Logrando credibilidad en los esfuerzos de seguridad (parte 3)

En esta entrega continuaremos revisando algunas herramientas para convencer a empleados y ejecutivos para que apoyen los esfuerzos de seguridad e incluiremos algunas recomendaciones para el CISO en la implementación de estas herramientas.

¿Cómo mantener y extender el apoyo?

Una vez que el CISO ha logrado el patrocinio de los ejecutivos, es muy importante que lo pueda mantener y extender hacia toda la empresa. Para ello, SCITUM recomienda dos tareas fundamentales:

Crear y mantener un tablero de control. El objetivo de dicho tablero es presentar en forma periódica varias métricas de seguridad, de manera que todos los involucrados puedan conocer cómo está la seguridad, el grado de avance en la implementación de controles y cumplimiento de la normatividad, así como la justificación de inversiones.
Crear y mantener un programa de concientización sobre seguridad para todos los empleados de la empresa. Como su nombre lo indica, el objetivo de este programa es elevar la conciencia en seguridad en la organización completa, y lograr su apoyo hacia todos los esfuerzos y proyectos de IA.

Métricas de seguridad y tablero de control

El objetivo de una métrica es, como su nombre lo indica, MEDIR un parámetro predeterminado, y compararlo contra una referencia, para tomar decisiones con base en él. Es muy importante insistir en que la métrica se debe comparar contra una referencia, trátese del mismo parámetro durante el tiempo (¿cómo está el valor comparado con el de hace un mes?), de un nivel predeterminado (también llamado línea base), o de un valor externo (como es el caso de un “benchmarking”). Es después de esta comparación cuando se tienen los elementos para tomar una decisión.

En el esquema de métricas desarrollado por SCITUM, las métricas de seguridad deben ser comparadas contra las metas específicas que determine el Programa de Seguridad: Las métricas de seguridad deben monitorear el cumplimiento de las metas y objetivos al medir la implementación de los controles de seguridad, y el desempeño de los mismos. Al integrar estas métricas en un tablero de control, la dirección podrá determinar el avance del programa de seguridad, la efectividad y eficiencia de los controles, e identificar posibles acciones de mejora.

Para establecer el tablero, se han definido cuatro tipos de métricas:

Financieras. Enfocadas a justificar la inversión en seguridad.
Técnicas. Permiten tener una mejor idea sobre el nivel de riesgo en la infraestructura de TI.
Operativas. Miden la eficiencia de los procesos de administración de la seguridad.
Organizacionales. Orientadas a medir el nivel de avance de los proyectos de seguridad y de cumplimiento con la normatividad aplicable.

En el caso de SCITUM, las métricas surgieron de diversas mesas de discusión con clientes y especialistas de la empresa, además de tomar en cuenta diversas referencias, como artículos de Gartner y el borrador del estándar ISO-27004. Sin embargo en el tema de métricas de seguridad, el mercado es aún inmaduro; de manera que el CISO deberá actualizarse sobre los avances y estándares que surjan en los próximos meses.

A continuación se describe cada uno de los grupos, dando algunos ejemplos; como en otras partes de esta serie de artículos no se pretende ser exhaustivo, ni en el número de métricas sugeridas para armar el tablero de control, ni en las particularidades de cada métrica[1].

Métricas financieras

Las métricas financieras deben estar enfocadas a medir el retorno de inversión en seguridad. El objetivo principal es medir el costo-beneficio de la inversión en seguridad y transformarlo en términos inteligibles para el negocio. La herramienta que ha seleccionado SCITUM para presentar estas métricas es el ROI (return of investment) enfocado a seguridad o ROSI (return of security investment).

En las primeras iteraciones para el cálculo del ROSI el objetivo no debe ser la exactitud, sino la medición. Conforme se madure el modelo, el objetivo se convertirá en exactitud y el medio será la medición. El parámetro de referencia es el propio resultado del ROSI: si resulta positivo, el retorno a la inversión es conveniente, y si es negativo no es adecuado invertir en ese control.

