La definición de los objetivos de seguridad, de privacidad, de inteligencia artificial o de cualquier sistema de gestión, así como las métricas con los que deben ser monitoreados, es de suma importancia para la implementación, mantenimiento y mejora continua, es decir, para el cumplimiento ✨.
En este artículo te contamos cómo puedes lograr esta tarea, las recomendaciones generales y algunos ejemplos 🚀.
¿Para qué me sirve tener objetivos?
Principalmente, es muy importante recordar que la definición de los objetivos que deseas lograr a través de la implementación de un sistema de gestión es un requisito normativo, por lo que ya desde ahí no puedes saltarte esta tarea.
Además, tener objetivos claros y cómo medirlos te ayudará a entender el porqué estás haciendo un proyecto de certificación y/o implementando controles. ¡Recuerda que lo que no se mide, no se puede mejorar! 🤓
¿Cómo hacerlo?
El primer paso es definir los objetivos, respondiendo a la pregunta ¿qué es lo deseas lograr con la implementación de este sistema de gestión?
Para cumplir con los requisitos normativos de una normativa ISO, los objetivos deben cumplir las siguientes características y tareas:
Ser medibles, siempre que sea posible (he aquí la importancia de las métricas).
Ser monitoreados, con ayuda de las métricas e indicadores que te explicaremos más adelante en este artículo.
Ser coherentes con las políticas de la empresa y sus estrategias de negocio.
Considerar los resultados del análisis de riesgos, ya que recuerda que estos objetivos pueden ayudarte a definir un plan de tratamiento adecuado y enfocado para remediarlos.
Ser comunicados a todas las partes interesadas de la empresa.
Estar siempre actualizados y alineados a los cambios que puedan surgir dentro de la organización.
Estar disponibles como información documentada.
Dentro de nuestro plan de acción, esta documentación se realiza generalmente en las políticas del sistema de gestión (Política de SGSI, Política de SGPI, Política de SGIA, etcétera).
El segundo paso es establecer las métricas que te ayuden a evaluar si estás logrando esos objetivos o no. Pero eso lo veremos un poquito más adelante, por ahora te dejamos algunos ejemplos de objetivos, dependiendo el enfoque de la normativa que estés trabajando, para que te des una idea de cómo formular los tuyos 🚀.
Si es tu primera vez creando e implementando un sistema de gestión, te recomendamos definir por lo menos tres objetivos. Posteriormente, conforme vayas madurando y robusteciendo el programa dentro de tu empresa, podrás añadir más o ajustarlos a las nuevas necesidades del negocio.
Ejemplos de objetivos para seguridad de la información (SGSI) 🔐
Para un Sistema de Gestión de Seguridad de la Información (SGSI), la normativa ISO 27001 nos recomienda considerar las propiedades de la información que son confidencialidad, integridad y disponibilidad. Esto es porque los objetivos de seguridad deberían impactar directamente en ellas para asegurar su preservación.
Basados en la confidencialidad de la información:
Asegurar que el 100% de los empleados con acceso a información clasificada como confidencial hayan firmado un acuerdo de confidencialidad.
Reducir los incidentes de acceso no autorizado a sistemas críticos en un 15% durante el próximo año.
Garantizar que las revisiones trimestrales de derechos de acceso se completen para el 100% de los usuarios con privilegios de administrador.
Basados en la integridad de la información:
Mantener un 95% de cumplimiento en la aplicación de parches de seguridad críticos en servidores dentro de los 30 días posteriores a su publicación.
Disminuir los incidentes de modificación no autorizada de datos críticos en un 20% en comparación con el año anterior.
Asegurar que el 100% de los cambios en las aplicaciones productivas sigan el proceso formal de gestión de cambios.
Basados en la disponibilidad de la información:
Alcanzar un 99.9% de disponibilidad para los servicios críticos de negocio definidos en el Análisis de Impacto al Negocio (BIA).
Realizar y superar con éxito al menos una prueba anual del Plan de Recuperación ante Desastres (DRP), logrando el Objetivo de Tiempo de Recuperación (RTO) definido.
Reducir el tiempo medio de respuesta y resolución de incidentes de seguridad de alta prioridad en un 25%.
Basados en el cumplimiento y la mejora continua:
Lograr cero no conformidades mayores en las auditorías externas de ISO 27001.
Aumentar el nivel de concienciación en seguridad, medido a través de una reducción del 30% en la tasa de clics en campañas de phishing simulado.
Ejemplos de objetivos para inteligencia artificial (SGIA) 🤖
Para un Sistema de Gestión de Inteligencia Artificial (SGIA), la normativa ISO 42001 nos recomienda considerar en la definición de los objetivos los siguientes aspectos:
Equidad
Rendición de cuentas
Transparencia
Explicabilidad
Fiabilidad
Seguridad
Robustez y redundancia
Privacidad y seguridad
Accesibilidad
Adicional a eso, la empresa también debería determinar en qué etapas del ciclo de vida del sistema de IA deben incorporarse objetivos significativos de supervisión humana, como los siguientes:
El involucramiento de revisores humanos para verificar los resultados de la IA, incluyendo la autoridad invalidar, eliminar, revocar, inhabilitar decisiones previamente tomadas.
La supervisión humana en el desarrollo de la IA.
La supervisión del rendimiento del sistema de IA incluyendo sus resultados.
La comunicación a las partes interesadas pertinentes sobre los resultados de la IA y su impacto en la organización y sociedad, así como la capacidad, rendimiento y/o cambios en el sistema.
La integración de la seguridad, la protección, la privacidad y el impacto ambiental en los sistemas de inteligencia artificial.
¡Ahora bien, acá te dejamos algunos ejemplos de objetivos!
Basados en el rendimiento y la eficacia del sistema de IA:
Alcanzar una tasa de precisión superior al 95% para el modelo de detección de fraude en el próximo trimestre.
Reducir la tasa de falsos positivos del sistema de clasificación de tickets de soporte en un 20% en los próximos seis meses para mejorar la eficiencia operativa.
Asegurar que el modelo de recomendación de productos contribuya a un aumento del 5% en las ventas cruzadas este año.
Basados en la seguridad y robustez (frente a ataques específicos de IA):
Realizar pruebas de ataques adversariales (adversarial testing) en el 100% de los modelos de IA expuestos públicamente al menos dos veces al año.
Garantizar que todos los conjuntos de datos utilizados para el entrenamiento de modelos críticos sean analizados para prevenir envenenamiento de datos (data poisoning) antes de su uso.
Reducir en un 30% las vulnerabilidades conocidas en las librerías y dependencias de software utilizadas en los sistemas de IA.
Basados en la transparencia y explicabilidad:
Implementar soluciones de explicabilidad (como SHAP o LIME) para el 90% de los modelos que toman decisiones críticas que afectan a los clientes para finales de año.
Publicar y mantener una ficha de información (datasheet) para cada modelo de IA en producción, que describa su propósito, limitaciones y los datos que utiliza.
Establecer un canal para que los usuarios puedan solicitar una explicación sobre las decisiones automatizadas que les afecten, con un tiempo de respuesta no mayor a 10 días hábiles.
Basados en la justicia y la equidad (fairness):
Realizar una evaluación de sesgo para todos los nuevos modelos de IA antes de su despliegue, asegurando que no haya una disparidad de rendimiento superior al 5% entre diferentes grupos demográficos.
Establecer un proceso formal de revisión y apelación para las decisiones tomadas por sistemas de IA, garantizando que el 100% de las apelaciones sean revisadas por un humano.
Disminuir los sesgos detectados en los modelos existentes en un 15% durante el próximo ciclo de re-entrenamiento.
Basados en la privacidad y protección de datos:
Asegurar que el 100% de los sistemas de IA que procesan datos personales completen una Evaluación de Impacto en la Protección de Datos (DPIA) antes de su puesta en marcha.
