¿Es usted el director general (CEO), o el director de sistemas (CIO), quizás el director de finanzas (CFO) o acaso el director de seguridad de sistemas de información (CISO)?

¿Es usted tal vez el líder de una unidad de negocio?

¿Está satisfecho con su inversión en seguridad y los resultados que está obteniendo de dicha inversión?

¿Está invirtiendo su dinero en materia de seguridad en forma inteligente? ¿Cómo lo sabe?

¿Es el departamento de seguridad en su organización efectivo, eficiente y está logrando los resultados que espera? ¿Cómo lo sabe?

¿Qué clase de métricas de seguridad estratégicas está logrando a través de sus esfuerzos de seguridad?

¿Es acaso su down-time la métrica de seguridad más estratégica que está considerando?

.

Las métricas como medidas de seguridad

Cuando se habla de seguridad en una organización, la preocupación primordial es identificar riesgos. Pero cuando se plantea cómo medir los riesgos, algo imprescindible es cómo determinar las métricas de seguridad necesarias y aplicables a la organización. Una vez obtenidas dichas métricas, a un responsable de negocio le interesa saber de qué forma  le han de beneficiar.

Las métricas son una herramienta de soporte para tomar decisiones, lo cual significa que si una medida no sirve de soporte para las decisiones gerenciales significativas, es irrelevante.

. 

Métricas de seguridad para el negocio

Las métricas son una parte sustancial de la respuesta que los administradores de seguridad consideran como un reto actual. No se puede seguir desperdiciando dinero en seguridad, tratando de adivinar lo que se podría hacer, o implementando cualquier herramienta que los proveedores ofrezcan, esperando que sea la solución.

Se puede y se debe hacer algo mejor. Se deben canalizar más finamente los recursos, en forma efectiva e inteligente, tomando las riendas, midiendo y administrando de manera apropiada y definitiva la seguridad de la información. Es claro que, refiriéndose a métricas de seguridad, no se puede uno quedar con una métrica esencialmente inútil como, por ejemplo, el número de virus detectados en un mes determinado.

Se ha mencionado en distintos foros sobre indicadores de gestión, que “no se puede administrar lo que no se mide”; dicho de otra forma, “no se puede mejorar lo que no se ha medido”.  Así que la pregunta sigue en pie, ¿qué puede hacer una organización para medir, en este caso la seguridad, y por tanto para manejarla, planearla, mejorarla y controlarla? y sobre todo para dirigir los esfuerzos de seguridad.  Dentro de los criterios de medición está sin duda el punto de vista del responsable de negocio, el cliente. Si no se mide la situación actual en materia de seguridad, no se sabrá a dónde se tendrá que llegar y qué mejorar. Este es un tema que ha sido también ampliamente discutido en relación a la gestión de calidad total.

Habiendo apuntado lo anterior, aunque se diga que no se puede manejar lo que no se mide, es una realidad que las organizaciones han gestionado la seguridad de información por décadas sin medidas útiles y comprobables. Basta observar las noticias de primera plana, las cuales revelan ejemplos claros de fallas de seguridad y de privacidad (y un sinnúmero de incidentes permanece sin ser reportado) a pesar de las inversiones significativas que se realizan en esta materia.

Algunos expertos en seguridad de información se han convertido en hackers, criminales organizados, terroristas, espías industriales, así como otro tipo de adversarios, ante quienes se va perdiendo la batalla de seguridad.

Las métricas se utilizan no solo para dar seguimiento y reportar el desempeño, sino para identificar áreas de problemas y oportunidades, y así llevar a cabo las mejoras de seguridad. Enfocándose en el uso de datos de medición para soportar las decisiones de la gerencia, hay una forma de diseñar un sistema de medición de seguridad de información, con aplicaciones de apoyo afines al sistema de gestión de seguridad de información, tal como se describe en el estándar ISO/IEC-27001.

. 

Metamétricas como datos de las métricas

Las “metamétricas” son para las métricas, lo que “metadata” es para los datos–en otras palabras, metamétricas son información sobre métricas.

Las metamétricas incluyen varias características de métricas. Por ejemplo, algunas listas y catálogos describen típicamente cada métrica en términos de su alcance, propósito, parámetros, fuentes y cálculos: todas estas son metamétricas ¿Quién decide que estas características particulares son importantes?,  ¿cómo lo deciden?, ¿cuáles son los factores más/menos importantes?, ¿en qué se basa uno para determinar que ciertas métricas deban ser tomadas en cuenta o ignoradas? Por desgracia, estas importantes consideraciones se pasan por alto o pocas veces son motivo de discusión. Con frecuencia todo lo que se llega a ver es el resultado final, sin la oportunidad de comprender el proceso de pensamiento que hay detrás de ello.

La mayoría de las metamétricas proporcionan una base objetiva para diseñar y seleccionar métricas que vale la pena medir, analizar, reportar y utilizar. Sin ellas se haría un trabajo con resultados subjetivos.

En el contexto de seguridad de información, las metamétricas son valiosas:

  • Para evaluar distintas métricas de seguridad en forma significativa, racional y comparable, siendo posible decidir con objetividad cuáles, si es que existen, valdría la pena adoptar, desarrollar, o ignorar temporalmente;
  • Al revisar y reevaluar las métricas que están siendo actualmente utilizadas, por ejemplo si la gerencia está insatisfecha con los resultados actuales, o requiere información de facto, para poder administrar otros riesgos de seguridad;
  • Para considerar los méritos de métricas recomendadas por otros, y para explicar el fundamento de recomendaciones específicas para terceros, sin dejar de tomar en cuenta nuestra propia administración;
  • Para realizar comparativos (benchmarking) de métricas utilizadas por diferentes organizaciones o por unidades de negocio dentro de una gran organización, en particular para identificar y compartir formas más creativas y productivas de medir la seguridad de información;
  • Para apoyar las medidas de seguridad de información en forma más rigurosa y desde una perspectiva más profesional, lo cual es esencial para el gobierno (dirección, gestión/administración y control) de la seguridad de la información.

