Medida de las métricas
Debido a que dependiendo del avance de implementación de un SGSI y de la experiencia que tenga el personal asignado, podrá ser más simple o menos complejo el determinar la medida de las diferentes métricas. Se propone la siguiente tabla que consta de un conjunto de preguntas que pueden ayudar al establecimiento de la medida para cada métrica, teniendo en cuenta que, si se quiere comparar varias organizaciones entre ellas, deberá utilizarse el mismo cuestionario.
| Métrica | Cuestionario | Respuesta | Peso o ponderación |
|---|---|---|---|
| ESTABLECER | |||
1.1- Resolución de la Dirección del Organismo donde se crea el área. 1.2- Resolución de la Dirección donde se designan las personas. | 1- ¿En la organización hay alguien impulsando las temáticas de seguridad de la información? | NO ni SI ni NO SI | 0 5/9 10/9 |
| 2- ¿El impulsor tiene llegada directa a la dirección? | NO ni SI ni NO SI | 0 5/9 10/9 | |
| 3- ¿La dirección ha participado de reuniones por esta temática? | NO ni SI ni NO SI | 0 5/9 10/9 | |
| 4- ¿La dirección ha demostrado preocupación por la seguridad de la información? ¿La dirección entiende las necesidades de capacitar RH de la organización para llevar adelante el SGSI? | NO ni SI ni NO SI | 0 5/9 10/9 | |
| 5- ¿La dirección está trabajando en la preparación de las resoluciones para la creación del área y asignación de personal? | NO ni SI ni NO SI | 0 5/9 10/9 | |
| 6- ¿La dirección ha entendido los riesgos y los ha asumido o ha encaminado mecanismos para mitigarlos? | NO ni SI ni NO SI | 0 5/9 10/9 | |
| 7- ¿Se ha realizado alguna consultoría externa para evaluar la seguridad de la información en la organización? | NO ni SI ni NO SI | 0 5/9 10/9 | |
| 8- ¿Alguna consultora externa ha recomendado establecer un SGSI? | NO ni SI ni NO SI | 0 5/9 10/9 | |
| 9- ¿La dirección se ha reunido internamente para evaluar la implementación de un SGSI? | NO ni SI ni NO SI | 0 5/9 10/9 | |
2.1- Documento de Política aprobado por la Dirección. 2.2- Procedimientos de primer nivel aprobados siendo íntegros, completos y apropiados. | 1- ¿Existe una planificación para establecer políticas de seguridad de la información a nivel global? | NO ni SI ni NO SI | 0 5/9 10/9 |
| 2- ¿Las políticas se han comenzado a documentar? | NO ni SI ni NO SI | 0 5/9 10/9 | |
| 3- ¿La documentación de las políticas abarca todas las áreas de seguridad? (incluyendo física, lógica,….) | NO ni SI ni NO SI | 0 5/9 10/9 | |
| 4- ¿La documentación de políticas cuenta con información de versionado, ha sido revisada y aprobada por el responsable de su definición? | NO ni SI ni NO SI | 0 5/9 10/9 | |
| 5- ¿La documentación ha sido presentada a la dirección? | NO ni SI ni NO SI | 0 5/9 10/9 | |
| 6- ¿La dirección ha confirmado entender que su revisión y aprobación es imprescindible para llevar adelante este proceso en la organización? | NO ni SI ni NO SI | 0 5/9 10/9 | |
| 7- ¿Existe una planificación para la definición y elaboración de los procedimientos? | NO ni SI ni NO SI | 0 5/9 10/9 | |
| 8- ¿Se han definido los procedimientos de primer nivel? ¿Han sido documentados? | NO ni SI ni NO SI | 0 5/9 10/9 | |
| 9- ¿Se han revisado teniendo en cuenta su integridad, completitud y adecuación? | NO ni SI ni NO SI | 0 5/9 10/9 | |
| 3.1- Mapa de procesos críticos y/o activos críticos, aprobado por los responsables, por todas las áreas involucradas de la organización en el SGSI y por la Dirección. | 1- ¿La dirección alguna vez ha encaminado un relevamiento de procesos críticos y/o activos críticos (mapa de procesos - activos)? | NO ni SI ni NO SI | 0 5/8 10/8 |
