ISO 27001 Cláusula 9.1 + A.8.16
¿Se miden y presentan mensualmente KPIs de seguridad para desarrollo seguro (MTTD, MTTR, vulnerabilidades abiertas por severidad, cumplimiento de remediación)?
Acceder al dashboard de KPIs de seguridad (Grafana o similar) usado por la organización. Revisar las métricas configuradas, su histórico, la frecuencia de actualización y si hay reportes mensuales presentados a la Gerencia. Verificar si las decisiones de mejora documentadas se basan en tendencias de los indicadores.
Captura del dashboard con métricas activas y rango temporal cubierto. Reportes mensuales presentados al Comité SGSI de los últimos 3 meses. Si el dashboard está vacío, no actualizado o no hay reportes formales, constituye no conformidad.
La Gerencia de OmniControl requiere como necesidad formal 'KPIs de seguridad presentados periódicamente: MTTD, MTTR, vulnerabilidades abiertas'. Sin medición consistente, no es posible evaluar la madurez del DevSecOps ni demostrar mejora continua del proceso de desarrollo seguro.
- 01¿El dashboard tiene datos recientes (últimos 30 días)?
- 02¿Se calculan MTTD, MTTR y vulnerabilidades abiertas por severidad?
- 03¿Existe reporte mensual presentado a Gerencia con tendencias?
- 04¿Las acciones de mejora documentadas tienen trazabilidad con los KPIs?
- 05¿Los paneles cubren las dimensiones críticas del SDLC?
Artefactos para ejecutar la prueba
La clasificación esperada está oculta para que ejecutes la prueba y descubras el hallazgo por ti mismo. Cuando hayas explorado los artefactos, puedes revelarla para contrastarla con tu juicio.
La propuesta de acción correctiva está vinculada al toggle global “Mostrar interpretación según contexto”. Ejecuta primero la prueba con los artefactos y forma tu propio juicio. Cuando estés listo, revélala para contrastar con la recomendación del equipo auditor.