Llegamos a ustedes gracias a:



Reportajes y análisis

Las nuevas matemáticas del valor de la ciberseguridad

[08/10/2021] Jenai Marinkovic no valora mucho las cifras que muestran cuántos ataques han detenido ella y su equipo de seguridad.

Esas cifras, afirma, realmente no brindan información.

"Decir que bloqueamos un millón no nos dice nada. No se comunica lo suficiente con otros ejecutivos, afirma Marinkovic, quien brinda servicios CISOs virtuales a través de Tiro Security, y forma parte del Emerging Trends Working Group con ISACA, la asociación de gobernanza de TI.

[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]

Marinkovic afirma que, en cambio, los CISO necesitan encontrar métricas que proporcionen información procesable que ellos y los otros líderes empresariales puedan usar para tomar decisiones.

"Deben ser cifras que ayuden al negocio, afirma, y agrega que los CISO deben calcular cuánto están impactando en el negocio, cuánto están obteniendo por los retornos de sus inversiones, y si están mejorando su posición de seguridad y en qué grado.

Sin embargo, encontrar formas de hacer todo eso ha sido un desafío de larga data para los jefes de seguridad.

Para Marinkovic, eso significa calcular el tiempo promedio hasta la notificación de una violación a la seguridad y el tiempo promedio hasta la contención -ambas son métricas operativas que también sirven para compartir con el directorio.

Pero, afirma, todavía no dan una imagen completa. No indican la madurez de la función de seguridad ni qué tan bien los controles de seguridad están alineados con los objetivos estratégicos. Para hacer eso, "probablemente usted no va a dar una métrica cuantitativa, sino cualitativa.

En busca de algo mejor

Los líderes de seguridad ofrecen diferentes opiniones sobre cómo cuantificar qué tan bien lo están haciendo. Sin embargo, todos parecen estar de acuerdo en que ninguna métrica puede capturar el valor total del programa de ciberseguridad. Destacan que no existe una ecuación matemática que realmente pueda medir su efectividad.

Al mismo tiempo, sin embargo, reconocen que hay presión para hacerlo mejor.

"Hay CISOs que no tienen nada -ni métricas, ni forma de cuantificar- y son conscientes de que es un problema. O tienen métricas, pero son horribles y quieren algo mejor, afirma Jeff Pollard, vicepresidente y analista principal de Forrester, una firma de investigación. "Quieren una forma de conocer la efectividad de su programa de ciberseguridad, para saber si están mejor de lo que estaban.

Los líderes de seguridad están abordando este problema, afirman Pollard y otros, recopilando más datos que pueden convertir en una colección de medidas que les brindan más información sobre qué tan bien lo están haciendo, si están mejorando y dónde persisten los riesgos. Y aunque no es una puntuación de éxito singular, estas métricas están resultando útiles para los CISO, sus colegas ejecutivos y miembros de la junta cuando evalúan sus posiciones de seguridad y qué hacer a continuación.

"Se trata de crear métricas que le permitan tomar decisiones, señala Pollard. "Debe tener un conjunto de métricas que pueda compartir con los directorios y que el directorio y otras partes interesadas puedan usar para tomar decisiones.

El desafío de asignar valor

Los CISO han tenido que superar mucho al diseñar cuantificaciones para sus esfuerzos.

Para empezar, han tenido que recopilar manualmente gran parte de la información que necesitan para evaluar sus programas, compilando estos datos de múltiples fuentes distintas -es un desafío que también permanece en juego hoy.

Y están tratando de medir los resultados de muchos procesos y herramientas complejas, utilizando datos que no tienen sentido fuera de contexto. Por ejemplo, los ejecutivos de empresas de todo el mundo comprenden un millón de dólares en ingresos, pero les cuesta decir si frustrar un millón de intentos de hackers es algo positivo o negativo -o simplemente algo.

"Piense en los estados financieros: puede reunir a todos y ellos pueden tomar datos de diferentes fuentes y agregarlos para que todos los tengan. Pero no hay una sola declaración que pueda presentarse al directorio sobre el aspecto cibernético y sus riesgos; no existe un motor de puntuación de riesgo único que pueda agregarlo a una vista que todos comprendan, afirma John Gelinne, director de Cyber Risk Services de Deloitte Advisory.

Agrega: "Eso es un desafío. ¿Cómo se agrega y reúne esa información para que todos la tengan?.

Incluso si pudieran hacer eso, los CISOs tradicionalmente han tenido problemas para asignar valor a los no eventos. "Proponer una métrica para [el hecho] de que no pasó nada malo y luego decirle al directorio 'deberían darme más dinero para asegurarse de que no pase nada malo', es difícil, agrega Tim Rawlins, quien como asesor senior y director de seguridad del NCC Group, brinda administración de riesgos, resiliencia y asesoramiento estratégico al directorio de la firma.

Eso, sin embargo, está cambiando.

"Están generando métricas para vincularlas con números para mostrar cómo algo los hizo más seguros frente a más daños o riesgos, cómo algo ha salvado [a la organización] de tener que explicarles a los clientes que hubo una irrupción en los datos, sostiene Rawlins. "Es difícil, pero los CISO líderes están concibiendo lo 'cibernético como una ciencia', y están encontrando métodos y métricas con valoraciones que son repetibles y reproducibles, destinados a mostrar tendencias y emplearse para la evaluación comparativa.

Enfocarse en la toma de decisiones

Desarrollar la combinación correcta de métricas es importante por algunas razones, como es el caso de todas las métricas de negocio. Esto brinda a los CISOs y a otros una medida de efectividad, y ofrece información sobre si se están produciendo mejoras. Pero, quizás aún más crítico, permite una buena toma de decisiones.

