Nuevas métricas para calcular el valor de la ciberseguridad
Los CISO necesitan encontrar métricas que brinden información procesable que ellos y los otros líderes empresariales puedan utilizar para tomar decisiones que ayuden al negocio.
La experta en ciberseguridad Jenai Marinkovic no da mucha importancia a las métricas que muestran los ataques que su equipo ha sido capaz de detener. Según dice, esas cifras no aportan información. Por el contrario, “los CISO necesitan encontrar métricas que brinden información procesable que ellos y los otros líderes empresariales puedan utilizar para tomar decisiones. Deben ser cifras que ayuden al negocio”. Asimismo, añade, los jefes de seguridad deben calcular cuánto están impactando en los resultados, el retorno de sus inversiones y en qué grado están mejorando la estrategia de seguridad TI.
Para Marinkovic, esto último significa calcular el tiempo medio hasta la notificación de una infracción y el tiempo promedio hasta su contención. Pero esto todavía no revela una fotografía completa, ya que estos datos no indican la madurez del departamento ni si los controles de seguridad están alineados con los objetivos estratégicos. “Para conseguirlo, probablemente no haya que buscar métricas cuantitativas, sino cualitativas”.
En busca de algo mejor
Prácticamente todos los CISO están de acuerdo en que no existe ninguna ecuación matemática que pueda medir su efectividad real. Pero, al mismo tiempo, reconocen que hay presión para hacerlo mejor. “Hay CISO que no tienen nada, ni métricas, ni forma de cuantificar; y son conscientes del problema”, asegura Jeff Pollard, vicepresidente y analista principal de Forrester. “Buscan una forma de conocer la efectividad de su programa para saber si han mejorado”.
Los líderes de seguridad están abordando este reto y recopilando datos. Y, parece que estas métricas están resultando útiles para evaluar su estrategia. Para ello, están tratando de medir los resultados de muchos procesos y herramientas complejas, utilizando datos que no tienen sentido fuera de contexto. Por ejemplo, los directivos de todo el mundo comprenden qué es ingresar un millón de dólares, pero les cuesta decir si frustrar un millón de intentos de ataque es algo positivo o negativo, o algo absoluto. “No existe un motor de puntuación de riesgo único que pueda agregarse a una visión que todos comprendan, lo cual supone un desafío”, expresa John Gelinne, director de servicios de riesgo cibernético de Deloitte Advisory.
“Proponer una métrica para el hecho de que no haya sucedido nada malo y luego pedir más inversión a la junta directiva es difícil de vender”, añade Tim Rawlins, director de seguridad de NCC Group. “Por suerte, se están generando métricas vinculadas a cifras para mostrar cómo un acto o una estrategia ha generado más seguridad a la compañía, o cómo algo ha salvado de tener que explicar a clientes y socios un brecha de datos. Es difícil, pero los CISO ya están viendo la ciberseguridad como una ciencia y están encontrando métodos con valoraciones que son repetibles y reproducibles para mostrar tendencias y comparativas”.
Centrarse en permitir la toma de decisiones
Desarrollar la combinación correcta de métricas permite una buena toma de decisiones. Como explica Pollard, los únicos datos que deben usarse son los que conducen a decisiones. “Siempre estamos buscando información y tomando decisiones, por eso los líderes de seguridad necesitan grandes métricas. Si no pueden hacer esto, no vale la pena”.
Tomando prestados los principios de las medidas comerciales convencionales, Pollard dice que esas métricas podrían ser indicadores rezagados, coincidentes o adelantados. De hecho, señala que ha visto algunas métricas de estas utilizándose de manera conveniente por distintos CISO. Por ejemplo, algunos CISO utilizan las tasas de rotación y de retención de empleados como un indicador principal de los riesgos de amenazas internas, ya que los trabajadores que salen pueden llevarse información de la empresa a pesar de que las políticas internas prohíben tales acciones. El seguimiento de los riesgos de amenazas internas podría ser un indicador rezagado si los CISO han estado trabajando para restringir el acceso de los empleados como parte de una iniciativa de seguridad en curso.
De cualquier manera, asegura Pollard, dicha métrica puede ayudar a los CISO a tomar decisiones sobré qué acciones tomar, por ejemplo, reclasificar roles y reducir permisos para limitar el acceso a datos confidenciales o agregar software de análisis de comportamiento del usuario.
Desarrollar métricas basadas en costes
Los CISO necesitan identificar los activos de la organización y los posibles riesgos, pero luego determinan los costes asociados con los eventos de seguridad. Deloitte habla de costes de incidentes “por encima de la superficie” (y por lo tanto más conocidos) y los costes “por debajo de la superficie” (o menos visibles).
En su informe de 2020, la consultora enumera los gastos asociados con las investigaciones técnicas, las notificaciones de incumplimiento de ciudadanos o clientes y los honorarios de los abogados como costes por encima de la superficie. Asimismo, enumera los aumentos de las primas de seguros, el aumento de los costes de endeudamiento, la devaluación del nombre comercial y la pérdida de propiedad intelectual como algunos de los costes menos visibles.
“Esos son más difíciles de cuantificar si sucede algo malo, pero si puede cuantificar todo eso, entonces puede comprender el valor de los controles implementados y dónde debe concentrarse e invertir. Puede identificar en qué controles debería invertir y luego extrapolar los rendimientos”, explica Gelinne.
Adaptación de decisiones de datos
Debido a que las métricas deben satisfacer las necesidades individuales de las empresas, los expertos dicen que los CISO deben considerar qué necesitan medir, qué datos necesitarán tomar para los cálculos y cómo usarán esa información para tomar decisiones. Esas métricas deben ser transparentes y, por lo tanto, comprensibles para todas las partes interesadas.
