Cada semana se informan docenas de violaciones de datos y algunas alcanzan las decenas, o incluso cientos de millones de personas afectadas.
Tanto los clientes como los reguladores están cada vez más preocupados por los programas de seguridad de la información de las organizaciones y cómo planean prevenir incidentes de seguridad y proteger los datos confidenciales.
Como resultado, se han establecido muchas leyes y reglamentos para promover la gestión de riesgos de ciberseguridad y para proteger la información confidencial que puede almacenarse o transferirse entre organizaciones.
Estas leyes de protección de datos generales y específicas de la industria tienden a ser extensas y requieren una monitorización constante para garantizar el cumplimiento normativo en toda su organización y en las organizaciones de sus proveedores.
Por eso es importante establecer un conjunto de métricas de seguridad que midan la efectividad de la participación en el uso de los controles de seguridad. Un conjunto de métricas bien elegido ayudará a guiar la futura toma de decisiones de seguridad y mejorará la postura de seguridad de su organización.
Sin un enfoque cuantitativo para la inteligencia de amenazas, las organizaciones se vuelven más susceptibles a los ataques que pueden afectar los ingresos y la reputación.
Indice
¿Qué son las métricas de seguridad?
Las métricas de seguridad o métricas de ciberseguridad son un valor medible que demuestra lo bien que una empresa está logrando sus objetivos de reducción de riesgos de ciberseguridad. Las organizaciones usan métricas de seguridad en múltiples niveles para evaluar cómo están cumpliendo con sus estándares de seguridad y requisitos de administración de seguridad de la información.
Las métricas de seguridad de alto nivel pueden centrarse en el rendimiento general de la organización y generalmente son propiedad del Director de Seguridad de la Información (CISO) o CTO y se comparten con la alta gerencia, mientras que las métricas de seguridad de bajo nivel pueden centrarse en pruebas de penetración, escaneo de vulnerabilidades, capacitación en seguridad y resultados de evaluación de riesgos. Las métricas de bajo nivel generalmente son propiedad de equipos de seguridad formados por profesionales de seguridad que informan al CISO.
Si bien el objetivo principal de las métricas de seguridad es evaluar cómo la organización está reduciendo el riesgo de seguridad, también hay diferentes métricas que pueden proporcionar información sobre el rendimiento del programa en sí. Estas métricas a menudo son proporcionadas por herramientas de seguridad diseñadas para proporcionar comentarios procesables en tiempo real.
Independientemente de las métricas que elijas, recuerda que deben ser cuantificables e influir en el comportamiento diario, así como en la estrategia a largo plazo. También deben cumplir con los marcos de seguridad de la información, seguridad de los datos, seguridad móvil y seguridad de la red.
E idealmente, debes tener un conjunto de métricas que sean fácilmente comprensibles para las partes interesadas no técnicas, como los accionistas, los miembros de la Junta y los reguladores. Los números fijos y los puntos de referencia de la industria son una excelente manera de evitar confusiones y resaltar áreas clave para mejorar.
¿Por qué son importantes las métricas de seguridad?
Si no puedes medir los resultados de tus esfuerzos de seguridad, no sabrás cómo realiza el seguimiento.
La ciberseguridad no es un asunto único. Los ciberdelincuentes y los ciberataques que emplean están en constante evolución, y los procesos y la tecnología necesarios para combatirlos deben evolucionar continuamente para mantenerse relevantes.
Necesitas tener métricas para evaluar la efectividad de los controles de seguridad en los que has invertido.
Las métricas de seguridad son importantes por dos razones principales:
- El análisis de los indicadores clave de rendimiento (KPI), los indicadores clave de riesgo (KRI) y las posturas de seguridad proporcionan una instantánea de cómo funciona tu equipo de seguridad con el tiempo. Esto te ayuda a comprender mejor qué está funcionando, qué activos de tecnología de la información están en mayor riesgo y qué áreas están empeorando. Esta información ayuda en la toma de decisiones en torno al presupuesto, las personas y la inversión en tecnología.
- Las buenas métricas brindan información cuantitativa que puedes usar para mostrarle a la gerencia, a los miembros de la junta, a los clientes e incluso a los accionistas que te tomas en serio la confidencialidad, la integridad y la disponibilidad.
