Center for Internet Security prepara un conjunto de métricas para evaluar la seguridad TI
La asociación especializada en seguridad Internet Center for Internet Security (CIS) lanzará pronto dos métricas para medir el nivel de seguridad de las infraestructuras TI corporativas. Tales métricas constituyen un recurso especialmente necesario hoy día, dado que, según CIS, la mayoría de las organizaciones aplican enfoques inconsistentes para la medición de las mejoras en la seguridad de sus infraestructuras tecnológicas.
Ante esta situación, CIS, organización sin ánimo de lucro con sede en Pensilvania (Estados Unidos) y dedicada a promover la seguridad TI en las empresas, ha decidido lanzar sus propias métricas –todas definidas a través de la colaboración entre diferentes profesionales especializados en seguridad de organizaciones académicas, corporativas y gubernamentales- antes de finalizar el año.
Tales métricas incluirán dos centradas en resultados: tiempo medio entre incidentes de seguridad y tiempo medio de recuperación ante tales incidentes. El resto serán métricas de procesos: porcentaje de sistemas configurados para estándares aprobados, con antivirus, parchados de acuerdo a políticas; porcentaje de aplicaciones de negocio que han sido sometidas a una valoración de riesgos, de penetración y de vulnerabilidades; y porcentaje de código de aplicación sometido a valoración de seguridad, a un análisis de modelo de amenazas, y a revisión antes de su despliegue en producción.
Las definiciones de tales métricas estarán disponibles para el público como un recurso de la comunidad. Sin embargo, las organizaciones miembros de CIS tendrán la ventaja de disponer de un software hospedado y diseñado para ayudar a los responsables de TI a seguir y evaluar el rendimiento de la seguridad a lo largo del tiempo mediante el registro de datos métricos e informes. La idea es que tales informes puedan revelar una correlación entre los resultados medidos y la implementación de prácticas de seguridad específicas.
Por ejemplo, si el tiempo medio entre incidentes de seguridad está aumentando dentro de una empresa, su director de TI “podrá analizar los indicadores de resultados de proceso y comprobar qué factores podrían estar provocando tal tendencia”, explica Miuccio. “Se trata, pues, de una forma de facilitar la correcta interpretación de los datos disponibles”.