI (Oficial de Seguridad de la Información) y bajo las especificaciones indicadas.
¿Cómo crear una metodología de indicadores?
1. Define las métricas
Las métricas de seguridad se definen considerando los objetivos del programa de seguridad o SGSI. Por ejemplo, si uno de los objetivos del SGSI es Viabilizar la supervisión de las medidas implementadas para proteger la información de la empresa, la métrica será el porcentaje o cantidad de roles designados para mantener y supervisar el SGSI.
Además, incluye para cada métrica:
- Nombre de la métrica: puedes referenciarla con los números y/o letras que quieras. Por ejemplo, SGSI.1, SGSI.2, etc.
- Objetivo del SGSI que persigue: actividad o proceso al que está asociado el indicador.
- Definición de la métrica: describe concretamente lo que se está midiendo y cuál es la ecuación para obtener el dato.
- Periodicidad: cada cuánto obtendrá esta métrica. Trimestral, semestral, anual, etc.
Aunque estas métricas dependen en gran parte del tipo de empresa (las características del modelo de negocio, la estrategia seguida, operación de las áreas, etcétera) nosotros te recomendamos que, si recién estás comenzando, definas métricas para los controles más críticos, al menos inicialmente. Por ejemplo, estos son 2 ejemplos de indicadores que no deberían faltarte
| Nombre de la métrica | Objetivo del SGSI que persigue | Definición de la métrica | Periodicidad |
|---|---|---|---|
| Fortalecer la disponibilidad de información de los componentes de los sistemas de gestión institucionales, mediante la implementación de medidas de contingencia y de continuidad que optimicen sus operaciones. | % del número total de riesgos tratados, respecto al número total de riesgos identificados. | ||
| Robustecer la confidencialidad y disponibilidad de la información de los nuevos instrumentos de financiamiento e inversión promovidos, brindando mayor confianza a los nuevos emisores e inversionistas del mercado de valores para asegurar su incorporación. | % de avance en la implementación de los controles resultantes de la Gestión de Riesgos. |
Incluso se pueden utilizar para otros marcos de cumplimiento a los que te estés alineando.
Sin embargo, hay una gran cantidad de indicadores que pueden ayudarte a saber cómo está funcionando tu SGSI. Comienza utilizando estos ejemplos que dejamos en esta plantilla.
2. Aclara cómo se va a medir
Dentro de la metodología debes indicar información de cómo se obtendrán las métricas. Es decir, a qué herramientas podrá acceder el OSI para medir y recolectar los resultados de las métricas, por ejemplo:
- Software de analíticas: como Power BI, Microstrategy, o herramientas de Data Analytics.
- Software de gestión de operaciones: pueden ser los valores que se obtienen de ticketeras o tableros como Jira, Asana, Click Up, Zendesk, etc.
- Planillas de cálculo: como Excel o Google Sheets.
La forma de obtener las métricas puede ser manual, semiautomática o automática, ya que podría suceder que una herramienta solo provea el input de información, pero luego debes realizar un cálculo manual.
Nuestra recomendación es que en un cuadro como el anterior agregues una columna con el nombre de Forma de obtención para indicar si será manual, semiautomática o automática, y el nombre de la herramienta elegida.
3. Registra las métricas
Debes detallar cómo será el procedimiento para registrar las métricas. Para ello, debes utilizar planillas de registro para armar informes actualizados según la periodicidad que hayas indicado.
Estas planillas de indicadores deben realizarse en formato PDF para evitar cualquier posible modificación de algún empleado externo al proceso.
Incluye también cuál es la ruta donde se guardarán y se modifican estas planillas. Puede ser una ruta al Google Drive, Dropbox o al software que deseen utilizar en tu empresa. Lo importante es asegurarse de que tenga un adecuado control y restricción de accesos.
4. Comunica los resultados de las métricas del SGSI
En este paso debes describir el procedimiento para comunicar los resultados. La recomendación es hacerlo por medio de un Informe de indicadores de seguridad que incluya:
- Fecha de medición.
- Período analizado
- Equipo interviniente en la medición.
- Resultados claves
- Problemas durante la ejecución o Justificación de no obtención de alguna métrica.
- Conclusiones generales.
Los resultados clave pueden presentarse por medio de gráficos o cuadros de mando operacionales.
Por otro lado, en este procedimiento también debes aclarar:
- Receptores del Informe (lo recomendable es que sea la Alta Gerencia, comité de seguridad de la información y líderes de área).
- Periodicidad con la que se comunicará.
- Ruta de acceso al Informe (con acceso restringido).
Hackmetrix Insight: este paso es muy importante si tu objetivo es cumplir con la ISO 27001 y/o regulaciones de seguridad como la Ley Fintech de México.
5. Mantenimiento de los indicadores
Debes realizar un mantenimiento continuo a esta metodología de indicadores para corroborar que las métricas estén actualizadas y adaptadas al contexto y necesidades de la organización. Habitualmente el Oficial de Seguridad de la Información (o el responsable designado) revisa de forma anual si la cantidad de métricas definidas aquí debe ser incrementada o reducida.
Por eso, lo que debes hacer ahora es definir el procedimiento que te permita mantener actualizada la metodología. Este debería incluir:
- Pasos para identificar si es necesario agregar, eliminar o actualizar alguno de los indicadores claves.
- Periodicidad con la que se hará el mantenimiento de la metodología. Recuerda que los indicadores deben mantener una precisión (esto generalmente se revisa ante un evento inusual de seguridad y de forma anual).
Conclusión
Si tienes un programa o estrategia de seguridad como el SGSI, debes asegurarte de medirlo continuamente para saber si la implementación resultó efectiva o no.
Uno de los mejores instrumentos que puedes crear para medirlo es una metodología de indicadores: un documento que te guiará paso a paso durante el monitoreo y evaluación del SGSI y que te ayudará a definir métricas correctas y a comunicar los resultados de métricas.
El objetivo final de una metodología de indicadores es asegurar que el desempeño de todos esos procedimientos y políticas que has diseñado sean eficientes. En otras palabras, te brinda un paneo de la calidad de tus controles de seguridad y una imagen real del nivel de seguridad general.
Para crear este documento, debes definir las métricas con las que se va a ejecutar la medición y luego definir cuáles son las herramientas que se utilizarán para el proceso y para el registro de dichas métricas. Lo siguiente es planificar cada cuánto se van a comunicar los resultados y cómo se le harán un mantenimiento tanto a la metodología como a los indicadores.
Con esto hecho tendrás mucho más fácil la tarea de responder a preguntas de tus auditores relacionadas a la eficiencia y eficacia del SGSI.
Si tienes dudas sobre cómo elaborar este o cualquier otro documento de seguridad, contáctanos para que te guiemos paso a paso.
Recursos relacionados
