Medición de un SGSI: diseñando el cuadro de mandos

La entrada de hoy es la segunda colaboración de Javier Cao, un “clásico” del sector que no requiere demasiadas presentaciones.

Su carrera profesional se ha desarrollado alrededor de la gestión de la seguridad de la información en todas sus vertientes: ISO 27002/27001, Continuidad de Negocio, Protección de datos, etc., tanto en el ámbito corporativo como en el privado. Actualmente es Director Técnico del Área de Seguridad de la Información de Firma, Proyectos y Formación y participa activamente en la difusión de la seguridad desde el ámbito de sus blogs personales: “Apuntes de seguridad de la información” y “Sistemas de Gestión Seguridad de la Información”.

Como segundo post relacionado con la medición y evaluación de la seguridad de la información (véase el post anterior), quiero reflexionar sobre varios aspectos esenciales que deben ser tenidos en cuenta a la hora de desplegar nuestro posible cuadro de mandos de la seguridad.

Como ya comentamos en el post anterior, los objetivos se estratifican a diferente altura teniendo como niveles las decisiones estratégicas, tácticas y operativas.

En este contexto y dentro del marco de trabajo de la serie ISO 27000, se publicó el año 2009 la norma ISO 27004 Information technology — Security techniques — Information security management – Measurement que tal como se expresa en la introducción, tiene por objetivo permitir a las organizaciones dar respuesta a los interrogantes de cuán efectivo es el SGSI y qué niveles de implementación y madurez han sido alcanzados por los controles seleccionados en la declaración de aplicabilidad. Estas mediciones permitirán comparar los logros obtenidos en seguridad de la información sobre períodos de tiempo en áreas de negocio similares de la organización y como parte del proceso de mejora continua servirá para evaluar los avances del proceso de mejora continua.

La primera pregunta que surge es si ISO 27004:2009 establece un catálogo de métricas o indicadores que pudieran ser utilizados con carácter general por todas las organizaciones que han implantado un SGSI. La respuesta es no. Esta norma se centra en establecer una metodología para lograr determinar la efectividad de un SGSI. Como ocurre con ISO 27001:2005, la norma establece las actividades y procesos para lograrlo pero no se centra en determinar cuáles son los medidores y qué resultados deben esperarse de ellos. Ello se justifica también porque dado el ámbito de aplicación y el carácter general de una norma internacional, no puede dar recetas que sean válidas en todos los entornos y para todo tipo de organizaciones. Cada SGSI tiene un contexto determinado y unos objetivos concretos que lo hacen único. Lo que si debe destacarse es que la aplicación de esta norma es de vital importancia dentro del proceso de operación y mantenimiento de un SGSI.

¿Por qué?

Si ISO 27004:2009 es la norma que sirve para conocer el grado de efectividad de las medidas de seguridad, es también la norma que proporciona el criterio para decidir cómo ajustar el sistema dentro del proceso de mejora continua o valorar los resultados reales que están proporcionando las medidas implantadas. El ciclo PDCA funciona porque es un sistema de control retroalimentado que establece dentro de su ejecución dos fases de revisión y ajuste de vital importancia para lograr satisfacer los objetivos planteados: la auditoria y la mejora continua.

La auditoria sería la revisión del sistema respecto a su implantación y funcionamiento. En esta actividad se comprueba que todo opera según lo establecido. Es decir, las cosas se ejecutan según se ha determinado atendiendo a los objetivos de la organización, los niveles de riesgo gestionados y las normas y procedimientos internos que hayan sido desarrollados para lograrlo.

Pero en seguridad hacer las cosas bien no tiene porqué implicar siempre obtener buenos resultados. Por ejemplo, podemos haber definido que la actualización del antivirus se realice con una periodicidad semanal, que los técnicos lo hagan rigurosamente todas las semanas dejando el parte de operación correspondiente y con todo ello no lograr satisfacer el objetivo propuesto sobre la tasa de infección del parque de equipos PC. Los objetivos de seguridad no dependen solo de la aplicación de la medida de seguridad. Es necesario evaluar si ésta es eficaz para el propósito planteado y si realmente los resultados que se obtienen se ajustan a nuestras necesidades o llevan el nivel de riesgo al umbral deseado.

ISO 27004:2009 establece la metodología para generar los “inputs” necesarios que permitan valorar y revisar los controles existentes y detectar los ajustes o mejoras que pudieran ser necesarios. Para ello, define el programa de medición de la seguridad de la información que asiste a la Dirección en la identificación y evaluación de posibles no cumplimiento y de controles ineficaces, determinando un plan de mejora a implantar a través de las acciones preventivas o correctivas que sean necesarias.

La cuestión importante es estudiar y decidir qué vamos a querer medir y por qué.

