Actividad: 1.3
Gestionar permisos mirar fallos de dar la baja revisar cual están de baja y cuales no Gracias por compartir el texto. A continuación te presento una versión corregida, con mejor redacción, formato más claro y expansión de la información para darle mayor profundidad y coherencia, en un estilo técnico y formal:
Métricas
Relacionado: Controles. FOCA. CENT. 12 Introduccion a la Criptografiaseguridad. 2025 02 20 Seguridad iOS memoria permisos y sandboxing.
Las métricas permiten medir el grado de cumplimiento de un procedimiento o proceso dentro de una organización. Mientras que un control se centra en revisar un conjunto de reglas y asegurar que se implementen conforme a lo establecido en un procedimiento, la métrica evalúa si esas reglas están correctamente definidas, configuradas y aplicadas, proporcionando datos cuantitativos que permiten tomar decisiones informadas.
En el contexto de gobierno de la seguridad de la información, las métricas son fundamentales para garantizar que los objetivos y estrategias de seguridad estén alineados con las necesidades y expectativas del negocio. Entre las métricas más relevantes se encuentran:
-
Key Risk Indicators (KRIs): Indicadores Clave de Riesgo que permiten identificar y monitorear riesgos que podrían afectar el cumplimiento de los objetivos.
-
Key Goal Indicators (KGIs): Indicadores Clave de Objetivo, que muestran en qué medida se están alcanzando los objetivos estratégicos definidos.
-
Key Performance Indicators (KPIs): Indicadores Clave de Desempeño, que evalúan la eficacia y eficiencia de los procesos y controles implementados.
Es importante que las métricas estén diseñadas pensando en la estrategia de negocio, de modo que exista una relación directa entre los indicadores y el impacto que estos tienen sobre la organización. Para asegurar que las métricas sean útiles y efectivas, deben cumplir con el principio SMART:
-
Específica: Debe enfocarse en un área concreta de mejora o control.
-
Medible: Debe poder cuantificarse o, al menos, permitir estimaciones objetivas.
-
Asignable: Debe estar claro quién es el responsable de medirla y de realizar su seguimiento.
-
Relevante: Debe aportar información valiosa que permita la toma de decisiones.
-
Temporizable: Debe permitir la comparación en el tiempo para identificar tendencias y evaluar la evolución del desempeño.
¿Cómo obtener las métricas?
El proceso para definir métricas efectivas parte de la formulación de la misión, estrategia, metas y objetivos de la organización. A través de declaraciones claras en estos ámbitos, es posible diseñar métricas que permitan evaluar:
-
El cumplimiento de los objetivos estratégicos
-
El desempeño de los procesos de seguridad
-
El nivel de exposición al riesgo
En función de esto, se desarrollan métricas orientadas tanto al análisis de riesgos (KRIs) como al seguimiento del rendimiento operativo (KPIs) y la consecución de objetivos (KGIs).
Ejemplo de alineación entre negocio y métricas de seguridad:
-
Misión: Declaración del propósito y valores fundamentales de la organización.
-
Objetivos: Resultados específicos que se quieren lograr en el marco de esa misión.
-
Estrategia de seguridad: Plan de acción para proteger los activos de información y garantizar la continuidad del negocio.
-
Métricas de seguridad: Indicadores diseñados para medir la eficacia de la estrategia de seguridad y su impacto en los objetivos del negocio.
Actividad 1.4: Efectividad de métricas
Contexto del caso:
-
Misión: Ofrecer el mejor servicio para buscadores de trabajo y empresas de reclutamiento.
-
Objetivos:
-
Integración con la red social LinkedIn.
-
Desarrollar una API para convertir, a largo plazo, la plataforma en un líder del sector.
-
-
Estrategia de seguridad: Garantizar que la aplicación web sea segura mediante:
-
Formación de los desarrolladores.
-
Realización periódica de pruebas de vulnerabilidades.
-
-
Métricas de seguridad propuestas:
-
% de desarrolladores que no se han formado aún.
-
Número de vulnerabilidades críticas detectadas.
-
Tiempo en corregir vulnerabilidades críticas detectadas.
-
Análisis de la efectividad de las métricas:
Consideramos que la métrica sobre el porcentaje de desarrolladores que no se han formado aún no es una métrica efectiva, ya que no evalúa la profundidad ni la calidad de la formación recibida. Además, tampoco contempla el tiempo que los desarrolladores llevan en proceso de formación, lo que puede llevar a interpretaciones engañosas: por ejemplo, podría haber un porcentaje alto de desarrolladores no formados aunque estos ya hayan iniciado recientemente su capacitación. En este sentido, la métrica no aporta información útil para tomar decisiones ni para evaluar el impacto real sobre la seguridad de la aplicación.
En cambio, las métricas sobre el número de vulnerabilidades críticas detectadas y el tiempo en corregirlas resultan mucho más efectivas, porque:
-
Permiten medir de forma directa la exposición de la aplicación a riesgos de seguridad relevantes.
-
Reflejan la capacidad del equipo para reaccionar ante problemas graves de seguridad.
-
Están alineadas con el objetivo de proteger la plataforma y garantizar su disponibilidad y confiabilidad.
Una reducción en el número de vulnerabilidades críticas y en el tiempo de resolución indica que las prácticas de desarrollo seguro están funcionando y que los controles implementados son eficaces. Además, estas métricas pueden ser comparadas en el tiempo, facilitando el seguimiento de la evolución de la postura de seguridad.