Cómo elegir las métricas de seguridad correctas
Estos siete principios te ayudarán a elegir las métricas de seguridad adecuadas para tu organización:
- Propósito: las métricas deben respaldar los objetivos comerciales y los requisitos reglamentarios, conectar las métricas a la empresa puede ayudar con la aceptación de las partes interesadas y garantizar que los recursos se utilicen de manera eficiente
- Controlabilidad: para que las métricas valgan la pena, deben demostrar que se está cumpliendo un objetivo. Por lo tanto, las métricas deben medir procesos y resultados controlables.
- Contexto: Responde preguntas como «¿por qué lo estamos recopilando?», «¿Qué historia cuenta?» Y «¿cómo se compara esto con nuestra industria?»
- Mejores prácticas: sé consciente de lo que estás tratando de lograr y cómo se ve la mejor métrica de su clase.
- Cuantitativo: las métricas deben ser cuantitativas para que puedan compararse a lo largo del tiempo y las organizaciones. Dicho esto, el contexto cualitativo en torno a resultados clave objetivos (OKR) es muy importante.
- Calidad de los datos: las métricas son tan buenas como los datos que se utilizan para crearlas, aseguran que tengan un alto nivel de precisión y fiabilidad.
- Facilidad de recopilación y análisis: la mejor métrica es inútil si no puede recopilar y analizar fácilmente los datos necesarios. No debería llevarte mucho tiempo preparar e informar tus métricas. Idealmente, debes tener un tablero siempre actualizado que cualquier persona de tu organización pueda ver.
Seguir estos principios te ayudará a identificar los datos y servicios necesarios para construir las métricas que necesitas. Es importante recordar que tu entorno empresarial influirá en los datos que se recopilan para formar tus métricas de seguridad. Estas métricas también dependerán de la tecnología que implementes, los controles de seguridad que uses y la cantidad de proveedores externos a los que subcontrates.
¿Qué métricas son útiles para medir nuestra postura de seguridad?
Tu postura de seguridad o de ciberseguridad es el estado de seguridad colectiva del software, hardware, servicios, redes, información, proveedores y proveedores de servicios que utiliza tu organización.
La métrica más importante para rastrear tu postura de seguridad es una calificación de seguridad o calificación de ciberseguridad.
Una calificación de seguridad es una medición dinámica, objetiva y basada en datos de la postura de seguridad de tu organización. Es creada por una plataforma de calificaciones de seguridad independiente y confiable, al igual que una calificación crediticia es creada por un tercero.
Al igual que las calificaciones crediticias, las calificaciones de seguridad tienen como objetivo proporcionar una métrica cuantitativa del riesgo de ciberseguridad.
Cuanto mayor sea la calificación de seguridad de la organización, mejor será su postura de seguridad general.
Las clasificaciones de seguridad ayudan a los líderes de seguridad y riesgo a:
- Comprender el impacto de sus inversiones en controles o tecnología de seguridad cibernética
- Alinear las inversiones y acciones con aquellas que mitigarán los riesgos más críticos.
- Asignar de manera eficiente y dinámica sus recursos límite en áreas críticas
- Facilitar conversaciones basadas en datos y basadas en el riesgo sobre la ciberseguridad con partes interesadas no técnicas clave, como miembros de la Junta, Vicepresidentes, reguladores, inversores y socios comerciales clave.
- Realizar una evaluación comparativa del rendimiento de seguridad interna frente a los pares de la industria
Las calificaciones de ciberseguridad serán tan importantes como las calificaciones crediticias al evaluar el riesgo de las relaciones comerciales existentes y nuevas. Además, los servicios habrán ampliado su alcance para evaluar otras áreas, como el seguro cibernético, la diligencia debida para fusiones y adquisiciones e incluso como una métrica en bruto para programas de seguridad interna.
Más allá de tu calificación de seguridad, debes considerar rastrear:
- Tiempo de permanencia: el tiempo promedio que un atacante no ha detectado el acceso a datos confidenciales sin ser eliminado. Mientras más tiempo de permanencia exista, más tiempo tendrá el atacante para eliminar datos confidenciales y causando un mayor daño con su ataque.
- Vulnerabilidades: la cantidad de vulnerabilidades conocidas, como las que figuran en sistemas internos y sistemas controlados por el proveedor. La gestión de vulnerabilidades puede ayudarte a clasificar las vulnerabilidades en función de la gravedad, mejorando la priorización.
- Capacitación sobre concienciación en ciberseguridad: ¿cuántos empleados han completado tu programa de concienciación sobre ciberseguridad?
¿Qué métricas son útiles para rastrear el cumplimiento normativo?
Las métricas de seguridad pueden ayudar a garantizar que cumplas con los requisitos reglamentarios aplicables, como PCI DSS, HIPAA, GDPR, CCPA , CPS 234 , LGPD , PIPEDA , FIPA , The SHIELD Act , GLBA y FISMA.
Las métricas que elijas rastrear deben medir de manera efectiva la capacidad de tu organización para mantener los requisitos normativos y generales de protección de datos. Esto no solo es útil para mejorar tu programa de seguridad cibernética, sino que también puede ayudarte a evitar multas, demandas y otras sanciones.
PCI DSS
El Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) es un estándar de seguridad de la información para organizaciones que manejan tarjetas de crédito de marca de los principales esquemas de tarjetas de crédito.
PCI DSS tiene como objetivo aumentar los controles alrededor de los datos del titular de la tarjeta para reducir el fraude con tarjetas de crédito. El cumplimiento de PCI requiere cumplir doce requisitos:
- Instalar y mantener un firewall para proteger los datos del titular de la tarjeta. El propósito del firewall es escanear todo el tráfico de red y bloquear el acceso de redes no confiables al sistema.
- Cambiar los valores predeterminados proporcionados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad. Estas contraseñas se descubren fácilmente a través de la información pública y pueden ser utilizadas por personas malintencionadas para obtener acceso no autorizado a los sistemas.
- Protección de los datos almacenados del titular de la tarjeta. El cifrado, el hash o el enmascaramiento son métodos utilizados para proteger los datos del titular de la tarjeta.
- Cifrado de transmisión de datos del titular de la tarjeta a través de redes públicas abiertas. El cifrado seguro, que incluye el uso de claves y certificaciones confiables, reduce el riesgo de ser atacado por personas malintencionadas mediante ataques cibernéticos.
- Proteger todos los sistemas contra malware y realizar actualizaciones periódicas de software antivirus. Los diferentes tipos de malware pueden ingresar a una red de muchas maneras, incluido el uso de Internet, correos electrónicos de phishing, dispositivos móviles o dispositivos de almacenamiento. El software antivirus actualizado o el software complementario antimalware reducirá el riesgo de explotación a través del malware.
- Desarrollo y mantenimiento de sistemas y aplicaciones seguros. Las vulnerabilidades en los sistemas y aplicaciones permiten que individuos sin escrúpulos obtengan acceso privilegiado. Los parches de seguridad deben instalarse de inmediato para corregir vulnerabilidades y evitar la explotación y el compromiso de los datos del titular de la tarjeta.
- Restringir el acceso a los datos del titular de la tarjeta solo a personal autorizado. Los sistemas y procesos deben usarse para restringir el acceso a los datos del titular de la tarjeta en función de la «necesidad de saber».
- Autenticar el acceso a los componentes del sistema. A cada persona con acceso a los componentes del sistema se le debe asignar una identificación (ID) única que permita la responsabilidad del acceso a los sistemas de datos críticos.
- Restricción del acceso físico a los datos del titular de la tarjeta. El acceso físico a los datos del titular de la tarjeta o los sistemas que contienen estos datos debe ser seguro para evitar el acceso no autorizado o la eliminación de datos.
- Seguimiento y monitorización de todo el acceso a los datos del titular de la tarjeta y los recursos de la red. Deben existir mecanismos de registro para rastrear las actividades de los usuarios que son críticas para prevenir, detectar o minimizar el impacto de los compromisos de datos.
- Prueba de sistemas y procesos de seguridad regularmente. Nuevas vulnerabilidades se descubren continuamente. Los sistemas, procesos y software deben probarse con frecuencia para descubrir vulnerabilidades que podrían ser utilizadas por personas malintencionadas.
- Mantener una política de seguridad de la información para todo el personal. Una política de seguridad sólida incluye hacer que el personal comprenda la sensibilidad de los datos y su responsabilidad de protegerlos.
Los ejemplos de métricas que son útiles para abordar el cumplimiento de PCI DSS incluyen:
- El porcentaje de tu infraestructura de TI que se evalúa de manera regular y constante en busca de vulnerabilidades.
- El porcentaje de vulnerabilidades conocidas que han sido parcheadas o mitigadas.
- El número de personal que tiene acceso a información confidencial del titular de la tarjeta.
HIPAA
La Ley de Portabilidad y Responsabilidad del Seguro de Salud de 1996 (HIPAA) fue firmada por el presidente Bill Clinton el 21 de agosto de 1996.
De particular importancia para los profesionales de seguridad son la Regla de Privacidad de HIPAA y la Regla de Seguridad de HIPAA.