En la misma forma que las métricas de seguridad son utilizadas para medir, administrar y mejorar los controles de seguridad y por ende el sistema de gestión de seguridad, así las metamétricas ayudan a medir, administrar y mejorar nuestras métricas, y por tanto, el sistema de medición. El aplicar el pensamiento sistémico al diseño de métricas es un ejemplo de innovación en el enfoque pragmático de métricas de seguridad.

La información sobre métricas incluye métricas sobre métricas. Por ejemplo, el número de métricas de seguridad utilizado por la organización es una metamétrica relativamente cruda, mientras que la calidad de aquellas es potencialmente mucho más informativa y útil.

.

El método pragmático de las métricas

Como ya se comentó, uno de los retos de la gestión de seguridad de la información es cómo medir la seguridad.

Las métricas de seguridad son una práctica esencial de la gestión de seguridad de la información.

Si no se cuenta con métricas útiles estamos solo asumiendo y confiando en el trabajo subjetivo por suposiciones, por instinto,  en lugar de por análisis basado en hechos, observaciones y datos. Es como la astrología en comparación con la astronomía.

En una publicación de enero de 2013, Krag Brotby y Gary Hinson presentaron un nuevo método denominado Metamétricas Pragmáticas de Seguridad.

De acuerdo con el método pragmático de Krag Brotby y Gary Hinson, una metamétrica de seguridad debe ser:

  • Predictiva
  • Relevante
  • Accionable
  • Genuina
  • Significativa
  • Precisa
  • Oportuna
  • Independiente
  • Económica

 

Predictiva: ayuda a manejar situaciones, tomar decisiones y mejorar las cosas para el futuro;

Relevante: para el especialista de la materia, sea seguridad de información, gobierno, riesgo, cumplimento, control, etcétera;

Accionable: proporciona información para tomar acciones, además de decir:“¡Ah, qué bien”!;

Genuina: Los números están basados en hechos y no pueden ser inventados fácilmente o manipulados de manera deliberada;

Significativa: para la audiencia a la que va dirigida, sin crear incertidumbre o escepticismo;

Precisa: para permitir un control mesurado o proporcional (¿Nos detenemos o seguimos avanzando?, ¿más rápido, o más lento?);

Oportuna: la seguridad es un área dinámica, por lo que requerimos información al momento de la toma de decisiones;

Independiente: medida objetiva, basándose en evidencia verificable; y

Costo-efectiva (económica): genera más valor que lo que cuesta recopilar, analizar, presentar y utilizar la métrica.

 

               Fuente: Pragmatic Security Metametrics por Brotby y Hinson, 2013

. .

El método pragmático presenta una forma estructurada de evaluar y realizar puntuaciones de posibles métricas, con el fin de identificar aquellas que valgan la pena para trabajar, de aquellas que únicamente generan trabajo inútil en lugar de ayudar. Permite diseñar, discutir, comparar y mejorar métricas, y estimula discusiones productivas con gerentes y colegas de la profesión, sobre qué aspectos de la seguridad de información les preocupan más, qué información requieren obtener y mantener para administrar la seguridad y riesgos de su información, y por tanto qué necesitan medir y cómo.

Este método proporciona ideas y formas prácticas para aquellos profesionales que necesitan un apoyo concreto y directo para dar solución a problemas reales del día a día.

Es importante hacer énfasis en que las métricas no son universalmente aplicables, en otras palabras, las métricas de seguridad que podrían ser ideales para una organización, pueden no ser afines para otra. Esta distinción se puede apreciar mejor una vez que se ha comprendido y se ha utilizado el proceso pragmático.

Se ha profundizado en el diseño de un sistema de medición de seguridad, usando un enfoque de sistemas para especificar una serie de métricas de seguridad coherentes que soportan unas a las otras. Es similar al concepto del Sistema de Gestión de Seguridad de Información (ISMS) ISO2700*, por ejemplo incorporando la idea de mejora continua del sistema de métricas a través de un monitoreo sistemático de la efectividad de las métricas – un concepto denominado “metamétricas” (información sobre métricas).

El sistema de medición debe evolucionar en paralelo con el ISMS, de tal forma que las métricas de seguridad que se necesitan en el momento, no sean las mismas que las que se requieran, por ejemplo, dentro de un año.

Además, algunas medidas son tan importantes para la organización que su integridad es un problema, por lo tanto, en esta metodología se introduce la idea de métricas complementarias (tomando deliberadamente perspectivas diferentes en áreas clave tales como riesgo, con el fin de revelar aquellas arrugas que indican que algo raro está sucediendo, lo que conduce a ahondar más en dicho problema.)

El uso de métricas de seguridad pragmáticas puede apoyar a quienes están dedicados a la práctica de seguridad, explicando e interpretando las métricas de seguridad en una forma más directa, sin ignorar totalmente las complejidades de la materia.

Algunos ejemplos de métricas podrían incluir:

  • Medición de la capacidad y desempeño de TI.
  • Extensión de la incorporación de seguridad de información en el software de aseguramiento de calidad.
  • Proporción de cuentas de usuario de cómputo inactivas deshabilitadas de acuerdo con las políticas.
  • VaR (valor en riesgo).
  • Correlación entre bitácoras de sistema/configuración y requerimiento de cambios autorizados.
  • Consecuencias históricas de no cumplimiento.
  • Cobertura de seguros versus primas anuales.
  • Retorno sobre la inversión (ROI).

Continuará…

Para ver la segunda parte de este artículo, haga click aquí

[email protected]