Está en la página 1de 3

84

Perspectiva Empresarial

Métricas en los SGSI


ESTE ARTÍCULO PRETENDE SER UNA REFLEXIÓN QUE MANTENGA VIVOS CONCEPTOS
BÁSICOS EN LA ELABORACIÓN DE MÉTRICAS Y QUE CONJUGUE LOS INTERESES DE TODAS
LAS PARTES IMPLICADAS

reflexión que mantenga vivos desarrollo y definición de métricas,


conceptos básicos en la elaboración de mucho antes de decidirse a
Rafael métricas y que conjugue los intereses implantarlas, se involucre al personal
González Moro
de todas las partes implicadas. que va a hacer un tratamiento de las
CONSULTOR DEL ÁREA DE mismas. De esta forma se podrán
SEGURIDAD INFORMÁTICA
determinar claramente qué métricas
Grupo Gesfor
¿Qué medir? son útiles para cada colectivo.
Hay que distinguir entre medida y
No tiene sentido definir un métrica. La primera es simplemente
programa de métricas que inunde los un valor, la segunda es una colección

C
ualquier SGSI está basado, de despachos de cifras, índices, valores y de valores a lo largo del tiempo. Sólo
una u otra manera, en un el factor “tiempo” nos da una visión
modelo de evaluación y de adecuada de la evolución de la medida
mejora continua sin el cual no tendría y por lo tanto se convierte en un
sentido. La gestión de la seguridad no La gestión de la seguridad verdadero indicativo del parámetro
es algo que se implanta y se “deja”, que queremos analizar. Sin embargo,
es algo que se implanta y se “cuida”.
no es algo que se implanta esto hace necesario asegurar que las
Sólo de esta forma podremos
aprender de los propios errores y
y se “deja”, es algo que se medidas que se definan ahora tengan
un recorrido a largo plazo. De nada
alcanzar el modelo de madurez
deseado.
implanta y se “cuida” sirve definir métricas asociadas a
medidas que pasados unos meses van
Un sistema de métricas correcto a tener que redefinirse porque la
debe nacer en el mismo instante que tecnología ha variado o porque no
nace la implantación del SGSI. Por gráficos que nadie va a tener tiempo existen ya medios técnicos para
desgracia, esta práctica no siempre se de mirar detalladamente. La falta de recogerlas.
sigue y es común ver cómo alguna información es mala, pero el exceso El sistema de métricas debe ser
persona, en una fase avanzada de incontrolado también. Es necesario claro, conciso, efectivo y estar
diseño del SGSI, se da cuenta que medir aquello que realmente es ajustado al fin para el cual se diseña,
hay que hacer un “parón y vuelta representativo, significativo y que es decir, ofrecer una “fotografía” del
atrás” para retomar el sistema de se ajusta a las necesidades de estado del SGSI así como permitir
métricas. seguridad de la organización. Hay que detectar acciones de futuro (entre
Este documento no pretende ser pensar que los indicadores o métricas otras cosas).
una lista exhaustiva de indicadores a útiles para los técnicos no tienen por
medir o una “toma de muestras”, para qué serlo para otro grupo involucrado
ello existe suficiente documentación en la gestión de la seguridad. Cada ¿Cómo medir?
en la red. La red tiene abundante uno debe recibir lo que realmente le
información al respecto (ver interesa y cada uno debe aportar al De la misma forma que se ha
referencias al pie del documento). sistema aquello de lo que realmente hablado del “tiempo” como elemento
Únicamente pretende ser una sabe. Por eso es necesario que en el esencial a la hora de establecer

nº 26  octubre 2008
85
Perspectiva Empresarial

sistemas de medición, es necesario


poder comparar nuestros indicadores
con respecto a un parámetro lo más
estándar o “sensato” posible. Los
“totales” son malos consejeros si no
se comparan o se estudian inmersos
en las circunstancias que los
producen. Los valores “medios”
también pueden inducir a error.
Muchas veces la estadística mal
utilizada puede llevar a confusión y a
una incorrecta toma de decisiones.
Las métricas deben ser comparadas
con objetivos realistas previamente
definidos (cuando proceda). Los
objetivos deben poder ser alcanzables
y depender en buena medida de
nuestro propio esfuerzo, no de factores
externos que no podemos controlar. No
es razonable, por tanto, definir
objetivos bajos, fácilmente superables,
que permitan concluir siempre que los
resultados son excelentes y la
seguridad funciona perfectamente. personas dentro de la organización
El sistema de métricas debe ser Es necesario medir aquello tienen las mismas responsabilidades
objetivo e imparcial, y sobre todo ni los mismos objetivos. Es necesario
reproducible, es decir, siempre que que realmente es elaborar la información obtenida del
se apliquen los criterios sobre una sistema de métricas conforme a las
colección de indicadores, se deben representativo, significativo necesidades de los distintos
obtener los mismos resultados. Es destinatarios.
importante obtener mediadas de sitios
y que se ajusta a las Un Director de Informática recibirá
“asépticos”, esto es, registros de
sistemas, registros de sucesos del
necesidades de seguridad un tipo de medidas distintas de las
que recibe el Director Financiero. Es
sistema operativo o cualquier otro
medio que nos garantice que si
de la organización común caer en la idea de que todo el
mundo sabe de todo, y nada más
repetimos el cálculo tres meses lejos de la realidad.
después, el resultado será el mismo. información y la capacidad de analizar Por ejemplo, a un Director de
Sólo así garantizamos la imparcialidad una serie y su tendencia. Informática le interesará saber que el
y posibilidad de reproducir los Como conclusión, una entrevista a antivirus del servidor de correo ha
resultados obtenidos. un miembro de la organización no es detectado y eliminado 2.000 virus en
Igualmente, se deben utilizar el mejor método de obtener un mes. Al Director Financiero le
medidas que, en la medida de lo información objetiva a la hora de interesará más saber cuánto cuesta el
posible se puedan extrapolar de forma medir nada ni debería utilizarse nunca sistema antivirus y cuánto costaría si
automática de sistemas existentes. como base de una métrica. un virus se extiende por la red de
Hacer depender la recogida de área local (por esa terrible
información de procesos manuales enfermedad que se llama síndrome
lleva, inevitablemente, a que en ¿Cómo presentar? del ROI). En este sentido cabe
algunas circunstancias (exceso de destacar que el personal técnico
trabajo, bajas, incidencias) no se Evidentemente no todo el mundo muchas veces ve el sistema de
tomen medidas en los periodos tiene los mismos intereses en lo que a métricas una excelente herramienta
definidos. Como consecuencia, se gestión de seguridad se refiere, entre para justificar su trabajo y la
perderá el valor del histórico de la otras cosas porque no todas las necesidad de ciertas inversiones.