La Regla de Privacidad establece un conjunto de estándares nacionales para la protección de los derechos de los pacientes y la información de salud protegida (PHI). El objetivo principal de la Regla de Privacidad era lograr un equilibrio entre la confidencialidad, la integridad y la disponibilidad de los datos de atención médica mientras se podía proteger la salud y el bienestar del público.
La Regla de Seguridad de HIPAA establece un conjunto nacional de estándares de seguridad para proteger cierta información de salud que se mantiene o transfiere en forma electrónica. La Regla de Seguridad operacionaliza las protecciones contenidas en la Regla de Privacidad al abordar las salvaguardas técnicas y no técnicas.
Los ejemplos de métricas a seguir para garantizar el cumplimiento de HIPAA incluyen:
- El tiempo promedio que tarda tu plan de respuesta a incidentes para abordar las infracciones de datos conocidas.
- El número de incidentes de ciberseguridad reportados por empleados, partes interesadas y proveedores externos.
- El número de excepciones a tu estrategia de prevención de pérdida de datos.
RGPD
El Reglamento General de Protección de Datos (RGPD) de la Unión Europea es una ley extraterritorial diseñada para proteger la información de identificación personal (PII) de los ciudadanos de la UE.
Como ley extraterritorial, se aplica a cualquier organización que maneje datos de ciudadanos de la UE, independientemente de si están en la UE o no. Su objetivo es proporcionar a los usuarios un mayor acceso a sus datos confidenciales.
Además, cualquier proveedor de terceros que utilices también debe cumplir con el RGPD. Esta es la razón por la que la gestión de riesgos del proveedor se ha vuelto tan importante.
Las multas por incumplimiento son significativas. Hasta € 10 millones, o 2% de facturación global anual (lo que sea mayor) o hasta € 20 millones, o 4% de facturación global anual (lo que sea mayor).
Los ejemplos de métricas para rastrear el cumplimiento del RGPD incluyen:
- El número de fugas de datos y violaciones de datos detectadas. Ten en cuenta que debes informar las violaciones de datos personales no más de 72 horas después de darte cuenta de ellas.
- La calificación promedio de seguridad de tus proveedores externos.
CCPA
La Ley de Privacidad del Consumidor de California (CCPA) es una nueva ley que entró en vigor el 1 de enero de 2020, diseñada para mejorar los derechos de privacidad del consumidor y la protección de los residentes en el estado de California al imponer reglas sobre cómo las empresas manejan su información personal.
El CCPA es similar al RGPD y es la legislación de privacidad del consumidor más extensa aprobada en los Estados Unidos hasta la fecha.
Los ejemplos de métricas para rastrear el cumplimiento de CCPA incluyen:
- El porcentaje de todos los sistemas internos y de proveedores que utilizan cifrado de datos
- El porcentaje de proveedores que han completado un cuestionario de evaluación de riesgos de proveedores asignado a CCPA.
CPS 234
CPS 234 es un estándar prudencial de APRA que tiene como objetivo garantizar que una entidad regulada por APRA tome medidas para resistir los incidentes de seguridad de la información (incluidos los ataques cibernéticos ) manteniendo una capacidad de seguridad de la información acorde con las vulnerabilidades y amenazas de la seguridad de la información.
Se aplica a todas las entidades reguladas por APRA y el incumplimiento de CPS 234 puede provocar la pérdida de la licencia RSE.
Los ejemplos de métricas para rastrear el cumplimiento de CPS 234 incluyen:
- El porcentaje de terceros y partes relacionadas que han evaluado el diseño de sus controles de seguridad de la información en relación con CPS 234
- El número de cambios no aprobados implementados en producción
LGPD
La Ley General de Protección de Datos de Brasil ( Lei Geral de Proteção de Dados Pessoais o LGPD) es una nueva ley que fue aprobada por el Congreso Nacional de Brasil el 14 de agosto de 2018 y entra en vigor el 15 de agosto de 2020.
El LGPD crea un marco legal para el uso de datos personales de personas en Brasil, independientemente de dónde se encuentre el procesador de datos, tal como lo han hecho CCPA y RGPD para los californianos y europeos, respectivamente.
Ejemplos de métricas para rastrear el cumplimiento de LGPD son:
- El porcentaje de proveedores de servicios que han sido evaluados a través de herramientas de calificación de seguridad de terceros y cuestionarios de seguridad.
- El número de incidentes de seguridad que expusieron datos confidenciales.
