1. Administración de las tecnologías de información Cap. 12
EQUIPO 5 Página 1
LAS MÉTRICAS DE SEGURIDAD DE LA INFORMACIÓN
SGSI propone una metodología de medición de la eficacia de los controles de seguridad
SI implantados que varían, como es obvio, de un entidad a otra en atención al análisis de
riesgo previo, de los controles elegidos y efectivamente implantados para mitigarlo y su
comportamiento esperado.
¿MÉTRICAS DE SEGURIDAD O MÉTRICAS DE GESTIÓN DE LA SEGURIDAD?
El propósito del proceso de métrica de gestión de la seguridad es recoger, analizar y
comunicar datos relacionados con los procesos de la seguridad de la información que
supone un ámbito de actuaciones diferentes al de las infraestructuras, aplicativas y
sistemas o procesos que la soportan.
Las métricas de gestión de la seguridad de la información tienen por finalidad conocer,
evaluar y gestionar la seguridad de los sistemas de información.
La planificación, implantación y mejora de las métricas de gestión de la seguridad nos
permitirán:
Analizar y comprender el estado de seguridad.
Controlar la eficiencia y eficacia de los controles.
Predecir el tiempo y el costo de un proyecto.
Mejorar la gestión de la seguridad de la información.
¿INDICADORES, MÉTRICAS O MEDIDAS DE SEGURIDAD?
En CoBIT 4.0 la cuestión terminológica se complica un tanto de tal modo que en algunos
de los términos que se refiere como indicadores serian lo que se denominan métricas en
el NIST 800-55. CoBIT requiere un conocimiento de los objetivos de negocio por parte de
las organizaciones que pretenden implantarlo.
En el modelo CoBIT, una vez que se han fijado los objetivos han de establecer, mediante
el uso de indicadores en qué medida se están lográndolos mismo. Y así se definen los
dos tipos de indicadores:
KEY GOAL INDICATOR (KGIS): COBIT considera este indicador como de “lapso”
y lo define como la medida de lo que se ha de cumplirse, la distancia entre lo que
se ha realizado y el objetivo a cumplir.
KEY PERFORMACE INDICATORS: COBIT considera estos indicadores una
indicación o una medida de “como de bien” se están comportando los procesos.
COBIT relaciona un indicador con el otro, de la siguiente manera:
2. Administración de las tecnologías de información Cap. 12
EQUIPO 5 Página 2
COBIT propone tres tipos de mediciones de los procesos (lo que serían los controles en
la familia 27001):
Rendimiento (performance): Key Performance Indicators.
Resultado: Key GoalIndicators.
Madurez: MaturityModels.
En norma ISO de la familia 27001, como veremos, se ha suprimido el término métrica, por
redundante, y se ha sustituido por el de medida en sus dos acepciones en inglés:
Measurement: proceso de obtención de información sobre la eficacia del SGSI,
sus objetivos de control y controles, usando un método y función de medida, un
modelo analítico y un criterio de decisión.
Measure: variable que se asigna un valor como resultado de un proceso de
medición.
CMM, BALANCE SCORICARD Y MÉTRICAS DE ANÁLISIS DE RIESGOS
COBIT, por ejemplo, establecer tres sistemas o modos de monitorizar si los controles
implantados son los adecuados y si se comportan según lo esperado:
3. Administración de las tecnologías de información Cap. 12
EQUIPO 5 Página 3
Benclumarkingnde la capacidad de los procesos haciendo uso de los modelos de
madurez derivados del “CapabiliryMaturityModel” del software
EngineeringInstinate.
Definición de objetivos y métricas de los procesos TSI según vimos en el apartado
anterior, basados en los “balance businessscorecard” de Norton y Kaplan.
ActivityGoals, basados en objetivos de control detallados de COBIT y que permiten
mantener un control sobre su eficiencia.
Las medidas, por tanto deben integrarse en el ciclo de la gestión de la organización y
utilizarse para llevar a cabo l mejora de los procesos y resultados relacionados con la
seguridad dentro del seguridad dentro del proyecto u organización.
EL PROYECTO DE NORMA ISO 27004 “MEDIDAS DE LA GESTIÓN DE LA
SEGURIDAD”
La norma ISO 27001 adopta un enfoque de proceso para establecer, implantar, poner en
funcionamiento, controlar, revisar, mantener y mejorar un SGSI de una organización.
El “enfoque de proceso” se refiere a la aplicación de un sistema de procesos dentro de
una organización, junto con la identificación y la interacción de estos procesos, así como
su gestión, adoptando el modelo (PDAC) que se aplica para estructurar todos los
procesos del SGSI.
VICIÓN GENERAL DE LAS MEDIDAS
La medición implica un proceso de obtención de información sobre la eficacia del método
SGSI, los objetivos de control individuales y controles que utilizan un método de medición
una función de medición y un modelo analítico confrontando la información obtenida a los
criterios de decisión.
