1.8.3 Métricas de Alineación Estratégica

Presentación del tema: "1.8.3 Métricas de Alineación Estratégica"— Transcripción de la presentación:

1 1.8.3 Métricas de Alineación Estratégica
El alineamiento estratégico de seguridad de la información en apoyo de los objetivos organizacionales es una meta altamente deseable aunque difícil de lograr. El mejor indicador general de que las actividades de seguridad están alineadas con los objetivos de negocios es una estrategia de seguridad que: Define Objetivos de seguridad en términos de negocios Ayuda a asegurar que los objetivos son directamente articulados desde la planificación a la implementación de políticas, estándares , procedimientos, procesos y tecnología. Directivas para el instructor: La alineación estratégica de la seguridad de la información en apoyo a los objetivos organizacionales es una meta altamente deseable que a menudo es difícil de alcanzar. Debe quedar claro que la rentabilidad de un programa de seguridad está vinculada inevitablemente a qué tan bien apoya los objetivos de la organización y a qué costo. Si no se cuenta con objetivos organizacionales que sirvan de punto de referencia, cualquier otra medida, incluso las llamadas mejores prácticas, puede ser innecesaria, inadecuada o mal dirigida. Desde el punto de vista del negocio, es probable que prácticas adecuadas y suficientes que sean proporcionales a los requerimientos resulten más rentables que las mejores prácticas. De igual forma es probable que una gerencia consciente de los costos las reciba mejor. Páginas de Referencia del Manual de Preparación al Examen: Pag. 45

2 1.8.3 Métricas de Alineación Estratégica
Indicadores de alineamiento: Un programa de seguridad que posibilita de manera comprobable las actividades específicas de negocio Actividades del negocio que no han sido ejecutadas o están retrasadas debido a una inadecuada capacidad para gestionar el riesgo Una organización de la seguridad que es receptiva a los requerimientos de negocio definidos Objetivos organizacionales y de seguridad que están definidos y son claramente entendidos por parte de todos los involucrados en la seguridad y las actividades de aseguramiento relacionadas Programas de seguridad que se correlacionan con los objetivos organizacionales y la dirección ejecutiva ha validado dicha correlación Un comité directivo de seguridad conformado por ejecutivos clave y cuenta con estatutos para garantizar la continua alineación de las actividades relacionadas con la seguridad y la estrategia de negocio Directivas para el instructor: Páginas de Referencia del Manual de Preparación al Examen: Pág. 45

3 1.8.4 Métricas de gestión de riesgos
Las Métricas de Gestión de Riesgos son importantes para el ISM, ya que el objetivo final de todas las tareas de seguridad de información es optimizar los niveles de riesgos. Los indicadores de una gestión de riesgos apropiada pueden incluir: Un apetito de riesgo definido de la organización Estrategia y programa integrales de seguridad Objetivos de mitigación definidos para riesgos significativos identificados Procesos sistemáticos y continuos de gestión de riesgos Información de tendencias Planes probados de continuidad del negocio / recuperación ante desastres Integridad de la valuación de activos y cesión de propiedad Evaluaciones de impactos al negocio (BIAs) de todos los procesos críticos de negocio Directivas para el Instructor: Existe un capítulo entero dedicado a la administración de riesgos, pero es importante comprender la relación que tiene con el gobierno. Páginas de Referencia del Manual de Preparación al Examen: Pag

4 1.8.5 Métricas de la Entrega de Valor
La entrega de valor ocurre cuando las inversiones en seguridad se optimizan para respaldar los objetivos de la organización. Los indicadores clave (KGI y KPI) son utilizados para demostrar la generación de valor. Directivas para el instructor: La entrega de valor es una función de alineación de la estrategia de los objetivos de seguridad; en otras palabras, cuando un caso de negocio se puede realizar de modo convincente para todas las actividades de seguridad. Se tiene niveles óptimos de inversión cuando se alcanzan las metas estratégicas para la seguridad y se logra una postura de riesgo aceptable al menor costo posible. Páginas de Referencia del Manual de Preparación al Examen: Pg. 46.

