15/6/09

Estableciendo el rumbo de un SGSI

En el Blog del Observatorio de Seguridad del INTECO dejo varias reflexiones sobre qué son, cómo se definen y para qué sirven los indicadores y métricas dentro de la estructura de un SGSI. Podéis entrar a través del enlace "Estableciendo el rumbo de un SGSI".
Como complemento a lo dicho en él, hay unas sencillas reglas que debe cumplir una buena métrica:
  • Ser objetivas:Debe aportar un criterio de recogida de datos medible y objetivo, que no dependa de valoraciones subjetivas.

  • Ser fáciles de obtener:Los datos sencillos, simples de calcular y poco costosos de recoger son buenos candidatos a ser métricas. Al respecto, lo más sencillo es recurrir a datos proporcionados por herramientas o procesados de forma automatizada.

  • Expresables de forma numérica o porcentual. No deben estar basados en etiquetas cualitativas tales como "alto", "medio" o "bajo".
  • Expresable usando algún tipo de unidad de medida: Siempre deben estar vinculadas a algo tangible basado en escalas como el tiempo, número de defectos, a cuantías económicas.

  • Significativas: Toda buena métrica debe ser significativa, debe ser relevante para el hecho o circunstancia que se desea medir y debe aportar criterio. Una métrica que no aporta información no es una buena métrica y debe ser desechada.