Has invertido en ciberseguridad, pero ¿estás realizando un seguimiento de tus esfuerzos? ¿Estás rastreando métricas y KPI?
Un informe encontró que solo el 22% de los directores ejecutivos cree que sus datos de exposición al riesgo son lo suficientemente completos como para informar sus decisiones. Esta estadística se ha mantenido sin cambios durante los últimos 10 años. Otros informes recientes respaldan esto: el 36% de las organizaciones en el sector de servicios financieros están preocupadas por las métricas y los informes «inexistentes o muy inmaduros» cuando se trata de esfuerzos de ciberseguridad.
Estas son organizaciones que, en algunos casos, han gastado millones en ciberseguridad en aras del cumplimiento. Sin embargo, no están maximizando su inversión en seguridad de la información midiendo sus esfuerzos.
Vamos a explicarte aquí la importancia de las métricas de ciberseguridad y las principales KPI para rastrear.
Indice
Importancia de las métricas de ciberseguridad
No puedes administrar lo que no puedes medir. Y no puedes medir tu seguridad si no estás rastreando KPI de ciberseguridad específicos. La evaluación comparativa de la ciberseguridad es una forma importante de controlar tus esfuerzos de seguridad.
Debes realizar un seguimiento de las métricas de ciberseguridad por dos razones importantes:
- Ver el panorama completo en lo que respecta a la seguridad de la información: si no realizas un seguimiento de los indicadores clave de rendimiento (KPI) y los indicadores clave de riesgo (KRI), no podrás comprender claramente qué tan efectivos han sido tus esfuerzos de seguridad cibernética, o cómo han mejorado (o disminuido) con el tiempo. Sin datos históricos sólidos en los que confiar, no podrás tomar decisiones informadas sobre ciberseguridad en el futuro. Solo tomarás decisiones a ciegas.
- Comunicación con las partes interesadas de la empresa: sin buenas métricas de ciberseguridad, no podrás defender tus esfuerzos de seguridad de la información (o presupuesto) cuando hables con el liderazgo o los miembros de la junta de tu organización.
Necesitas una evaluación comparativa de ciberseguridad que cuente una historia, especialmente cuando estás dando un informe a tus colegas no técnicos. Los KPI que elijas deben ser claros, relevantes y brindar una imagen completa de la ciberseguridad de tu organización.
Es posible que también debas elegir puntos de referencia para tus proveedores y otros terceros, que tienen acceso a tus redes y pueden exponer a tu organización a riesgos.
KPI de ciberseguridad para rastrear
A continuación, se muestran algunos ejemplos de métricas claras que puedes rastrear y presentar fácilmente a las partes interesadas de tu negocio.
Nivel de preparación
¿Cuántos dispositivos en tu red están completamente parcheados y actualizados?
Dispositivos no identificados en la red interna
Tus empleados llevan sus dispositivos al trabajo y tu organización puede estar usando dispositivos de Internet de las cosas (IoT) que desconoces. Estos son grandes riesgos para tu organización, ya que probablemente estos dispositivos no sean seguros. ¿Cuántos de estos dispositivos hay en tu red?
Intentos de intrusión
¿Cuántas veces han intentado los malos actores violar tus redes?
Tiempo medio entre fallos (MTBF)
¿Cuánto tiempo existe entre fallos del sistema o del producto cuando se busca determinar la confiabilidad?
Tiempo medio de detección (MTTD)
¿Cuánto tiempo pasan desapercibidas las amenazas de seguridad en tu organización? MTTD mide el tiempo que tarda tu equipo en darse cuenta de un posible incidente de seguridad.
Tiempo medio de reconocimiento (MTTA)
¿Cuál es el tiempo promedio que te lleva comenzar a trabajar en un problema después de recibir una alerta?
Tiempo medio de contención (MTTC)
¿Cuánto tiempo se tarda en contener los vectores de ataque identificados?
Tiempo medio de resolución (MTTR)
¿Cuánto tiempo le lleva a tu equipo responder a una amenaza una vez que es consciente de ella?
Tiempo medio de recuperación (MTTR)
¿Cuánto tiempo le lleva a tu organización recuperarse de una falla del producto o del sistema?
Días para parchear
¿Cuánto tiempo le lleva a tu equipo implementar parches de seguridad? Los ciberdelincuentes a menudo aprovechan los retrasos entre la publicación de parches y la implementación.
Resultados de la formación de concienciación sobre ciberseguridad
¿Quién ha realizado (y completado) la formación? ¿Entendieron el material?
