Una audiencia regular con gestión ejecutiva y la junta es parte del rol de CISO ahora. Y los líderes de seguridad saben que necesitan aportar información medible a la conversación para explicar y justificar su desempeño y gasto. Las métricas ya no son opcionales en la gestión de seguridad, y si los líderes de riesgo no están rastreando elementos como el tiempo medio para detectar y responder, así como la frecuencia de ataque, están dejando de lado un aspecto valioso de un programa de seguridad integral.
¿Pero qué más deberíamos medir? ¿Existen medidas nuevas, diferentes o emergentes que aborden otras preocupaciones?
Estas son algunas métricas que pueden ayudar a defender la seguridad de nuevas maneras.
1.- Competencia del equipo de seguridad.
Como Hank Thomas, CEO de Strategic Cyber Ventures, una firma de capital de riesgo con sede en Washington DC que invierte en compañías de ciberseguridad, dice:
«Muchos se han encontrado en una posición en la que están tan dispersos en su pila de seguridad que la duplicación de esfuerzos y la colaboración fluida entre sus herramientas y equipos se ha vuelto muy compleja. No creen que puedan tomarse el tiempo para entrenar o probar equipos: a menudo es una prueba de fuego y entrenamiento en el trabajo, que puede y debe medirse a través de ejercicios de equipo rojo y otros juegos de guerra que enfatizan a los equipos y sus habilidades para operar en entornos de seguridad complejos.
«Los militares hacen esto todo el tiempo para prepararse para la guerra con mucho éxito. Las herramientas y los equipos que no operan según el estándar regresan para volver a entrenarse, y el proceso se repite constantemente. Grandes métricas surgen de equipos que pasan tiempo haciendo esfuerzos como estos.»
2.- Satisfacción del equipo de seguridad.
El agotamiento es un peligro bien documentado de la carrera de infosec de alto estrés y alto riesgo. Pero, ¿qué pasaría si hubiera formas de medir el desempeño de los miembros del personal para mantenerlos contentos?
Jason Albuquerque, CISO y CIO de Carousel Industries, dice: «Animaría firmemente a mis colegas de CISO a analizar seriamente las métricas de personal. Pienso mucho en mi personal y en guiarlos a lo largo de sus carreras, cómo asignamos su tiempo para aprovechar al máximo nuestros recursos y no quemarlos. También establecemos KPI estratégicos en torno a la innovación y la comunicación ascendente «.
3.- Apoyo de la misión empresarial.
Albuquerque también aconseja encontrar formas de medir qué tan bien los esfuerzos de seguridad coinciden con los objetivos de la organización en su conjunto.
«Vemos cómo desarrollamos una ventaja competitiva, cómo creamos nuevas oportunidades en áreas tales como servicios administrados, cuántas oportunidades está involucrado nuestro equipo de seguridad, cuántas conversaciones tenemos con los clientes sobre los servicios de seguridad, cómo hemos habilitado las ventas o impactado la oportunidad de oportunidades «, dice. «Al presentar datos que demuestran cómo el equipo de infosec apoya con éxito el negocio en ambas áreas, acentúa el valor entregado diariamente».
4.- Usuarios privilegiados percibidos versus usuarios privilegiados reales.
Aaron Turner, presidente y director de seguridad de HighSide , dice: «Una medida en la que he estado trabajando con algunos de nuestros clientes de consultoría es la enumeración de usuarios privilegiados y grupos de usuarios y propiedad intelectual crítica».
Por ejemplo, dice: «Digamos que una empresa tiene un servidor con una gran cantidad de propiedad intelectual almacenada. Comience enumerando todo el personal de operaciones de TI que tiene acceso al servidor que almacena la IP crítica. A veces esto se vuelve difícil en entornos empresariales a gran escala, especialmente donde se usan grupos anidados para permitir que diferentes equipos de operaciones de TI tengan acceso al servidor para operaciones y mantenimiento «.
El resultado final, dice Turner, debería ser una comprensión clara de quién tiene acceso a los activos críticos de IP y cómo eso debe modificarse para una mejor protección en el futuro.
5.- Costo potencial de incidentes de seguridad.
A nadie le gusta pensar en ello, pero es mejor estar preparado con cifras sobre cuánto podría costarle a la organización una violación de datos o un incidente de seguridad que estar totalmente conmocionado si ocurriera. También es útil comprender cuánto puede tener que gastar por incumplimiento de las leyes en un panorama de regulación cada vez mayor.
Henry Harrison, CTO de Garrison, dice: «Si los CISO quieren involucrarse en riesgos comerciales estratégicos, las métricas en las que deberían centrarse son ‘¿Qué tan costoso podría ser un incidente para nosotros?’ y ‘¿Cuánto creemos que le costaría a un atacante hacernos eso?’ Esto último es lo que los CISO realmente deberían preguntarle a su equipo rojo. Pero rara vez es lo que preguntan, porque saben que no les gustará la respuesta «.
Como Jason Lau, CISO de Crypto.com, dice: «Compare las multas resultantes de no cumplir con la regulación local contra otras compañías en la misma industria. Con el creciente número de regulaciones en todo el mundo, desde GDPR hasta CCPA, mostrando a la gerencia que (con suerte) no tiene ninguna multa ayuda a justificar la dirección y el éxito de la estrategia de seguridad y privacidad que se está implementando.
6.- Retorno de la inversión.
El retorno de la inversión no es nada nuevo, pero es posible que aún no haya llegado a su departamento de Seguridad de la Información. (Es posible que incluso hayas hecho todo lo posible para evitarlo ).
Sin embargo, Roger Hale, CISO en Residencia de YL Ventures, dice: «Prefiero proporcionar métricas que muestren el valor de las inversiones pasadas, así como también dónde aún hay riesgos que abordar. Las áreas de enfoque incluyen datos que muestran nuestros niveles de Ciberseguro , puntajes de riesgo externos de Internet, el resumen ejecutivo de nuestra evaluación anual de riesgos de terceros, con actividad de mitigación / remediación acordada, y nuestro mapa de cobertura del programa de seguridad desglosado por categorías CSF de: Identificar o (Visibilidad), Protección, Detección, Respuesta y recuperación. Este enfoque proporciona a la junta la información que necesitan para garantizar que la empresa está invirtiendo en las áreas correctas de seguridad y privacidad y les ayuda a aceptar el riesgo residual «.
George Wrenn, CEO de CyberSaint Security y ex CSO de Schneider Electric tiene una ecuación matemática que utiliza para la medición de ROI, que se ve así: (Coeficiente de mitigación X (Probabilidad X $ Impacto) – Costo de finalización) / Costo de finalización.
«El coeficiente de mitigación, en este caso, puede variar, pero normalmente uso .9, lo que supone que cualquier solución de control o seguridad mitiga el 90% de los efectos negativos. Sin embargo, he visto que esto se ajusta a estimaciones más conservadoras. La probabilidad de usar NIST metodología, se divide en Muy bajo (0.1), Bajo (0.25), Medio (0.5), Alto (0.75), Muy alto (1.0). Esta ecuación está diseñada para ser aplicada por control. es poder ver dónde existen brechas y dónde se encuentran las mayores oportunidades de inversión «.
Fuente: darkreading.com