nº 26  octubre 2008
86
Perspectiva Empresarial

de sistemas, no suele haber  Las métricas deben ser coherentes


problemas, pero si los indicadores con los objetivos de seguridad
Conclusiones requieren algún tipo de manipulación marcados.
o elaboración pueden surgir conflictos. No falta más que hacer hincapié en

T eniendo todo esto en


consideración, para que
unas métricas de seguridad
Por lo general quien aporta los
datos suele sentirse “controlado” y
eso no siempre crea buen estado de
el concepto de “conocimiento” o
“capacidad” a la hora de establecer,
analizar o evaluar la métrica. En una
asociadas a un SGSI sean útiles y ánimo. Por este motivo, es esencial situación se definió una métrica como
aprovechables habrá de: que el modelo de métricas nazca en el el “porcentaje de visitantes que eran
 Concienciar al personal de la mismo instante que nace el SGSI. El acompañadas al lugar al que iban” y
importancia del sistema de “presunto controlado” debe ser trimestralmente el valor de esa medida
métricas desde el documento de lo establecía el Director de Personal
Política de Seguridad. (no estaba muy claro el motivo).
 Establecer las que realmente Curiosamente, si uno preguntaba a los
son necesarias y se alinean con Por este motivo, es esencial vigilantes sobre el valor real, los
los objetivos de seguridad de la valores que ellos proporcionaban eran
organización. que el modelo de métricas sustancialmente inferiores.
 Automatizar los procesos de
obtención de medidas y
nazca en el mismo instante
tratamiento de las mismas.
que nace el SGSI El caso de ISO 27001
 Hacer un seguimiento
periódico conforme a los plazos En el caso particular de un SGSI
establecidos en el Plan de basado en ISO 27001, hay que
Seguridad. consciente que forma parte de un recordar los puntos donde la norma
 Utilizar las métricas como sistema de GESTION y no de un hace referencia expresa a la necesidad
datos de entrada de procesos de sistema de CONTROL. No se analizan de establecer métricas y sistemas de
revisión y auditorías internas. métricas para “castigar”, se analizan evaluación de controles.
 Realizar y documentar las para detectar, prevenir y mejorar.
acciones de mejora que nacen Si el sistema de métricas nace al Estos puntos son:
del estudio de las métricas. mismo tiempo que el SGSI, todo el  4.2.2.d: Definir cómo medir la
mundo que participa en él será efectividad de los controles
consciente que lleva el máximo apoyo seleccionados y especificar cómo esas
A efectos de presentación hay que de la gerencia y por lo tanto deberá mediciones van a ser usadas para
tener en cuenta que, dependiendo del ser siempre tomar una actitud evaluar la efectividad de los controles
destinatario, los valores numéricos no participativa y positiva. Así, es para producir resultados comparables
tienen la misma fuerza que los colores recomendable incluir en el documento y reproducibles.
o las gráficas. Esto, que no deja de de Políticas de Seguridad, una  4.2.3.c: Medir la efectividad de los
ser una verdad obvia, es tristemente referencia expresa al diseño e controles para verificar que los
cierto. Un gráfico donde un valor va implantación del sistema de métricas. requerimientos de seguridad se han
oscureciendo su tono rojizo, puede ser cumplido.
más efectivo que una tabla donde  7.2.f a la hora de establecer los
aumenta un valor numérico. Otras recomendaciones datos de partida de las revisiones:
Resultados de efectividad de las
 Los indicadores deben obtenerse de métricas.
Los conflictos la forma más automatizada posible.
 Los resultados deben ser siempre Dentro de los muchos puntos
En todo sistema de control surgen revisados por quien tiene críticos de un SGSI, se pueden
controversias entre quien recoge los conocimiento para ello y capacidad de destacar dos que son muy indicativos
datos, quien los aporta y quien los actuación. de cómo se ha diseñado e
analiza, de ahí la importancia de  El coste de implantar una métrica implantado: uno es el sistema de
poder reproducir resultados. Si los debe ser proporcional al beneficio que métricas y el otro el plan de
indicadores son obtenidos de registros se obtiene. continuidad de negocio.

nº 26  octubre 2008