Número de incidentes de ciberseguridad informados
¿Los usuarios informan los problemas de ciberseguridad a su equipo? Esa es una buena señal porque significa que los empleados y otras partes interesadas reconocen los problemas. También significa que tu entrenamiento está funcionando.
Clasificaciones de seguridad
A menudo, la forma más fácil de comunicar métricas a compañeros no técnicos es a través de una puntuación fácil de entender. El puntaje de postura de seguridad de SecurityScorecard le otorga a tu empresa una calificación simple de letra AF en 10 categorías de seguridad (seguridad de la red, estado del DNS, cadencia de parcheo, puntaje de cubit, seguridad de punto final, reputación de IP, seguridad de aplicaciones web, charla de piratas informáticos, credenciales filtradas e ingeniería social). Según estos 10 factores, se le asigna una calificación general para que tu y tus compañeros podáis ver de un vistazo qué tan segura es la empresa en relación con el resto de su industria.
Gestión de acceso
¿Cuántos usuarios tienen acceso administrativo?
Cumplimiento de la política de seguridad
¿Qué tan bien realiza el seguimiento y la documentación de las excepciones, las configuraciones y los controles de cumplimiento?
Capacitación en concientización sobre ciberseguridad
¿Cómo estás manteniendo la documentación para la capacitación en concientización sobre ciberseguridad? ¿Incluye a todos los miembros de tu organización, incluidos los altos ejecutivos?
Tráfico no humano (NHT)
¿Estás viendo una cantidad normal de tráfico en tu sitio web o hay un aumento que indica un posible ataque de bot?
Monitoreo de infecciones de virus
¿Con qué frecuencia tu software antivirus escanea aplicaciones comunes como clientes de correo electrónico, navegadores web y software de mensajería instantánea en busca de malware conocido?
Éxito del ataque de phishing
¿Cuál es el porcentaje de correos electrónicos de phishing abiertos por los usuarios finales?
Coste por incidente
¿Cuánto cuesta responder y resolver un ataque? ¿Cuánto dinero gastas en horas extra del personal, costes de investigación, pérdida de productividad de los empleados y comunicación con los clientes?
Cómo elegir las métricas de ciberseguridad adecuadas
No existe una regla estricta y rápida para elegir KPI y KRI de ciberseguridad. Estas métricas dependerán de tu industria, las necesidades de la organización, las regulaciones, las pautas, las mejores prácticas y, en última instancia, el apetito de riesgo tuyo y de tus clientes.
Dicho esto, querrás elegir métricas que sean claras para cualquier persona, incluso para las partes interesadas no técnicas. Una buena regla general es que si tus partes interesadas no técnicas no pueden entenderlas, debes elegir nuevas métricas o hacer un mejor trabajo para explicarlas.
Los puntos de referencia y las comparaciones de la industria son una manera fácil de hacer comprensibles incluso métricas complejas.
Y recuerda que una de las métricas más importantes es el coste. Recuerda que el objetivo de presentar al equipo ejecutivo y la junta es hacer un punto sucinto sobre cómo la ciberseguridad le ahorra dinero a la organización o genera ingresos adicionales.
Esto no debería ser demasiado difícil de justificar, dado que la filtración de datos cuesta de media a las organizaciones 4 millones de euros a nivel mundial.
Fuera de las métricas descritas anteriormente, los controles CIS proporcionan una lista priorizada y rentable de controles de seguridad.
Principios para las métricas de ciberseguridad
En la mayoría de las líneas de trabajo, se desarrollan y utilizan una variedad de métricas con gran efecto, luego, cuando han disminuido en utilidad, simplemente se descartan en favor de otras nuevas. Dicho esto, necesitamos un conjunto básico de métricas que se puedan utilizar como base de comparación, como lo hemos hecho en contabilidad, seguridad, calidad, salud y muchos otros campos.
Pero incluso esos son insuficientes para describir completamente una situación. Por ejemplo, la mayoría de las empresas que utilizan los estándares de contabilidad GAAP también tienen muchas otras métricas que utilizan para medir la salud financiera de su negocio. Además, la mayoría de las instituciones financieras no se basan simplemente en VaR (valor en riesgo) para describir su riesgo comercial, sino que hay cientos de otras medidas que tienen más precisión y contexto y son mejores para medir sus riesgos reales en muchos escenarios diferentes.
Necesitarás una combinación de tus propias métricas e, idealmente, algunas estandarizadas. Sin embargo, lo más importante es que necesitarás un conjunto de principios rectores que te ayuden a construir y administrar tus métricas y resultados relacionados.
