1 147 Table of Contents 149 268

seguritecnia 428

148 SEGURITECNIA Febrero 2016 Artículo Técnico mente determinar, mediante las ����� meto dologías que se establezcan, a qué ries� gos atender (identificación), con qué prioridades (estimación) y con qué me� dios (tratamiento). Hay mucho escrito sobre diferentes formas de realizar los análisis de ries� gos necesarios para la planificación de la seguridad, pero quizá no tantos sobre otro de los aspectos que la ISO 31000 propone a la gestión de la segu� ridad y que afecta al módulo de Medir o Verificar ( Check ), denominado “Segui� miento y Revisión” en el esquema de la figura 2. Medir el proceso Sin duda, medir un proceso es la única forma de poder saber si se está reali� zando bien o si evoluciona correcta� mente. De la medición o verificación, además de obtenerse los datos nece� sarios para la continuidad del ciclo de mejora continua de Deming, también se obtienen una serie de “productos” de gran utilidad para las organizacio� nes de seguridad de las empresas; en� tre otros: Determinación y estimación de cumplimiento de objetivos del de� partamento de Seguridad. Capacidad de presentar informes a la dirección general, comparativos anualmente, para estimar la efica� cia y eficiencia de los recursos des� tinados. Evaluación del desempeño de dele� gaciones geográficas y de su evolu� ción en el tiempo. Comparación de resultados de di� ferentes delegaciones o estableci� mientos para aprender de las mejo� res prácticas ( benchmarking ). Cuevavaliente Ingenieros, en su ac� tividad habitual de consultoría, ha te� nido la oportunidad de ayudar a im� plantar sistemas de medición (métrica) en grandes y medianas corporaciones, tanto en España como en Iberoamé� rica, ya sea como parte del trabajo de implantar un sistema de gestión ba� sado en la ISO 31000 o como metodo� logía aislada y con sentido en sí misma. De esta experiencia nos atrevemos a resaltar la vital importancia que tiene la implantación de una métrica en cual� quier departamento de Seguridad, in� dependientemente del tamaño de la organización a la que sirva. También desde esta experiencia creemos que la estructura del sistema de métrica a considerar debe contener, al menos, las siguientes “familias” de parámetros a medir: 1. De resultados. 2. De realización de proyectos. 3. De estado de las medidas dispues� tas (madurez). 4. De desempeño. 1. Los parámetros a considerar de los resultados se refieren a los deriva� dos de la pura eficacia: medición de la pérdida desconocida, número de incidentes, hurtos internos, denun� cias a la policía, etc. Es decir, el valor de lo “recuperado” tras la inversión o el gasto en seguridad. 2. La métrica de realización de pro- yectos es, como en el caso anterior, sencilla de implementar. Se basa en medir el cumplimiento en costes y plazos de los proyectos que se ha� yan decidido realizar en el año: im� plantación de protección perimetral, renovación de los contratos de vigi� lancia, implantación de nuevos pro� cedimientos, etc. 3. La medición del estado de las me- didas dispuestas es un caso claro de aprovechamiento de las prácticas habituales en otras disciplinas, en este caso del sector muy próximo de la ciberseguridad. Para ello se está utilizando una adecuación de la metodología CMM ( Cobit Maturity Model ), que permite medir la ma� durez de las medidas de seguridad según seis niveles, de cero a cinco: Inexistente, Inicial, Definido, Repeti� ble, Gestionado y Optimizado. Esta metodología se ha adaptado a las medidas de seguridad “físicas” (siste� mas de seguridad, vigilancia, proce� dimientos, etc.) 4. Finalmente, los parámetros de des- empeño también se han desarro� llado para la operación de la seguri� dad, donde se miden los propios pa� rámetros de los acuerdos de servicio con proveedores exteriores (insta� laciones, mantenimientos, vigilan� cia, CRA, etc.) más los propios pro� cesos internos (la seguridad como proveedor interno en una empresa), como tiempos de acceso de visitan� tes, tiempo de realización de infor� mes, etc. La tarea de establecer una métrica de seguridad en una organización im� plica que su departamento de Seguri� dad conozca muy bien sus objetivos, condicionantes, estructura, naturaleza del negocio al que sirven, etc. Es decir, una participación muy activa de la di� rección de Seguridad. En cuanto a los asesores, lo que se debe reclamar de ellos es experiencia de casos similares, especialización en la metodología y, sobre todo, indepen� dencia de otros intereses o servicios de seguridad fuera del asesoramiento. Bibliografía G. L. Govacich, E.P.Halibozek: Security Metrics Management . Butterworth- Heinemann, 2006. ISO 31000. Risk Mangement- Principles and Guidelines on Implementation . ISO, noviembre de 2009. A. Bilbao, E. Bilbao, K. Peciña: Physical and Logical Security Management Or- ganization Model based on ISO 31000 and ISO 27001 . Proceedings ICCST. Mataró, octubre de 2011. A. Bilbao: La gestión de la seguridad, ¿se puede medir? . Revista de Seguridad. Noviembre de 2011. A.Bilbao: La Métrica en la Seguridad en general y en el control de accesos de per- sonas en particular . JRBP. Las Palmas, 2012. A.Bilbao, E.Bilbao: Measuring Security . Proceedings ICCST. Medellín (Colom� bia), octubre de 2013. En web: ht tp: / /www.isaca.org/ Knowledge-Center/Research/Resear� chDeliverables/Pages/COBIT-Map� ping-Mapping-SEI-s-CMM-for-Soft� ware-With-COBIT-4-0.aspx S

RkJQdWJsaXNoZXIy MTI4MzQz