Tipos de Métricas de Seguridad de la Información

Tipos de Métricas de Seguridad de la Información

Estrategias para la Medición Efectiva y la Toma de Decisiones

¡Comprende la importancia de las métricas adecuadas en seguridad!

La evaluación de la relevancia y utilidad de los diferentes tipos de métricas (estratégicas, tácticas y operacionales) es fundamental para una gestión efectiva de la seguridad de la información. Las métricas deben proporcionar la información necesaria para tomar decisiones, por lo que es crucial comprender qué decisiones deben tomarse y quién las toma.

1. Tipos de Métricas y su Utilidad

Métricas Operacionales

Utilidad y Relevancia:

Estas métricas son de gran utilidad para el gerente de seguridad de TI y el personal técnico, ya que se centran en los datos técnicos detallados necesarios para las operaciones diarias de seguridad. Proporcionan una visión granular del estado de la infraestructura de seguridad y las amenazas inmediatas.

Ejemplos:

  • Resultados del análisis de vulnerabilidades.
  • Cumplimiento de las normas de configuración de servidores.
  • Resultados del monitoreo del sistema de detección de intrusos (IDS).
  • Análisis de los registros del cortafuegos (firewall).

Limitaciones:

Si bien son esenciales para el funcionamiento técnico, por sí solas tienen un valor limitado para el desarrollo de la estrategia de seguridad. Un enfoque centrado únicamente en vulnerabilidades de TI obtenidas por escaneo automático, sin conocer la amenaza, el grado de exposición o el impacto potencial, no es valioso desde una perspectiva de gestión de seguridad de la información o estratégica.

Métricas Tácticas

Utilidad y Relevancia:

Estas métricas son más relevantes para el gerente de seguridad de la información (CISO), ya que ofrecen una perspectiva más detallada que las estratégicas, pero menos técnica que las operacionales. Son útiles para supervisar el rendimiento del programa de seguridad y tomar decisiones a medio plazo.

Ejemplos:

  • Métricas de cumplimiento de políticas.
  • Cambios significativos en procesos o sistemas que puedan afectar el perfil de riesgo.
  • Estado de la aplicación de parches.
  • Excepciones o desviaciones a las políticas o normas.
Métricas Estratégicas

Utilidad y Relevancia:

Dirigidas a la alta dirección, estas métricas se enfocan en información de naturaleza estratégica, como los riesgos emergentes significativos que pueden impactar el logro de los objetivos del negocio. La alta dirección generalmente no se interesa en métricas técnicas detalladas, sino en resúmenes de información importante desde una perspectiva de gestión de la información.

Ejemplos:

  • Avances según el plan y presupuesto.
  • Cambios significativos en el riesgo y posibles impactos en los objetivos del negocio.
  • Resultados de las pruebas del plan de recuperación ante desastres.
  • Resultados de auditorías.
  • Estado del cumplimiento regulatorio.

Propósito General:

Las métricas deben diseñarse y monitorearse considerando lo que es importante para las operaciones de seguridad de la información, los requisitos de la gestión de seguridad de la información, las necesidades de los dueños del proceso de negocio y lo que desea saber la alta dirección. La comunicación con cada uno de estos grupos puede ayudar a determinar los tipos de informes de seguridad que les serían útiles.

2. Caso de Estudio de la CISO: Métricas para el Valor de Negocio

Situación de la CISO y sus Métricas Actuales

La CISO de una gran fábrica de herramientas notó una disminución en la influencia de la función de seguridad y que sus recomendaciones sobre riesgos eran ignoradas. Fue excluida de reuniones importantes y su presupuesto fue cuestionado por ejecutivos, incluyendo el CEO, quienes no comprendían el valor que aporta la seguridad.

El CEO prioriza la reducción de gastos no directamente relacionados con la generación de ingresos debido a la caída de ventas y la competencia. La producción automatizada de la fábrica depende críticamente de software distribuido, haciendo que cualquier interrupción de la red afecte directamente la producción.

Métricas que la CISO estaba utilizando:

  • Porcentaje de sistemas Windows con software antivirus actualizado diariamente.
  • Porcentaje de tráfico de red entrante evaluado por un cortafuegos en la pasarela exterior.
  • Porcentaje de tráfico de red monitoreado por un sistema de detección de intrusos.
  • Porcentaje de sistemas parcheados dentro del plazo requerido.
  • Porcentaje de sistemas que cumplen con los estándares de seguridad básicos.
  • Porcentaje de correo basura (spam) eliminado.
  • Cantidad de vulnerabilidades omitidas durante los escaneos automáticos.
Impacto del Conjunto de Métricas Inadecuado

La CISO reconoció que sus métricas actuales, aunque útiles a nivel operativo, no eran relevantes ni significativas a nivel táctico y estratégico. Esto llevó a que la gerencia no comprendiera el valor del programa de seguridad de la información ni la necesidad de mejoras presupuestarias.

Razones de Inadecuación:

  • Falta de vinculación con los objetivos de negocio: No se conectaban con las metas de negocio de la empresa, midiendo factores arbitrarios que no reflejaban la función de la seguridad en el contexto estratégico.
  • Orientación puramente técnica/operacional: Se centraban en aspectos técnicos y operativos, mientras que la alta dirección busca información estratégica que impacte los objetivos de negocio.
  • Dificultad para demostrar valor: La recopilación de datos técnicos no aclaraba el riesgo ni los impactos potenciales, siendo fácilmente descartables en un entorno que busca reducir gastos no relacionados con ingresos.
Mejoras Propuestas para el Conjunto de Métricas

Para alinear la seguridad de la información con los objetivos de negocio, las métricas deben ser **SMART** (Específicas, Medibles, Alcanzables, Relevantes y con Plazo Definido) y relacionarse directamente con los objetivos del programa de seguridad que respaldan los objetivos del negocio.

Ejemplos de Métricas Mejoradas:

  • Impacto en la producción y operaciones:
    • Porcentaje mensual de los procesos de fabricación interrumpidos por problemas de seguridad.
    • Tiempo de inactividad de las computadoras utilizadas en ingeniería asistida por computadoras (CAE) y manufactura asistida por computadoras (CAM) debido a problemas de seguridad, respaldado por una cuantificación de impacto en términos financieros.
    • Costo mensual de las interrupciones en los procesos de manufactura debido a problemas de seguridad.
  • Gestión de incidentes y prevención de pérdidas:
    • Tiempo medio por incidente de seguridad desde el inicio hasta el cierre del incidente.
    • Cantidad y costo de eventos o incidentes de seguridad que podrían haberse evitado si se hubieran implementado ciertos controles.
  • Alineación y colaboración con el negocio:
    • Cantidad y naturaleza de los objetivos de seguridad que no se alcanzaron debido a restricciones de financiamiento o falta de cooperación de las unidades de negocio.
    • La proporción de informes periodísticos positivos en comparación con los informes negativos (reflejando la percepción externa de la seguridad).
  • Madurez del programa:
    • Nivel de madurez de las actividades de seguridad de la información de la empresa.

Al adoptar métricas que demuestran el impacto directo de la seguridad de la información en la continuidad del negocio, la reducción de costos por interrupciones, y el apoyo a las metas organizacionales, la CISO podría justificar el valor de su programa y obtener el apoyo necesario de la alta dirección.

La elección y aplicación de las métricas adecuadas es esencial para la gestión estratégica de la seguridad de la información, permitiendo una comunicación efectiva del valor de la seguridad a todos los niveles de la organización.

Derechos de autor: EUD Academy.

Abrir chat
Powered by Joinchat
Hola 👋
¿Deseas asesoría profesional?