Desarrollar, seleccionar y usar activamente las métricas correctas sigue siendo difícil. Aquí hay algunos principios que que te pueden guiar:
Sesgo de resultado
Las métricas deberían, en su mayoría, estar orientadas a medir los resultados / productos en lugar de simplemente insumos. Por ejemplo: mide el efecto de un recurso agregado, no solo la cantidad de recurso agregado.
Longevidad y precisión
Las métricas deben sobrevivir a la prueba del tiempo y la medición debe estar sesgada hacia un efecto a largo plazo. Además, las metamétricas (métricas sobre métricas) deben centrarse en la precisión y la integridad de los datos de las métricas subyacentes, aumentadas con pruebas retrospectivas.
Céntrate en el propósito, no en las recompensas
Cuanto mayor sea la medición de resultados, no una señal del comportamiento humano para obtener esos resultados, mejor. Las recompensas o castigos extrínsecos no deben estar directamente vinculados a una métrica específica, para evitar jugar con esa métrica. Sí, es cierto, obtienes lo que mides, y eso puede ser un gran problema si solo obtienes lo que mides. Esto es especialmente problemático dado que tus mediciones nunca pueden describir completamente cuáles son los objetivos de tu organización.
Enfoque de utilidad
Cuenta lo que cuentas, no lo que puedas contar. ¿Lo que se mide es un proxy de lo que realmente deseas saber? No te limites a informar sobre las cosas que puedes medir actualmente. Una técnica muy eficaz es mostrar en tus paneles de control la métrica que necesitas, pero que no puedes obtener, en blanco y marcada de cualquier forma para indicar un alto riesgo. Esto atrae preguntas y luego, a menudo, es un ímpetu para hacer el trabajo para obtener esos datos. A veces, su mayor riesgo es el riesgo de que no puedas medir lo que necesitas medir.
Eficiencia
¿Vale la pena el esfuerzo y el coste de recopilación por la utilidad de más métricas para un área determinada? ¿Se pueden obtener métricas como un subproducto de los procesos existentes en lugar de recopilarse explícitamente?
Proximidad de la experiencia
¿Las métricas propuestas son desarrolladas o acordadas con las personas con experiencia en el dominio que se mide? Sesgo hacia las métricas de abajo hacia arriba basadas en las buenas prácticas observadas, que luego se mantienen.
Asumir el juego
Incluso las mejores mediciones estarán sujetas a (posiblemente inadvertidamente) corrupción de objetivos. Planifícalo. Empareja métricas con otras métricas para monitorear tales juegos o consecuencias no deseadas.
Coherencia direccional
Asegúrate de que las métricas sean al menos coherentes en la dirección, incluso si no son tan precisas como te gustaría. Si una métrica indica que las cosas están mejorando, deberían, por supuesto, mejorar.
Utiliza una taxonomía de métricas
Desarrolla una taxonomía para dar forma al tipo de métricas que recopilas para que seas riguroso al usarlas correctamente. Por ejemplo:
- Métricas de línea de base: cumplimiento de los controles básicos esperados, por ejemplo: parcheo, identidad / acceso, garantía de configuración, etc.
- Métricas orientadas al riesgo de activos / servicios: medición del riesgo para grupos específicos de activos / servicios comerciales en relación con la motivación y capacidad del atacante, por ejemplo: capas de defensa complementaria del atacante al objetivo, grado de presión sobre los controles, tiempo de permanencia de [posiblemente simulado ] ataques, etc.
- Mejora de la capacidad: medición de la eficiencia general y la capacidad organizativa (personas, procesos, herramientas), por ejemplo: niveles de integración SDLC, densidad de habilidades, estancamiento del sistema, radio de explosión para escenarios de incidentes importantes, etc.
- Resultados comerciales: qué beneficios directos o adyacentes se esperan además de evitar pérdidas, reducción de riesgos u otros resultados de seguridad, por ejemplo: mayores tasas de registro de clientes debido a procesos de autenticación sin problemas, mayor colaboración en apoyo a los clientes, reducción de los gastos generales de los empleados / tiempo dedicado a la gestión de controles, etc.
En pocas palabras: no permitas que lo perfecto sea enemigo de lo bueno al seleccionar y administrar los resultados con métricas. Por supuesto, esfuérzate por alcanzar estándares de comparación, pero no temas tener tus propias métricas que se adapten a tu entorno. Solo asegúrate de seguir algunos principios de construcción y aplicarlos con una consistencia despiadada.