| 2- ¿Dicho relevamiento se encuentra documentado? | NO ni SI ni NO SI | 0 5/8 10/8 | |
| 3- ¿Se cuenta con un catálogo de servicio de la organización documentado? | NO ni SI ni NO SI | 0 5/8 10/8 | |
| 4- ¿Se encuentra en conocimiento de las gerencias que componen la organización? | NO ni SI ni NO SI | 0 5/8 10/8 | |
| 5- ¿Se entiende necesario tener la certeza de que las gerencias de la organización deben estar en conocimiento del mapa de procesos críticos y/o activos asociados? | NO ni SI ni NO SI | 0 5/8 10/8 | |
| 6- ¿Se cuenta con un organigrama actualizado de la organización? | NO ni SI ni NO SI | 0 5/8 10/8 | |
| 7- ¿Se ha definido un mecanismo para confirmar que las gerencias están en conocimiento? | NO ni SI ni NO SI | 0 5/8 10/8 | |
| 8- Para el caso de que el SGSI abarque en forma parcial a la organización: ¿Está planificado poner en conocimiento los procesos y/o activos identificados al resto de los mandos de la organización? | NO ni SI ni NO SI | 0 5/8 10/8 | |
| 4.1- Mapa de Riesgos identificados. Documento aprobado por la Dirección de la Organización. | 1- ¿Se cuenta con personal capacitado para la realización de un análisis de riesgos? | NO ni SI ni NO SI | 0 5/9 10/9 |
| 2- ¿Se ha definido un grupo de trabajo estable para llevar adelante el análisis? | NO ni SI ni NO SI | 0 5/9 10/9 | |
| 3- ¿Se ha contratado a una empresa externa para realizar el análisis de riesgos? ¿Se cuenta con un análisis de riesgo previo? | NO ni SI ni NO SI | 0 5/9 10/9 | |
| 4- Entre el personal afectado al análisis, ¿se encuentra personal con un conocimiento profundo del negocio, procesos críticos y activos asociados? | NO ni SI ni NO SI | 0 5/9 10/9 | |
| 5- ¿Se ha definido un plan de trabajo? | NO ni SI ni NO SI | 0 5/9 10/9 | |
| 6- ¿Se ha definido una metodología para cuantificar los riesgos? | NO ni SI ni NO SI | 0 5/9 10/9 | |
| 7- ¿La metodología elegida ha sido aprobada por la dirección? | NO ni SI ni NO SI | 0 5/9 10/9 | |
| 8- ¿Cómo parte del análisis se ha incluido la identificación de amenazas, vulnerabilidades e impacto? | NO ni SI ni NO SI | 0 5/9 10/9 | |
| 9- ¿Se han definido acciones para los diferentes niveles de riesgo (aceptarlo, mitigarlo, etc.)? | NO ni SI ni NO SI | 0 5/9 10/9 | |
| IMPLEMENTAR | |||
| 5.1- Mejoras y controles definidos. Documento aprobado por Gerente de TI y Gerente de Auditoria. | 1- ¿Se han identificado los procesos y activos que requieren algún tipo de mejora o control? | NO ni SI ni NO SI | 0 5/10 10/10 |
| 2- ¿Se han documentado las mejoras? | NO ni SI ni NO SI | 0 5/10 10/10 | |
| 3- ¿Se ha contactado a la gerencia de TI anticipadamente informando de esta iniciativa de mejora? | NO ni SI ni NO SI | 0 5/10 10/10 | |
| 4- ¿La gerencia de TI ha participado en la elaboración de los planes de mejora? | NO ni SI ni NO SI | 0 5/10 10/10 | |
| 5- ¿La gerencia de TI entiende la necesidad de realizar las mejoras propuestas? ¿ha entendido importante destinar RRHH Y RRMM a las mismas? | NO ni SI ni NO SI | 0 5/10 10/10 | |
| 6- ¿Existe un mapa de aplicaciones que relacione los procesos del negocio con los sistemas e infraestructura de TI? | NO ni SI ni NO SI | 0 5/10 10/10 | |
| 7- ¿La gerencia de Auditoría ha llevado adelante en el pasado revisiones de seguridad? | NO ni SI ni NO SI | 0 5/10 10/10 | |
| 8- ¿La gerencia de Auditoría ha participado en la elaboración de los planes de mejora? | NO ni SI ni NO SI | 0 5/10 10/10 | |
| 9- ¿Se elaboró un plan futuro de controles? | NO ni SI ni NO SI | 0 5/10 10/10 | |
