Métricas e indicadores clave del SGSI ISO 27001
La cláusula 9.1 de ISO 27001 exige que la organización evalúe el desempeño de la seguridad de la información y la eficacia del SGSI. Las métricas del SGSI son la herramienta que permite a la alta dirección entender el estado de la seguridad, tomar decisiones informadas y demostrar el valor del programa de seguridad.
"Lo que no se mide no se puede mejorar" es un axioma válido en seguridad de la información. Sin métricas, el SGSI se convierte en un conjunto de documentos estáticos. Complementa con el artículo sobre mejora continua y ciclo PDCA.
Qué exige la cláusula 9.1 de ISO 27001
La cláusula 9.1 establece que la organización debe determinar qué necesita monitorearse y medirse, los métodos de análisis y evaluación, cuándo se realizarán las mediciones, quién las llevará a cabo y quién analizará los resultados.
Tipos de métricas para el SGSI
1. Métricas de eficacia de controles
| Métrica | Fórmula / Medición | Meta típica | Frecuencia |
|---|---|---|---|
| Cobertura de MFA en cuentas privilegiadas | % de cuentas admin con MFA habilitado | 100% | Mensual |
| Tiempo de parchado de vulnerabilidades críticas | Días entre publicación del CVE y aplicación del parche | < 15 días | Mensual |
| Cobertura de antivirus/EDR | % de endpoints con solución activa y actualizada | > 99% | Semanal |
| Tasa de cumplimiento de política de contraseñas | % de cuentas que cumplen los requisitos de complejidad | 100% | Mensual |
2. Métricas operacionales del SGSI
| Métrica | Medición | Frecuencia |
|---|---|---|
| Cobertura del programa de capacitación | % de empleados que completaron la capacitación anual | Anual |
| Tasa de cierre de no conformidades en plazo | % de NC cerradas dentro del plazo acordado | Trimestral |
| Actualización del inventario de activos | % de activos con revisión en los últimos 6 meses | Semestral |
| Revisión de accesos de usuarios | % de cuentas revisadas en el ciclo trimestral | Trimestral |
3. Métricas de incidentes y respuesta
| Métrica | Medición | Objetivo |
|---|---|---|
| Tiempo medio de detección (MTTD) | Promedio de días entre ocurrencia y detección de incidentes | Reducir período a período |
| Tiempo medio de respuesta (MTTR) | Promedio de horas desde detección hasta contención | Reducir período a período |
| Tasa de incidentes recurrentes | % de incidentes con la misma causa raíz en 12 meses | < 5% |
| Incidentes por categoría | Distribución de incidentes por tipo (phishing, acceso no autorizado, etc.) | Identificar tendencias |
Diseño de un dashboard de seguridad para la alta dirección
Las métricas son más útiles cuando se presentan de forma visual y ejecutiva. Un buen dashboard de seguridad incluye:
- Semáforo de estado: Indicadores de 5–8 métricas clave con colores (verde/amarillo/rojo)
- Tendencias: Evolución de las métricas más importantes en los últimos 4–6 trimestres
- Incidentes del período: Número, tipos y estado de resolución
- Estado del SGSI: Auditorías completadas, NC abiertas, próximas actividades
- Riesgos principales: Top 5 riesgos con calificación y estado de tratamiento
Cómo implementar el programa de medición
- Define qué medir: Identifica los controles y procesos más críticos para tu contexto
- Establece metas: Define el valor objetivo para cada métrica
- Automatiza la recolección: Donde sea posible, extrae datos automáticamente de sistemas (SIEM, directorios, escáneres)
- Asigna propietarios: Cada métrica tiene un responsable de recolección y análisis
- Actúa sobre los datos: Las métricas que no generan decisiones no tienen valor
Mide y visualiza tu SGSI en GRC360
GRC360 incluye un dashboard de métricas del SGSI con indicadores predefinidos para ISO 27001, gráficos de evolución y reportes ejecutivos. Conecta tus controles con métricas reales.
Ver el Dashboard GratisExplora también auditoría interna del SGSI, gestión de no conformidades y mejora continua con PDCA.
¿Necesitas gestionar tu compliance?
GRC360 te ayuda a implementar estándares ISO, gestionar riesgos y cumplir con la normativa.
Crear Cuenta Gratis