top of page
TKS.png
Foto del escritorguido Aguirre
26 may 20224 Min. de lectura

Las métricas de ciberseguridad que las empresas quieren ver

Los profesionales de la ciberseguridad interesados en las métricas y las medidas suelen reflexionar y pontificar sobre qué medidas serían las mejores para mostrar al consejo de administración. Puede ser una propuesta complicada porque "tenemos que hablar como la empresa" es también un mantra. Plantear métricas de ciberseguridad desde una perspectiva empresarial puede ser un reto. Entonces, ¿cómo podemos resolver este problema y proporcionar una visión útil?



Bueno, primero tenemos que reconocer que el nivel de la junta directiva es el nivel estratégico más alto de la empresa. Si proporcionas métricas sobre el estado de los parches y los resultados de las pruebas de phishing, estás admitiendo esencialmente que tu programa de ciberseguridad se basa en unas cuantas actividades dispersas y una oración.


Los profesionales de la ciberseguridad suelen denostar los tipos de indicadores "rojo-amarillo-verde", pero hay que tener en cuenta que la junta directiva no necesita detalles técnicos ni variaciones. Si pueden arreglárselas con las métricas de "ventas por pie cuadrado" en las tiendas minoristas que venden teléfonos inteligentes y barras de caramelo, o con las medidas de "utilización de camas" en los hospitales que tratan la deshidratación y realizan cirugía cerebral, pueden trabajar con escalas de "panorama general" de tres a cinco niveles. "Rojo-amarillo-verde" no está totalmente descartado siempre que los niveles estén definidos y tengan detalles que los expliquen. El mayor desafío ahora es que los miembros de la junta directiva son cada vez más responsables de la negligencia, y realmente deben y quieren tener más información.


Las principales preguntas sobre ciberseguridad de los consejos de administración de las empresas



Ahora volvemos al punto de partida: intentar proporcionar a los miembros de los consejos de administración orientados a la empresa datos de ciberseguridad orientados técnicamente a un nivel estratégico. Puede ser útil establecer una línea de base de lo que los miembros de la junta directiva realmente quieren saber sobre la ciberseguridad en cualquier empresa. He aquí sus cinco principales preguntas:


  1. ¿Estamos seguros? Esta pregunta es la perdición de la existencia de muchos profesionales de la ciberseguridad porque la respuesta ahora y siempre será "no" desde un punto de vista literal de protección del 100%. Si reformulamos la pregunta a "¿cuál es nuestro nivel de exposición?" podemos empezar a avanzar.

  2. ¿Cumplimos con la normativa? Esta pregunta suele responderse fácilmente con los resultados de las auditorías, pero puede no proporcionar ningún consuelo real debido a su perspectiva "puntual" que puede cambiar en un momento dado. Es mejor evaluar nuestro programa de ciberseguridad utilizando un marco de control.

  3. ¿Hemos tenido algún incidente (significativo)? Los miembros de la junta directiva estarán al tanto de cualquier incidente significativo, por lo que esta pregunta suele responderse con detalles, así como con estimaciones sobre los costes y la responsabilidad potencial.

Hemos dicho que hay cinco preguntas, pero las tres anteriores son las que se suelen articular. Las dos últimas están implícitas como elemento estándar de una buena gestión de la junta directiva:


4. ¿Cuál es la eficacia de nuestro programa de seguridad? La calidad es lo primero.

5. ¿Cómo de eficiente es nuestro programa de seguridad? Y luego la cantidad.


Métricas de ciberseguridad para los consejos de administración de las empresas


A medida que vayamos construyendo nuestro programa, nuestro objetivo debe ser traducir directamente los datos técnicos más detallados en un marco estratégico que sea comprensible a nivel empresarial. También debemos tener en cuenta el hecho de que los miembros de los consejos de administración no son estúpidos y pueden aprender cualquier cosa que les ayude a tomar decisiones estratégicas. La tecnología se está apoderando de sus vidas al igual que las nuestras, y con todo el mundo pasando por la transformación digital, ha sido sorprendente la facilidad con la que han recogido las métricas de SaaS según sus necesidades.


Vamos a trabajar con las métricas en:


  • Activos informáticos (número de usuarios, dispositivos, servidores, aplicaciones, etc.)

  • Actividad de uso (sesiones, flujos, mensajes, etc.)

  • Controles de procesos (creación/modificación/eliminación de cuentas de usuario; detección/parche de vulnerabilidades, detección/respuesta a incidentes, etc.)

  • Controles en tiempo real (en línea) (antimalware, firewall, seguridad del correo electrónico, etc.)

  • Incidentes

He aquí un buen conjunto de métricas de la junta directiva que proporcionan una visión estratégica del programa de ciberseguridad de la empresa:


  • Riesgo cibernético: el porcentaje de actividades de uso inapropiado de todas las actividades de uso

  • Eficacia de la ciberseguridad: porcentaje de reducción del ciberriesgo proporcionado por los controles de ciberseguridad en tiempo real

  • Ciberexposición: número medio de actividades de uso por activo informático

  • Resistencia cibernética: número medio de controles en tiempo real aplicados a cada actividad de uso

  • Ratio de aversión al riesgo: la disposición a aceptar el deterioro de la productividad (por ejemplo, fallos de contraseña, falsos positivos) en comparación con la actividad maliciosa permitida o denegada (verdaderos positivos más falsos negativos)

Además, hay que tener en cuenta los costes y el valor. Al fin y al cabo, la información financiera es la lengua franca del mundo empresarial:


  • Ratio de pérdidas por valor: gasto en ciberseguridad, incluidas las pérdidas por incidentes, comparado con el valor financiero proporcionado por los activos de TI.

  • Coste de control por activo de TI (probablemente aplicación): costes asignados de los controles de ciberseguridad por activo de TI

  • Riesgo reducido por coste unitario: valor financiero del riesgo reducido en comparación con el gasto total en ciberseguridad

Si miramos las actas de los consejos de administración y las transcripciones de las convocatorias de beneficios de las empresas que cotizan en bolsa, o incluso la gran cantidad de ratios financieros que aparecen en nuestros sitios web de inversión favoritos, veremos que las métricas descritas anteriormente se sitúan en un nivel estratégico mucho más adecuado que el revoltijo de niveles de parches y malware encontrado.


Si queremos que los ejecutivos se tomen en serio la ciberseguridad en la empresa, esta es la forma de conseguirlo.


Fuente: CSO

47 visualizaciones0 comentarios

Entradas recientes

Ver todo

Bình luận

bottom of page