Uno de los propósitos fundamentales de las mediciones y los monitoreos están ligados a respaldar la toma de decisiones.
Cuando se habla de seguridad en una organización, la preocupación primordial es identificar riesgos, pero cuando se plantea cómo medir los riesgos, algo imprescindible es cómo determinar las métricas de seguridad necesarias y aplicables a la organización, una vez obtenidas dichas métricas, a un responsable del negocio le interesa saber de qué forma le han de beneficiar, de hecho, los líderes de la seguridad y sus organizaciones han utilizado una gran cantidad de métricas a lo largo de los años. Sin embargo, muchos ejecutivos se han quejado, que esas medidas no les han proporcionado una visión o comprensión adecuada de qué tan bien funciona el departamento de seguridad o de administración de riesgos, del cómo está mejorando y dónde se está quedando corto.
Las métricas son una herramienta de soporte para tomar decisiones, lo cual significa que si una medida no sirve de soporte para las decisiones gerenciales significativas, es irrelevante. Hoy en día que estamos transitando en una etapa de pos- crisis, y que el medio nos obliga a desarrollar estrategias especialmente en la administración del riesgo, se nos han planteado diversos métodos especialmente el de la Anticipación Estratégica, que es una excelente actividad, pero hoy en día tenemos una gran dificultad especialmente con riesgos Públicos o Sociales, ya que la data que se tiene para análisis aun siendo real y ajustada a las circunstancias, NO existe una data real y anticipada de este tipo de riesgos en una época de Pandemia, apenas la estamos construyendo y mucha de esa información se obtiene de la contextualización interna, es ahí donde cobra valor la MÉTRICA EN SEGURIDAD de las empresas.
Desde este punto de vista, resulta de gran importancia poder responder preguntas como: ¿con cuánta certeza podría decir cuán segura es su organización? ¿Cuánta seguridad es suficiente? ¿Qué impacto tiene la falta de seguridad sobre la productividad? Sin lugar a dudas, tendremos que contar con una herramienta que nos permita dilucidar este tipo de interrogantes.
En muchas ocasiones nos equivocamos al creer que esta corresponde solamente a indicadores de cumplimento, situación que nos dejan cortos para realizar esa proyección, cuando se habla de seguridad en una organización, la preocupación primordial es identificar riesgos.
Un factor que ha aumentado la importancia de las métricas de evaluación del riesgo y cumplimiento en los últimos años es el avance en la tecnología de riesgo y cumplimiento. Aunque hay muchas ofertas disponibles, evaluar el impacto de la tecnología de gestión de riesgo y cumplimiento puede ser bastante complicado.
¿Cómo una compañía calcula el ROI en una implementación de tecnología sin métricas?
Una opción es esperar a que termine el ejercicio fiscal anual y juzgar el rendimiento en función de la disminución de las sanciones por incumplimiento y las pérdidas relacionadas con la gestión de riesgos. Sin embargo, una compañía debe esperar un año para poder evaluar el rendimiento del ROI a nivel de ejecución.
Cualquier sistema de gestión de cumplimiento en una organización, puede evaluar mediante los siguientes parámetros:
- Tiempo promedio para identificar el problema
- Tiempo promedio para resolver el problema
- Gasto de cumplimiento por problema
La métricas de “tiempo promedio para identificar el problema” es una de las métricas de evaluación del riesgo que evalúa la capacidad de una organización para descubrir problemas relacionados con el cumplimiento. Si el tiempo promedio para identificar un problema es demasiado alto, indica que el fallo en el marco de gestión del cumplimiento está en el ámbito del monitoreo del cumplimiento. Un buen sistema de gestión del cumplimiento mostrará una mejora significativa en la detección de problemas.
En cuanto al “tiempo promedio para resolver el problema”, los sistemas de gestión del cumplimiento no sólo deben ayudar a identificar problemas, sino que también deben tener un impacto significativo en el tiempo que se requiere para resolverlo. Si el tiempo promedio para resolver los problemas es demasiado alto, indica que el problema radica en la capacidad del equipo de cumplimiento para investigar los problemas y aplicar las medidas correctivas.
Las soluciones de “gestión de cumplimiento” agilizan el flujo de trabajo de las actividades de cumplimiento e introducen la automatización de los procesos; ambos factores contribuyen en gran medida a facilitar la resolución de los problemas. Las métricas empresariales te permiten juzgar el impacto de la tecnología de manera objetiva.
