Diez beneficios de las métricas de rendimiento de seguridad para los CISO
Existen múltiples métricas que los CISO pueden utilizar para mejorar la eficacia de los esfuerzos de seguridad y demostrar la alineación empresarial clave, entre otras ventajas asociadas.
- ¿Está preparado el CISO para el auge de la inteligencia artificial?
- Menos del 50% de los CISO utilizan herramientas de prueba de seguridad de API
- Conseguir el equilibrio entre los riesgos y los beneficios de la IA, el nuevo desafío del CISO
- Por qué los CISO deben preocuparse por los ataques basados en el espacio
- Solo uno de cada 10 CISO está preparado para entrar en la junta directiva
Puede que medir el desempeño de la seguridad no parezca el ejercicio más emocionante en la agenda del CISO, pero las métricas correctas pueden brindar un valor significativo a los líderes de seguridad y contribuir en gran medida a ayudarlos a enfrentar un conjunto diverso de desafíos. La intersección de la seguridad moderna y los negocios implica que existen múltiples métricas que los CISO pueden utilizar no solo para medir y mejorar la efectividad de sus esfuerzos de seguridad, sino también para demostrar una valiosa alineación estratégica con una organización, entre muchos otros beneficios. Sin embargo, para obtener un valor real de cualquier métrica de desempeño de seguridad, es importante que los CISO eviten ahogarse en métricas que carecen de significado o contexto, centrándose en aquellas que muestran cómo la seguridad está habilitando el negocio.
Hay miles de cosas que se pueden medir en términos de desempeño de seguridad, y se necesita mucho tiempo, esfuerzo y recursos para extraer esas mediciones e informar sobre ellas, dice Richard Absalom, analista de investigación principal del Information Security Forum (ISF). "Lo importante a considerar siempre es: ¿Por qué estamos midiendo esto? ¿Cómo está ayudando esta medición? ¿Cuál es la pregunta que puede ayudar a responder? Si la medición no ayuda a responder algo que la parte interesada/tomador de decisiones necesita "Sabes, es probable que lo ignoren".
Los CISO necesitan métricas relevantes para el negocio, centradas en el riesgo y, lo más importante, basadas en evidencia, le dice a CSO Brian Contos, CSO de Sevco Security. "Las áreas de mayor prioridad que requieren métricas incluyen la continuidad del negocio, el cumplimiento normativo, la protección de activos, la eficiencia operativa y la habilitación de la misión empresarial".
Aquí hay 10 beneficios que las métricas de rendimiento de seguridad adecuadas pueden ofrecer a los CISO.
Toma de decisiones objetiva
Las métricas de respuesta a incidentes, como el tiempo medio de detección (MTTD) y el tiempo medio de respuesta (MTTR), ofrecen datos cuantitativos que ayudan a los CISO a tomar decisiones objetivas. "Al rastrear y analizar los indicadores clave de seguridad, los CISO pueden priorizar esfuerzos, asignar recursos y centrarse en áreas que necesitan mayor mejora", revela Frank Kim, miembro del Instituto SANS y líder del Currículo de Liderazgo en Ciberseguridad.
Demostrar el retorno de la inversión
Las métricas de inversión en seguridad, como el porcentaje de iniciativas comerciales clave con seguridad integrada procesada, permiten a los CISO demostrar el retorno de la inversión (ROI) de las iniciativas de seguridad al liderazgo ejecutivo y a las partes interesadas. Esto ayuda a justificar presupuestos e inversiones mostrando cómo estos esfuerzos contribuyen a la reducción de riesgos y la prevención de incidentes. "En cuanto al riesgo, no es el riesgo cibernético lo que preocupa a las partes interesadas; es el riesgo empresarial derivado de lo cibernético", afirma Contos. Más específicamente, se trata de riesgos asociados con los ingresos, la marca, las operaciones y los aspectos ambientales, sociales y de gobernanza, añade.
Comunicación efectiva
Las métricas de concienciación sobre la seguridad, como el porcentaje de unidades de negocios que participan regularmente en el programa de embajadores, ayudan a transmitir si una organización está construyendo una cultura consciente de la seguridad y de los riesgos, proporcionando "un lenguaje común para comunicar los riesgos de seguridad y las mejoras a las organizaciones no gubernamentales", afirma Kim. Los CISO pueden utilizar métricas para explicar la eficacia de las medidas de seguridad y la postura general de seguridad de la organización, algo que tradicionalmente ha sido un desafío para muchos líderes de seguridad.
