En gestión es un criterio básico que "Lo que no se puede medir, no se puede controlar. Sin control por tanto no puede haber gestión y sin gestión no hay dirección".
El NIST ha publicado el día 4 un nuevo documento borrador con la guía para el desarrollo de métricas de rendimiento en seguridad de la información titulado Draft Special Publication 800-80, Guide for Developing Performance Metrics for Information Security
Este documento intenta ayudar a las organizaciones al desarrollo de métricas entorno a la implementación de la seguridad de la información. La medición y evolución del estado es un factor muy importante que ya está siendo trabajado y que generará la publicación de la norma ISO 27004. Además es uno de los puntos todavía muy verdes respecto a la gestión y mejora de los sistemas de gestión de la seguridad de la información.
Mientras tanto, podemos ir comprendiendo los diferentes enfoques que van surgiendo entorno a este concepto de medición de la protección y la rentabilidad de la seguridad.
Esta guía quiere facilitar la tarea de generar métricas e indicadores proporcionando plantillas e incluye algunos ejemplos interesantes. Este nuevo borrador viene a complementar el documento SP 800-55 "Security Metrics Guide for Information Technology Systems" ya publicado en el 2003.
No hay comentarios:
Publicar un comentario