Aplicar técnicas de minimización de datos en todos los proyectos de IA, garantizando que solo se utilicen los datos estrictamente necesarios para el entrenamiento y operación del modelo.
Basados en la gobernanza y el cumplimiento:
Mantener un inventario completo y actualizado del 100% de los sistemas de IA de la organización, revisado trimestralmente por el comité de IA.
Lograr la certificación ISO/IEC 42001 en los próximos 18 meses.
Capacitar al 100% del personal involucrado en el ciclo de vida de la IA sobre la política de uso ético y responsable de la inteligencia artificial de la empresa.
Ejemplos de objetivos para privacidad de la información (SGPI) 🤖
Para un Sistema de Gestión de Privacidad de la Información (SGPI), la normativa ISO 27701 nos indica que los objetivos deben centrarse en la protección de datos personales y en demostrar el cumplimiento y la rendición de cuentas.
Basados en la transparencia y el consentimiento:
Asegurar que el 100% de los formularios de recolección de datos personales en la web incluyan un enlace visible a la política de privacidad antes de que el usuario envíe sus datos.
Revisar y actualizar anualmente el 100% de los avisos de privacidad para garantizar que reflejen con precisión las actividades de tratamiento de datos.
Implementar un centro de gestión de preferencias para que el 90% de los clientes puedan gestionar sus consentimientos de forma autónoma para finales de año.
Basados en los derechos de los titulares de los datos:
Responder al 98% de las solicitudes de derechos de los titulares (acceso, rectificación, supresión) dentro del plazo legalmente establecido durante el próximo año.
Reducir el tiempo promedio para atender una solicitud de acceso a datos personales en un 20% mediante la automatización del proceso.
Basados en la minimización de datos y limitación de la finalidad:
Realizar una revisión anual del 100% de los procesos de recolección para asegurar que se aplique el principio de minimización de datos, eliminando al menos un 10% de los campos de datos no esenciales.
Garantizar que el 100% de los datos personales recolectados tengan una finalidad específica, explícita y legítima documentada en el inventario de tratamiento de datos.
Basados en la privacidad desde el diseño y por defecto:
Asegurar que el 100% de los nuevos proyectos que involucren el tratamiento de datos personales completen una Evaluación de Impacto en la Protección de Datos (EIPD/DPIA) durante la fase de diseño.
Integrar una revisión de privacidad como paso obligatorio en el ciclo de vida de desarrollo de software (S-SDLC) para todos los nuevos productos.
Basados en la seguridad y la gestión de brechas:
Reducir el número de incidentes de brechas de datos personales reportados en un 25% en comparación con el año anterior.
Realizar al menos dos simulacros de respuesta a incidentes de brechas de datos al año para asegurar que el equipo pueda cumplir con los plazos de notificación a las autoridades.
Basados en la gobernanza y la rendición de cuentas:
Capacitar al 95% de los empleados que manejan datos personales sobre los requisitos de la ISO 27701 y las políticas de privacidad de la empresa antes de que finalice el segundo trimestre.
Realizar auditorías trimestrales a los proveedores que procesan datos personales en nuestro nombre para verificar su cumplimiento contractual y normativo.
¿Cómo definir las métricas?
Una vez que tengas bien definidos tus objetivos, ¡ya puedes identificar las métricas e indicadores con los que llevarás el seguimiento!
Para esto recomendamos comenzar con la identificación de data actual que tengas sobre tu evaluación de riesgos, vulnerabilidades identificadas, brechas de seguridad, etcétera para identificar aspectos recurrentes que te ayuden a sentar las bases de la métrica.
Todos estos aspectos pueden darte información valiosa para definir métricas e indicadores de seguridad eficientes que te ayuden a monitorear el desempeño de sistema de gestión.
Una vez que hayas recopilado y entendido la información necesaria para comprender lo que deseas medir, debes describir en qué consiste, cómo se realizará el cálculo de la medición, los parámetros o rango de valores que son aceptables para tu operativa, la periodicidad de medición, etcétera.
