Medir....¿para qué? (mejora continua)
Cada vez es más común el viejo axioma que dice “no se puede mejorar lo que no se puede medir”. Afortunadamente este criterio utilizado en gran parte de los ámbitos de las organizaciones (contable-financiero, producción, ventas, etc.) está llegando también al ámbito de los Sistemas de Información en general y a la seguridad en particular.
El tradicional criterio utilizado para la toma de decisiones basado en la experiencia, el criterio (¿olfato?) de los responsables de las áreas tecnológicas, presiones externas o motivaciones puramente comerciales (la mejor herramienta del mercado “por si acaso”), están dando paso a basar la gestión en criterios cuantificables, medibles, comparables o contrastables que permitan analizar, valorar y comparar de manera objetiva.
Para ello es imprescindible disponer de la información que permita dar respuesta a preguntas básicas pero a la vez fundamentales como ¿cuál es la eficacia de nuestro sistema de seguridad?. ¿cuál es la eficiencia de dichos Sistema?, ¿Conocemos el nivel de madurez de nuestro sistema de seguridad? ¿y su nivel de Calidad?, ¿Existe la posibilidad que nuestros sistemas críticos queden fuera de servicio? ¿por qué?.
La información que va a permitir dar respuesta a estas y muchas otras preguntas en el ámbito de la gestión de la seguridad son los indicadores y métricas de seguridad, cada vez más populares gracias, entre otros, al estándar ISO 27001 que contempla como uno de sus requisitos la necesidad de medir la eficacia de los controles para verificar el cumplimiento de los requisitos de seguridad.
Así pues, conocida la realidad, sabiendo lo que está sucediendo en materia de seguridad y, en definitiva midiendo la seguridad se estará en disposición de tomar las decisiones oportunas en el momento idóneo gestionando de forma proactiva (antes que se produzcan situaciones y/o escenarios no deseados) la seguridad de nuestra información.
Por tanto, para resolver la incógnita planteada al inicio de estas líneas, muchos coincidiremos en que la medición nos va a llevar a la mejora continua.
Fuente: http://blog.s21sec.com/2007/10/medirpara-qu.html
El tradicional criterio utilizado para la toma de decisiones basado en la experiencia, el criterio (¿olfato?) de los responsables de las áreas tecnológicas, presiones externas o motivaciones puramente comerciales (la mejor herramienta del mercado “por si acaso”), están dando paso a basar la gestión en criterios cuantificables, medibles, comparables o contrastables que permitan analizar, valorar y comparar de manera objetiva.
Para ello es imprescindible disponer de la información que permita dar respuesta a preguntas básicas pero a la vez fundamentales como ¿cuál es la eficacia de nuestro sistema de seguridad?. ¿cuál es la eficiencia de dichos Sistema?, ¿Conocemos el nivel de madurez de nuestro sistema de seguridad? ¿y su nivel de Calidad?, ¿Existe la posibilidad que nuestros sistemas críticos queden fuera de servicio? ¿por qué?.
La información que va a permitir dar respuesta a estas y muchas otras preguntas en el ámbito de la gestión de la seguridad son los indicadores y métricas de seguridad, cada vez más populares gracias, entre otros, al estándar ISO 27001 que contempla como uno de sus requisitos la necesidad de medir la eficacia de los controles para verificar el cumplimiento de los requisitos de seguridad.
Así pues, conocida la realidad, sabiendo lo que está sucediendo en materia de seguridad y, en definitiva midiendo la seguridad se estará en disposición de tomar las decisiones oportunas en el momento idóneo gestionando de forma proactiva (antes que se produzcan situaciones y/o escenarios no deseados) la seguridad de nuestra información.
Por tanto, para resolver la incógnita planteada al inicio de estas líneas, muchos coincidiremos en que la medición nos va a llevar a la mejora continua.
Fuente: http://blog.s21sec.com/2007/10/medirpara-qu.html


0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!