La métrica en la seguridad
Cada organización, a medida que implementan y desarrollan buenas prácticas en seguridad, sistemas de gestión especialmente en control y seguridad, de forma voluntaria, o sistemas integrales, de administración, de autocontrol en aspectos de Lavado de Activos, Financiación del Terrorismo, Financiación de la Proliferación de Armas de Destrucción Masiva, Programas de Transparencia y Ética Empresarial, Tratamiento de Datos Personales de carácter obligatorio, tienen la necesidad de identificar cumplimiento y eficacia, que se convierten en un reto, al no contar con metodologías para su medición. Uno de los propósitos fundamentales de las mediciones y los monitoreos está ligado a respaldar la toma de decisiones.
Debemos tener en cuenta las Métricas en Seguridad, que son una metodología de seguimiento del estado de los riesgos, el nivel de eficiencia del sistema de seguridad y los consiguientes costos y recursos utilizados, a partir de la información completa de la empresa.
Estamos transitando en una aparente nueva normalidad que nos obliga a desarrollar estrategias especialmente en la administración y gestión del riesgo, nos lleva a una Anticipación Estratégica, que es una excelente actividad, especialmente con riesgos Públicos o Sociales, ya que la data que se tiene para análisis aun siendo real y ajustada a las circunstancias, NO existe una data real y anticipada de este tipo de riesgos en una época de postpandemia, es ahí donde cobra valor la métrica en seguridad para las organizaciones, pero en muchas ocasiones nos equivocamos al creer que esta, corresponde solamente a indicadores de cumplimento, situación que nos dejan cortos para realizar esa proyección.
Desde este punto de vista, resulta de gran importancia poder responder preguntas como: ¿con cuánta certeza podría decir cuán segura es mi organización?, ¿Cuánta seguridad es suficiente?, ¿Qué impacto tiene la falta de seguridad sobre la productividad? Sin lugar a dudas, tendremos que contar con una herramienta que nos permita dilucidar este tipo de interrogantes.
Cuando se habla de seguridad en una organización, la preocupación primordial es identificar riesgos, pero cuando se plantea cómo medir los controles a esos riesgos, se hace imprescindible determinar las métricas de seguridad necesarias y aplicables a la organización. Una vez obtenidas dichas métricas, a un responsable de negocio le interesa saber de qué forma le han de beneficiar.
Las métricas son una herramienta de soporte para tomar decisiones, lo cual significa que, si una medida no sirve de soporte para las decisiones gerenciales significativas, es irrelevante.
Las métricas son una parte sustancial de la respuesta que los administradores de seguridad consideran como un reto actual. No se puede seguir desperdiciando dinero en seguridad, tratando de adivinar lo que se podría hacer, o implementando cualquier herramienta que los proveedores ofrezcan, esperando que sea la solución.
Se puede y se debe hacer algo mejor. Se deben canalizar de manera más eficiente los recursos, en forma eficaz, efectiva e inteligente, tomando las riendas, midiendo y administrando de manera apropiada y definitiva la seguridad. Es claro que, refiriéndose a métricas de seguridad, no se puede uno quedar con una métrica esencialmente inútil como, por ejemplo, el número de incidentes detectados en un mes determinado.
Se ha mencionado en distintos foros sobre indicadores de gestión, que “no se puede administrar lo que no se mide”; dicho de otra forma, “no se puede mejorar lo que no se ha medido”. Así que la pregunta sigue en pie, ¿qué puede hacer una organización para medir, en este caso la seguridad, y por tanto para ¿manejarla, planearla, mejorarla y controlarla? y sobre todo para dirigir los esfuerzos de seguridad. Dentro de los criterios de medición está sin duda el punto de vista del responsable de negocio, el cliente. Si no se mide la situación actual en materia de seguridad, no se sabrá a dónde se tendrá que llegar y qué mejorar. Este es un tema que ha sido también ampliamente discutido en relación a la gestión de calidad total.
Habiendo apuntado lo anterior, aunque se diga que no se puede manejar lo que no se mide, es una realidad que las organizaciones han gestionado la seguridad por décadas sin medidas útiles y comprobables. Basta observar las noticias de primera plana, las cuales revelan ejemplos claros de fallas de seguridad y de privacidad (y un sinnúmero de incidentes permanece sin ser reportado) a pesar de las inversiones significativas que se realizan en esta materia.
Por eso es importante concentramos en una aproximación al uso de métricas de seguridad efectivas.
Entendiendo qué es una métrica
Es común escuchar que, si se conoce algo, pero no se lo puede medir en números, el conocimiento es precario o deficiente. Podemos definir “métrica” como un término utilizado para denotar medidas basadas en una o más referencias, que involucran por lo menos dos puntos: la medida y la referencia.
Si hablamos de seguridad, también podemos definirla como la protección contra cualquier daño o la ausencia de riesgos. Relacionando ambos conceptos, podemos llegar a la conclusión de que las métricas de seguridad suelen indicar el estado o grado de seguridad relativa a un punto de referencia. Sin embargo, por lo general las métricas ajustadas a las organizaciones son de poco valor desde un punto de vista de gestión, ya que:
- No contribuyen en la alineación estratégica con los objetivos de la organización.
- No contribuyen a saber qué tanto se gestionan los riesgos.
- Proporcionan escasas medidas de cumplimiento de políticas u objetivos de posible impacto.
- No brindan información con respecto a si el esquema de seguridad de la información está en la dirección indicada y consiguiendo los resultados deseados.
