¿Está midiendo el valor y la efectividad de sus iniciativas de ciberseguridad? La mayoría de las compañías alrededor del mundo no lo hacen, de acuerdo con una reciente encuesta de índices de medición de la seguridad. Si no establece las medidas apropiadas, está volando en total oscuridad.

Incluso cuando la función de información de seguridad de una organización logra generar y proporcionar información sobre la seguridad del negocio, usualmente estos datos nunca se llegan a leer.

“Aunque muchas compañías se encuentran llevando a cabo alguna iniciativa de ciberseguridad, éstas no están observando la efectividad en términos de cómo ésta ayuda al negocio”, afirmó Joseph Carson, jefe científico de seguridad de Thycotic, que creó su Security Measurement Index (SMI) basándose en estándares para la seguridad especificados en la ISO 27001 y los mejores procedimientos aplicados por los expertos de la industria y otras asociaciones. “Muchas organizaciones no están evaluando sus riesgos en comparación a sus impactos. No están observando esto desde una perspectiva o evaluación del impacto en el negocio. Lo están haciendo para cumplir con las regulaciones y muchas de sus mediciones de seguridad fueron canalizadas en esa dirección”.

“Existe una falta de colaboración entre ambas partes”, añadió Steve Durbin, director administrativo del Information Security Forum (ISF), una asociación sin fines de lucro que investiga y analiza los problemas en la seguridad y en la administración del riesgo. “¿Cuál es el lenguaje común que deberíamos estar hablando? ¿Cómo podríamos, desde el ángulo de la seguridad, concentrarnos en los elementos adecuados desde una perspectiva de negocio?

Dónde no se está midiendo la efectividad de la ciberseguridad

Thycotic, proveedor de gestión de cuentas privilegiadas (PAM) y soluciones para la administración de privilegios de terminales, encuestó a más de 400 negocios globales y ejecutivos de seguridad para crear la encuesta de estándares SMI. Encontró que el 58% de los encuestados obtuvieron puntajes desaprobatorios cuando, en base a los procedimientos más recomendables, se evaluaron las iniciativas de la organización para medir las inversiones y el desempeño de la ciberseguridad.

La encuesta encontró que, aunque las compañías globales gastan más de 100 mil millones de dólares anuales en seguridad, el 32% toma decisiones de negocio y adquiere tecnología de ciberseguridad a ciegas. Asimismo, más del 80% de los encuestados no incluyó a los usuarios de las áreas de negocio en la toma de decisiones de las compras relacionadas con la ciberseguridad. Tampoco han establecido un comité de dirección para evaluar el impacto en el negocio y el riesgo asociado a las inversiones en ciberseguridad.

Eso concuerda con lo que ve el ISF, de acuerdo con Durbin. El ISF ha encontrado que muchos CISO están reportando los indicadores clave de desempeño (KPIs), y los indicadores clave de riesgo (KRIs) incorrectos. Durbin atribuye esto al hecho de que la mayoría de los CISO tienen poca o ninguna interacción con las audiencias a quienes reportan. Como resultado, están adivinando qué es lo que sus audiencias necesitan, y no aciertan cuando intentan proporcionar reportes de administración continuos respecto a temas como la efectividad de la seguridad de la información.

“Si desconozco lo que está haciendo, ¿cómo puedo ayudarle? Voy a hacer algunas suposiciones respecto a qué es lo que está haciendo y podría estar completamente equivocado”, afirmó Durbin. “El personal de seguridad siempre habla sobre el costo. Si realineamos esto, el personal de seguridad puede acudir al negocio y decir, ‘Miren, si esto es lo que es importante para ustedes, este es el rol que puedo desempeñar para ayudarlos a proteger eso, pero no tengo el financiamiento necesario debido varias razones’. El negocio después podrá decidir respecto a si busca el financiamiento para ese problema. Ya no es el problema del personal de seguridad, es el problema del negocio”.

