Metamétricas de seguridad (primera parte)

Opinión¿Es usted el director general (CEO), o el director de sistemas (CIO), quizás el director de finanzas (CFO) o acaso el director de seguridad de sistemas de información (CISO)?

¿Es usted tal vez el líder de una unidad de negocio?

¿Está satisfecho con su inversión en seguridad y los resultados que está obteniendo de dicha inversión?

¿Está invirtiendo su dinero en materia de seguridad en forma inteligente? ¿Cómo lo sabe?

¿Es el departamento de seguridad en su organización efectivo, eficiente y está logrando los resultados que espera? ¿Cómo lo sabe?

¿Qué clase de métricas de seguridad estratégicas está logrando a través de sus esfuerzos de seguridad?

¿Es acaso su down-time la métrica de seguridad más estratégica que está considerando?

.

Las métricas como medidas de seguridad

Cuando se habla de seguridad en una organización, la preocupación primordial es identificar riesgos. Pero cuando se plantea cómo medir los riesgos, algo imprescindible es cómo determinar las métricas de seguridad necesarias y aplicables a la organización. Una vez obtenidas dichas métricas, a un responsable de negocio le interesa saber de qué forma  le han de beneficiar.

Las métricas son una herramienta de soporte para tomar decisiones, lo cual significa que si una medida no sirve de soporte para las decisiones gerenciales significativas, es irrelevante.

. 

Métricas de seguridad para el negocio

Las métricas son una parte sustancial de la respuesta que los administradores de seguridad consideran como un reto actual. No se puede seguir desperdiciando dinero en seguridad, tratando de adivinar lo que se podría hacer, o implementando cualquier herramienta que los proveedores ofrezcan, esperando que sea la solución.

Se puede y se debe hacer algo mejor. Se deben canalizar más finamente los recursos, en forma efectiva e inteligente, tomando las riendas, midiendo y administrando de manera apropiada y definitiva la seguridad de la información. Es claro que, refiriéndose a métricas de seguridad, no se puede uno quedar con una métrica esencialmente inútil como, por ejemplo, el número de virus detectados en un mes determinado.

Se ha mencionado en distintos foros sobre indicadores de gestión, que “no se puede administrar lo que no se mide”; dicho de otra forma, “no se puede mejorar lo que no se ha medido”.  Así que la pregunta sigue en pie, ¿qué puede hacer una organización para medir, en este caso la seguridad, y por tanto para manejarla, planearla, mejorarla y controlarla? y sobre todo para dirigir los esfuerzos de seguridad.  Dentro de los criterios de medición está sin duda el punto de vista del responsable de negocio, el cliente. Si no se mide la situación actual en materia de seguridad, no se sabrá a dónde se tendrá que llegar y qué mejorar. Este es un tema que ha sido también ampliamente discutido en relación a la gestión de calidad total.

Habiendo apuntado lo anterior, aunque se diga que no se puede manejar lo que no se mide, es una realidad que las organizaciones han gestionado la seguridad de información por décadas sin medidas útiles y comprobables. Basta observar las noticias de primera plana, las cuales revelan ejemplos claros de fallas de seguridad y de privacidad (y un sinnúmero de incidentes permanece sin ser reportado) a pesar de las inversiones significativas que se realizan en esta materia.

Algunos expertos en seguridad de información se han convertido en hackers, criminales organizados, terroristas, espías industriales, así como otro tipo de adversarios, ante quienes se va perdiendo la batalla de seguridad.

Las métricas se utilizan no solo para dar seguimiento y reportar el desempeño, sino para identificar áreas de problemas y oportunidades, y así llevar a cabo las mejoras de seguridad. Enfocándose en el uso de datos de medición para soportar las decisiones de la gerencia, hay una forma de diseñar un sistema de medición de seguridad de información, con aplicaciones de apoyo afines al sistema de gestión de seguridad de información, tal como se describe en el estándar ISO/IEC-27001.

. 