| 10- ¿La gerencia de Auditoría tiene personal capacitado o prevista la contratación de servicios externos para llevar adelante las auditorías técnicas? | NO ni SI ni NO SI | 0 5/10 10/10 | |
6.1- Plan de capacitación definido. 6.2- Actas del Centro de Capacitación de la organización. Porcentaje de personas capacitadas, entrenadas y sensibilizadas. 6.3- Firma de acuerdo de confidencialidad. | 1- ¿Se han identificado y clasificado las necesidades en cuanto a capacitación en seguridad en la organización? | NO ni SI ni NO SI | 0 10/10 20/10 |
| 2- ¿Se han definido los objetivos de la capacitación en seguridad en la organización? | NO ni SI ni NO SI | 0 10/10 20/10 | |
| 3- ¿Se tiene un presupuesto reservado para la capacitación en seguridad? | NO ni SI ni NO SI | 0 10/10 20/10 | |
| 4- ¿Se definió el temario, contenido, agenda e instructores de la capacitación en seguridad? | NO ni SI ni NO SI | 0 10/10 20/10 | |
| 5- ¿El temario de la capacitación en seguridad fue aprobado por la dirección de la organización? | NO ni SI ni NO SI | 0 10/10 20/10 | |
| 6- ¿Se hizo público de alguna forma dentro de la organización la existencia de capacitación en seguridad? | NO ni SI ni NO SI | 0 10/10 20/10 | |
| 7- ¿La capacitación tiene en cuenta los distintos roles de los miembros dentro de la organización? | NO ni SI ni NO SI | 0 10/10 20/10 | |
| 8- ¿Ya se elaboró el material con el que se brindara la capacitación en seguridad? | NO ni SI ni NO SI | 0 10/10 20/10 | |
| 9- ¿Se definió la forma en que se evaluara a los miembros de la organización en cuanto a la comprensión de la capacitación brindada? | NO ni SI ni NO SI | 0 10/10 20/10 | |
| 10- ¿Existe un acuerdo de confidencialidad estándar aprobado por la dirección y por las áreas legales de la organización? | NO ni SI ni NO SI | 0 10/10 20/10 | |
| CONTROLAR | |||
| 7.1- Dos auditorías. (Auditorías realizadas por la GSI) | 1- ¿Existe planificación para realizar auditorías con el fin de controlar el SGSI? | NO ni SI ni NO SI | 0 7/3 15/3 |
| 2- ¿Se cuenta con recursos humanos para llevar a cabo las mismas? | NO ni SI ni NO SI | 0 7/3 15/3 | |
| 3- ¿Existe personal capacitado? | NO ni SI ni NO SI | 0 7/3 15/3 | |
| MANTENER | |||
8.1- Revisión de políticas y procedimientos. 8.2- Revisión de activos y mapa de riesgos. | 1- ¿Se ha establecido un plan para la revisión de políticas y procedimientos? | NO ni SI ni NO SI | 0 7/8 15/8 |
| 2- ¿Se cuenta con la documentación suficiente para comenzar a gestionar los riesgos? | NO ni SI ni NO SI | 0 7/8 15/8 | |
| 3- ¿Existe planificación para la gestión de riesgos? | NO ni SI ni NO SI | 0 7/8 15/8 | |
| 4- ¿Se ha definido un software para la gestión de incidentes? | NO ni SI ni NO SI | 0 7/8 15/8 | |
| 5- ¿Se ha definido qué significa un incidente de seguridad para la organización? | NO ni SI ni NO SI | 0 7/8 15/8 | |
| 6- ¿Se ha definido qué significa un evento de seguridad para la organización? | NO ni SI ni NO SI | 0 7/8 15/8 | |
| 7- ¿Se han clasificado los diferentes tipos de incidentes de seguridad? | NO ni SI ni NO SI | 0 7/8 15/8 | |
| 8- ¿Se cuenta con personal capacitado para la gestión de incidentes? | NO ni SI ni NO SI | 0 7/8 15/8 | |
Nota: La ponderación propuesta para cada respuesta es lineal respecto a la cantidad de preguntas para cada objetivo (ver tabla 2), correspondiéndose con la fracción de <ponderación-del-objetivo> / <cantidad-de-preguntas-para-el-objetivo> a fin de obtener la ponderación máxima del objetivo al responder afirmativamente todas las preguntas del cuestionario.