Aunque los CISO tienen que hacer bastante del trabajo pesado cuando se trata de la ciberseguridad, los CIO también tienen que desempeñar un rol importante, comenzando por proveer los datos que los encargados de seguridad necesitarán.

“La responsabilidad central del CIO es asegurarse de que la organización tenga la información que necesita para tomar las decisiones adecuadas”, afirmó Carson. “Ellos necesitan identificar cuáles son los activos principales y de alto nivel pertenecientes a la organización con el fin de clasificarlos. Después deben trabajar con el CISO para protegerlos”.

Cuatro pasos para los KPIs y KRIs

Para ayudar a las áreas de seguridad a alinearse con el negocio, el ISF ha desarrollado un enfoque práctico de cuatro fases para desarrollar KPIs y KRIs. Durbin afirmó que este enfoque ayudará a que los encargados de la seguridad de la información respondan proactivamente a las necesidades del negocio. La clave, indicó, es tener las conversaciones correctas con las personas correctas. El enfoque del ISF fue diseñado para ser aplicado en todos los niveles de una organización y consiste en cuatro fases:

1. Establezca la relevancia involucrándose en la comprensión del contexto del negocio, identifique intereses en común y desarrolle combinaciones para los KPI y KRI.
2. Genere conocimientos involucrándose con la producción, calibración e interpretación de las combinaciones de KPI/KRI.
3. Genere impacto involucrándose en el desarrollo de recomendaciones relacionadas a los intereses en común y tome decisiones respecto a los pasos que seguirán.
4. Aprenda y mejore involucrándose en el desarrollo de planes de aprendizaje y mejoras.

El engagement es la idea que se encuentra en el corazón del enfoque del ISF. El engagement construye relaciones y mejora la comprensión, permitiendo que la función de seguridad responda de la mejor manera a las necesidades del negocio.

El engagement comienza con la información correcta

El engagement comienza con el establecimiento de la relevancia. En el enfoque del ISF eso significa obtener los datos correctos, calibrados y con el soporte de las estructuras correctas para las audiencias correctas. Esa información después debe usarse consistentemente a lo largo de toda la organización. De acuerdo con el ISF, establecer la relevancia requiere de seis pasos:

1. Entender el contexto del negocio.
2. Identificar a las audiencias y a los colaboradores.
3. Determinar intereses en común.
4. Identificar las prioridades clave de la seguridad de la información.
5. Diseñar combinaciones KPI/KRI.
6. Probar y confirmar las combinaciones KPI/KRI.

Una vez que tenga los datos, tiene que generar conocimiento en base a éstos. El ISF afirma que los conocimientos confiables provienen de los KPIs y KRIs. Generar conocimientos involucra los tres pasos siguientes:

1. Recolectar datos.
2. Producir y calibrar combinaciones de KPI/KRI.
3. Interpretar combinaciones de KPI/KRI para desarrollar conocimientos.

Con los conocimientos a su disponibilidad, es el momento de crear impacto, asegurando que la información sea reportada y presentada de una manera que sea aceptada y entendida por todos los involucrados. Esto lleva a la decisión y a la acción de la siguiente manera:

1. Póngase de acuerdo respecto a conclusiones, propuestas y recomendaciones.
2. Produzca reportes y presentaciones.
3. Prepárese para presentar y distribuir los reportes.
4. Presente y póngase de acuerdo respecto a los pasos siguientes.

El paso final es desarrollar los planes de aprendizaje y mejora basándose en todo lo aprendido en los pasos anteriores. Esto, de acuerdo con el enfoque del ISF, llevará a decisiones informadas que se basan en una visión precisa del desempeño y del riesgo, otorgándole a las organizaciones la confianza de que los encargados de la seguridad de la información están respondiendo proactivamente a las prioridades y otras necesidades del negocio.

“Uno tiene que desarrollar una mentalidad de evolución continua”, afirmó Carson. “Es una cultura, un proyecto de consciencia. Siempre continúa”.

-Thor Olavsrud, CIO (EE.UU.)