Metamétricas como datos de las métricas

Las “metamétricas” son para las métricas, lo que “metadata” es para los datos–en otras palabras, metamétricas son información sobre métricas.

Las metamétricas incluyen varias características de métricas. Por ejemplo, algunas listas y catálogos describen típicamente cada métrica en términos de su alcance, propósito, parámetros, fuentes y cálculos: todas estas son metamétricas ¿Quién decide que estas características particulares son importantes?,  ¿cómo lo deciden?, ¿cuáles son los factores más/menos importantes?, ¿en qué se basa uno para determinar que ciertas métricas deban ser tomadas en cuenta o ignoradas? Por desgracia, estas importantes consideraciones se pasan por alto o pocas veces son motivo de discusión. Con frecuencia todo lo que se llega a ver es el resultado final, sin la oportunidad de comprender el proceso de pensamiento que hay detrás de ello.

La mayoría de las metamétricas proporcionan una base objetiva para diseñar y seleccionar métricas que vale la pena medir, analizar, reportar y utilizar. Sin ellas se haría un trabajo con resultados subjetivos.

En el contexto de seguridad de información, las metamétricas son valiosas:

  • Para evaluar distintas métricas de seguridad en forma significativa, racional y comparable, siendo posible decidir con objetividad cuáles, si es que existen, valdría la pena adoptar, desarrollar, o ignorar temporalmente;
  • Al revisar y reevaluar las métricas que están siendo actualmente utilizadas, por ejemplo si la gerencia está insatisfecha con los resultados actuales, o requiere información de facto, para poder administrar otros riesgos de seguridad;
  • Para considerar los méritos de métricas recomendadas por otros, y para explicar el fundamento de recomendaciones específicas para terceros, sin dejar de tomar en cuenta nuestra propia administración;
  • Para realizar comparativos (benchmarking) de métricas utilizadas por diferentes organizaciones o por unidades de negocio dentro de una gran organización, en particular para identificar y compartir formas más creativas y productivas de medir la seguridad de información;
  • Para apoyar las medidas de seguridad de información en forma más rigurosa y desde una perspectiva más profesional, lo cual es esencial para el gobierno (dirección, gestión/administración y control) de la seguridad de la información.

En la misma forma que las métricas de seguridad son utilizadas para medir, administrar y mejorar los controles de seguridad y por ende el sistema de gestión de seguridad, así las metamétricas ayudan a medir, administrar y mejorar nuestras métricas, y por tanto, el sistema de medición. El aplicar el pensamiento sistémico al diseño de métricas es un ejemplo de innovación en el enfoque pragmático de métricas de seguridad.

La información sobre métricas incluye métricas sobre métricas. Por ejemplo, el número de métricas de seguridad utilizado por la organización es una metamétrica relativamente cruda, mientras que la calidad de aquellas es potencialmente mucho más informativa y útil.

.

El método pragmático de las métricas

Como ya se comentó, uno de los retos de la gestión de seguridad de la información es cómo medir la seguridad.

Las métricas de seguridad son una práctica esencial de la gestión de seguridad de la información.

Si no se cuenta con métricas útiles estamos solo asumiendo y confiando en el trabajo subjetivo por suposiciones, por instinto,  en lugar de por análisis basado en hechos, observaciones y datos. Es como la astrología en comparación con la astronomía.

En una publicación de enero de 2013, Krag Brotby y Gary Hinson presentaron un nuevo método denominado Metamétricas Pragmáticas de Seguridad.

De acuerdo con el método pragmático de Krag Brotby y Gary Hinson, una metamétrica de seguridad debe ser:

  • Predictiva
  • Relevante
  • Accionable
  • Genuina
  • Significativa
  • Precisa
  • Oportuna
  • Independiente
  • Económica

 

Predictiva: ayuda a manejar situaciones, tomar decisiones y mejorar las cosas para el futuro;

Relevante: para el especialista de la materia, sea seguridad de información, gobierno, riesgo, cumplimento, control, etcétera;

Accionable: proporciona información para tomar acciones, además de decir:“¡Ah, qué bien”!;

