Monitorear y medir un sistema de gestión de seguridad de la información es lo que te permite saber si tus controles funcionan, si aportan valor real al negocio y si los objetivos que definiste se están cumpliendo. Sin esa medición, cualquier decisión de seguridad termina siendo una intuición, no una estrategia.

¿Por qué medir tu sistema de gestión de seguridad?

La medición es lo que convierte tu sistema en algo vivo y mejorable. Cuando monitoreas, detectas a tiempo si un control no está cumpliendo su propósito y puedes optimizarlo o reemplazarlo antes de que se convierta en un riesgo.

Además, te abre la puerta a la mejora continua, uno de los principios centrales de la norma ISO 27001. No se trata solo de cumplir un requisito de auditoría, sino de tomar decisiones acertadas con datos reales.

¿Qué exige la ISO 27001 sobre monitoreo y medición? Que definas qué medir, con qué métodos, con qué periodicidad y quién es el responsable. Todo el seguimiento, análisis y evaluación debe quedar documentado dentro del sistema de gestión.

¿Cómo crear indicadores y métricas de seguridad que sí funcionen?

El primer paso es traducir cada objetivo de seguridad en un indicador claro y medible. Si tu objetivo es proteger la disponibilidad de un servicio, tu indicador debe expresarse en porcentaje, tiempo o cantidad, no en frases ambiguas.

Algunos tips prácticos para cumplir este requerimiento de la norma:

• Crea indicadores y métricas claras alineadas con los objetivos de seguridad de tu sistema de gestión.
• Monitorea de forma permanente para detectar desviaciones a tiempo.
• Automatiza procesos siempre que puedas para facilitar la captura de datos.
• Organiza los resultados en gráficos o tablas de tendencia para presentarlos a la alta dirección.

Un ejemplo concreto de automatización: si tienes un indicador sobre el tiempo de restauración de copias de seguridad, puedes crear procesos automáticos de recovery que registren tiempos y marquen procesos exitosos o fallidos sin intervención manual.

¿Qué es un análisis de madurez del sistema de gestión?

Es una forma de visualizar cómo evoluciona tu sistema de seguridad en el tiempo, generalmente por niveles del 1 al 5. Cada métrica se ubica en un nivel y la meta es escalar conforme se implementan controles y mejoras.

En el caso de Nutri Global, la empresa del curso, el análisis de tendencia y madurez se documenta directamente en el sistema de gestión y se revisa periódicamente para mostrar avances ante la dirección.

¿Cómo se mide la disponibilidad de un servicio en un caso real?

Nutri Global tiene un servicio web llamado e-commerce donde vende productos online. La métrica seleccionada fue el porcentaje de disponibilidad del servicio, y la historia detrás del número es la que da contexto al objetivo de seguridad.

El recorrido fue así:

1. La disponibilidad inicial era del 98,7%, lo que estaba generando pérdida de clientes por falta de inversión en infraestructura.
2. La alta dirección tomó la decisión de elevar la meta al 99,9% de disponibilidad.
3. Esto implicó pasar de un nivel de madurez 2 a un nivel 5.
4. Para lograrlo, se implementó alta disponibilidad llevando el servicio web a una arquitectura redundante.

El resultado se marcó como meta alcanzada del sistema de gestión, y aquí está la clave: ese cambio no solo cumple la norma, también genera valor directo al negocio porque retiene clientes.

¿Qué es la alta disponibilidad en seguridad de la información? Es una arquitectura que garantiza que un servicio siga operativo aún si falla un componente. Se logra con redundancia, replicación y mecanismos de failover automáticos.

¿Qué incluir en el seguimiento, análisis y evaluación?

Esta sección de tu sistema de gestión debe responder cuatro preguntas básicas, y conviene tenerlas escritas y visibles para cualquier auditor o miembro del equipo:

• Qué medimos y a qué hacemos seguimiento.
• Qué métodos usamos para medir, analizar y evaluar.
• Con qué periodicidad ejecutamos ese seguimiento.
• Quién es el responsable de cada métrica.

La periodicidad recomendada para revisar resultados es cada dos meses, aunque puedes ajustarla según el tamaño de tu operación y el riesgo del proceso medido.

¿Cómo se documentan los resultados del sistema de gestión?

Puedes apoyarte en herramientas de gestión de tareas para mostrar avances de manera visual. Nutri Global usa ClickUp para organizar listas de tareas agrupadas por metas, donde se evidencia el progreso en:

• Tratamiento de riesgos.
• Oportunidades identificadas.
• Mejoras propuestas en auditorías.

Cuando estas tareas se cumplen satisfactoriamente, queda un rastro claro y auditable de que el sistema avanza, no solo en papel sino en ejecución real.

¿Cada cuánto debo monitorear mi sistema de gestión ISO 27001? El monitoreo de indicadores debe ser permanente, pero la revisión formal de análisis y evaluación se recomienda cada dos meses con un responsable asignado por métrica.

Monitorear de forma constante evita reprocesos y elimina tareas que no generan valor. ¿Cómo crees que podrías medir un objetivo de seguridad que ya tengas identificado en tu empresa? Compártelo en los comentarios.