Como explica Pollard, las únicas métricas que deben usarse son las que conducen a decisiones.

"Siempre estamos buscando información y tomando decisiones, por eso los líderes de seguridad necesitan muy buenas métricas, agrega. "Si sus métricas no le permiten hacer eso, entonces sabe que no valen la pena. Así que usted necesita crear métricas que le permitan tomar decisiones.

Tomando prestado de los principios de las medidas de negocios convencionales, Pollard afirma que esas métricas podrían ser indicadores rezagados, indicadores coincidentes o indicadores adelantados.

De hecho, Pollard señala que ha visto algunas métricas utilizadas como indicadores rezagados por algunos CISOs, pero como indicadores adelantados por otros; eso está bien, afirma, siempre que funcionen para cada organización individual.

Caso en cuestión: métricas sobre los riesgos de amenazas internas. Algunos CISOs utilizan las tasas de rotación y retención de empleados como un indicador principal de los riesgos de amenazas internas, ya que los empleados que salen a menudo intentan tomar la información de la empresa cuando se van, a pesar de las políticas que prohíben tales acciones; pero el seguimiento de los riesgos de amenazas internas podría ser un indicador rezagado si los CISOs han estado trabajando para restringir el acceso de los empleados como parte de una iniciativa de seguridad en curso.

De cualquier manera, afirma Pollard, dicha métrica puede ayudar a los CISOs a tomar decisiones sobre qué acciones tomar -por ejemplo, reclasificar roles y reducir permisos para limitar el acceso a los datos confidenciales, o agregar software de analítica de comportamiento del usuario (UBA, por sus siglas en inglés).

Además, afirma Pollard, los CISOs deben desarrollar un conjunto de métricas que compartan con la alta gerencia y el directorio, además de otro conjunto de métricas operativas/tácticas que la función de seguridad pueda usar internamente.

Desarrollar métricas basadas en los costos

Los CISOs, que trabajan con otros ejecutivos de la empresa, necesitan identificar los activos de la organización y los posibles riesgos -trabajo que muchos ya han realizado-, y luego determinar los costos asociados con los eventos de seguridad, afirma Gelinne.

Deloitte habla de los costos de los incidentes "por encima de la superficie (y por lo tanto más conocidos) y los costos "por debajo de la superficie (u ocultos o menos visibles).

En su informe del 2020, Bajo la superficie de un ciberataque: una mirada más profunda a los impactos empresariales, Deloitte señala a los costos asociados con las investigaciones técnicas, las notificaciones de incumplimiento de ciudadanos o clientes, y los honorarios de los abogados como costos por encima de la superficie. Y enumera a los aumentos de las primas de seguros, el aumento de los costos de endeudamiento, la devaluación del nombre comercial y la pérdida de la propiedad intelectual como algunos de los costos menos visibles.

"Esos son más difíciles de cuantificar si sucede algo malo, pero si puede cuantificar todo eso, entonces puede comprender el valor de los controles implementados y dónde debe concentrarse e invertir. Puede identificar en qué controles debería invertir y luego extrapolar los rendimientos. Ese es el aspecto comercial de ese [trabajo de cuantificación], afirma Gelinne.

Considere el valor de este enfoque para las empresas que estén considerando una fusión o adquisición, afirma. El CISO puede actuar como un socio pleno en la estrategia de la empresa, aplicando métricas a las actividades de fusiones y adquisiciones propuestas, y entregando cifras sobre los riesgos que presenta el acuerdo para la empresa y lo que costará mitigar esos riesgos. Dichas métricas de seguridad pueden informar y darle forma tanto a las negociaciones como al acuerdo en su conjunto.

Gelinne añade: "Se trata de llegar al punto de saber dónde colocar las inversiones donde más importan. Ese es el mayor valor que vemos en la cuantificación del riesgo, porque se basa en métricas reales y es defendible, e incluso cuando no tiene datos, puede tener suposiciones [razonables].

Adaptar las decisiones relacionadas a los datos

Debido a que las métricas deben satisfacer las necesidades de las empresas individuales, los expertos afirman que los CISOs deben considerar qué necesitan medir, qué datos necesitarán para los cálculos y cómo usarán esa información para tomar decisiones.

Esas métricas deben ser transparentes y, por lo tanto, comprensibles para todas las partes interesadas, señala Gelinne.

Agrega que también deberían abordar lo que le importa a la organización: el directorio quiere saber si la empresa está invirtiendo en las capacidades de seguridad adecuadas para proteger a la organización, el director financiero quiere saber si hay una cobertura de ciberseguro adecuada y el director de riesgos quiere ver reducciones de riesgo a lo largo del tiempo.

Los expertos afirman que algunos CISO diseñan con éxito métricas para áreas como la reducción del riesgo de ransomware y la resistencia operativa, basándose en el marco del NIST para determinar qué datos recopilar y usar para los cálculos y cómo esas cifras pueden mostrar mejoras -o desmejoras, si ese es el caso- a lo largo del tiempo.

Algunos líderes de seguridad también están utilizando los marcos NIST o MITRE como una forma de medir la madurez y establecer metas para ser más maduros; también están usando esas evaluaciones para compararlas con otras.

"Consideramos que estos son muy efectivos, porque brindan a los CISOs una línea de base y una hoja de ruta para saber hacia dónde tienen que ir, afirma Dave Cronin, vicepresidente y jefe de ciberestrategia de Capgemini Americas. "Está demostrando que sus controles están funcionando y le demuestra su efectividad al directorio.

Puede ver también: