ILISO27001_T033 9.1 Seguimiento, Medición, Análisis y Evaluación

Plataformas de Aprendizaje Autodirigido

9.1 Seguimiento, Medición, Análisis y Evaluación.

Requisito.

La organización evalúa el desempeño de la seguridad de la información y la efectividad del SGSI.

Explicación.

Seguimiento y Medición.

  • Objetivo
    • Ayudar a la organización a juzgar si el resultado previsto de las actividades de la seguridad de la información, incluidas la evaluación y el tratamiento de los riesgos, se han logrado en la forma prevista.

La organización establece:

  • A qué hacer seguimiento y qué medir.
  • Quién hace el seguimiento, quién mide y cuándo lo hace.
  • Los métodos para obtener resultados válidos (es decir, comparables y reproducibles).

Análisis y Evaluación.

La organización establece:

  • Quién establece y evalúa los resultados del seguimiento y la medición, y cuándo.
  • Los métodos para producir resultados válidos. Existen dos aspectos de la evaluación.
    • Del desempeño: Para determinar si la organización tiene el desempeño esperado, lo cual incluye determinar en qué medida los procesos dentro del SGSI cumplen sus especificaciones.
    • De la eficacia del SGSI: Para determinar si la organización está haciendo las cosas de una manera adecuada, lo que incluye determinar en qué medida se cumplen los objetivos de la seguridad de la información.

Guía.

ASPECTOS A MEDIR. 

  • Avance del proyecto de Implementación
  • Disminución del valor del riesgo de un período a otro
  • Cubrimiento del presupuesto asignado
  • Mejoramiento en la percepción de seguridad de las partes interesadas
  • Conocimiento de la política
  • Disminución de incidentes de seguridad en confidencialidad, integridad o disponibilidad
  • Atención de incidentes
  • Eficacia de las acciones correctivas
  • Lecciones aprendidas implementadas
  • Evaluación del personal
  • Disminución de No conformidades identificadas por proceso
  • Verificación de condiciones de seguridad en teletrabajo
  • Tiempo de demora en el retiro de privilegios
  • Eficacia en el mantenimiento de equipos
  • Incidentes por asignación y manejo de contraseñas
  • Equipos que salen e ingresan de la organización
  • Medios extraíbles controlados
  • Recuperaciones del backup
  • Eficacia en el cumplimiento de las evacuaciones y de los simulacros
  • Amenazas detectadas por antivirus
  • Disminución de vulnerabilidades técnicas identificadas de un período a otro

Una buena práctica es definir la “necesidad de información” al planificar el seguimiento, medición, análisis y evaluación.

Una necesidad de información generalmente se expresa como un alto nivel de seguridad de la información, pregunta o declaración que ayuda a la organización a evaluar el desempeño de la seguridad de la información y la eficacia del SGSI.

En otras palabras, se debe realizar seguimiento y medición para lograr un objetivo definido, se debe tener cuidado al determinar los atributos a medir. Es impracticable, costoso y contraproducente medir demasiado o elegir los atributos incorrectos.

Existen dos tipos genéricos de medidas:

  • mediciones de desempeño, que expresan los resultados planificados en términos de las características de la actividad planificada, como el recuento de personas, el logro de hitos o el grado en que se implementan los controles de seguridad de la información;
  • mediciones de efectividad, que expresan el efecto que tiene la realización de las actividades planificadas sobre los objetivos de seguridad de la información de la organización.