5 1.8.5 Métricas de la Entrega de Valor
KPIs y KGIs pueden crearse para mostrar: Las actividades de seguridad que estén diseñadas para alcanzar objetivos estratégicos definidos El costo de la seguridad es proporcional al valor de los activos Los recursos de seguridad que sean distribuidos con base en el grado de riesgo valorado y el posible impacto Los costos de protección sean consolidados como una función de ingresos o valuación de activos Los controles que estén bien diseñados con base en objetivos de control definidos y se utilizan en su totalidad Un número adecuado y apropiado de controles para alcanzar los niveles de riesgo e impacto aceptable Directivas para el instructor: Páginas de Referencia del Manual de Preparación al Examen: Pag. 46

6 1.8.5 Métricas de la Entrega de Valor
KPIs y KGIs pueden crearse para mostrar: La eficacia de los controles se determina a partir pruebas periódicas Las políticas establecidas que requieren que todos los controles se reevalúen con regularidad para determinar su costo, cumplimiento y efectividad La utilización de controles; los controles que rara vez se usan difícilmente serán rentables El número de controles para alcanzar niveles aceptables de riesgo e impacto; se puede esperar que un número menor de controles efectivos sea más rentable que un número mayor de controles menos eficaces La efectividad de los controles que se haya determinado a partir de las pruebas; es poco probable que los controles marginales sean rentables Directivas para el instructor: Páginas de Referencia del Manual de Preparación al Examen: Pag. 46

7 1.8.6 Métricas de gestión de recursos
Administración de recursos de seguridad de la información Procesos de planeación, asignación y control de los recursos de seguridad de la información Incluye personal, procesos y tecnologías, para mejorar la eficiencia y la efectividad de las soluciones de negocio Directivas para el instructor: Tal como sucede con otros activos y recursos de la organización, deben administrarse de manera apropiada. El conocimiento debe recopilarse, difundirse y estar disponible cuando se requiera. Brindar múltiples soluciones a un mismo problema resulta, sin duda, ineficiente y es indicio de una falta de administración de recursos. Los controles y los procesos deben estandarizarse cuando sea posible a fin de reducir los costos administrativos y de capacitación. De igual forma, tanto los problemas como las soluciones deben estar bien documentados, referenciados y disponibles. Páginas de Referencia del Manual de Preparación al Examen: Págs. 46

8 1.8.6 Métricas de gestión de recursos
Entre los indicadores que denotan una gestión de recursos eficiente se encuentran los siguientes: Es poco frecuente que se vuelva a identificar un problema La recopilación y difusión del conocimiento es eficiente La medida en que los procesos relativos a seguridad están estándarizados Los roles y las responsabilidades están claramente definidos para las áreas de seguridad de la información Las funciones de seguridad de la información están incluidas en cada plan de proyecto Porcentaje de activos de información y sus respectivas amenazas correctamente dirigidos por actividades de seguridad La debida ubicación organizacional, nivel de autoridad y número de personal para el área de seguridad de la información Directivas para el instructor: Páginas de Referencia del Manual de Preparación al Examen: Pag. 46

9 1.8.7 Medición del desempeño
La medición, monitoreo y presentación de información sobre los procesos de seguridad de la información es un requerimiento para garantizar que se alcancen los objetivos de la organización. Métodos para monitorear eventos relativos a seguridad a lo largo de toda la organización deben ser desarrollados. Entre los tipos más frecuentes de medidas de desempeño son: Métricas que entregan una señal del desempeño de la maquinaria de seguridad Directivas para el instructor: “No puedes administrar lo que no puedes medir.” Páginas de Referencia del Manual de Preparación al Examen: Pag. 47

10 1.8.7 Medición del desempeño
Los indicadores para una medición efectiva del desempeño podrían incluir los siguientes: El tiempo que toma la detección y la notificación de incidentes relacionados con la seguridad El número y la frecuencia de incidentes no notificados que se hayan identificado con posterioridad La realización de pruebas comparativas (benchmarking) de costos y efectividad de organizaciones comparables La capacidad para determinar la eficacia / eficiencia de los controles Indicaciones claras de que se están cumpliendo los objetivos de la seguridad Directivas para el instructor: Páginas de Referencia del Manual de Preparación al Examen: Pag. 47.

11 1.8.7 Medición del desempeño
Los indicadores para una medición efectiva del desempeño podrían incluir los siguientes: La ausencia de incidentes inesperados relacionados con la seguridad Conocimientos de las amenazas inminentes Medios eficaces para determinar las vulnerabilidades de la organización Métodos para monitorear los riesgos cambiantes Consistencia en las prácticas de revisión de logs Resultados de las pruebas a los planes de continuidad de negocio (BCP)/recuperación de desastre (DR) Directivas para el instructor: Páginas de Referencia del Manual de Preparación al Examen: Pag. 47

12 1.8.8 Integración del proceso de aseguramiento (convergencia)
El ISM debe hacer lo posible para integrar las funciones de aseguramiento para: Aumentar la eficacia de la seguridad Reducir la duplicación de esfuerzos Minimizar las brechas en la protección Directivas para el instructor: Páginas de Referencia del Manual de Preparación al Examen: Pag. 47.