Selección de slides del curso "Métricas de Seguridad". El objetivo del curso es el de enseñar a los participantes los conceptos generales de una métrica de seguridad, mecanismos y criterios de evaluación de las métricas y las distintas maneras de presentarlas utilizando datos y storytelling.

1. D I S E Ñ O D E M É T R I C A S
D E S E G U R I D A D
por M. Eng. Jorge Agustín Albarrán Morales, PSP®
[E X T R A C TO D E S L I D E S ]

2. Contenido
1. Presentación y contexto general
2. ¿Qué es una métrica de seguridad?
3. ¿Para qué medir?
4. ¿Qué medir?
5. ¿Cómo diseño métricas?
6. ¿Cómo saber si estoy midiendo bien?
7. ¿Cómo lo comunico?
8. Principios de diseño para el futuro

3. 1
Presentación y contexto general

4. ¿Qué miden en sus
organizaciones?

5. ¿Porqué es
importante medir?

6. ¿Para qué es este curso?
Para apoyar a la inclusión del personal de seguridad en la comunicación de
necesidades y problemáticas de seguridad.
Abrir oportunidades en la medición de elementos de seguridad
física de forma sistemática.

7. 2
¿Qué es una
Métrica de Seguridad?

8. Una medida NO es una métrica.
Una medida se genera contando,
una métrica se genera analizando.

9. Las métricas de seguridad se centran en las
acciones (y los resultados de estas
acciones) que las organizaciones toman
para reducir y gestionar los riesgos de
pérdida de reputación, robo de información
o dinero, y discontinuidades de negocios que
resultan cuando las defensas de seguridad
son traspasadas.

10. 3
¿Para qué medir?

11. Es un asunto peligroso, Frodo, cruzar
tu puerta. Pisas el camino y si no
controlas tus pies, no hay modo de
saber a dónde te pueden llevar
-Bilbo Baggins
“

12. Medimos para
obtener
respuestas

13. 1. ¿Cuánto tiempo/recursos deberían ser gastados en
seguridad?
2. ¿Cuáles componentes de los sistemas deberían ser
considerados primero?
3. ¿Cómo puede configurarse efectivamente un sistema?
4.¿Cuánta mejora se gana por gastos en seguridad,
incluyendo gastos en procesos de seguridad?
5.¿Cómo medimos las mejoras?
6.¿Estamos reduciendo la exposición?
¿Qué podemos responder?

14. •Identifican sus decisiones críticas.
•Toman inventario de las decisiones que requieren ayuda analítica.
•Intervienen cuando se necesitan.
•Institucionalizan lo aprendido.
Las mejores decisiones emergen
cuando las empresas:

15. •Descriptivas
•Predictivas
•Prescriptivas
La analítica tiene propiedades

16. 4
¿Qué medir?

17. 1. Métrica de uso de espacio de
oficinas
2. Métrica de actividad de la seguridad
3. Métrica de riesgo ambiental
4. Métrica de pérdida externa evitada
5. Métrica de auditorías de seguridad
6. Métrica de desempeño de oficiales
de seguridad
7. Métrica “security-safety”
8. Métrica de incidentes de seguridad
9. Métrica de procesos de
investigaciones de seguridad
10.Métrica de reducción de inactividad
de operaciones
11. Métrica de reducción de pérdidas/
costo de seguridad
12.Métrica de debida diligencia
13.Métrica de robo de celulares
14.Métrica de hallazgos inspecciones
de seguridad
15.Métrica de infracciones del
cumplimiento del website
16.Métrica de costo de seguridad por
metro cuadrado
17. Métrica de costo de seguridad por
empleado
18.Métrica de costo de solicitudes de
seguridad recibidas
Ejemplos de métricas

18. 5
¿Cómo diseño métricas?

19. Paso 1: Reflexiona sobre tus hipótesis
Paso 2: Haz el trabajo
Paso 3: Haz las matemáticas

20. Lagging Leading
Un indicador de desempeño
pasado que mide cómo nos
hemos desempeñado.
Un indicador de desempeño
que podría predecir un
éxito futuro.

21. Resolución de
problemas complejos

22. Stakeholders
Fuente:
http://kristinhare.com/wp-content/uploads/2017/10/Stakeholder-Map.jpg
Ejemplo Stakeholders Map

23. Las métricas deben ser SMART
Specific (Específica)
Measurable (Medible)
Attainable (Alcanzable)
Repeatable (Repetible)
Time-dependent
(Dependiente del tiempo)

24. 6
¿Cómo saber si estoy
midiendo bien?

25. Security MET
Security Metrics
Evaluation Tool
•Criterios Técnicos
•Criterios Operacionales
•Criterios Estratégicos

26. StakeholdersSecurity MET
Criterio Evaluador 1 Evaluador 2 Evaluador 3
Técnicos
Confiabilidad
Validez
Generalización
Operacionales
Costo
Oportunidad
Manipulación
Estratégicos
Retorno de la Inversión
Relevancia para la organización
Comunicación

27. 7
¿Cómo lo comunico?

28. 1 Recolectar
2 Procesar
3 Organizar
4 Visualizar
5 Utilizar el
conocimiento

30. •El contexto es importante
•Se deben elegir visuales
adecuados
•Elimina el desorden
•Concentra la atención de tu
audiencia
•Piensa como un diseñador
•Cuenta una historia
Storytelling con
datos
Fuente:
Cole et al. Storytelling with data. Wiley. USA. 2015.

31. Una historia es 22 veces
más memorable que
sólo los hechos.
-Jennifer Aaker
“

32. •Presenta métricas que están alineadas con los objetivos o
riesgos de la organización o que midan temas específicos en
los cuales la alta dirección está más interesada.
•Presenta métricas que cumplen con estándares de medición.
•Cuenta una historia.
•Usa gráficas y mantén tus presentaciones cortas.
•Presenta datos de tus métricas regularmente.
Recomendaciones
generales

33. 8
Principios de diseño
para el futuro

34. Principios fundamentales
Recolectar datosEmpezar de a poco

36. M. Eng. Jorge Agustín Albarrán Morales, PSP®
ja@rocketmx.one
+52 1 55.19.52.24.52