¿Por qué medir la Efectividad del SGSI?
Un sistema de gestión de la seguridad de la información correctamente implantado puede ser la clave para alinear los procesos de TI con los procesos operativos y comerciales de la organización.
Esta integración de la Seguridad de la información en los procesos de la organización nos ayudará fundamentalmente a reducir el nivel general del riesgo.
Algunos beneficios clave de SGSI efectivo incluyen:
- Mejor alineación de TI con las decisiones estratégicas.
- Más facilidad para demostrar el valor de la Seguridad de la información y los procesos de seguridad de TI y los controles adoptados.
- Controles más efectivos y mejor comprensión del valor de esos controles internos en la organización.
- Mayor capacidad para integrar los procesos de gestión de riesgos de la Seguridad de la Información con los procesos de gestión de riesgos empresariales, que con el tiempo pueden reducir los costos y ayudar a la organización a tomar mejores decisiones estratégicas. Por ejemplo en el desarrollo de software, las adquisiciones o los procesos de subcontratación.
- Ayuda a crear confiabilidad entre partes externas y otras partes interesadas clave.
- Más facilidad de adaptación en un panorama de riesgos y cumplimiento legal en constante cambio (tecnologías, amenazas, geopolíticas, legislaciones, cumplimiento específico de la industria, etc.)
La decisión de ISO de poner énfasis en la parte de medición como uno de los requisitos clave del SGSI en el nuevo estándar 27001, facilita la operación del SGSI y ayuda a construir/integrar la gestión del SGSI dentro del proceso del negocio
Un desafío común para muchas organizaciones se encuentra en decidir qué procesos deben incorporar indicadores de medición para garantizar que las desviaciones en relación con los procesos del SGSI se detecten y aborden como parte de la mejora continua.
Elegir qué medir, establecer objetivos y decidir cómo llevarlos acabo también plantea un desafío para muchas organizaciones.
