Las organizaciones invierten en ciberseguridad con la esperanza de medir resultados y justificar inversiones. Sin embargo, a lo largo de los años se acumularon una gran cantidad de acrónimos destinados a evidenciar el éxito. ¿Siguen siendo útiles estos términos en la era actual o han quedado desalineados con las realidades del negocio y las amenazas modernas?

Este artículo explora el estado de los acrónimos de medición en ciberseguridad, identifica sus limitaciones y propone un marco para medir el rendimiento que realmente contribuya a la resiliencia de la organización.

Principales acrónimos y su utilidad actual

– ROI y TCO: retorno de la inversión y costo total de propiedad siguen siendo relevantes para decidir presupuestos, pero son ambivalentes cuando se trata de seguridad ya que el valor se manifiesta a lo largo del tiempo y en reducción de riesgos, no solamente en ingresos directos.
– KPI y KRIs: los indicadores clave de rendimiento y de riesgo ayudan a gestionar actividades y a vigilar riesgos, pero pueden volverse vanidosos si se basan en datos incompletos o de difícil interpretación para la alta dirección.
– MTTD y MTTR: tiempo medio de detección y de resolución son métricas técnicas útiles, aunque a veces se quedan cortas si no se conectan con impactos de negocio y con la criticidad de los activos.
– SLAs y equipos de seguridad tipo SRE: acuerdos de nivel de servicio pueden sostener la disciplina, pero deben traducirse a resultados de negocio y a la continuidad operativa.
– Tasa de parcheo y gestión de vulnerabilidades: indicadores operativos necesarios, pero no muestran la severidad real ni el riesgo residual.
– Detección de amenazas y simulaciones: métricas de detección deben ir acompañadas de indicadores de respuesta y aprendizaje organizacional.

Limitaciones de basar la medición solo en acrónimos

– Fragmentación de datos: las métricas suelen estar dispersas entre equipos y herramientas, lo que dificulta una visión de conjunto.
– Enfoque en procesos, no en riesgos: muchas métricas optimizan la eficiencia operativa sin medir la reducción real del riesgo para el negocio.
– Incentivos mal alineados: las métricas pueden impulsar comportamientos que priorizan el cumplimiento de un número sobre la detección y mitigación eficaces.
– Datos de calidad variable: sin calidad de datos, las métricas se vuelven poco confiables y difíciles de auditar.

Hacia métricas que realmente sirvan para la toma de decisiones

1) Enlace claro con objetivos de negocio: cada métrica debe responder a una pregunta de negocio y a la reducción de riesgo.
2) Equilibrio entre leading y lagging: combinar indicadores adelantados como detección proactiva, pruebas de seguridad y capacitation de usuarios con indicadores de resultado como el costo de incidentes y la reducción del riesgo.
3) Metodología y gobernanza: definir una carta de métricas, responsables, fuentes de datos y un ciclo de revisión.
4) Gobernanza de datos y señales de riesgo: unificar datos de seguridad, operaciones y negocio en paneles que permitan ver las correlaciones entre incidentes y pérdidas potenciales.
5) Marco de referencia ágil: incorporar recomendaciones de marcos como NIST CSF, ISO 27001 y MITRE ATT&CK para entender el contexto de cada métrica.

Propuesta de un kit moderno de métricas

– Tiempo medio de detección MTTD y tiempo medio de respuesta MTTR por incidente, desglosados por severidad y negocio afectado.
– Tasa de mitigación de vulnerabilidades y tiempo medio para parchear, priorizadas por severidad real.
– Porcentaje de sistemas y cargas de trabajo con configuraciones seguras y drift controlado en nube.
– Incidentes de seguridad y coste asociado, así como coste anual de seguridad por unidad de negocio.
– Nivel de concienciación y entrenamiento: porcentaje de usuarios que completan formaciones y tasas de phishing simuladas.
– Resiliencia operativa: métricas RTO y RPO asociadas a procesos críticos.
– Calidad de la cadena de suministro de software: SBOM completo y evaluación de componentes críticos.

Cómo empezar a implementar un nuevo enfoque de métricas

– Realizar un taller con negocio y tecnología para alinear objetivos y definir qué significa éxito para la organización.
– Identificar las fuentes de datos confiables y establecer reglas de calidad de datos.
– Eliminar métricas de vanidad y sustituirlas por indicadores que impacten el riesgo real o la continuidad.
– Construir paneles simples para ejecutivos y paneles detallados para equipos técnicos, con vistas por negocio y por tecnología.
– Evaluar y ajustar de forma periódica, con un proceso de governance y revisiones semestrales.

Conclusión

Los acrónimos siguen teniendo valor, pero deben evolucionar para reflejar la realidad de amenazas y la necesidad de proteger el negocio. Al centrar la medición en el riesgo, la resiliencia y el valor para la organización, las métricas dejan de ser simples etiquetas para convertirse en herramientas de decisión.

Si te interesa, puedes empezar por auditar las métricas actuales, identificar huecos y diseñar un kit de métricas que hable el mismo idioma de la dirección y de las operaciones.

from Latest from TechRadar https://ift.tt/CAUS7nj
via IFTTT IA