Métricas organizacionales

Las métricas organizacionales se utilizan para medir la efectividad de los programas y procesos de la organización enfocados a la seguridad de la información. En este mismo sentido, estas métricas pueden ser usadas también para medir el nivel de cumplimiento de una norma o regulación[2]. Los parámetros para comparar cada métrica están muy relacionados con el plan de avance del proyecto asociado; por ejemplo, la métrica de políticas implementadas puede marcar que existen 15 implementadas, contra 20 que estaban planeadas al día de hoy[3]. En la tabla siguiente se encuentran algunos ejemplos de este tipo de métricas.

Indicador	Descripción
Nivel de avance en el Progr. de concientización	El objetivo de este indicador será el de informar sobre el grado de avance del programa de concientización.

Número de políticas implementadas o certificadas	Este indicador reflejará el número de políticas y procedimientos de seguridad que han sido implantados.

Número de riesgos administrados	Este indicador reflejará el número de riesgos que han sido administrados.

Métricas técnicas

Las métricas técnicas se utilizan para medir el avance en la seguridad derivada de la implementación de infraestructura tecnológica y su adecuada administración. Brindan una medida más directa de las amenazas y riesgos que está teniendo la organización en su infraestructura de TI, y cómo están siendo manejados dichos riesgos[4].

Los parámetros de referencia en este tipo de métricas pueden ser valores tipo “línea base” (como en el caso de % de disponibilidad, tiempos de respuestas y otros) o simplemente conocer a un subgrupo respecto al universo (por ejemplo cuando se reportan los top-20 de sitios más visitados o usuarios con mayor tráfico Web):

IndicadorGeneral	IndicadorParticular	Descripción
Disponibilidad de infraestructura de seguridad.	Disponibilidad de los dispositivos de seguridad	% de disponibilidad de los dispositivos de seguridad que administra el centro de operaciones de seguridad.

Reporte Actividad de Firewalls	Recursos de Firewalls	-Tiempo de respuesta- % de paquetes perdidos.- Utilización de CPU.-Utilización de memoria.- Tipo de tráfico por protocolo de salida.- Tipo de tráfico por protocolo de entrada. – Direcciones por tipo de protocolo.

Actividad Web	Reporte de la actividad Web de los usuarios de la red	Detalle de número de conexiones por categoría.Top 20 de: los sitios con mayor número de conexiones por categoría; los usuarios con mayor número de conexiones por categoría; páginas más visitadas por datos enviados y recibidos; sitios bloqueados, etcétera.

Filtrado de correo electrónico	Reporte del análisis y filtrado de correos electrónicos de y hacia la compañía	Correos detectados en el periodo (número y % sobre el total): de tipo spam; phishing; con virus adjuntos; con contenido inapropiado detectados en el periodo.Top 20 de usuarios de correo: más correos enviados y recibidos; mayor ancho de banda usado.

Actividad sospechosa	Actividad verificada en la red	Número total de eventos que se registraron en el periodo; Número de eventos correlacionados; número de incidentes.

% de equipos críticos de la organización a los que se les ha realizado un ‘hardening’	BDServidores Web, ftp, correo, etc.Equipos de la infraestructura de seguridad	Medición del % de dispositivos críticos de la empresa a los que se les ha realizado un ‘hardening’ del sistema operativo y las aplicaciones.

Métricas operacionales

Las métricas operacionales se utilizan para medir la eficacia y eficiencia de los procesos operativos que soportan la seguridad de la información en la organización. En este caso, se recomienda que el valor de referencia esté dado por un acuerdo de niveles de servicio o SLA.

