Principios prácticos para métricas de seguridad



Un enfoque proactivo para la ciberseguridad requiere las herramientas adecuadas, no más herramientas.

Hay varias fuerzas clave del mercado que afectan el panorama cibernético que regularmente aparecen en los titulares: una escasez de personal de seguridad, un gran aumento en la cantidad de herramientas de seguridad y una superficie de ataque cada vez mayor debido al movimiento para traer las políticas de su propio dispositivo y la nube Sin embargo, otra fuerza del mercado está cambiando la naturaleza de la industria: aumentando la presión para cumplir con numerosas regulaciones como el Reglamento Common de Protección de Datos, la Ley Defend, la Ley de Privacidad del Consumidor de California y la más reciente Avisos de higiene cibernética MAS.

Los auditores y reguladores esperan que demostremos que existen medidas de seguridad razonables para proteger los datos personales de los clientes y las aplicaciones críticas para el negocio, en cualquier momento. Y aquí es donde luchamos, para demostrar que se tomó el debido cuidado. La tendencia que vemos es que las organizaciones están invirtiendo en muchas herramientas para gestionar los riesgos. Esto lo demuestra un estudio reciente, realizado por Investigación de Forrester, que encuestó a más de 250 tomadores de decisiones de seguridad de alto nivel en América del Norte y Europa.

El informe destacó que las organizaciones están utilizando múltiples tecnologías para identificar y mitigar el riesgo, incluidas las plataformas de análisis de seguridad gestión de vulnerabilidades plataformas de gobernanza, riesgo y cumplimiento y plataformas de gestión de riesgos de proveedores. Pero varias herramientas pueden agravar los problemas relacionados con la presentación de informes: los informes deben recopilarse y organizarse manualmente, lo que aleja al equipo de «hacer seguridad» y cut down la frecuencia possible de actualizaciones de informes, lo que significa que las partes interesadas no tienen una versión de la verdad.

Para aliviar la desconexión, como sector reconocemos que necesitamos pasar a informes continuos y precisos de riesgo cibernético, que es impulsado por la recopilación y recopilación automatizada de datos. El punto de partida para esto es un acuerdo sobre qué métricas de seguridad deben medirse y cómo. Hay varios principios prácticos que podemos usar para hacer que las métricas estén más centradas en el negocio, sean precisas y medibles a medida que avanzamos hacia una period en la que la precisión y la relevancia son las principales.

El punto de partida es un acuerdo sobre qué preguntas deben responderse para hacer que el negocio sea más seguro y qué datos están disponibles para ayudar a informar las respuestas. Las métricas deben ser capaces de resistir el escrutinio. También debemos asegurarnos de saber qué hacer con una respuesta a la pregunta original. Lo comparo con La Guía del autoestopista galáctico – Si te dijera la respuesta al significado de la vida, el universo y todo era 42, ¿qué harías con esa información? Si no sabemos qué hacer con una métrica dada, entonces necesitamos volver al principio.

El siguiente principio práctico es apuntar siempre a la simplicidad. ¡Una métrica compleja, difícil de interpretar, puede ser menos efectiva que un par de simples! Si la audiencia de una métrica no recibe el mensaje que está destinado a transmitir, la métrica ha fallado sin importar cuán «inteligente» sea. Estadísticas simples que están bien ejecutadas y son fáciles de explicar sobre los análisis de recuadro negro todos los días de la semana. Y no olvide que necesitamos agregar un contexto comercial: las métricas centradas en el negocio resuenan con el directorio y las partes interesadas del negocio, ya que les permiten impulsar la acción.

¿Cuántas métricas necesitamos? Un enfoque efectivo es alinear las métricas con los marcos de seguridad aceptados por la industria. La alineación con un marco proporciona una indicación de qué tan bien un programa de métricas cubre la amplitud de las áreas de seguridad y si hay algún vacío que deba llenarse. Los marcos pueden ayudar a proporcionar una estructura acquainted para un programa de métricas y, naturalmente, proporcionar niveles más altos en los que podemos resumir el análisis y proporcionar una visión normal efectiva para las partes interesadas del negocio.

Ahora es el momento de recopilar datos y crear métricas. Un inventario de alta calidad es la base de métricas confiables. Intente combinar múltiples conjuntos de datos para obtener la imagen más completa y precisa de los activos posibles y clasificarlos con la mayor precisión posible, haciendo preguntas como: ¿Este servidor está conectado a Online? ¿Esta base de datos admite una aplicación crítica? ¿Qué línea de negocio posee esto? Esto permite que las métricas tengan ese contexto comercial tan importante y ayuda con la priorización. Ser capaz de mostrar métricas para la infraestructura que soporta las aplicaciones críticas del negocio es priceless para obtener la aceptación del negocio.

Además, es clave verificar en lugar de confiar. No queremos agregar inexactitudes a las métricas suponiendo que ya conocemos algunos de los hechos, por ejemplo, «me dijeron que el antivirus se implementó en todos mis dispositivos». Y si no podemos medir algo, ¡no debería estar en nuestro programa de métricas! Tenga en cuenta, por supuesto, que hay formas más o menos precisas de medir: una medición aproximada está bien como punto de partida, pero una suposición no lo es.

Una vez que hayamos verificado, necesitamos verificar nuevamente. Use el tipo de métrica para evaluar una frecuencia great y luego mida lo más cerca posible de eso para la organización por ejemplo, si el escáner de vulnerabilidades se ejecuta una vez por semana, no necesitamos actualizar / verificar datos y crear métricas en estos a diario.

Finalmente, nunca olvide que si las métricas son para la junta, una línea de negocios, un regulador o un auditor, la clave también es conocer la precisión, la oportunidad y las limitaciones de las mediciones. Una buena ilustración es el parchear el tiempo en nuestros servidores. Necesitamos asegurarnos de conocer el porcentaje de servidores que no están cubiertos por nuestro escáner. Después de todo, «el 90% de las vulnerabilidades del servidor arregladas dentro del acuerdo de nivel de servicio» se vuelve decididamente menos impresionante si sabemos que solo el 50% de los servidores están siendo escaneados.

La conclusión clave aquí es que un enfoque proactivo para la seguridad cibernética requiere las herramientas adecuadas, no más herramientas, al igual que un programa de métricas es mucho más efectivo con métricas simples y precisas en lugar de una gran cantidad de números que pueden estar equivocados, así como fuera de fecha.

Contenido relacionado:

Nik Whitfield es el fundador y CEO de Panaseer. Fundó la compañía con la misión de hacer que las organizaciones de ciberseguridad sean inteligentes frente al riesgo. Su equipo creó la Plataforma Panaseer para automatizar la amplitud y profundidad de visibilidad requerida para tomar el handle de … Ver biografía completa

Más thoughts





Enlace a la noticia initial