Genuina: Los números están basados en hechos y no pueden ser inventados fácilmente o manipulados de manera deliberada;

Significativa: para la audiencia a la que va dirigida, sin crear incertidumbre o escepticismo;

Precisa: para permitir un control mesurado o proporcional (¿Nos detenemos o seguimos avanzando?, ¿más rápido, o más lento?);

Oportuna: la seguridad es un área dinámica, por lo que requerimos información al momento de la toma de decisiones;

Independiente: medida objetiva, basándose en evidencia verificable; y

Costo-efectiva (económica): genera más valor que lo que cuesta recopilar, analizar, presentar y utilizar la métrica.

 

               Fuente: Pragmatic Security Metametrics por Brotby y Hinson, 2013

. .

El método pragmático presenta una forma estructurada de evaluar y realizar puntuaciones de posibles métricas, con el fin de identificar aquellas que valgan la pena para trabajar, de aquellas que únicamente generan trabajo inútil en lugar de ayudar. Permite diseñar, discutir, comparar y mejorar métricas, y estimula discusiones productivas con gerentes y colegas de la profesión, sobre qué aspectos de la seguridad de información les preocupan más, qué información requieren obtener y mantener para administrar la seguridad y riesgos de su información, y por tanto qué necesitan medir y cómo.

Este método proporciona ideas y formas prácticas para aquellos profesionales que necesitan un apoyo concreto y directo para dar solución a problemas reales del día a día.

Es importante hacer énfasis en que las métricas no son universalmente aplicables, en otras palabras, las métricas de seguridad que podrían ser ideales para una organización, pueden no ser afines para otra. Esta distinción se puede apreciar mejor una vez que se ha comprendido y se ha utilizado el proceso pragmático.

Se ha profundizado en el diseño de un sistema de medición de seguridad, usando un enfoque de sistemas para especificar una serie de métricas de seguridad coherentes que soportan unas a las otras. Es similar al concepto del Sistema de Gestión de Seguridad de Información (ISMS) ISO2700*, por ejemplo incorporando la idea de mejora continua del sistema de métricas a través de un monitoreo sistemático de la efectividad de las métricas – un concepto denominado “metamétricas” (información sobre métricas).

El sistema de medición debe evolucionar en paralelo con el ISMS, de tal forma que las métricas de seguridad que se necesitan en el momento, no sean las mismas que las que se requieran, por ejemplo, dentro de un año.

Además, algunas medidas son tan importantes para la organización que su integridad es un problema, por lo tanto, en esta metodología se introduce la idea de métricas complementarias (tomando deliberadamente perspectivas diferentes en áreas clave tales como riesgo, con el fin de revelar aquellas arrugas que indican que algo raro está sucediendo, lo que conduce a ahondar más en dicho problema.)

El uso de métricas de seguridad pragmáticas puede apoyar a quienes están dedicados a la práctica de seguridad, explicando e interpretando las métricas de seguridad en una forma más directa, sin ignorar totalmente las complejidades de la materia.

Algunos ejemplos de métricas podrían incluir:

  • Medición de la capacidad y desempeño de TI.
  • Extensión de la incorporación de seguridad de información en el software de aseguramiento de calidad.
  • Proporción de cuentas de usuario de cómputo inactivas deshabilitadas de acuerdo con las políticas.
  • VaR (valor en riesgo).
  • Correlación entre bitácoras de sistema/configuración y requerimiento de cambios autorizados.
  • Consecuencias históricas de no cumplimiento.
  • Cobertura de seguros versus primas anuales.
  • Retorno sobre la inversión (ROI).

