La experta en ciberseguridad Jenai Marinkovic no da mucha importancia a las métricas que muestran los ataques que su equipo ha sido capaz de detener. Según dijo, esas cifras no aportan información. Por el contrario, “los CISO necesitan encontrar métricas que brinden información procesable que ellos y los otros líderes empresariales puedan utilizar para tomar decisiones. Deben ser cifras que ayuden al negocio”. Asimismo, añadió los jefes de seguridad deben calcular cuánto están impactando en los resultados, el retorno de sus inversiones y en qué grado están mejorando la estrategia de seguridad TI.
Para Marinkovic, esto último significa calcular el tiempo medio hasta la notificación de una infracción y el tiempo promedio hasta su contención. Pero esto todavía no revela una fotografía completa, ya que estos datos no indican la madurez del departamento ni si los controles de seguridad están alineados con los objetivos estratégicos. “Para conseguirlo, probablemente no haya que buscar métricas cuantitativas, sino cualitativas”.
En busca de algo mejor
Prácticamente todos los CISO están de acuerdo en que no existe ninguna ecuación matemática que pueda medir su efectividad real. Pero, al mismo tiempo, reconocen que hay presión para hacerlo mejor. “Hay CISO que no tienen nada, ni métricas, ni forma de cuantificar; y son conscientes del problema”, aseguró Jeff Pollard, vicepresidente y analista principal de Forrester. “Buscan una forma de conocer la efectividad de su programa para saber si han mejorado”.
Los líderes de seguridad están abordando este reto y recopilando datos. Y, parece que estas métricas están resultando útiles para evaluar su estrategia. Para ello, están tratando de medir los resultados de muchos procesos y herramientas complejas, utilizando datos que no tienen sentido fuera de contexto. Por ejemplo, los directivos de todo el mundo comprenden qué es ingresar un millón de dólares, pero les cuesta decir si frustrar un millón de intentos de ataque es algo positivo o negativo, o algo absoluto. “No existe un motor de puntuación de riesgo único que pueda agregarse a una visión que todos comprendan, lo cual supone un desafío”, expresó John Gelinne, director de Servicios de Riesgo Cibernético de Deloitte Advisory.
“Proponer una métrica para el hecho de que no haya sucedido nada malo y luego pedir más inversión a la junta directiva es difícil de vender”, añadió Tim Rawlins, director de seguridad de NCC Group. “Por suerte, se están generando métricas vinculadas a cifras para mostrar cómo un acto o una estrategia ha generado más seguridad a la compañía, o cómo algo ha salvado de tener que explicar a clientes y socios un brecha de datos. Es difícil, pero los CISO ya están viendo la ciberseguridad como una ciencia y están encontrando métodos con valoraciones que son repetibles y reproducibles para mostrar tendencias y comparativas”.
Centrarse en permitir la toma de decisiones
Desarrollar la combinación correcta de métricas permite una buena toma de decisiones. Como explicó Pollard, los únicos datos que deben usarse son los que conducen a decisiones. “Siempre estamos buscando información y tomando decisiones, por eso los líderes de seguridad necesitan grandes métricas. Si no pueden hacer esto, no vale la pena”.
Tomando prestados los principios de las medidas comerciales convencionales, Pollard dijo que esas métricas podrían ser indicadores rezagados, coincidentes o adelantados. De hecho, señaló que ha visto algunas métricas de estas utilizándose de manera conveniente por distintos CISO. Por ejemplo, algunos CISO utilizan las tasas de rotación y de retención de empleados como un indicador principal de los riesgos de amenazas internas, ya que los trabajadores que salen pueden llevarse información de la empresa a pesar de que las políticas internas prohíben tales acciones. El seguimiento de los riesgos de amenazas internas podría ser un indicador rezagado si los CISO han estado trabajando para restringir el acceso de los empleados como parte de una iniciativa de seguridad en curso.
De cualquier manera, aseguró Pollard, dicha métrica puede ayudar a los CISO a tomar decisiones sobré qué acciones tomar, por ejemplo, reclasificar roles y reducir permisos para limitar el acceso a datos confidenciales o agregar software de análisis de comportamiento del usuario.
Desarrollar métricas basadas en costos
Los CISO necesitan identificar los activos de la organización y los posibles riesgos, pero luego determinan los costos asociados con los eventos de seguridad. Deloitte habla de costos de incidentes “por encima de la superficie” (y por lo tanto más conocidos) y los costos “por debajo de la superficie” (o menos visibles).
En su informe de 2020, la consultora enumeró los gastos asociados con las investigaciones técnicas, las notificaciones de incumplimiento de ciudadanos o clientes y los honorarios de los abogados como costos por encima de la superficie. Asimismo, enumeró los aumentos de las primas de seguros, el aumento de los costos de endeudamiento, la devaluación del nombre comercial y la pérdida de propiedad intelectual como algunos de los costos menos visibles.
“Esos son más difíciles de cuantificar si sucede algo malo, pero si puede cuantificar todo eso, entonces puede comprender el valor de los controles implementados y dónde debe concentrarse e invertir. Puede identificar en qué controles debería invertir y luego extrapolar los rendimientos”, explicó Gelinne.
Adaptación de decisiones de datos
Debido a que las métricas deben satisfacer las necesidades individuales de las empresas, los expertos dijeron que los CISO deben considerar qué necesitan medir, qué datos necesitarán tomar para los cálculos y cómo usarán esa información para tomar decisiones. Esas métricas deben ser transparentes y, por lo tanto, comprensibles para todas las partes interesadas.
–Mary K. Pratt, IDG.es