💡 Todos estos puntos se definen en el template de Metodología de Indicadores que te proporcionamos dentro del plan de acción correspondiente a la normativa que estés trabajando. Así como las métricas que decidas utilizar y sus resultados deben registrarse en el template de Listado de métricas e indicadores.
¿Qué hacer si los resultados están fuera de los parámetros aceptables?
Principalmente debes hacer un análisis de los resultados no aceptables para comprender de dónde provienen, haciéndote preguntas como:
¿Qué se hizo mal?
¿Qué faltó hacer?
¿Hubo algún evento importante que influyera en estos resultados?, etcétera.
¡También es súper recomendable utilizar métodos de análisis de causas raíz como lo es el método de los 5 porqués!
Comprendiendo el origen del problema, podrás definir las acciones correctivas más adecuadas para regresar esos resultados a valores aceptables, y por ende, recuperar el cumplimiento normativo y conseguir el logro de tus objetivos. Y una vez aplicadas las acciones correctivas, deberás realizar una nueva medición para corroborar que las acciones fueron efectivas.
La representación visual de estos pasos se vería de la siguiente forma, remarcando que es muy importante recordar que esto es un proceso cíclico:
Ejemplos de métricas 📊
A continuación te mostramos algunos ejemplos de métricas 🙌🏼
Porcentaje de riesgos mitigados entre el total de riesgos identificados.
Parámetro aceptable: 80% - 90%
📊 Ejemplo de aplicación: La empresa identificó 58 riesgos de seguridad, de los cuales solo se han mitigado 25. Esto nos da un porcentaje de 43% de riesgos mitigados, por lo que no está dentro de los parámetro aceptables y se deberían tomar acciones correctivas.
Porcentaje de asistentes al taller de concientización entre el total de asistentes convocados.
Parámetro aceptable: 80% - 90%
📊 Ejemplo de aplicación: La empresa convocó a sus 120 colaboradores a participar en el taller anual de concientización de seguridad, de los cuales asistieron 85. Esto nos da un porcentaje del 70% de asistencia al taller, por lo que no está dentro de los parámetro aceptables y se deberían tomar acciones correctivas.
Otros ejemplos de métricas podrían ser las siguientes:
Porcentaje de controles normativos implementados entre el total de controles aplicables.
Porcentaje de colaboradores que confirmaron la lectura y comprensión de la política de seguridad entre el total de colaboradores comunicados.
Porcentaje de equipos que cuentan con un antivirus entre el total de equipos a los que se les solicitó la instalación de dicha solución.
Porcentaje de vulnerabilidades remediadas entre el total de vulnerabilidades identificadas en un periodo de tiempo.
Porcentaje de incidentes resueltos entre el total de incidentes reportados, etcétera.
💡 Como puedes ver, estas métricas consideran temas que pueden obtenerse de un análisis de riesgos y temas generales asociados a tu sistema de gestión. Pero recuerda que estos son ejemplos que puedes utilizar, siempre y cuando estén alineados a los objetivos y necesidades de tu organización, o bien puedes usarlos de base para crear tus propios indicadores.
¡Debes revisar por lo menos una vez al año estos objetivos y métricas para asegurar que sigan vigentes! Puede ser que hayas cumplido todos o algunos de los objetivos y por ende, deberás actualizarlos o definir nuevos para abordar las necesidades del negocio y de tu sistema de gestión.
Recomendaciones ✅
La medición, monitoreo y mejora continúa son actividades muy importantes para el cumplimiento de cualquier sistema de gestión, por lo debes estar siempre preparado para presentar esta información durante auditorías internas y/o externas.
Ten en cuenta los resultados del análisis y evaluación de riesgos para la definición adecuada de tus objetivos.
Mantén siempre actualizados tus objetivos y métricas y comunica cualquier cambio significativo a todas las partes interesadas.
¡Califica este artículo con 😃 si ayudó a resolver tus dudas! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.