PIPEDA
La Ley de Protección de Información Personal y Documentos Electrónicos (PIPEDA) es la legislación federal de privacidad para las organizaciones del sector privado en Canadá.
PIPEDA se convirtió en ley el 13 de abril de 2000 para promover la confianza y la privacidad de los datos en el comercio electrónico y desde entonces se ha expandido para incluir industrias como la banca, la radiodifusión y el sector de la salud.
Ejemplos de métricas para rastrear el cumplimiento de PIPEDA son:
- El número de violaciones de datos notificables que involucran información personal
- El número de vendedores de alto riesgo que procesan información personal
FIPA
La Ley de Protección de la Información de Florida de 2014 (FIPA) entró en vigor el 1 de julio de 2014, ampliando los requisitos de estatuto de notificación de violación de datos existentes de Florida para entidades cubiertas que adquieren, usan, almacenan o mantienen la información personal de Florida.
FIPA es similar a CCPA, RGPD y LGPD, aunque menos extenso. Los ejemplos de métricas para rastrear el cumplimiento de FIPA incluyen:
- El porcentaje de su infraestructura de TI que está completamente parcheado y actualizado
- El número de intentos de intrusión.
La Ley SHIELD
La Ley de Alto a los Hacks y Mejora de los Datos Electrónicos de Nueva York (Ley SHIELD) se promulgó el 25 de julio de 2019 como una enmienda a la Ley de Infracción y Notificación de Seguridad de la Información del Estado de Nueva York. La ley entró en vigor el 21 de marzo de 2020.
El objetivo de la Ley SHIELD es actualizar las leyes de notificación de violación de datos de Nueva York para mantener el ritmo de la tecnología actual al ampliar el alcance de la información cubierta por la ley de notificación, así como ampliar el alcance de lo que es una violación de datos.
Los ejemplos de métricas para garantizar el cumplimiento de la Ley SHIELD incluyen:
- La cantidad de ciberataques detenidos
- El tiempo promedio para que los proveedores respondan a incidentes de seguridad
GLBA
La Ley Gramm-Leach-Bliley (GLBA) es una ley federal en los Estados Unidos que requiere que las instituciones financieras expliquen cómo comparten y protegen la información personal no pública de sus clientes.
Hay tres componentes principales del GLBA, diseñados para trabajar juntos para gobernar la recopilación, divulgación y protección de la información personal no pública de los clientes, a saber:
- La Regla de privacidad financiera: restringe el intercambio de información personal no pública sobre un individuo y requiere que las instituciones financieras proporcionen a cada consumidor un aviso de privacidad al comienzo de la relación con el cliente y anualmente a partir de entonces.
- La regla de salvaguardas: requiere que las instituciones financieras desarrollen un plan de seguridad de la información que describa cómo está preparada la compañía y los planes para continuar protegiendo la información personal no pública de los clientes y ex clientes.
- Protección previa al texto: la ingeniería previa al texto o la ingeniería social se produce cuando alguien intenta obtener acceso a información personal no pública sin autorización para hacerlo. Esto puede implicar solicitar información privada suplantando al titular de la cuenta por teléfono, correo postal o phishing o spear phishing. GLBA alienta a las organizaciones a implementar salvaguardas contra el pretexting.
Los ejemplos de métricas para garantizar el cumplimiento de GLBA incluyen:
- Porcentaje del personal que ha completado la capacitación en concientización sobre ingeniería social
- Porcentaje de clientes que recibieron un aviso de privacidad este año
FISMA
La Ley Federal de Administración de Seguridad de la Información de 2002 (FISMA) es una ley federal de Estados Unidos que define un marco integral para proteger la información, las operaciones y los activos del gobierno contra las amenazas naturales y provocadas por el hombre.
El marco está definido por el Instituto Nacional de Estándares y Tecnología (NIST) que ha publicado estándares y pautas tales como los Estándares FIPS 199 para la categorización de seguridad de la información federal y los sistemas de información, los requisitos mínimos de seguridad FIPS 200 para los sistemas de información e información federales y NIST serie 800.
FISMA requiere que las agencias federales desarrollen, documenten e implementen un sistema de información para toda la agencia que respalde sus operaciones y activos, incluidos los proporcionados o administrados por terceros.
Los ejemplos de métricas que pueden ayudar con el cumplimiento de FISMA incluyen:
- Porcentaje de riesgos remediados desde la última evaluación de riesgos de ciberseguridad
- Porcentaje de activos que son monitorizados continuamente.