Tenga en cuenta que los CISO que presentan lecturas de métricas muy técnicas a la junta directiva muchas veces no dan en el blanco porque los miembros de la junta directiva no pueden contextualizarlas, dice Fred Rica, socio de la firma de contabilidad y consultoría BPM y exjefe de la práctica cibernética de KPMG "Decirle a la junta directiva que ha bloqueado 100.000 eventos en el firewall no tiene sentido. Los miembros de la junta deben hacerse (y los CISO deben responder) tres preguntas simples: ¿Qué estamos haciendo? ¿Es suficiente? ¿Cómo lo sabemos?".
Evaluación de riesgos
Las métricas de gestión de vulnerabilidades, como la ventana de exposición, ayudan a los CISO a comprender mejor el perfil de riesgo de una organización y, al monitorear las tendencias e identificar vulnerabilidades potenciales, pueden abordar de manera proactiva las amenazas a la seguridad antes de que escale.
"En última instancia, la gestión de vulnerabilidades consiste en abordar las ventanas rotas y las puertas abiertas de una empresa", sentencia Kim. "Estas métricas transmiten durante cuánto tiempo estas puertas están potencialmente abiertas y sirven para desarrollar las actividades operativas del día a día, como la cobertura de escaneo, el tiempo para analizar y priorizar, así como tiempo para parchear", insiste.
Mejora continua
Las métricas de mejora del proceso de seguridad, como el porcentaje de incidentes con la misma causa raíz repetida, rastrean el progreso a lo largo del tiempo, lo que permite a los CISO establecer objetivos específicos. "Este enfoque basado en datos ayuda a impulsar la mejora continua en las prácticas de seguridad y fomenta una cultura de responsabilidad", afirma Kim. Las métricas basadas en riesgos pueden luego aparecer en informes anuales, documentos de gobierno corporativo y estatutos de comités, como deberían hacerlo porque la seguridad es estratégica para el negocio, dice Contos.
Evaluación comparativa
Las métricas de madurez de seguridad, como las puntuaciones de madurez de capacidad, se pueden comparar con puntos de referencia de la industria como los diversos puntos de referencia del Centro para la Seguridad de Internet (CIS), o incluso con el desempeño anterior, para ayudar a los CISO a comprender cómo le va a su organización en términos de madurez de seguridad. Esta información puede guiar el desarrollo de objetivos y estrategias de seguridad realistas.
Para la junta, los cinco pilares del Marco de Ciberseguridad del NIST a menudo parecen resonar, dice Absalom. Los líderes de seguridad deben buscar indicadores y métricas que ayuden a responder qué tan bien la organización:
Identifica amenazas y activos en riesgo
Protege los activos identificados
Detecta eventos de amenazas
Responde a los eventos detectados
Se recupera de incidentes y limita su impacto
Cumplimiento normativo
Como muchas regulaciones y estándares requieren que las organizaciones informen sobre métricas de seguridad específicas, tener métricas de cumplimiento (como el porcentaje de sistemas que cumplen con los estándares o regulaciones necesarios) fácilmente disponibles hace que sea más sencillo cumplir con los requisitos y evitar posibles sanciones, continúa Kim.
Detección temprana de problemas
Las métricas de detección de amenazas, como la cantidad de incidentes detectados por entidades internas versus externas o tasas de falsos positivos/negativos, pueden servir como señales de alerta temprana de posibles incidentes de seguridad o debilidades en la infraestructura de seguridad. Los CISO pueden abordar estos problemas de forma proactiva para evitar infracciones a mayor escala.
Optimización de recursos
Las métricas de utilización de recursos, como el porcentaje de tiempo dedicado a tareas de seguridad proactivas versus reactivas, pueden permitir a los CISO identificar áreas de ineficiencia o controles de seguridad redundantes, lo que lleva a una mejor asignación de recursos y optimización de costes. Esto puede resultar crucial para ayudar a los líderes de seguridad a gestionar la tan difamada escasez de habilidades en ciberseguridad.
Un informe reciente del Departamento de Ciencia, Innovación y Tecnología (DSIT) encontró que la mitad de las empresas del Reino Unido sufren una falta de habilidades básicas en ciberseguridad, y un tercio lucha contra la escasez de habilidades más avanzadas en relación con aspectos de seguridad como el análisis forense de violaciones, el almacenamiento o transferir datos personales y detectar y eliminar malware.
Generar confianza
Las métricas de transparencia de seguridad, como la cantidad de incidentes de seguridad comunicados a la empresa o las puntuaciones de comentarios de las partes interesadas internas sobre la comunicación de seguridad, pueden mejorar el nivel de confianza entre el equipo de seguridad y otras unidades de negocio. Cuando la eficacia de las medidas de seguridad se cuantifica y se comunica de forma transparente, aumenta la confianza en el programa de seguridad, concluye Kim.
