metricas en seguridad

Métricas en Seguridad… ¿Son realmente útiles?

Esta entrega es acerca de métricas en Seguridad y sus fundamentos. También compartiremos algunas reflexiones sobre su aplicación en Security.

-Cuando verificamos, medimos la eficacia de los controles.

-Cuando actuamos, establecemos, en caso necesario, los planes de acción para corregir nuestras desviaciones reflejadas en los resultados de las métricas.

Lo anterior prácticamente se replica en todos los Sistemas de Gestión ISO actuales, incluyendo los de Seguridad y sus procesos.

En Gestión por Procesos de negocio (BPM), una vez definidos los procesos, se pueden identificar con facilidad las métricas necesarias, para monitorear el proceso.

Beneficios

En un estudio sobre métricas de Seguridad a nivel mundial, realizado por ASIS (American Society For Industrial Security) en 2013 y 2014, se comenta:

  • Las métricas de seguridad soportan la propuesta de valor de la operación de Seguridad de una organización.
  • Sin métricas de peso, los profesionales de Seguridad y sus presupuestos siguen en gran medida la intuición del liderazgo de la compañía.
  • Con las métricas, la función de Seguridad se cimienta en resultados mensurables que se correlacionan con la inversión, lo que permite al profesional de Seguridad comunicarse con los Líderes de su Organización en un idioma familiar de negocio. 
  • Las métricas de Seguridad son vitales, pero en el campo y en la literatura se encuentran pocas probadas y poca también es la orientación sobre la utilización eficaz de éstas para informar y convencer a la Alta Dirección.

Un servidor mencionaría, además:

Las métricas permiten identificar oportunamente desviaciones y tomar decisiones para resolverlas.

Las métricas en sí son una supervisión programada y documentada de las responsabilidades clave de Seguridad, que nos permite gestionarlas con mayor eficacia.

¿Cómo deben ser las métricas?

Enlisto, a continuación, algunos axiomas con respecto a las métricas:

  • Sólo debo medir lo que me aporta valor.
  • Debo siempre medir lo mínimo necesario (Las métricas implican, mínimo un costo de hacerlas y de revisarlas).
  • La necesidad de las métricas puede variar con el tiempo (son dinámicas), por lo tanto periódicamente debemos cuestionarnos su continuidad.

Las métricas deben cumplir con el principio de Separación de Responsabilidades: quien mide una actividad no puede ser el(la) mismo(a) responsable de ejecutarla, y el principio de Auditabilidad, que consiste en dejar evidencia objetiva de que se efectuaron, de otra forma sería muy fácil generar información falsa. 

Lo anterior no impide que un Gerente de Seguridad tenga su programa interno de métricas, cuidando, por supuesto, los principios antes mencionados. 

Hay tres niveles organizacionales de métricas: operativas, para los Supervisores; otras para la Gerencia y, por último, uno para la Dirección. La Dirección recibe un mínimo de métricas, deseable es que no sean más de cinco.

Un error muy grave para un Gerente de Seguridad sería el evitar las métricas, “porque no tiene tiempo”. Esto lo pondría en una situación muy difícil para justificar el valor aportado de su Departamento a los Ejecutivos de su Organización, además le impactaría en temas de mejora continua.

En la siguiente participación para Blog RPM, hablaremos sobre una metodología para evaluar la calidad de las métricas, que, a la vez, permite mejorarlas.

Por: MSA, Ing. Sergio Delgado Torres, DSE  (Pulse AQUÍ para leer su semblanza)

Share on facebook
Facebook
Share on linkedin
LinkedIn
Share on email
Email

Deja un comentario