Llegamos a ustedes gracias a:



Reportajes y análisis

6 métricas de seguridad que importan -y 4 que no

[20/04/2020] Una de las tareas ejecutivas más desafiantes para los CISOs es cuantificar el éxito y el valor de la función de ciberseguridad.

De hecho, los líderes de la seguridad y sus organizaciones han utilizado una gran cantidad de métricas a lo largo de los años. Sin embargo, muchos ejecutivos y miembros del directorio se han quejado de que esas medidas no les han proporcionado una visión o comprensión adecuada de qué tan bien funciona el departamento de seguridad, de cómo está mejorando y de dónde se está quedando corto.

"Se está presentando demasiada jerga técnica al director ejecutivo y al directorio. Los CISOs siguen contándoles sobre las vulnerabilidades críticas y el número de parches, pero el directorio no lo entiende porque no se le proporciona ningún contexto adecuado", señala Jarrett Kolthoff, presidente y CEO de la empresa de seguridad SpearTip.

Y añade: "Esas cifras pueden ser estupendas para el CISO, pero éste necesita trabajar [en el desarrollo de métricas] que ofrezcan un contexto para que el directorio entienda el riesgo y cuánta inversión en seguridad se necesita".

Los expertos en seguridad cibernética, incluyendo a Kolthoff, dijeron que no hay una métrica para demostrar lo bien que funcionan sus esfuerzos de seguridad y si están mejorando con el tiempo que pueda funcionar para todos los CISOs. Sin embargo, hay algunas métricas, o la combinación correcta de medidas y narrativa, que son más útiles que otras.

Las métricas de seguridad que son importantes para el negocio

Curtis Simpson, CISO de la empresa de tecnología Armis y antiguo CISO de Sysco Foods, cree que las métricas son más importantes que nunca, teniendo en cuenta los desafíos cada vez mayores de acertar con la seguridad y la creciente supervisión del directorio en este espacio.

Como otros, Simpson afirma que se trata de tener las métricas correctas. "Mis favoritas son las que realmente le importan a la empresa", anota. Así, se encarga de buscar medidas que narren cómo la seguridad ayuda a la empresa a alcanzar sus objetivos.

Como ejemplo, señala las métricas que utilizó en Sysco, que tenía el objetivo declarado de servir a sus clientes globales las 24 horas del día. "Tenía que contar una historia que explicara cómo el alto riesgo desafiaría el resultado de ese objetivo", explica.

En vez de informar sobre el número de ataques que la empresa estaba experimentando, lo utilizó para medir el impacto que esos ataques tenían en áreas como la productividad y las operaciones, y mostró cómo se podían hacer mejoras, a qué costo, cómo esas mejoras reducirían el riesgo y, en última instancia, mejorarían las métricas en el impacto del negocio -todo para lograr ese soporte al cliente 24/7.

"Eso resuena siempre, porque se trata de las cosas que las empresas quieren lograr", indica Simpson.

Simpson reconoce que una métrica determinada podría no funcionar para otros CISOs. Les aconseja que encuentren las que puedan ayudarlos a medir el impacto comercial relacionado con la seguridad, el riesgo para los objetivos clave y el éxito de la mitigación a lo largo del tiempo.

Los expertos están de acuerdo, diciendo que lo importante no son solo los números utilizados, sino cómo esas medidas ponen de relieve esa historia empresarial e, ilustran lo que los CISOs están haciendo para resolver los problemas y promover los objetivos empresariales.

Richard Stiennon, chief research analyst de IT-Harvest y autor del Security Yearbook 2020, señala que trabajó con una empresa de la industria de defensa que rastreaba las amenazas y las categorizaba desde nivel bajo hasta ramificado, y que informaba sobre ello.

En efecto, dice, esta empresa le dio la vuelta a lo que a menudo es un número sin sentido (número de amenazas) y lo situó en un contexto que otros ejecutivos y miembros del directorio entendían y podían utilizar para tomar decisiones significativas en torno a la inversión en mejoras de seguridad.

"La lección aquí es [mirar] más allá de los números y fijarse en los términos que le importan a todo el mundo", añade Stiennon.

Otros ofrecen consejos similares.

"Alinear las métricas con las funciones empresariales clave dentro de la organización es lo que realmente le importa a la junta", afirma Shawn P. Murray, presidente y CEO de Murray Security Services, y director de operaciones de la Information Systems Security Association (ISSA). "La idea es que el CISO trabaje con las unidades de negocio para entender qué procesos críticos deben mantenerse para que la empresa tenga éxito. Eso lo hacemos midiendo las cosas correctas".

Murray aconseja a los CIOs que establezcan indicadores clave de riesgo, basados en una clasificación de la información alineada con los activos y objetivos.

Por lo tanto, si el objetivo de seguridad de una empresa es minimizar las interrupciones, es uno que puede ser medido y rastreado; o si una organización quiere ver una mejor alineación de la seguridad con las implementaciones de tecnología, el CISO podría crear y monitorear mediciones que muestren cómo, cuándo y dónde el equipo de seguridad se involucra con las adquisiciones relacionadas con la tecnología y cómo mejoran con el tiempo.

De acuerdo con Bil Harmer, un líder en tecnología de la información y ciberseguridad con más de 30 años de experiencia que ahora es CISO de SecureAuth, la satisfacción del usuario es otra medida a considerar. "Lo que pasa con la seguridad es que siempre ha tenido y siempre tendrá que ver con el equilibrio entre la usabilidad y la seguridad", afirma, señalando que los problemas de usabilidad a menudo precipitan soluciones provisionales que anulan los beneficios de seguridad previstos.

