Uno de los propósitos fundamentales de las mediciones y los monitoreos está ligado a respaldar la toma de decisiones. Desde este punto de vista, resulta de gran importancia poder responder preguntas como: ¿con cuánta certeza podría decir cuán segura es su organización? ¿Cuánta seguridad es suficiente? ¿Qué impacto tiene la falta de seguridad sobre la productividad? Sin lugar a dudas, tendremos que contar con una herramienta que nos permita dilucidar este tipo de interrogantes.
A lo largo de este artículo nos concentramos en una aproximación al uso de métricas de seguridad efectivas.
Entendiendo qué es una métrica
Es común escuchar que si se conoce algo, pero no se lo puede medir en números, el conocimiento es precario o deficiente. Podemos definir "métrica" como un término utilizado para denotar medidas basadas en una o más referencias, que involucran por lo menos dos puntos: la medida y la referencia.
Si hablamos de seguridad, también podemos definirla como la protección contra cualquier daño o la ausencia de riesgos. Relacionando ambos conceptos, podemos llegar a la conclusión de que las métricas de seguridad suelen indicar el estado o grado de seguridad relativa a un punto de referencia.
Lógicamente, las métricas más técnicas son especialmente útiles para gestiones operativas como sistemas de detección de intrusos (IDS), Antivirus, Firewalls, WAF o Gestor de Información de Eventos de Seguridad (SIEM), entre otras herramientas de seguridad. La información principal que pueden indicar es si las plataformas se manejan del modo adecuado o no, la identificación de vulnerabilidades o si estas reciben el seguimiento correspondiente.
Sin embargo, estas métricas son de poco valor desde un punto de vista de gestión, ya que:
- No contribuyen en la alineación estratégica con los objetivos de la organización.
- No contribuyen a saber qué tanto se gestionan los riesgos.
- Proporcionan escasas medidas de cumplimiento de políticas u objetivos de posible impacto.
- No brindan información con respecto a si el esquema de seguridad de la información está en la dirección indicada y consiguiendo los resultados deseados.
Por este motivo, métricas relevantes que traten requerimientos desarrollados y alineados con las gerencias del negocio tendrán mayores beneficios, siendo más eficaces para la seguridad de la organización.
En determinados casos, algunas auditorías completas y evaluaciones de riesgo exhaustivas son las únicas acciones que llevan a cabo las organizaciones para brindar esta perspectiva tan extensa. Aun cuando desde el punto de vista de gestión son trascendentes y necesarias, estas actividades proporcionan solo una imagen estática, no lo que idealmente se requiere para guiar en la gerencia cotidiana de la seguridad; tampoco proporcionan la información necesaria para tomar decisiones prudentes.
¿Cómo generar métricas de seguridad efectivas?
Es importante entender que para que las métricas sean útiles, la información que suministran debe ser relevante para los roles y las responsabilidades de los receptores. De este modo, los departamentos involucrados podrán llevar a cabo las decisiones pertinentes, como por ejemplo cualquier cosa que resulte de un cambio y pueda ser medido.
Sin embargo, existen siete criterios fundamentales que deben utilizarse para que una métrica sea apropiada:
El riesgo operacional y su contraparte, la seguridad, no pueden medirse directamente en términos absolutos; por el contrario, el indicador de medición normalmente está relacionado con aspectos como las probabilidades, las exposiciones, los atributos, los efectos y las consecuencias.
Varios de los enfoques que pueden ser útiles incluyen el valor en riesgo (VAR), el retorno sobre la inversión en seguridad (ROSI) y la expectativa de pérdidas anuales (ALE). Para empezar, el VAR se utiliza para calcular la pérdida máxima probable en un período definido (día, semana, año) con un nivel de confianza típico de 95% o de 99%.
En segundo lugar, el ROSI se utiliza para calcular el retorno sobre la inversión basándose en la reducción en pérdidas que resulta de un control de seguridad. En tanto, ALE proporciona el cálculo de la pérdida anual posible, basándose en la frecuencia y magnitud probables de la inestabilidad de seguridad.
Estos números comúnmente especulativos se pueden utilizar como base para asignar o justificar recursos para actividades de seguridad.
En algunas organizaciones, es posible que se intente de forma errónea determinar los impactos máximos que podrían tener eventos adversos como una medida de seguridad. En otras palabras, tendrían que ocurrir eventos adversos para determinar si la seguridad está funcionando.
Un concepto acertado indica que una de las características de un programa de seguridad bien aplicado es satisfacer las expectativas y alcanzar los objetivos definidos de modo eficiente, efectivo y consistente. Sin embargo, esto resulta de poca ayuda para la mayoría de las organizaciones, ya que, a menudo, no está claro cuáles son las expectativas o los objetivos de seguridad específicos.
Conclusión
Aunque no existe una escala estandarizada de manera universal que sea objetiva para la seguridad, es posible diseñar métricas cuantitativas eficaces que permitan guiar el desarrollo y la gestión de programas en aquellas organizaciones que hayan desarrollado objetivos de seguridad de la información claros.
En esencia, las métricas pueden reducirse a cualquier medida de los resultados del programa de seguridad que avance hacia los objetivos definidos. Por último, también se debe entender que se requieren diferentes métricas para facilitar información en los niveles estratégico, táctico y operacional.
