👉 Esta actividad te ayuda a cumplir los siguientes requisitos:
ISO 27001 en su versión 2013: 5.3, 6.2, 9.1
ISO 27001 en su versión 2022: 5.3, 6.2, 9.1
¿Para qué me sirve esta actividad? 📚
Esta actividad te ayudará a documentar los lineamientos y criterios necesarios para evaluar el desempeño y cumplimiento de tu programa de seguridad.
💡 Con base en esta metodología, podrás seleccionar los indicadores y métricas más adecuados para medir los objetivos de seguridad definidos por la empresa dentro de la Política de SGSI.
¿Qué tengo que hacer? 🚀
Para lograr esta actividad y documentar tu metodología, te recomendamos realizar los siguientes pasos:
Asignación de responsables. Para que las evaluaciones de desempeño de tu programa de seguridad sean eficientes, te recomendamos asignar responsables para las siguientes tareas:
Definición de las métricas e indicadores.
Ejecución de las mediciones.
Análisis de los resultados de las mediciones.
Acciones correctivas y monitoreo.
Comunicación de los resultados y acciones correctivas.
Puedes asignar más de una tarea a un mismo responsable. Solo recomendamos que si es posible, el análisis de los resultados lo realice una persona diferente a la que ejecutó las mediciones, para evitar algún conflicto de interés, preferentemente alguien del comité de seguridad.
Definición de las métricas. Las métricas e indicadores que definas deben estar alineadas y enfocadas en medir los objetivos de seguridad que estableciste en tu Política de SGSI. También debes considerar el análisis de riesgos para definir métricas relevantes.
Te recomendamos leer nuestro artículo Definición de los objetivos de seguridad y sus métricas para conocer ejemplos, recomendaciones y más información al respecto 🙌🏼.
Planificación y ejecución de las mediciones. Cada una de las métricas debe tener una periodicidad de medición establecida para que puedan planificarse y ejecutarse adecuadamente. Esto con el objetivo de garantizar que se tienen los recursos, las herramientas y/o la información necesaria disponible para llevarlas a cabo.
Dicha periodicidad, y los resultados obtenidos de las mediciones deben quedar documentados, y para ello nosotros te proporcionamos el template de Listado de Métricas e Indicadores.
¡Es muy importante que ya cuenten con resultados de métricas antes de la auditoría interna! De no ser posible, se deberá justificar y explicar adecuadamente por qué no se han realizado dichas mediciones, y tenerlas ya planificadas para su ejecución 🚀.
Análisis de los resultados. Para que los resultados puedan ser entendibles y nos digan si realmente el programa de seguridad de la empresa está siendo efectivo, se deben tener parámetros aceptables establecidos.
Es por ello que los resultados de las mediciones deben ser analizados para verificar si son aceptables o no, y en este último caso, identificar las acciones correctivas a realizar para asegurar que se encuentren dentro de los parámetros aceptables.
Por ejemplo, tenemos la siguiente métrica: “Mayor o igual al 80% de las vulnerabilidades técnicas mitigadas”. Al recibir el reporte de Ethical Hacking vemos que se identificaron 12 vulnerabilidades, por lo que para la fecha de medición planificada de esta métrica, debemos tener, por lo menos 10 vulnerabilidades mitigadas 🖥️.
Comunicación de los resultados. Los resultados de las mediciones deben ser de conocimiento de la alta dirección, el comité de seguridad, e incluso de las partes interesadas que pudieran solicitar esta información, y que sea posible compartirla.
Utiliza siempre medios de comunicación seguros y formales dentro de la organización.
Seguimiento de las métricas. Los indicadores y métricas no necesariamente son estáticos, por lo que recomendamos que sean monitoreados y analizados periódicamente, de manera que siempre proporcionen información de valor para mejorar tus procesos de evaluación.
Puedes hacer ajustes a los indicadores y métricas cuando existan cambios en tus objetivos de seguridad, al realizar nuevas evaluaciones de riesgos, si los parámetros aceptables ya no son funcionales para tus operaciones, si tienes nuevas herramientas o información disponibles que pueden mejorar la ejecución de las mediciones, etcétera.
Nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu metodología fácil y rápidamente, pero recuerda que debes ajustarlo al contexto de tu empresa 💪🏼.
💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Selecciona métricas enfocadas en medir principalmente los objetivos de seguridad de tu SGSI.
Al analizar los resultados, recuerda que éstos deben contribuir también a la mejora continua de tu programa de seguridad.
Define periodicidades de medición adecuadas y factibles para tu equipo, ya que recuerda que si no realizas una de las mediciones estimadas, puedes presentar incumplimientos en los requisitos normativos.
¡Califica este artículo con 😃 si ayudó a resolver tus dudas! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.