Las métricas deben establecerse antes de la implementación, lo que funcionará como una referencia para evaluar cuánto se ha mejorado con la tecnología de riesgo y cumplimiento. Las métricas son una parte sustancial de la respuesta que los administradores de seguridad consideran como un reto actual. No se puede seguir desperdiciando dinero en seguridad, tratando de adivinar lo que se podría hacer, o implementando cualquier herramienta que los proveedores ofrezcan, esperando que sea la solución. Se puede y se debe hacer algo mejor. Se deben canalizar más finamente los recursos, en forma efectiva e inteligente, tomando las riendas, midiendo y administrando de manera apropiada y definitiva la seguridad de la información. Es claro que, refiriéndose a métricas de seguridad, no se puede uno quedar con una métrica esencialmente inútil como, por ejemplo, el número de virus detectados en un mes determinado.
Se ha mencionado en distintos foros sobre indicadores de gestión, que “no se puede administrar lo que no se mide”; dicho de otra forma, “no se puede mejorar lo que no se ha medido”. Así que la pregunta sigue en pie, ¿qué puede hacer una organización para medir, en este caso la seguridad, y por tanto para manejarla, planearla, mejorarla y controlarla? y sobre todo para dirigir los esfuerzos de seguridad. Dentro de los criterios de medición está sin duda el punto de vista del responsable de negocio, el cliente. Si no se mide la situación actual en materia de seguridad, no se sabrá a dónde se tendrá que llegar y qué mejorar. Este es un tema que ha sido también ampliamente discutido en relación a la gestión de calidad total. Habiendo apuntado lo anterior, aunque se diga que no se puede manejar lo que no se mide, es una realidad que las organizaciones han gestionado la seguridad por décadas sin medidas útiles y comprobables. Basta observar las noticias de primera plana, las cuales revelan ejemplos claros de fallas de seguridad (y un sinnúmero de incidentes permanece sin ser reportado) a pesar de las inversiones significativas que se realizan en esta materia. Por eso es importante concentramos en una aproximación al uso de métricas de seguridad efectivas.
Entendiendo qué es una métrica
Es común escuchar que, si se conoce algo, pero no se lo puede medir en números, el conocimiento es precario o deficiente. Podemos definir “métrica” como un término utilizado para denotar medidas basadas en una o más referencias, que involucran por lo menos dos puntos: la medida y la referencia.
Si hablamos de seguridad, también podemos definirla como la protección contra cualquier daño o la ausencia de riesgos. Relacionando ambos conceptos, podemos llegar a la conclusión de que las métricas de seguridad suelen indicar el estado o grado de seguridad relativa a un punto de referencia.
Lógicamente, las métricas más técnicas son especialmente útiles para gestiones operativas como sistemas de detección de intrusos (IDS), Antivirus, Firewalls, WAF o Gestor de Información de Eventos de Seguridad (SIEM), entre otras herramientas de seguridad. La información principal que pueden indicar es si las plataformas se manejan del modo adecuado o no, la identificación de vulnerabilidades o si estas reciben el seguimiento correspondiente.
Sin embargo, estas métricas son de poco valor desde un punto de vista de gestión, ya que:
- No contribuyen en la alineación estratégica con los objetivos de la organización.
- No contribuyen a saber qué tanto se gestionan los riesgos.
- Proporcionan escasas medidas de cumplimiento de políticas u objetivos de posible impacto.
- No brindan información con respecto a si el esquema de seguridad de la información está en la dirección indicada y consiguiendo los resultados deseados.
Por este motivo, métricas relevantes que traten requerimientos desarrollados y alineados con las gerencias del negocio tendrán mayores beneficios, siendo más eficaces para la seguridad de la organización.
En determinados casos, algunas auditorías completas y evaluaciones de riesgo exhaustivas son las únicas acciones que llevan a cabo las organizaciones para brindar esta perspectiva tan extensa. Aun cuando desde el punto de vista de gestión son trascendentes y necesarias, estas actividades proporcionan solo una imagen estática, no lo que idealmente se requiere para guiar en la gerencia cotidiana de la seguridad; tampoco proporcionan la información necesaria para tomar decisiones prudentes.
Metamétricas como datos de las métricas
Las “metamétricas” son para las métricas, lo que “metadata” es para los datos, en otras palabras, metamétricas son información sobre métricas.