Implantar un SGSI debe siempre tener una motivación y unos objetivos concretos y tangibles. Por tanto, parece obvio que los termómetros que queramos situar dentro del sistema tiendan a medir como de real es el cumplimiento de dichos objetivos. Podemos establecer tres grandes ejes donde situar los objetivos y por tanto, donde colocar sensores de medición relacionados con las metas del SGSI:

  • Eje de Metas de la Dirección: La organización establece su estrategia de seguridad basándose en el análisis de riesgos pero estos resultados no son los únicos que determinan las necesidades de seguridad. Hay organizaciones que consideran no tolerable sufrir un incumplimiento legal o no poder recuperarse frente a un desastre aunque ello no suponga riesgos fuera del umbral aceptable. Por tanto en este eje se tienen en consideración aquellos requisitos de negocio que están relacionados con la seguridad de la información o condicionados por su buen funcionamiento y tiene que ver con logros a medio y largo plazo.
  • Eje del riesgo: Estos objetivos estarán directamente relacionados con los resultados del análisis de riesgos y tendrán como finalidad la reducción de los mismos. Por tanto, los indicadores serán situados entorno a las medidas de seguridad que velan por reducir los riesgos más preocupantes que no han sido aceptados y sobre los que se ha diseñado un plan de tratamiento a poner en marcha. Estas son las medidas de seguridad más importantes para nuestro SGSI dado que su error o fallo implica un problema severo de seguridad (que sitúa al riesgo fuera del umbral aceptable) y tienen que ver con los resultados del día a día.
  • Eje del tiempo: Es necesario también medir la evolución a lo largo del tiempo del grado de implantación del plan de tratamiento del riesgo así como la evolución de la madurez de las medidas. Dado que una de las actividades dentro del ciclo de gestión del SGSI es la definición de un plan de tratamiento, el seguimiento de la ejecución en el tiempo será otro eje a atender.

En cada uno de estos ejes se podrán situar diferentes tipos de indicadores, de acuerdo a la naturaleza del elemento medido.

En cada uno de estos ejes se podrán situar diferentes tipos de indicadores, de acuerdo a la naturaleza del elemento medido. Es necesario considerar que la medición de la eficacia será una entrada dentro del ciclo retroalimentado del SGSI (PDCA) que servirá para ajustar también el análisis de riesgos. Según los resultados obtenidos en el funcionamiento de las medidas y controles, se tendrán que valorar los niveles de riesgo efectivo y residual realmente obtenidos con el despliegue de las medidas puestas en marcha.

Como definimos en el post anterior la medición se puede realizar a diferentes alturas. Es necesario por tanto identificar qué información vamos a suministrar en cada una de ellas para que en cada revisión del sistema por la Dirección se tomen las mejores decisiones.

En el nivel estratégico, podemos hablar de “Indicadores clave”. Se sitúan en el eje de metas de Dirección para informar del estado de situación y del grado de logro de las metas. Deben proporcionar información de muy alto nivel y sirven para determinar si se requieren nuevas decisiones o si la seguridad evoluciona según lo previsto. Deben definir valores que hay que alcanzar y valoran el grado de consecución de una meta.

En el nivel táctico, podemos situar “Indicadores de progreso” que sirven para medir la evolución en el tiempo y podrían estar relacionados con el seguimiento de las actuaciones del plan de tratamiento del riesgo. Podrían utilizarse las herramientas de gestión de proyectos como los Diagramas de Gantt y se establecerían los porcentajes de completitud de los planes en marcha.

En el nivel operacional, podemos situar los “Indicadores de rendimiento”. Se definen unos valores que nos explican en qué rango óptimo de rendimiento nos deberíamos situar al alcanzar los objetivos y se valoran un conjunto de métricas que alimentan el grado de cumplimiento de estos indicadores. Las métricas son valores que recogen el resultado de la ejecución de un proceso o actividad relacionado con la implantación de los controles seleccionados dentro de nuestra declaración de aplicabilidad.

La verificación del buen funcionamiento de los indicadores de rendimiento de los controles junto a los datos obtenidos en la valoración de indicadores de progreso puede servir para alimentar los indicadores claves que serán los que presentemos a la Dirección como información para la toma de decisiones. Como se puede ver, la información asciende de abajo hacia arriba para dar a conocer a la Dirección los datos más significativos que sean precisos. Si la Dirección requiere o necesita más detalle, podrá entonces recorrerse este camino en sentido inverso, justificando cada indicador clave en base a los indicadores de niveles inferiores que han sido utilizados para la valoración. Como si estuviéramos en un mapa, la Dirección puede ir haciendo el zoom que considere necesario para conocer los detalles o quedarse a muy alto nivel para tomar decisiones.

Ello también permite una gestión eficiente dado que se prestará atención en aquellos puntos donde los indicadores clave no están logrando sus metas y permitirá profundizar, descendiendo por indicadores de progreso o indicadores de rendimiento hasta averiguar en dónde están las deficiencias o problemas de seguridad que no están permitiendo alcanzar el rumbo deseado. Se puede localizar dentro del mapa general cuales son los puntos con problemas y tomar las acciones de mejora necesarias para garantizar que los resultados mejoren. Ello también genera como efecto colateral el alcanzar los máximos niveles de madurez dentro de las escalas de valoración de los controles. Las últimas escalas de los modelos de madurez se establecen en base a si el control está gestionado (se mide y se valora su eficacia) o si está optimizado (cuando se mide y esa medición alcanza sus objetivos). Por tanto, la evolución de los niveles de madurez se va completando cuando los indicadores de rendimiento empiezan a generar los resultados esperados y las medidas de seguridad empiezan a demostrar cómo los datos demuestran que la situación mejora generando la confianza que producen los gráficos y datos registrados que se basan en el funcionamiento real de las cosas. Es la gran diferencia de disponer de una seguridad basada en sensaciones a una seguridad basada en los datos reales recogidos. Es la forma que tenemos de demostrar a la Dirección que las cosas, en materia de seguridad de la información, se están haciendo de forma correcta: con hechos y no con palabras.

Trackbacks

  1. […] This post was mentioned on Twitter by Security Art Work, hackplayers. hackplayers said: Medición de un SGSI: diseñando el cuadro de mandos: La entrada de hoy es la segunda colaboración de Javier Cao, … http://bit.ly/ghyx8k […]