Cuando se diseñan de manera adecuada y se miden de manera objetiva, las métricas son una parte indispensable de un programa de seguridad maduro. Las métricas sólidas pueden ayudar a una organización a medir y rastrear el riesgo y el rendimiento, así como a realizar ajustes y decisiones informados según sea necesario. Si bien la mayoría de los profesionales de seguridad reconocen y entienden esto, en la práctica, solo unas pocas organizaciones realmente obtienen beneficios significativos de las métricas de seguridad. Existen muchos enfoques para crear un programa de métricas de seguridad efectivo. En este artículo, me gustaría compartir algunas ideas sobre un marco que me ha funcionado bien.
Consejo 1: Conozca a su audiencia. Hace años, cuando asistí a un seminario de presentación, recibí algunos consejos muy buenos: conoce a tu audiencia. Este consejo se aplica a muchas áreas, incluidas las métricas. El primer paso para crear un marco de métricas sólido es comprender para quién lo está creando, incluso si hay múltiples audiencias. Las métricas informadas a la junta y a los ejecutivos serán diferentes a las que united states of america para realizar mejoras operativas y ajustes tácticos. Las métricas proporcionadas a los clientes que muestran que sus datos están protegidos serán diferentes a las métricas para que la administración de seguridad tome decisiones bien informadas. Un buen marco de métricas proporciona las métricas correctas para el público apropiado, incluso cuando hay múltiples públicos.
Consejo 2: Agregado: Una excelente manera de proporcionar las métricas correctas al público apropiado es agregar estratégicamente. Cada nivel es más detallado que el nivel excellent, y las métricas más granulares se acumulan en métricas más amplias y estratégicas a medida que avanza por los niveles. Como ejemplo, considere cuatro niveles de agregación que he encontrado útiles para construir un marco sólido de métricas de seguridad:
œ Grupo: El agregado de más alto nivel es el grupo. Cada grupo debe ser un área amplia dentro de la seguridad compuesta de diferentes áreas funcionales. Algunos ejemplos de grupos pueden incluir «Cumplimiento», «Administración de vulnerabilidades» y «Monitoreo de seguridad», entre otros.
œ Zona: El agregado del siguiente nivel es el área. Cada área debe ser una función específica dentro de la seguridad que contenga uno o más riesgos que deben medirse. Las áreas pueden ser «Evaluación del riesgo de la aplicación», «Evaluación del riesgo del proveedor» y «Capacitación y sensibilización», entre otras.
œ Riesgo clave: El siguiente nivel agregado es el riesgo clave. Cada riesgo clave debe representar un área de preocupación y enfoque para el negocio donde se espera que la seguridad mida, monitoree, administre y mitigue ese riesgo específico. Cada riesgo clave debe medir si la organización ha incurrido o no en un riesgo inaceptable. Dentro de cada riesgo clave hay una o más métricas que pueden ayudar a aclarar si los controles son efectivos o no.
œ Métrico: El nivel métrico es el nivel más bajo y, de hecho, no es realmente un agregado en absoluto. Las métricas deben ser tan detalladas, científicas y objetivas como sea posible, al tiempo que permitan al equipo de seguridad medir riesgos específicos. Cada métrica debe asignarse a un regulate y debe ayudar a medir si el handle está mitigando el riesgo de manera adecuada.
Consejo 3: Mapa a controles. Finalmente, una buena métrica ayudará a evaluar si un regulate es efectivo o no para reducir el riesgo. Esto tiene muchos beneficios, incluido permitir que la organización de seguridad comprenda dónde pueden existir brechas o dónde los controles deben diseñarse o implementarse de manera diferente. Por supuesto, estos beneficios solo son alcanzables cuando las métricas se asignan a los controles. Es una inversión de tiempo hacerlo, aunque vale la pena.
Consejo 4: Designe valores aceptables y rangos objetivos. Si alguna vez ha inspeccionado su casa o automóvil, sabe que hay niveles aceptables para el radón en una casa o las emisiones de un automóvil. No es blanco o negro ni encendido o apagado. Hay una gama de niveles dentro de los cuales la casa o el automóvil pasan la prueba, y fuera de los cuales, falla. Lo mismo debería ser cierto para las métricas. Una vez que tenga un conjunto sólido de métricas, defina valores aceptables para esas métricas junto con rangos que definan diferentes niveles de riesgo (por ejemplo, bajo / medio / alto, verde / ámbar / rojo, o cualquier otro conjunto de agrupaciones que se adapte a su organización ) Eso le permitirá calcular de manera más objetiva los niveles de riesgo para cada métrica, diferentes agregados de métricas y en total en toda la organización.
Consejo 5: Mida e informe regularmente. El proverbio de carpintería, «medir dos veces, cortar una vez» puede ayudarnos a comprender la importancia de las métricas oportunas, precisas y regulares. Las métricas deben ser vivas y dinámicas, en lugar de instantáneas y estáticas. Así como las mediciones precisas informan las decisiones de corte del carpintero, las métricas de seguridad precisas informan las decisiones de riesgo del líder de seguridad. Es importante recordar que el valor de una métrica determinada representa una medición precisa solo en el momento en que se mide. Debido a esto, es importante medir con frecuencia e informar métricas regularmente. Esto permite que la organización de seguridad haga una tendencia a lo largo del tiempo, detecte anormalidades desde el principio y evite que riesgos adicionales ingresen a la organización innecesariamente.
Contenido relacionado:
Josh (Twitter: @ananalytical) es un líder experimentado en seguridad de la información que trabaja con empresas para madurar y mejorar sus programas de seguridad empresarial. Anteriormente, Josh se desempeñó como VP, CTO – Tecnologías emergentes en FireEye y como Director de seguridad de … Ver biografía completa
Más tips