Las metamétricas incluyen varias características de métricas. Por ejemplo, algunas listas y catálogos describen típicamente cada métrica en términos de su alcance, propósito, parámetros, fuentes y cálculos: todas estas son metamétricas ¿Quién decide que estas características particulares son importantes?, ¿cómo lo deciden?,
¿cuáles son los factores más/menos importantes?, ¿en qué se basa uno para determinar que ciertas métricas deban ser tomadas en cuenta o ¿ignoradas?. Por desgracia, estas importantes consideraciones se pasan por alto o pocas veces son motivo de discusión. Con frecuencia todo lo que se llega a ver es el resultado final, sin la oportunidad de comprender el proceso de pensamiento que hay detrás de ello. Para realizar comparativos (benchmarking) de métricas utilizadas por diferentes organizaciones o por unidades de negocio dentro de una gran organización, en particular para identificar y compartir formas más creativas y productivas de medir la seguridad.
Para apoyar las medidas de seguridad en forma más rigurosa y desde una perspectiva más profesional, lo cual es esencial para el gobierno (dirección, gestión/administración y control) de la seguridad de la organización.
En la misma forma que las métricas de seguridad son utilizadas para medir, administrar y mejorar los controles de seguridad y por ende el sistema de gestión de seguridad, así las metamétricas ayudan a medir, administrar y mejorar nuestras métricas y, por tanto, el sistema de medición. El aplicar el pensamiento sistémico al diseño de métricas es un ejemplo de innovación en el enfoque pragmático de métricas de seguridad.
La información sobre métricas incluye métricas sobre métricas. Por ejemplo, el número de métricas de seguridad utilizado por la organización es una metamétrica relativamente cruda, mientras que la calidad de aquellas es potencialmente mucho más informativa y útil.
Cómo generar métricas de seguridad efectivas
Es importante entender que para que las métricas sean útiles, la información que suministran debe ser relevante para los roles y las responsabilidades de los receptores. De este modo, los departamentos/ áreas de la organización involucrados podrán llevar a cabo las decisiones pertinentes, como por ejemplo cualquier cosa que resulte de un cambio y pueda ser medido.
Sin embargo, existen siete criterios fundamentales que deben utilizarse para que una métrica sea apropiada:
Sin embargo, existen siete criterios fundamentales que deben utilizarse para que una métrica sea apropiada, de acuerdo con el método pragmático de Krag Brotby y Gary Hinson, una metamétrica de seguridad debe ser:
El riesgo operacional y su contraparte, la seguridad, no pueden medirse directamente en términos absolutos; por el contrario, el indicador de medición normalmente está relacionado con aspectos como las probabilidades, las exposiciones, los atributos, los efectos y las consecuencias.
Varios de los enfoques que pueden ser útiles incluyen el valor en riesgo (VAR), el retorno sobre la inversión en seguridad (ROSI) y la expectativa de pérdidas anuales (ALE).
- Para empezar, el VAR se utiliza para calcular la pérdida máxima probable en un período definido (día, semana, año) con un nivel de confianza típico de 95% o de 99%.
- En segundo lugar, el ROSI se utiliza para calcular el retorno sobre la inversión basándose en la reducción en pérdidas que resulta de un control de seguridad.
- En tanto, ALE proporciona el cálculo de la pérdida anual posible, basándose en la frecuencia y magnitud probables de la inestabilidad de seguridad.
Estos números comúnmente especulativos se pueden utilizar como base para asignar o justificar recursos para actividades de seguridad. En algunas organizaciones, es posible que se intente de forma errónea determinar los impactos máximos que podrían tener eventos adversos como una medida de seguridad. En otras palabras, tendrían que ocurrir eventos adversos para determinar si la seguridad está funcionando.
Un concepto acertado indica que una de las características de un programa de seguridad bien aplicado es satisfacer las expectativas y alcanzar los objetivos definidos de modo eficiente, efectivo y consistente. Sin embargo, esto resulta de poca ayuda para la mayoría de las organizaciones, ya que, a menudo, no está claro cuáles son las expectativas o los objetivos de seguridad específicos.
Como conclusión, aunque no existe una escala estandarizada de manera universal que sea objetiva para la seguridad, es posible diseñar métricas cuantitativas eficaces que permitan guiar el desarrollo y la gestión de programas en aquellas organizaciones que hayan desarrollado objetivos de seguridad claros. En esencia, las métricas pueden reducirse a cualquier medida de los resultados del programa de seguridad que avance hacia los objetivos definidos. Por último, también se debe entender que se requieren diferentes métricas para facilitar información en los niveles estratégico, táctico y operacional.
Fuente: CARLOS ALFONSO BOSHELL NORMAN
