Blog Gestión de Riesgos | Pirani

Conoce los indicadores de gestión de la seguridad

Escrito por Maria Camila Arévalo | octubre 15, 2020

1

En el siguiente artículo te daremos un listado de indicadores de gestión que puedes poner en práctica dentro de tu organización para que puedas controlar la eficiencia del sistema de gestión de información de seguridad (SGSI).

Estos le permitirán evaluar si los controles implementados están siendo eficaces, si la privacidad de la información y el modelo de seguridad están cumpliendo con su objetivo, además, identificar mejoras para ser implementadas rápidamente, dar a conocer los valores y poder llevar a cabo el tratamiento de riesgos y el respectivo análisis.

¿Qué es un indicador? 

Son métricas que permiten realizar una evaluación sobre la eficiencia y eficacia del tratamiento de un riesgo dentro de un sistema de gestión, a su vez dan la posibilidad de que se lleve a cabo un seguimiento de los planes de acción que se están ejecutando y que la junta directiva o accionistas puedan llevar un control de este.

Hay que tener en cuenta que en la norma ISO 27001, la cual está dirigida a la seguridad de la información dentro de las compañías, los indicadores juegan un papel crucial dentro de la gestión de riesgos y recomiendan que sean representados en un cuadro, para que su administración sea mucho más fácil, esto permite que se pueda llevar un mejor control y que al momento de generar reportes sobre la gestión de seguridad de la información sea de una manera rápida y concreta.

Cada uno de los indicadores debe contar con un proceso que demuestre si está siendo eficaz y está llegando a su punto de equilibrio dentro del sistema de gestión de seguridad de la información.

Indicadores de gestión de seguridad de la información

1. Organización de la seguridad de la información

Este es un indicador de gestión que brinda la posibilidad de identificar y hacerle seguimiento al compromiso de la junta directiva o accionistas frente al tema de la seguridad de la información. También permite que se designen a quienes serán los responsables de este tema dentro de la institución.

2. Cubrimiento del SGSI- Activos de la información

También es un indicador de gestión y gracias a este se puede llevar a cabo el seguimiento a los activos críticos de información y los controles que tienen relacionados.

3. Tratamiento de eventos 

Hace parte del grupo de indicadores de gestión y con este se puede identificar cómo está el tratamiento de eventos relacionados. Cabe resaltar que estos serán dados por los usuarios o en las auditorías que se realicen.

4. Plan de sensibilización

Es un indicador de gestión y está relacionado con los temas sensibles en la seguridad de la información, los cuales son dados por los usuarios. Estas mediciones se hacen a través de las auditorías. 

5. Cumplimiento de políticas dentro de la empresa

Este se encuentra dentro del grupo de indicadores de cumplimiento y permite que se cumpla de manera eficaz las políticas planteadas de seguridad de la información de la organización. 

6. Identificación de lineamientos de seguridad dentro de la compañía

Indicador de cumplimiento que da la posibilidad de evaluar qué tan capacitado está el recurso humano frente al tema y los equipos que se van a utilizar en este proceso.

7. Control de acceso

Es un indicador de cumplimiento, el cual su papel fundamental es identificar si existen normas o políticas relacionadas al control de acceso de la compañía. 

8. Adquisición y mantenimiento del software

Indicador de cumplimiento que permite verificar el grado de protección de la infraestructura tecnológica de la compañía. 

9. Implementación de procesos

Permite revisar si existen normas o lineamientos relacionados al registro y auditoría de seguridad de la información. También hace parte del grupo de indicadores de cumplimiento. 

10. Políticas de privacidad y de confidencialidad

Conocer las políticas implementadas dentro de la compañía en relación a la privacidad y confidencialidad de la información de la empresa. Es un indicador de cumplimiento. 

11. Políticas de integridad de la información

Son las medidas que se tienen en cuenta para preservar la integridad de la información de la compañía, por ende es un indicador de cumplimiento. 

12. Disponibilidad de servicio

Es un indicador de cumplimiento que busca verificar el grado de disponibilidad del servicio y de la información. 

13. Ataques cibernéticos

Uno de los más importantes, es un indicador de cumplimiento y revela la probabilidad de que la compañía pueda sufrir algún tipo de amenaza o si en su defecto ya sufrió de alguno.

14. Implementación de controles

Es un indicador de gestión y permite evaluar la implementación de los controles dentro del sistema de gestión de seguridad de la información. 

¿Aún no estás gestionando tus riesgos con Pirani? Contácta con nuestros expertos.