Cómo aprovechar al máximo sus métricas de seguridad



Informes de métricas de seguridad es un arte para que hablen el lenguaje del liderazgo y conecten los datos de las herramientas a los objetivos del negocio.

Hay mucho en juego cuando se informan las métricas de seguridad. Estos datos son críticos para que la administración evalúe los programas de seguridad y justifique una mayor inversión en herramientas de seguridad. El valor de las métricas proviene de su capacidad para contar historias más grandes sobre un negocio que resuena con las partes interesadas clave. Pierde esa oportunidad si los equipos de seguridad usan las métricas incorrectas, aquellas que son demasiado técnicas o detalladas, o comunican incorrectamente las métricas correctas. Estos son algunos de los errores de informes más comunes y las mejores prácticas para evitarlos.

Métricas genéricas o demasiado técnicas
Este problema involucra informes genéricos que se centran en la cantidad de ataques que tuvieron lugar en un período de tiempo determinado y el porcentaje que se evitó frente a los que tuvieron un impacto. Esos números no reflejan la madurez de un programa de seguridad.

Las métricas de nivel superficial o demasiado alto no se vinculan de manera efectiva con estrategias comerciales específicas u objetivos críticos. Tienen un valor limitado y no rastrean la efectividad typical de las operaciones de seguridad. Confiar en métricas simples para contar la historia de riesgo más grande puede tener un impacto presupuestario no deseado. Por ejemplo, si se informa sistemáticamente que se evita el 99% de los ciberataques conocidos, ¿por qué los líderes respaldarían un presupuesto para agregar una nueva solución a la cartera de seguridad?

Por otro lado, hay métricas que son demasiado técnicas o detalladas para que la junta las entienda. Por ejemplo, los líderes no necesitan un desglose de cada vulnerabilidad por sistema operativo o plataforma. ¿Por qué? No está claro cómo esa información se relaciona con funciones comerciales críticas u objetivos estratégicos en otras palabras, el lenguaje del negocio. Ante datos que no entienden, los miembros de la junta no solo perderán interés en la conversación, sino que incluso pueden cuestionar la estrategia del liderazgo de seguridad.

Conecte las métricas a los resultados comerciales
Una forma más efectiva de informar al liderazgo es hablar directamente con el nivel de riesgo asociado con las funciones comerciales críticas, los contribuyentes principales a este riesgo y las acciones que se están tomando. Por ejemplo, los líderes de seguridad deberían estar listos para responder estas preguntas:

  • ¿De qué tipo de ataques estamos preparados para defender?
  • ¿Dónde tenemos deficiencias como organización, y qué riesgos para las operaciones comerciales se elevan como resultado?
  • ¿Qué se está haciendo para reducir tales riesgos (desde una perspectiva empresarial y tecnológica)?
  • ¿Ha crecido el riesgo en importancia?
  • ¿Cuál es la estrategia propuesta para reducir el riesgo a un nivel aceptable?

La narración de historias debe centrarse en el riesgo comercial en lugar de los hechos técnicos.

Vamos a sumergirnos en un ejemplo. La empresa X ha identificado que los competidores no tradicionales están ganando cuota de mercado al resolver quejas o solicitudes de clientes de larga data. Una de las solicitudes es la capacidad de realizar pedidos en línea las 24 horas del día, los 7 días de la semana, y cumplir con dichos pedidos dentro de las 24 horas.

Desde la perspectiva de un profesional de la seguridad, esto puede interpretarse como «ninguna operación comercial crítica o las capacidades que respaldan los pedidos o el cumplimiento en línea pueden verse afectadas por un ataque cibernético y, si se ve afectado inevitablemente, deben recuperarse rápidamente». Cuando se ve desde esta perspectiva, las métricas de valor se vuelven claras. ¿Cuáles son los principales riesgos para habilitar y proteger las capacidades empresariales críticas relacionadas y la tecnología de soporte subyacente? ¿Cuál es la probabilidad de que el riesgo ocurra realmente? ¿Cuál es el impacto monetario potencial asociado con el evento probable y cuáles son los contribuyentes de riesgo clave? ¿Qué se está haciendo y cuál es la estrategia de función cruzada propuesta para mitigar el riesgo residual?

Sobrecarga de métricas
A menudo, los equipos de seguridad entregarán una cantidad abrumadora de métricas y datos a los equipos técnicos responsables de corregir estas vulnerabilidades a través de actualizaciones de software y / o cambios de configuración. Por ejemplo, estas métricas a menudo detallan el número de vulnerabilidades críticas, de alto, medio y bajo riesgo en todo el entorno con poca o ninguna priorización lógica.

Pero no todas las vulnerabilidades son igualmente importantes o tienen los mismos efectos comerciales. Las métricas genéricas con informes muy extensos que enumeran los detalles y las acciones correctivas de todas las vulnerabilidades identificadas a menudo no logran un resultado significativo. Los ejecutivos que los leen pueden sentirse abrumados con la cantidad de información o pueden malinterpretarla. Demasiadas métricas pueden disuadir a las personas de tomar medidas o causar problemas de comunicación, retrasando la remediación y aumentando la probabilidad de explotación y el impacto comercial.

Concéntrese en los mayores riesgos
En cambio, ayude a los equipos técnicos a comprender las vulnerabilidades más importantes que requieren su atención y los progresos necesarios. Una vez más, esto debe estar vinculado a los objetivos comerciales clave y priorizarse en función de esas funciones.

Volvamos al ejemplo de la Compañía X y su objetivo de ofrecer a sus clientes capacidades de pedidos y cumplimiento de pedidos en línea las 24 horas, los 7 días de la semana. Las vulnerabilidades con un alto potencial de explotación y el potencial de afectar significativamente estas operaciones comerciales críticas deben priorizarse para la remediación. También es importante priorizar los casos en los que ejecutar una acción de remediación específica (por ejemplo, actualizar un paquete de application en todas las Computer system a la última versión) tendrá un impacto de reducción de riesgo significativo contra los vectores de ataque comunes que son explotados por malos actores.

Las personas que presentan una lista masiva de objetivos a menudo se sienten abrumadas hasta el punto de que no se toman medidas, o se toman muy pocas medidas para marcar la diferencia. En cambio, presentar a las personas una lista de acciones específicas para tomar primero, después y al ultimate, y especificar cómo estas acciones afectarán directamente las operaciones comerciales, les permite a las personas tomar medidas y sentir un nivel de logro. Esto puede mantener al equipo comprometido.

Informar sobre métricas de seguridad es un arte para que hablen el lenguaje del liderazgo y conecten efectivamente los datos de las herramientas y procesos de seguridad con los objetivos comerciales clave. Es essential articular bien las métricas para que los líderes empresariales comprendan la importancia y reconozcan el verdadero efecto que está teniendo el programa de seguridad. Sin esta comprensión, los equipos de seguridad, los presupuestos y los procesos podrían pasarse por alto, lo que aumenta los riesgos de seguridad para la empresa y podría afectar negativamente la reputación de la marca y la confianza del cliente.

Contenido relacionado:

Echa un vistazo a The Edge, la nueva sección de Dim Examining para obtener características, datos de amenazas y perspectivas en profundidad. La historia principal de hoy: «7 pasos para la seguridad de IoT en 2020».

Como CISO en Armis, Curtis Simpson es responsable de garantizar que el producto Armis continúe manteniendo su alto estándar y su enfoque vigilante en la seguridad y privacidad de la plataforma y del cliente. Antes de Armis, él era el CISO en Sysco, una corporación Fortune 54. … Ver biografía completa

Más tips





Enlace a la noticia authentic