Sin embargo, Harmer y otros dicen que tanto si se trata de la usabilidad como de otras métricas, es importante que el CISO encuentre áreas que realmente produzcan información cuantificable, que puedan obtener datos para generar esas medidas y que puedan hacerlo de forma consistente, y que midan la efectividad de la seguridad en lo que se refiere a los objetivos empresariales.

"Todas las funciones de la cartera del CISO deben estar alineadas con las necesidades de la empresa y este debe entender la alineación", añade Murray. "Una vez que la comprende, podrá establecer buenas métricas que midan el desempeño de sus objetivos para asegurar que las estrategias generales de la organización estén debidamente alineadas y estén proporcionando el nivel de éxito esperado para el negocio".

6 métricas convencionales que siguen siendo valiosas

Aunque el uso de las métricas que evalúan la manera en la que está funcionando la seguridad en relación con los objetivos empresariales está aumentando, los CISOs y asesores de gestión de la seguridad veteranos dicen que siguen viendo el valor de muchas métricas utilizadas históricamente por el equipo de seguridad.

Sin embargo, también dicen que los CISOs deberían considerar la posibilidad de poner estas métricas en un contexto detallado. Al directorio no le importan cosas como la cantidad de correos electrónicos de phishing que usted recibe, señala Derrick A. Butts, director de información y seguridad cibernética de Truth Initiative, la organización antitabaco sin fines de lucro. "Lo más importante es medir la eficacia de nuestros sistemas para protegerse de ellos y de su impacto en el negocio".

Estas son algunas de las medidas que Butts y otros responsables de la seguridad utilizan y que proporcionan ese contexto tan necesario.

Resultados de los ataques de phishing simulados. Butts utiliza los ataques de phishing simulados para evaluar qué tan bien funciona la capacitación de concienciación y establecer objetivos de mejora.

Tiempo promedio de recuperación. Harmer mide el porcentaje de usuarios afectados por un incidente, la rapidez con la que el equipo de seguridad resolvió el problema y si ese tiempo cumple, excede o no cumple con los tiempos fijados, basándose en el apetito de riesgo establecido por la organización.

Tiempo promedio de detección. Stiennon señala que recomienda utilizar métricas como el tiempo promedio de detección -la medida del tiempo que transcurrió desde el momento en que se produjo un ataque con éxito hasta el momento de la detección- porque eso también indica qué tan bien funciona un programa de seguridad y se le puede hacer un seguimiento para mostrar la mejora. Asimismo, señala que tales métricas ayudan al CISO a discutir con el C-suite y el directorio qué inversiones son necesarias para lograr mejoras; y que fomentan la mejora continua: consigue que el tiempo promedio de detección se reduzca a minutos y el CISO puede aspirar a reducirlo a segundos.

Prueba de penetración. Al igual que los ataques de phishing simulados, las métricas en torno a las pruebas de penetración indican qué tan bien puede resistir una organización a tales eventos y rastrear las mejoras a lo largo del tiempo. Según Harmer, esta es una información los CISOs y, otros ejecutivos y miembros del directorio entienden y valoran.

Gestión de la vulnerabilidad. Murray sugiere que los CISO desarrollen una métrica que puedan utilizar para informar sobre la eficacia de su programa de gestión de la vulnerabilidad; y señala que esto no debería servir para reportar el número de parches realizados, sino para medir la capacidad del departamento de seguridad para manejar las vulnerabilidades con la mayor efectividad posible basado en la postura de seguridad de la organización. Después de todo, añade, no se trata de conseguir que se implementen 100 parches de bajo riesgo, sino de asegurar que el que plantea el mayor riesgo se haga lo más rápido posible.

"Si no es relevante o no es crítico, entonces como CISO no voy a reportarlo. Solo voy a informar sobre los que la junta necesita saber porque afectan al negocio. Eso es lo que debería estar preparado para medir", anota Murray.

Auditorías de seguridad de la empresa. Butts utiliza un cuadro de mando desarrollado para su organización a partir de los marcos del Instituto Nacional de Estándares y Tecnología (NIST), la Biblioteca de Infraestructura de Tecnología de Información (ITIL) y el Centro para la Seguridad de Internet (CIS). "Es una buena imagen para mostrar cómo funcionan las cosas", indica.

4 métricas que hay que abandonar

A medida que surge una nueva y mejorada lista de métricas para medir la efectividad de la función de seguridad, los expertos sugieren que las siguientes métricas deberían usarse lo menos posible -o ser abandonadas por completo.

Número de ataques. "A nadie le importa si muestra que tiene 100 mil ataques en un mes y los detiene. Eso es lo que hace que la gente diga, 'Si está al 100%, ¿por qué debería darle otro millón de dólares?'", anota Simpson. Además, no se trata de detener 100 mil ataques de bajo nivel, sino de frustrar el único ataque paralizante que puede dejar a la empresa fuera del negocio.

Parches completados. Vulnerabilidades identificadas. Virus bloqueados. Aunque estas medidas pueden tener sentido para los CISOs como una medición interna del trabajo realizado o ser necesarias para confirmar que una organización cumple con ciertas regulaciones, tienen poco o ningún valor en sí mismas. "Además", señala Stiennon, "podrían llevarlo a una falsa sensación de seguridad".