ADACSI Workshop de métricas de Seguridad
de Seguridad
ADACSI – 2 de diciembre de 2014
Objetivos del workshop
Aprender y comprender:
• Cómo aplicar a la seguridad de la información
conceptos generales de gestión (por ejemplo,
sistema de gestión, política y objetivos, mejora
continua, tablero de comando).
• La necesidad de medir la eficacia de los controles
de seguridad.
• La distinción entre métricas tácticas yestratégicas.
• La metodología de tablero de comando balanceado
(BSC) para definir y establecer las métricas tácticas
y estratégicas en la propia organización.
(c) Porto, Trentalance, Antúnez y Asociados, 2014.
1
1. Medición de la gestión en una
organización
• Términos y definiciones de Sistemas de
Gestión
• Ciclo PDCA de Mejora Continua
• Tableros de Comando (Balanced
Scorecards)
• Métricas tácticas vs estratégicas
Sistemas de Gestión (SG)
• Gestión: actividades coordinadas para
dirigir y controlar una organización.
• Sistema: conjunto de elementos
mutuamente relacionados o que
interactúan.
• Sistema de gestión: sistema para
establecer la política y los objetivos y
lograr dichos objetivos.
ISO 9000:2005
(c) Porto, Trentalance, Antúnez y Asociados, 2014.
2
Política yobjetivos
(alias estrategia y táctica)
• Política: intenciones globales y orientación de
una organización relativas a la gestión tal como
se expresan formalmente por la alta dirección.
• Objetivo: algo ambicionado, o pretendido,
relacionado con la gestión
Objetivos alineados
con la política
Punto de
partida
Objetivo
desalineado con la
política
Política
Ciclo PDCA de Mejora Continua
Mejora ContinuaPartes
Partes
P
Interesadas
Interesadas
Plan
D
Do
Act
A
Requisitos y
Expectativas
Check
Seguridad
de Seguridad
C
Información
de la
Información
de la
Gestionada
(c) Porto, Trentalance, Antúnez y Asociados, 2014.
3
Sistema de Gestión de Seguridad de la
Información (SGSI)
SGSI: Es la parte del sistema global de gestión,
basada en un enfoque de riesgos empresariales,
paraestablecer, implementar, operar, monitorear,
revisar, mantener y mejorar la seguridad de la
información.
Nota: El sistema de gestión incluye la estructura
organizacional, políticas, actividades de
planificación, responsabilidades, prácticas,
procedimientos, procesos y recursos.
ISO 27001:2005, cláusula 3.7
Lógica del Planeamiento Estratégico
Misión
Visión
Perspectivas estratégicas
Temas estratégicos yresultados
OBJETIVOS (S.M.A.R.T.)
Mapa estratégico
Métricas de desempeño y metas
• Specific / Específico
• Measurable / Medible
• Achievable / Alcanzable
• Relevant / Relevante
• Time-bound / Atado al
Tiempo, Oportuno.
Iniciativas estratégicas
(c) Porto, Trentalance, Antúnez y Asociados, 2014.
4
Métricas del negocio
• Están expresadas en forma de tiempo o de dinero. Este es
el “lenguaje” queentienden los inversores, accionistas y
ejecutivos.
• Se entienden en la organización. Las unidades funcionales
de la organización saben evaluar las métricas e interpretar las
acciones que deben realizar.
• Se prestan fácilmente al benchmarking. Son medidas
consistentemente a lo largo de la industria.
• Se las calcula mecánicamente. Por lo tanto, son fáciles de
obtener.
• Ejemplos: rotación deinventario, costo de flete por kilómetro,
costo de depósito por metro cuadrado, ARPU o Average
Revenue per User.
Andrew Jaquith, “Security Metrics: replacing FUD”
No basarse sólo en el pasado
• Los indicadores principales de rendimiento
de una empresa no se pueden encontrar
exclusivamente en los datos financieros.
• La calidad, la satisfacción del cliente, la
innovación, la participación enel
mercado, medidas de este tipo a menudo
reflejan la situación económica de una
empresa y sus perspectivas de crecimiento
mejor que los beneficios contabilizados.
(c) Porto, Trentalance, Antúnez y Asociados, 2014.
5
Tablero de Comando Balanceado
(Balanced Score Card)
BSC: herramienta que muestra el conocimiento,
habilidades, y sistemas que los empleados necesitarán
(sus aprendizajes y...
Regístrate para leer el documento completo.