Por este motivo, métricas relevantes que traten requerimientos desarrollados y alineados con las gerencias del negocio tendrán mayores beneficios, siendo más eficaces para la seguridad de la organización.
En determinados casos, algunas auditorías completas y evaluaciones de riesgo exhaustivas son las únicas acciones que llevan a cabo las organizaciones para brindar esta perspectiva tan extensa. Aun cuando desde el punto de vista de gestión son trascendentes y necesarias, estas actividades proporcionan solo una imagen estática, no lo que idealmente se requiere para guiar en la gerencia cotidiana de la seguridad; tampoco proporcionan la información necesaria para tomar decisiones prudentes.
Metamétricas como datos de las métricas
Las “metamétricas” son para las métricas, lo que “metadata” es para los datos, en otras palabras, metamétricas son información sobre métricas. Las metamétricas incluyen varias características de métricas. Por ejemplo, algunas listas y catálogos describen típicamente cada métrica en términos de su alcance, propósito, parámetros, fuentes y cálculos: Todas estas son metamétricas ¿Quién decide que estas características particulares son importantes?, ¿cómo lo deciden?, ¿cuáles son los factores más/menos importantes?, ¿en qué se basa uno para determinar que ciertas métricas deban ser tomadas en cuenta o ¿ignoradas?
Por desgracia, estas importantes consideraciones se pasan por alto o pocas veces son motivo de discusión. Con frecuencia todo lo que se llega a ver es el resultado final, sin la oportunidad de comprender el proceso de pensamiento que hay detrás de ello. Para realizar comparativos (benchmarking), de métricas utilizadas por diferentes organizaciones o por unidades de negocio dentro de una gran organización, en particular para identificar y compartir formas más creativas y productivas de medir la seguridad de información.
Para apoyar las medidas de seguridad de información en forma más rigurosa y desde una perspectiva más profesional, lo cual es esencial para el gobierno corporativo (dirección, gestión/administración y control) de la seguridad.
En la misma forma que las métricas de seguridad son utilizadas para medir, administrar y mejorar los controles de seguridad y por ende el sistema de gestión de seguridad, así las metamétricas ayudan a medir, administrar y mejorar nuestras métricas y, por tanto, el sistema de medición. El aplicar el pensamiento sistémico al diseño de métricas es un ejemplo de innovación en el enfoque pragmático de métricas de seguridad.
La información sobre métricas incluye métricas sobre métricas. Por ejemplo, el número de métricas de seguridad utilizado por la organización es una metamétrica relativamente cruda, mientras que la calidad de aquellas es potencialmente mucho más informativa y útil.
¿Cómo generar métricas de seguridad efectiva?
Es importante entender que para que las métricas sean útiles, la información que suministran debe ser relevante para los roles y las responsabilidades de los receptores. De este modo, los departamentos involucrados podrán llevar a cabo las decisiones pertinentes, como por ejemplo cualquier cosa que resulte de un cambio y pueda ser medido.
Sin embargo, existen siete criterios fundamentales que deben utilizarse para que una métrica sea apropiada, de acuerdo con el método pragmático de Krag Brotby y Gary Hinson, una metamétrica de seguridad debe ser:
El riesgo operacional y su contraparte, la seguridad, no pueden medirse directamente en términos absolutos; por el contrario, el indicador de medición normalmente está relacionado con aspectos como las probabilidades, las exposiciones, los atributos, los efectos y las consecuencias.
Varios de los enfoques que pueden ser útiles incluyen el valor en riesgo (VAR), el retorno sobre la inversión en seguridad (ROSI) y la expectativa de pérdidas anuales (ALE).
Para empezar, el VAR se utiliza para calcular la pérdida máxima probable en un período definido (día, semana, año) con un nivel de confianza típico de 95% o de 99%.
En segundo lugar, el ROSI se utiliza para calcular el retorno sobre la inversión basándose en la reducción en pérdidas que resulta de un control de seguridad.
En tanto, ALE proporciona el cálculo de la pérdida anual posible, basándose en la frecuencia y magnitud probables de la inestabilidad de seguridad.
Estos números comúnmente especulativos se pueden utilizar como base para asignar o justificar recursos para actividades de seguridad.
En algunas organizaciones, es posible que se intente de forma errónea determinar los impactos máximos que podrían tener eventos adversos como una medida de seguridad. En otras palabras, tendrían que ocurrir eventos adversos para determinar si la seguridad está funcionando. Un concepto acertado indica que una de las características de un programa de seguridad bien aplicado es satisfacer las expectativas y alcanzar los objetivos definidos de modo eficiente, efectivo y consistente.
Sin embargo, esto resulta de poca ayuda para la mayoría de las organizaciones, ya que, a menudo, no está claro cuáles son las expectativas o los objetivos de seguridad específicos.
Aunque no existe una escala estandarizada de manera universal que sea objetiva para la seguridad, es posible diseñar métricas cuantitativas eficaces que permitan guiar el desarrollo y la gestión de programas en aquellas organizaciones que hayan desarrollado objetivos de seguridad de la información claros.
En esencia, las métricas pueden reducirse a cualquier medida de los resultados del programa de seguridad que avance hacia los objetivos definidos. Por último, también se debe entender que se requieren diferentes métricas para facilitar información en los niveles estratégico, táctico y operacional.
Fuente: Carlos Boshell Norman, Gerente CB Consultores