Continuará…

Para ver la segunda parte de este artículo, haga click aquí

[email protected]

Elia Fernández, CISA

Cuenta con más de 25 años de experiencia en auditoría de sistemas, seguridad informática, consultorías de TI, reingeniería de negocio y desarrollo de sistemas. Es egresada de la Universidad La Salle en la ciudad de México, donde estudió Ingeniería Cibernética y Ciencias de la Computación, y una Maestría en Administración. Cuenta con una Especialidad en Auditoría de Sistemas de la Fundación Arturo Rosenblueth y un Diploma de Reingeniería de Procesos de Negocio, del Instituto Tecnológico de Estudios Superiores de Monterrey (ITESM). Es gerente de negocios internacionales en Innovative Soft, S. de R.L. de C.V., de la cual es socia fundadora en México, siendo responsable del desarrollo de proyectos de tecnología de información, de auditoría y seguridad informática y apoyando la implantación de SWIFT en corporativos e instituciones financieras. Asimismo, es socia fundadora de la organización Digital Workforce Education Society (DWES), en Illinois, EE.UU., una sociedad internacional sin fines de lucro, dedicada a proporcionar infraestructura de tecnología, desarrollo de programas educativos para la educación a distancia y entrenamiento para una fuerza de trabajo digital global. Forma parte del Consejo Editorial de la revista Magazcitum, una publicación para profesionales de seguridad de TI. Elia laboró durante 11 años para ISACA, la oficina internacional de la Asociación de Auditoría y Control de Sistemas de Información (Information Systems Audit and Control Association) en Illinois, EE.UU. Fue gerente del programa de estudio de certificación y desarrollo educacional. Dirigió grupos de trabajo con integrantes de América, África, Asia, Europa y Oceanía, para la elaboración de preguntas de estudio para el examen de Auditor de Sistemas de Información Certificado, CISA (Certified Information Systems Auditor) y para el de “Gerente de Seguridad de Sistemas de Información Certificado”, CISM (Certified Information Security Manager). Coordinó el desarrollo y edición de los manuales de estudio para los exámenes de certificación CISA y CISM. Además, coordinó grupos de trabajo para la traducción y revisión de dichos manuales al español, francés, coreano y japonés. Desde 1998 al 2010, fue responsable de la planeación, desarrollo y ejecución del programa educativo de conferencias “Latin America CACS” que se realizaron en Brasil, Chile, Colombia, Costa Rica, México, Panamá y Uruguay. Elia es miembro activo de la ISACA desde 1988. Fue miembro de la mesa directiva de la Asociación Mexicana de Auditores en Informática (AMAI), ahora ISACA México, de 1995 al 2000 y Presidente de la misma Asociación de 1998 al 2000. Obtuvo la certificación CISA en 1999. Su trayectoria profesional en México incluye el desarrollo de proyectos de auditoría y consultoría de sistemas en Grupo Cynthus; trabajó como gerente de area de auditoría de sistemas en Grupo Elektra; como auditor de sistemas y asesor de seguridad informática en Banco Nacional de México (BANAMEX.); y en áreas de desarrollo de sistemas para Bancomer, Young & Rubicam y Agua Sistemas. También fue catedrática durante 9 años en la Universidad La Salle en la ciudad de México, impartiendo las materias de Auditoría de Sistemas de Información, Administración de Centros de Cómputo, y Seminario de Tesis. Elia asesoró más de 50 tesis, y fue sinodal en más de 200 examenes profesionales, para la carrera de Ingeniería Cibérnetica. Además, impartió la materia de Auditoría de Sistemas de Aplicación para la Maestría de Sistemas. 

Tags:

  2 comments for “Metamétricas de seguridad (primera parte)

  1. Jason Salgado
    03/06/2013 at 10:09 PM

    Super este articulo. Estoy esperando la segunda parte.

    En Colombia estamos muy pendientes de todos los articulos de Seguridad de Magazcitum.

    Gracias por este gran trabajo.

    Saludos!!!!

  2. 14/06/2013 at 11:11 AM

    Estimado Jason,
    Gracias por el interés en el tema de Metamétricas de Seguridad, y por el envío de su amable comentario. Nos dá gusto tener la oportunidad de compartir tanto conocimientos como experiencias en materia de seguridad, con nuestros colegas de Latinoamérica. Son los atentos lectores de Magazcitum, quienes hacen de ésta, una publicación activa y valiosa.

    Cordialmente, Elia Fernández

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*