IndicadorGeneral	IndicadorParticular	Descripción
Tiempo de solución.	a) Control de cambios b) Eventos de soporte c) Actividad sospechosa	a) Tiempo total de la solución a control de cambios (X horas depende del SLA)b) Tiempo total de solución a eventos de soporte (Y horas depende del SLA)c) Tiempo total de entrega del dictamen de la actividad sospechosa. (X minutos notificación– Y horas entrega de dictamen)

Actualizaciones de software	Actualizaciones de software por plataforma	Notificación de actualizaciones liberadas por fabricante– Entrega de software al cliente

# ventanas de mantenimiento a los equipos de la infraestructura de seguridad	Programadas Urgentes	# de ventanas de mantenimiento llevadas a cabo durante el mes en los equipos que forman parte la infraestructura de seguridad

Programa de concientización sobre seguridad (Security Awareness Program).

El propósito de esta sección es dar algunos consejos en la forma de enfocar e implementar dicho programa. Existen diversas referencias que lo cubren de una manera integral, por lo que aquí sólo se destacarán ciertos aspectos para lograr un convencimiento más efectivo de todos los interesados (stakeholders).

Existen tres objetivos claves para un programa de este tipo:

Para aumentar la participación y el compromiso de los trabajadores y el hacia la seguridad de la información.
Para asegurar que todas las políticas de seguridad de la información han sido adoptadas por todos los empleados (en otras palabras, para asegurar que los empleados entienden las políticas y están motivados para cumplirlas y hacerlas cumplir).
Para reducir la resistencia e inseguridad de los interesados sobre los beneficios del programa de concientización.

Al final del día el éxito del programa estará medido por el cambio (en hábitos, actitudes, creencias) que logre en los involucrados. Algunos autores distinguen el programa de concientización del entrenamiento en seguridad; sin embargo para propósitos de esta sección se manejarán como sinónimos, pues lo que interesa destacar, como antes se ha dicho, son las ideas de “cómo convencer” a las audiencias para apoyar los esfuerzos de seguridad y para generar un cambio en ellos.

Consideraciones generales

Algunas recomendaciones para las distintas actividades del programa de concientización son las siguientes:

Tomar en cuenta los distintos tipos de audiencias. Es muy relevante ubicar los distintos tipos de audiencias, sus intereses, hábitos, costumbres.
Conocer los esquemas mentales de los involucrados. Lo ideal es tener una asociación entre el esquema mental (o paradigma), los mensajes que queremos enviarle y la forma de hacerlo, para que sean “amigables” y aceptados por la audiencia. Muchas de las ideas de esta sección realmente tienen que ver con esta asociación.
Buscar el lado divertido en los mensajes. Una forma de ser “amigable” hacia la audiencia es transmitir los mensajes en forma divertida y simple, ya sean escritos en un poster o presentados en una sesión. Si la cultura de la empresa es de mucha seriedad, entonces por lo menos hay que hacer sencillos y didácticos los mensajes.
Aprovechar todas las herramientas posibles. Para lograr que los mensajes provoquen un cambio, es necesario primero que la audiencia esté convencida. Por ejemplo, los escenarios de riesgo pueden utilizarse durante las sesiones de entrenamiento.

Organización de las sesiones de concientización

Un elemento importante en el programa son las sesiones de entrenamiento, pues en ellas se tiene la oportunidad de interactuar directamente con la audiencia, de “sentir” si los mensajes están siendo correctamente recibidos y de reforzarlos o, incluso, cambiar la forma de transmitirlos. Por ello, es importante que las sesiones sean impartidas por oradores dinámicos y bien preparados, que impacten adecuadamente a los asistentes con la presentación de casos reales y generen una discusión que ayude a entender mejor los conceptos y a “comprar” los beneficios de la seguridad. Como lo ha dicho el Profr. Kabay: “Presenting objections to a proposal and offering counterarguments is more effective than one-sided diatribes”.

En particular en SCITUM se ha definido una aproximación muy pragmática y convincente de las sesiones de entrenamiento para que la audiencia esté mucho más abierta a aprender y, entonces, a empezar a cambiar sus hábitos sobre seguridad de la información. Así pues, la primera parte está enfocada en abrir sus ojos a muchos riesgos importantes (se mencionan estadísticas, se les enseña sobre “malware”, “phishing” y otros tipos de ataques; y también se tienen escenarios en vivo para que vean, entre otras cosas, ejemplo de caballos de Troya e ingeniería social).

