Norma ISO 27001
Basándonos en la norma ISO 27001 podemos hacer uso de diferentes indicadores clave de rendimiento (KPI). Estos tienen que ser considerados para la evaluación del desempeño del Sistema de Gestión de Seguridad de la Información.
¿Por qué necesito KPI de seguridad?
Cuando hablamos de un indicador clave de rendimiento (KPI) estamos haciendo referencia a una medida utilizada para evaluar los factores cruciales que garantizan el éxito en la organización. La diferencia con un objetivo es que estos tienen una finalidad concreta que alcanzar. Mientras que un KPI está orientado a comprobar si los esfuerzos están yendo al objetivo previamente definido.
CTA 27001 BOTON EBOOK
En el artículo “ISO 27001 2013: Seguridad física para proteger las áreas seguras” puedes conocer otro punto de vista relativo a la gestión de la seguridad de la información.
Criterios para la selección de indicadores
Indiferentemente de los múltiples criterios utilizados para la selección de KPI se deben considerar distintas cuestiones comunes. Esto puede facilitar la tarea en gran medida:
- Negocios relevantes. El indicador debe estar alineado para aclarar los objetivos de negocio o los requisitos legales. Esto facilita bastante que las personas entiendan por qué tiene que ser medido y evaluado. La norma ISO 27001 cuenta con algunos requisitos que pueden ser atendidos para el uso de indicadores en relación con la eficacia y el cumplimiento. Pero una organización tiene que considerar los indicadores de eficiencia.
- Proceso integrado. Las actividades “obligatorias” para recoger los datos necesarios para un KPI tienen que agregar la menor cantidad de trabajo posible. Claro está, en comparación con las actividades que se llevan a cabo habitualmente para proporcionar el producto/servicio. Así como la información que se necesita debe utilizarse en la misma forma en cada proceso.
- Asertivo. El indicador debe de poder identificar temas relevantes que requieran atención.
Ejemplos de indicadores de rendimiento
Los siguientes ejemplos abarcan el ciclo PHVA (Planificar, Hacer, Verificar y Actuar). Se muestran cómo los distintos indicadores que se pueden utilizar para obtener una vista completa del rendimiento de los procesos en relación con la gestión de la seguridad de la información.
Planificar
Porcentaje de iniciativas empresariales con el apoyo del Sistema de Gestión de Seguridad de la Información. Este indicador muestra el nivel de alineación e integración con el negocio dentro del SGSI. Cuanto mayor sea el valor, más optimizado se encuentran los recursos para el SGSI.
Porcentaje de iniciativas de seguridad de la información que contienen las estimaciones de costo-beneficio. Este indicador muestra el nivel de madurez de la organización en el tratamiento del riesgo. Se puede hacer uso de la evaluación de riesgos y el informe de tratamiento, en comparación con el resto de las iniciativas de seguridad implementadas.
Porcentaje de cláusulas de seguridad de la información. Este indicador muestra cómo los servicios y productos son proporcionados por los aspectos legalmente compatibles. Cuanto mayor sea el valor, mejor apoyo se tendrá en las relaciones con los clientes y los proveedores.
Hacer
Número de paradas en los servicios relacionados con la seguridad. Los tiempos de parada en relación con los problemas de seguridad de información reflejan directamente la eficacia del SGSI en base a la norma ISO 27001.
Duración de las interrupciones del servicio. Tan importante como el número de paradas es la duración media de los tiempos de parada. Se trata de una medida relevante de la eficacia del SGSI basado en la norma ISO 27001.
Tiempo de resolución. Esta información puede obtenerse a partir de informes operativos.
Verificar
Porcentaje de controles. Es un indicador que proporciona una visión de cómo se revisan las medidas de seguridad en la empresa. Cuanto más alto sea el valor, más controles se están analizando en términos de eficiencia, eficacia y oportunidades de mejora.
Actuar
Número de iniciativas de mejora. Es un indicador que ofrece la proactividad del SGSI de una organización en relación a los cambios en el medio ambiente y las oportunidades identificadas. Se producen cambios en los objetivos de mejora, se evitan pérdidas y son buenos ejemplos que reflejan un elevado valor en su KPI.
Software ISO 27001
Para asegurar la automatización, gestión y control de un Sistema de Gestión de la Seguridad de la Información de forma eficaz y correcta, podemos ayudarnos con el Software ISOTools Excellence. Soluciona de una forma muy completa cada uno de los requisitos de la norma ISO 27001 2013. Además, ofrece al cliente la herramienta imprescindible para obtener una mejora continua en su gestión de procesos, con el consiguiente incremento de sus beneficios a corto plazo.
CTA 27001 TIRA EBOOK
¿Desea saber más?
Entradas relacionadas
28 diciembre, 2017
IATF 16949:2016 La IATF 16949:2016 es la norma de Sistemas de Gestión de Calidad (SGC) específica para la…
21 diciembre, 2017
Normas ISO La ISO (Organización Internacional para la Estandarización) es una organización no gubernamental independiente y el mayor…
14 diciembre, 2017
ISO 9001 Las empresas que desean automatizar la gestión de la calidad ISO 9001, deben tener en cuenta…
7 diciembre, 2017
OHSAS 18001 En los diferentes negocios se establece que la obtención de la certificación en OHSAS 18001 puede…