Todas estas cuestiones esperemos que sean saciadas de forma definitiva por ISO 27004 “Information technology — Security techniques — Information security management — Measurement” que ya se encuentra en ISO en estado 40.60 (voto para su cierre).

El análisis de riesgos nos debe servir para definir un modelo de seguridad pero la realidad debe demostrarnos que el sistema modelado nos protege de los peligros reales que vamos detectando. Es como el anuncio de Pirelli pero llevado a nuestra problemática: “La seguridad sin garantizar el cumplimiento de objetivos de protección no sirve de nada”. Para seguir apagando fuegos no es necesario hablar de gestión de la seguridad de la información.

De cualquier forma, el enfoque que a mi me gusta darle al tema de la medición se basa en el objetivo mismo del SGSI, la gestión de lo que se identifica como importante para la dirección.

Siguiendo la propia lógica del SGSI, tras el diagnóstico y el tratamiento, lo normal es vigilar la “evolución del paciente”. Para ello, tenemos que atender a diferentes clientes de nuestra información: dirección, departamentos técnicos, responsable del SGSI, usuarios. Personalmente prefiero no empezar con demasiados indicadores sino aquellos que velan por la corrección de las deficiencias importantes o el buen funcionamiento de las medidas que gestionan los riesgos más relevantes. En cualquier caso, lo dificil es ponerse manos a la obra y disponer de herramientas que suministren esa información, de lo que me consta que sabéis un montón.

Un saludo,