Español | English
rss facebook linkedin Twitter

Medir....¿para qué?

Cada vez es más común el viejo axioma que dice “no se puede mejorar lo que no se puede medir”. Afortunadamente este criterio utilizado en gran parte de los ámbitos de las organizaciones (contable-financiero, producción, ventas, etc.) está llegando también al ámbito de los Sistemas de Información en general y a la seguridad en particular.

El tradicional criterio utilizado para la toma de decisiones basado en la experiencia, el criterio (¿olfato?) de los responsables de las áreas tecnológicas, presiones externas o motivaciones puramente comerciales (la mejor herramienta del mercado “por si acaso”), están dando paso a basar la gestión en criterios cuantificables, medibles, comparables o contrastables que permitan analizar, valorar y comparar de manera objetiva.

Para ello es imprescindible disponer de la información que permita dar respuesta a preguntas básicas pero a la vez fundamentales como ¿cuál es la eficacia de nuestro sistema de seguridad?. ¿cuál es la eficiencia de dichos Sistema?, ¿Conocemos el nivel de madurez de nuestro sistema de seguridad? ¿y su nivel de Calidad?, ¿Existe la posibilidad que nuestros sistemas críticos queden fuera de servicio? ¿por qué?.

La información que va a permitir dar respuesta a estas y muchas otras preguntas en el ámbito de la gestión de la seguridad son los indicadores y métricas de seguridad, cada vez más populares gracias, entre otros, al estándar ISO 27001 que contempla como uno de sus requisitos la necesidad de medir la eficacia de los controles para verificar el cumplimiento de los requisitos de seguridad.

Así pues, conocida la realidad, sabiendo lo que está sucediendo en materia de seguridad y, en definitiva midiendo la seguridad se estará en disposición de tomar las decisiones oportunas en el momento idóneo gestionando de forma proactiva (antes que se produzcan situaciones y/o escenarios no deseados) la seguridad de nuestra información.

Por tanto, para resolver la incógnita planteada al inicio de estas líneas, muchos coincidiremos en que la medición nos va a llevar a la mejora continua.

3 comentarios:

Anónimo dijo...

Estoy completamente de acuerdo con el artículo.

Javier Cao Avellaneda dijo...

Una vez que tenemos claro que es necesario medir, ahora queda la segunda parte del camino.¿Cómo definir de la misma manera reglas de medición objetivables y válidas para todo tipo de organización que sirvan para establecer de manera razonable un grado de confianza sobre el funcionamiento de la mejora continua de cara a la gestión interna y a las partes interesadas?
Todos esperamos la publicación de la ISO27004 pero parece que todavía se requerirán algunos años para que esta norma madure y evolucione hasta ser algo realmente interesante para las organizaciones.

Joan Ayerbe dijo...

Reglas válidas para todo tipo de organizaciones no es sencillo de encontrar, puesto que cada casa es un mundo y sus propias particularidades pueden hacer inviable unos criterios que sean perfectamente válidos para otra organización.
En cualquier caso, sí que podemos encontrar indicadores generalmente válidos para un amplio número de organizaciones como, por ejemplo, los que hacen referencia al los sistemas anti-virus (Porcentaje de equipos protegidos con sistema anti-virus), a las contraseñas de los usuarios (Porcentaje de contraseñas que dan cumplimiento a la política de contraseñas aplicable), al control de acceso (Porcentaje de dispositivos con control de acceso activado) o a los incidentes de seguridad (Coste de los incidentes de seguridad).


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login