Cuando las organizaciones establecen sus objetivos, es necesario llevar un seguimiento sobre su grado de cumplimiento. Para llevar tal seguimiento, es imprescindible contar con indicadores de rendimiento que nos permitan medir su evolución.
Concretamente, en este artículo, nos vamos a centrar en los objetivos de seguridad de la información y, en consecuencia, en los principales indicadores de rendimiento del desempeño de nuestro Sistema de Gestión de la Seguridad de la Información (SGSI). Te puede interesar leer Los Beneficios de implantar la norma ISO 27001.
¿Por qué necesitamos indicadores de rendimiento clave de Seguridad de la Información?
Los indicadores clave de rendimiento conocidos como KPI, son herramientas de medición de aquellos aspectos esenciales que marcan los logros de una determinada organización. No debe confundirse con los objetivos. Éstos últimos establecen lo que se quiere conseguir, mientra que los indicadores miden si los esfuerzos realizados nos acercan a tales objetivos definidos.
La necesidad de definir aquellos indicadores más relevantes para una organización (KPI) radica en el hecho de que los responsables de tomar las decisiones en cuanto a objetivos a establecer, están cada vez más rodeados de información mientras que cuentan con recursos limitados. Es por ello que, deben elegir aquellos indicadores clave que les ayuden a tener un seguimiento de sus resultados y poder así tomar decisiones acertadas.
Pero los indicadores de rendimiento no sólo ayudan a controlar el cumplimiento de los objetivos establecidos, sino que también son útiles para lograr la correcta implementación del estándar ISO 27001 pues contribuye a dar a conocer la importancia que tiene la gestión y los objetivos de seguridad de la información.
Criterios para la selección de indicadores de rendimiento
Existen una gran variedad de criterios que se pueden usar a la hora de elegir los indicadores de rendimiento (KPI). Para elegir entre todos ellos aquellos que más nos interesan es importante considerar entre otros los siguientes criterios:
- Importancia para el negocio: el indicador que elijamos ha de estar alineado con lo objetivos del negocio y requisitos legales, ya que ello ayuda a entender mas fácilmente por qué se deben medir y evaluar. En el caso de la ISO 27001, algunos de los requisitos que recoge, pueden ser medidos mediante indicadores de eficacia y cumplimiento. Además, también es recomendable que las organizaciones adopten indicadores de eficiencia. Otros ejemplos de indicadores que apoyan la ISO 27001, por ejemplo que ayuden a verificar si se están empleando bien los recursos para conseguir la clausula 7.1 , es el indicador de retorno de la inversión.
- Integración del proceso: las actividades de recolección de datos para el indicador de rendimiento clave debe generar el menor trabajo posible y la información debe guardar el mismo formato usado en el propio proceso.
- Asertivo: el KPI ha ser tener la capacidad de detectar los aspectos esenciales que requieren atención.
Ejemplos de indicadores de rendimiento
Veamos, a continuación, los siguientes ejemplos de indicadores de rendimiento que ponen de relieve cómo éstos pueden ayudarnos a tener un seguimiento del rendimiento de todos los procesos vinculados con la Gestión de la Seguridad de la Información. Mediante los ejemplos que vamos a presentar, cubrimos de manera completa el ciclo PDCA (Plan- Do- Check- Act) o PHVA (Planificar-Hacer-Verificar-Actuar).
Planificar (Plan):
- Porcentaje de iniciativas empresariales apoyadas por el SGSI: con este indicador se pone de manifiesto el nivel de alineación e integración de los SGSI con el negocio. A mayor valor del indicador mejor, ya que ello indica que se se están optimizando los recursos del SGSI.
- Porcentaje de las iniciativas de seguridad de la información que contiene estimación coste/beneficio: con este indicador se muestra la madurez en la gestión de riesgos que tiene una organización. A mayor valor de este indicador, implica que las decisiones sobre el tratamiento de riesgos se basan en mayor medida en hechos.
- Porcentaje de acuerdos con cláusulas se seguridad de la información: este indicador muestra cómo todos los productos o servicios ofrecidos por nuestra organización a terceros o al revés cumplen con la legislación en materia de seguridad de la información. Cuanto más elevado sea el valor de este indicador, reflejará mejor relación con nuestros clientes y proveedores.
Hacer (Do):
- Número de tiempo de parada de los servicios vinculados con la seguridad: esta información la podemos conseguir a través de los informes de operaciones. Este indicador refleja la eficacia del SGSI de forma directa.
- Duración de las interrupciones del servicio: también al igual que el indicador anterior, podemos obtener esta información a raíz de los informes de operaciones. Este indicador también es importante, pues no sólo importa conocer el numero de paradas sino la duración media de las mismas.
- Tiempo de resolución de los incidentes: también es importante conocer la capacidad de respuesta que tiene nuestros Sistema de Gestión de la Seguridad y Salud de la Información. Podemos obtener la información también a través de los informes de operaciones.
Comprobar (Check):
- Porcentaje de los controles de evaluación llevados a cabo: permite hacernos una idea de cómo se revisan muchas de las medidas de seguridad. Un mayor valor de este indicador nos indica que se están analizando más controles relacionados con la eficacia, eficiencia y mejorías. Para recabar esta información podemos usar el plan de tratamientos de riesgos o informes de auditorias entre otros documentos.
Actuar (Act)
- Número de iniciativas de mejora: con esto lo que buscamos es medir la proactividad de nuestro SGSI ante cambios en el entorno, así como las oportunidades detectadas. Para obtener esta información podemos acudir a informes de auditorias y actas de gestión.
Control para mejorar resultados y evitar problemas
En general, con este artículo queremos poner de relieve que en ante un escenario en el que las organizaciones han de alcanzar continuamente resultados establecidos, el hecho de tener indicadores de rendimiento les ayuda a saber si están haciendo bien o no las cosas. Es de suma relevancia para asegurarse mediante las mismas que van por el buen camino hacia la consecución de tales objetivos o en caso de que no sea así nos ayude a realizar los ajustes necesarios. Estos indicadores deben ser los adecuados, de ahí la importancia de tener en cuenta las consideraciones mencionadas.
También te puede interesar el siguiente artículo relacionado ISO 27001: Cómo aplicarla al sector Público.
La plataforma informática ISOTools Excelence ayuda a que estas labores se optimicen y logren una excelente integración con el resto del proceso. Conoce los Casos de éxito de nuestros clientes y cómo les hemos ayudado.
¿Desea saber más?
Entradas relacionadas
Decreto 1072 La norma OHSAS 18001 y el Decreto 1072 de 2015 siguen la metodología de mejora continua…
Gestión de riesgos Las nuevas versiones de la norma ISO 9001 e ISO 14001 exigen que todas las…
Software ISO 9001 Durante este artículo queremos que conozca cómo puede ayudarle el software ISO 9001 ISOTools. Es…
Decreto 1072 Conservar los documentos es necesario como medida preventiva adoptada para asegurar la integridad física y funcional…