4. Administración de las tecnologías de información Cap. 12
EQUIPO 5 Página 4
La finalidad del proceso de implantación y desarrollo de medidas de la gestión de
seguridad de la información es crear una base en cada organización que permite recoge,
analizar y comunicar datos relacionados con procesos SGSI. El propio sistema de medida
de la gestión debe utilizarse para la toma de decisiones relacionadas con la seguridad
respecto a la mejor del SGSI o los cambios dentro del mismo.
Los objetivos del proceso de medida son:
Evaluar la eficacia de la implantación de los controles de seguridad.
Evaluar la eficacia del sistema de gestión de seguridad de la información
incluyendo la mejora continua.
Proporcionar un estado de seguridad para distinguir la revisión de la gestión,
facilita las mejoras de la seguridad y contribuir a auditorias de seguridad.
Comunicar el valor de la seguridad a la organización.
Servir como aportación al plan de tratamiento de riesgo y de evaluación de
riesgos.
Tipos de medidas
La norma propone la siguiente categorización:
a) Derivada
b) Base
Dentro de cada una de las categorías, las medidas pueden tener dos variedades:
a) Cumplimiento
b) Rendimiento
Las medidas de cumplimiento ayudan a la identificación de lagunas en la implantación y
la gestión y la gestión de la política, controles individuales, objetivos de control y proceso
de ISMS en la organización.
Las medidas de rendimiento evalúan la eficacia de los controles implementados utilizados
para proteger los activos de información de la organización.
5. Administración de las tecnologías de información Cap. 12
EQUIPO 5 Página 5
EL PROCESO DE MEDICIÓN
Las organizaciones deben limitar la cantidad de medidas que utilizan dentro del mismo
periodo de tiempo con el fin de garantizar su capacidad de adoptar los cambios
pertinentes como resultado de la información obtenida.
Las medidas deben revisarse para verificar que continúan suministrando información
valida ala organización: que las fuentes y otros aspectos relacionados con sus atributos
son correctos y que los beneficios frente al esfuerzo dan un saldo positivo.
COMO SE DESARROLLA UNA “MEDIDA”
El proceso para desarrollar una medida ha de planificarse y documentarse, y comienza
con la selección de controles y objetivos de control específico para la medición, continúa
con la identificación de objetivos de medición, especificación de medidas y finaliza con el
establecimiento de recogida y análisis de datos e informes de procesos y herramientas.
La selección de controles específicos incluyen los siguientes pasos.
a) Identificar los controles y objetivos de control que fueron seleccionados como
resultado del análisis de riesgo, como se describe en la ISO 27001.
b) Establecer prioridades entre controles y objetivos de control seleccionados como
base en los siguientes criterios:
Los requisitos de stakeholders.
La política de seguridad se la información de la organización.
La información necesaria para satisfacer los requisitos legales, regulatorios y
contractuales.
6. Administración de las tecnologías de información Cap. 12
EQUIPO 5 Página 6
Lo religión coste-beneficio del rendimiento de cada control individual u objetivo de
control.
c) Seleccionar los controles y objetivos de control específicos a incluir en el programa
de medición según las prioridades identificadas.
Los métodos de medición puede ser subjetivos u objetivos, dependiendo del grado de
automatización de la actividad de recogida de datos, tales como:
a) Auditorías internas o externas.
b) Evaluación de riesgo y análisis de riesgo.
c) Cuestionario y preguntas.
d) Utilización del riesgo de acontecimientos.
e) Producción de registros, informes y pistas de auditoria.
f) Informes de incidentes, en particular aquellos tienen como resultado un impacto.
g) Muestra de estadísticas.
h) Pruebas.
Las medidas validas deben de contar con varios indicadores:
Estratégica
Cuantitativa
Razonable
Interpretativa
Verificable
Evolutiva
Útil
Indivisible
Repetible
El proceso de medición deberá documentarse:
a) Los controles y objetivos de control a ser sometidos a medición.
b) Los objetivos de medición.
c) Los objetivos de negocio sometidos a medición
d) Las medidas individuales a ser recogidas y utilizadas.
e) El proceso de análisis y recogida de datos.
f) El proceso y formato de informes.
g) Las funciones y responsabilidades de los stakeholders
La operación de las medidas conlleva la recogida y el análisis de los datos utilizados para
generarse e incluye actividades que son esenciales para asegurar que las misma se
utilizan para competir el estado de SGSI e identificar las acciones de mejoras adecuadas.
Esto incluye:
7. Administración de las tecnologías de información Cap. 12
EQUIPO 5 Página 7
a) Integrar los procedimientos de medidas en la operación global de SGSI
b) Recoger, almacenar y verificar datos.
¿COMO GENERAR INDICADORES?
Los indicadores de gestión se generan al interpretar las medidas derivadas a la luz de los
criterios de decisión o las necesidades de información de la organización.
Los formatos de informes han de representar de manera visual las medidas y facilitar una
explicación verbal de los indicadores. La mecánica del establecimiento de criterios de
decisiones es diferente si se trata de mediciones de cumplimiento o de rendimiento.