ISO 27001

ISO 27001: El Cuadro de Mando de la Seguridad en TI

ISO 27001

Sistema de Gestión de Seguridad de la Información

La norma ISO 27001 nos ofrece los requisitos necesarios para poder implementar con éxito un Sistema de Gestión de Seguridad de la Información en las organización, no obstante debemos tener en cuenta muchas más opciones.

Medir el desempeño es uno de los procesos fundamentales de las organización, bien sea en el ámbito corporativo, de tecnología de la información o de la seguridad TI.

Uno de los principales instrumentos que se ha adoptado por muchas organizaciones es el Balanced Scorecard (BSC), que se puede entender en español como Cuadro de Mando.

El Cuadro de Mando mide el desempeño de las organizaciones en el futuro. Se motiva gracias a la crecían de que los sistemas de medición del desempeño que han sido utilizados hasta ese momento se han quedado obsoletos, ya que se encuentran orientados a los indicadores financieros.

El cuadro de mando incluye un esquema de medición que tiene en consideración cuatro perspectivas diferentes para el desempeño de las organizaciones:

  • La perspectiva financiera: mide el desempeño de la organización que se encuentra basado en los indicadores económicos establecidos por la gerencia. Los indicadores se relacionan de una alguna forma con todos los aspectos de utilidad, de rendimiento sobre las inversiones y sobre la protección de la información, donde entra la norma ISO 27001.
  • La perspectiva de clientes: ofrece mediciones sobre diferentes aspectos que se encuentran relacionados con los clientes de la organización, como puede ser el nivel de satisfacción de dicho clientes, la retención de clientes, los nuevos clientes, etc.
  • La perspectiva de procesos: facilita la identificación y la medición de los procesos en los que la organización puede generar un incremento del desempeño. Todos los procesos que se encuentran relacionados con los servicio a los clientes, como puede ser la satisfacción de dichos clientes también influye mucho la seguridad de la información, es decir, la norma ISO 27001.
  • La perspectiva de aprendizaje y crecimiento: se tratan las infraestructuras de la organización, ya que deben asegurar una mejora y un crecimiento a largo plazo. Todas las mediciones de las tres perspectivas anteriores puede generar brechas, por lo que el fin que persigue BSC junto a la norma ISO 27001 es la eliminación de dichas brechas, optimizando los sistemas y alineando los procedimientos con las rutinas de trabajo.

Una de las principales aportaciones más importantes del Sistema de Gestión de Seguridad de la Información junto a Balanced Scorecard es que ofrece la perspectiva del conjunto de aspectos más importantes de la organización. Todos los directivos responsables que pueden generar información sobre los diferentes indicadores de la organización son utilizados para fundamentar las decisiones.

Otra característica muy importante es que facilita la relación de los planes de negocio corporativos con el objetivo departamental y con los objetivos de desempeño individual de los colaboradores.

Se ha desarrollado un modelo de cuadro de mando para la tecnología de la información, teniendo como base las cuatros perspectivas que hemos mencionado antes y adaptándolas a una función de tecnología de la información.

El modelo se encuentra compuesto por las siguientes perspectivas:

 

Uno de los componentes de mayor importancia para un Sistema de Cuadro de Mando es el conjunto de indicadores que facilitan el desempeño y los logros de los procesos de trabajo.

Se propone una estructura y una serie de indicadores que miden la tecnología de la información. La describimos a continuación:

  • Indicadores clave del desempeño (KPI): estos indicadores definen todas las medidas de desempeño de los procesos de TI en función de su funcionamiento y operación se puede considerar indicadores clave el desempeño a los procesos que manifieste los resultados del negocio. Dichos indicadores pueden representar muchos criterios que habilitan el proceso de alcanzar las metas, como puede ser: Capacidades, prácticas y habilidades.
  • Indicadores clave de logros (KGI): definen todas las medidas que facilitan la determinación de un proceso de TI que satisface los requisitos del negocio, utilizando la generación de un producto específico. Los indicadores clave de logros se pueden clasificar como indicadores Lag, ya que se miden después de que los resultados del negocio hayan salido a la luz. Por lo que ofrecen una evaluación concreta sobre el logro de una meta, aunque se puede hacer a posteriori no existe una capacidad de reacción con el caso anterior. Se pueden expresar según los siguientes criterios: disponibilidad de la información, ausencia de riesgos, eficiencia de costos y confirmación de confiabilidad.
  • Factores críticos de éxito (FCE): se representan en el mismo concepto  que todos los factores críticos de éxito mencionado en la sección de alineamiento estratégico, pero aun nivel mucho más operativo. Se pueden definir las acciones más importantes para la organización, como puede ser la búsqueda de control durante sus procesos TI. Se encuentran originados a que la empresa identifique los aspectos de mayor importancia que se encuentran relacionado con la estrategia, la tecnología, la organización, los procesos y los recursos humanos relacionados con la TI.

En la siguiente figura podemos ver la relación que existe entre los diferentes indicadores que hemos mencionado:

Software para ISO 27001

El Software ISOTools Excellence 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa. Toda protección es importante, por mínima que sea, pues el mínimo descuido puede ocasionar una violación de los datos de la misma.

Descargue el e-book fundamentos de gestión de Seguridad de la Información
Recibe Nuestra Newsletter
New Call-to-action
Nueva llamada a la acción
Volver arriba