Indicadores y métricas
A efectos de poder realizar un seguimiento del grado de implementación del SGSI, se proponen a continuación algunos indicadores y métricas que permitirán cuantificar el avance de las actividades para alcanzar los objetivos planteados.
| Objetivo | Indicador | Métrica | Peso |
|---|---|---|---|
| ESTABLECER | |||
| Organización del SGSI definida y RRHH asignados. | 1- Existencia de estructura organizativa y RRHH designados. | 1.1- Resolución de la Dirección del Organismo donde se crea el área. 1.2- Resolución de la Dirección donde se designan las personas. | 10 |
| Documento de la Política de Seguridad de la Información. | 2- Políticas, procedimientos. | 2.1- Documento de Política 2.2- Procedimientos de primer nivel aprobados siendo íntegros, completos y apropiados*. | 10 |
| Activos Críticos identificados | 3- Identificación de los activos críticos de la organización. | 3.1- Mapa de procesos críticos y sus activos asociados, aprobado por los responsables, por todas las áreas de la organización y por la dirección. | 10 |
| Riesgos identificados. | 4-Identificación de los riesgos que afectan a los procesos y activos críticos. | 4.1- Mapa de Riesgos identificados. 4.2- Documento aprobado por la Dirección de la Organización. | 10 |
| IMPLEMENTAR | |||
| Planes de implementación de mejoras y controles en sistemas definidos. | 5- Definición de controles en función de los riesgos detectados y las mejoras en los sistemas | 5.1- Mejoras y controles definidos. Documento aprobado por Gerente de TI y Gerente de Auditoria. | 10 |
| Divulgar la PSI. | 6- Controlar la capacitación según jerarquías. | 6.1- Plan de capacitación definido. 6.2- Actas del Centro de Capacitación de la organización. Porcentaje de personas capacitadas, entrenadas y sensibilizadas. 6.3- Firma de acuerdo de confidencialidad. | 20 |
| CONTROLAR | |||
| Realizar auditorías y controles. | 7- Revisar el desempeño del sistema. | 7.1- Dos auditorías realizadas. | 15 |
| Mantenimiento del SGSI. | 8- Controlar que se cumpla el ciclo de mejora continua. Gestionar riesgos e incidentes. Implementar mejoras. | 8.1- Revisión de políticas y procedimientos.8.2- Revisión de activos y mapa de riesgos. (revisiones de acuerdo a lo establecido a la política) | 15 |
* Se entiende como íntegros que, siendo parte de un conjunto general de políticas y procedimientos, no se contradicen entre sí, completos porque abarcan todos los aspectos tratados en la norma y apropiados pues deben ser relevantes a la misión de la organización.
Podemos decir entonces que para completar cada etapa se requiere el cumplimiento de ciertos objetivos, y que el cumplimiento de cada objetivo puede medirse utilizando una métrica como la propuesta en la tabla.
De esta manera obtenemos para cada objetivo una medida de cumplimiento la cual puede ser expresada cuantitativa o cualitativamente.
A continuación, se presenta una posible asociación entre ambas medidas utilizando la escala de Likert para las medidas cualitativas.
| Nivel de cumplimiento de la métrica | Grado de cumplimiento de la métrica (%) | Medida cualitativa (escala de Likert) | Medida cuantitativa (peso o ponderación) |
|---|---|---|---|
| No cumple | 0% – 24 % | totalmente inadecuado | 0.2 |
| Cumple mínimamente | 25% – 49 % | inadecuado | 0.4 |
| Cumple parcialmente | 50% – 74% | indiferente | 0.6 |
| Cumple mayoritariamente | 75% – 99% | adecuado | 0.8 |
| Cumple totalmente | 100% | muy adecuado | 0.8 |
Finalmente, el avance global de la implementación del SGSI se podrá evaluar con la suma del grado de cumplimiento de las distintas etapas considerando las ponderaciones propuestas en la Tabla 2.
Para facilitar el entendimiento de la propuesta anterior, se adjunta un ejemplo en el anexo.