👉 Esta actividad te ayuda a cumplir los siguientes requisitos:
ISO 27001 en su versión 2013: 9.1, 9.3
ISO 27001 en su versión 2022: 9.1, 9.3.1, 9.3.2, 9.3.3
¿Para qué me sirve esta actividad? 📚
Esta actividad te ayudará a documentar los resultados de las métricas e indicadores que evalúan el desempeño de tu SGSI, de acuerdo a la metodología establecida por la organización.
💡 Este listado también te ayuda a llevar un seguimiento adecuado de los métricas y sus resultados. Además, te permite planificar las próximas evaluaciones para asegurar el cumplimiento de los requisitos normativos.
¿Qué tengo que hacer? 🚀
Si aún no cuentas con tus métricas definidas y seleccionadas para tu empresa, te recomendamos leer nuestro artículo Definición de los objetivos de seguridad y sus métricas para conocer ejemplos, recomendaciones y más información al respecto 🙌🏼.
Para lograr esta actividad y generar tu listado correctamente, debes mantener un registro de la siguiente información:
Identificador de la métrica. Para facilitar la referencia y el análisis de los resultados, recomendamos asignar un identificador o código con el que puedas consultar la métrica fácilmente.
Objetivo de seguridad del SGSI. Para comprender la finalidad de lo que está evaluando cada métrica, es importante indicar el objetivo de seguridad asociado a ella.
Una métrica puede estar asociada a más de un objetivo de seguridad, pero es importante analizar y tomar en cuenta todas aquellas mediciones que puedan darte información de valor para conocer el desempeño de tu SGSI.
¡Recuerda que estos objetivos fueron definidos dentro de tu Política de SGSI, y son prácticamente las metas de tu programa de seguridad!
Cálculo de la métrica. Esto consiste básicamente en la descripción del cálculo que se va a usar para obtener el resultado. Por ejemplo: “Dividir el total de vulnerabilidades remediadas entre el total de vulnerabilidades encontradas, y multiplicar por 100”.
Con el ejemplo anterior, lo que estamos obteniendo es el porcentaje de remediación de vulnerabilidades, dentro de un periodo de tiempo establecido.
Este cálculo te proporcionará valor cuando lo compares contra los parámetros aceptables y la periodicidad definida, los cuales te explicamos un poco más adelante 🤓.
Descripción de la métrica. Corresponde a la explicación o interpretación del resultado que se va a obtener. Tomando como base el ejemplo mencionado en el punto anterior, podemos decir que su descripción es la siguiente: “Es el porcentaje de vulnerabilidades remediadas durante los últimos seis meses”.
Parámetro aceptable. Debes definir los rangos o valores dentro de los cuales, el resultado de la medición será aceptable o satisfactorio, dentro de las necesidades de seguridad de la empresa. Por ejemplo: “Mayor o igual al 80% de vulnerabilidades remediadas”.
Periodicidad de la medición. Es decir, la frecuencia con la que se ejecutarán las mediciones. Por ejemplo: “Semestral”.
Esto te permite planificar adecuadamente las próximas mediciones para evitar que se pasen por alto, o que no se tengan los recursos necesarios disponibles.
Línea base de la métrica. Corresponde a la descripción del resultado, con los valores reales obtenidos. Por ejemplo: “10 de las 12 vulnerabilidades encontradas en el Ethical Hacking fueron remediadas”.
Resultados. Es de suma importancia registrar los resultados obtenidos ya que fungen como evidencia de cumplimiento.
¡Es muy importante que ya cuenten con resultados de métricas antes de la auditoría interna! De no ser posible, se deberá justificar y explicar adecuadamente por qué no se han realizado dichas mediciones, y tenerlas ya planificadas para su ejecución 🚀.
Responsables. Se recomienda que los responsables de realizar la medición y el análisis de los resultados sean personas diferentes, para evitar algún posible conflicto de interés.
Acciones correctivas. Si los resultados obtenidos no se encuentran dentro de los parámetros aceptables, es importante documentar todas las acciones correctivas necesarias para mantenerlos en valores tolerables, y garantizar la seguridad adecuada.
Nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu listado fácil y rápidamente, pero recuerda que debes ajustarlo al contexto de tu empresa 💪🏼.
💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Analiza todas las métricas que puedan estar asociadas a tus objetivos de seguridad para conocer si tu SGSI está funcionando correctamente, y dando los resultados esperados.
Sigue los lineamientos y criterios establecidos en tu Metodología de Indicadores de Seguridad de la Información.
Identifica, con base en los resultados de tus métricas, cualquier oportunidad de mejora que pueda ayudar a fortalecer tu SGSI.
Mantén siempre informada a la alta dirección y/o tu comité de seguridad sobre los resultados de estas métricas y las decisiones tomadas a partir de ellos.
¡Califica este artículo con 😃 si ayudó a resolver tus dudas! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.