¿Está usted implementando un Plan de Seguridad adecuado para su Empresa? (Parte 1)

Según Kaplan y Norton, no se puede gestionar lo que no se puede medir y no se puede medir lo que no se puede describir; si trasladamos este enunciado a la Seguridad quedaría algo así como: "no se puede gestionar la Seguridad de nuestra empresa si implementamos controles de Seguridad que no pueden ser medibles".
Las buenas prácticas de la industria y regulaciones internacionalmente conocidas; como las leyes de Glinger-Cohen Act, the Government Performance and Results Act (GPRA), the Government Paperwork Elimination Act (GPEA) y the Federal Information Security Management Act (FISMA), requieren medir el desempeño de la seguridad de la información.
Para implementar estas mediciones podemos recurrir a varias guías de buenas prácticas disponibles, a modo de referencia menciono algunas: “Guide to Security Metrics” de SANS Institute, “Developing Metrics for Effective Information Security Governance” de John P. Pironti, “Security Metrics” de Andrew Jaquith, “Performance Measurement Guide for Information Security” de  NIST (National Institute of Standards and Technolgy) y el estándar ISO/IEC 27004:2009 Information Security Management Measurement .

¿Que son las métricas de la seguridad de la información?

La métrica de la seguridad de la información es el resultado de la colección, análisis y reporte de los datos colectados, los cuales reflejan la efectividad de la gestión y control de seguridad implementada, son usadas principalmente para facilitar la toma de decisiones, mejorar el rendimiento y precisión de la Seguridad de la Información.

• Las métricas pueden variar de acuerdo a la madurez, objetivos y metas de seguridad de cada organización.
  
• Las métricas funcionan como un GPS, nos indica exactamente dónde estamos y a cuanto estamos de nuestro destino
  

Seguir leyendo en CXO Parte 1
Seguir leyendo en CXO Parte 2