A la hora de establecer unas métricas e indicadores para ver “cómo anda” nuestro SGSI tenemos básicamente dos alternativas:
- De abajo a arriba: vemos que información tenemos disponible en cuanto a seguridad de la información y a partir de ella seleccionamos los indicadores. Su principal ventaja es que arroja resultados de forma muy rápida.
- De arriba a abajo: Primero se definen los indicadores de seguridad que vamos a tener en cuenta y después recogemos datos gracias a ellos. Optaremos por esta opción. El primer paso será definir unos objetivos de negocio estratégicos a controlar, para posteriormente definir métricas e indicadores que nos permitan medir en qué medida estamos consiguiendo los objetivos de la organización. Después se elabora el plan de implantación y por último revisamos el cuadro de mandos periódicamente.
Vamos a ver un ejemplo para comprender mejor los conceptos de métrica, indicador, fórmula y propósito:
- Una métrica serÃa el porcentaje de incidentes de seguridad notificados por los empleados
- El propósito serÃa evaluar el riesgo que existe si los empleados no nos informan acerca de los incidentes de seguridad que ocurren en nuestro SGSI, y ya de paso, evaluar la concienciación de los mismos.
- La fórmula consiste en dividir el número de eventos de seguridad reportados por los usuarios entre los eventos totales registrados por nuestro SGSI.
- El indicador serÃa el 100%, lo que querrÃa decir que todos los empleados notifican todos los eventos de seguridad que les suceden.
Es importante ver que el cuadro de mandos ayuda a la empresa, y más concretamente al grupo de trabajo, a hacer del SGSI algo propio y que tienen que mantener actualizado y vigente. Gracias al cuadro de mandos la empresa se hace partÃcipe del SGSI, alimentándolo con distintas métricas que ayudan a la mejora de ambos.