La segunda parte está dedicada a aprender sobre principales contramedidas, que incluyen las políticas de seguridad, defensas tecnológicas (antivirus, firewalls, cifrado de datos, etc.) y defensas humanas (a través del debido cumplimiento de las políticas y las maneras de evitar ataques de ingeniaría social).

Finalmente, en la tercera parte los asistentes a las sesiones llevan a cabo diferentes compromisos respecto a los cambios de comportamiento que llevarán a cabo.

Implementación de las campañas.

Las campañas refuerzan los mensajes que se han enviado en las sesiones de concientización, y por lo tanto ayudan a generar el cambio deseado. Algunos elementos a considerar para las campañas son:

Definir las campañas por temas. Es recomendable que cada campaña esté enfocada en algún tema en particular: seguridad en el acceso), manejo de contraseñas, seguridad en el usuario final, etcétera. De esta forma se va generando un cambio paulatino que generalmente es más fácil de aceptar.
Utilizar imágenes que llamen la atención. Si se utilizan fotografías de personas, asegurarse de que sean muy expresivas, incluso exageradas; es válido la utilización de caricaturas, acorde a la cultura de la empresa. Hay que tratar de evitar las imágenes serias, que pueden ser percibidas como “aburridas”.
Medir los resultados. Es importante medir el éxito de una campaña a través de encuestas o cuestionarios sencillos (para saber, por ejemplo, si los mensajes han sido comprendidos y retenidos) y de estudios de campo para observar el cambio de hábitos.

Recomendaciones adicionales

En las secciones anteriores se han cubierto algunas recomendaciones para lograr que las métricas de seguridad y el programa de concientización refuercen el apoyo a los proyectos de seguridad. Las siguientes son tres consideraciones adicionales que pueden ayudar a mantener y extender este apoyo:

Administración adecuada de los proyectos de seguridad. Como cualquier otro proyecto, es necesario tener una disciplina y control de los proyectos de seguridad, para asegurar que sean terminados bajo los recursos planeados (en tiempo, costo y utilización de gente) y con la calidad esperada; esta certeza genera mucha credibilidad hacia el CISO y hacia las iniciativas de seguridad que se implementen. Si se tiene un tablero de control de seguridad, entonces los avances del proyecto deberán ser alimentados al mismo como parte de las métricas organizacionales.
Actualización sobre la dinámica de la organización. Es igualmente importante que el CISO se mantenga actualizado sobre los cambios que pueda tener la organización para la que trabaja; trátese de cambios mayores como fusiones o adquisiciones, o de cambios más comunes como la actualización del ERP, pues así podrá ajustar los planes y programas de seguridad, y mantenerse alineado al negocio.
Sinergia con toda la empresa. En la medida que el CISO logre unir esfuerzos con otras áreas, persiguiendo el objetivo común de un mejor manejo de riesgos, y ser percibido como parte fundamental para lograr los objetivos del negocio, los esfuerzos de seguridad serán más exitosos. La creación de grupos interdisciplinarios (por ejemplo sumando esfuerzos con seguridad física y auditoría interna; o integrándose al equipo de administración de riesgos de la organización; o apoyando activamente los proyectos de cumplimiento con regulaciones externas como Sarbanes Oxley o HIPAA) puede ser de mucha ayuda.

Continuará…

[email protected]

[1] Por ejemplo, no se mencionará cómo conseguir la información, pues esa es una tarea distinta en cada organización.

[2] Es altamente recomendable establecer un proyecto para el cumplimiento de una regulación, y medir sus avances de forma muy similar a otros proyectos.

[3] Lo que indicaría un atraso sobre el plan; a partir de saber de ese atraso, los responsables del proyecto podrán tomar alguna acción, como podría ser acelerar la implementación de las restantes, o renegociar un cambio en el programa de trabajo.

[4] Estas métricas son muy importantes para demostrar todos los esfuerzos que se han hecho para llegar al estado actual de seguridad. De esta forma se evita que un ejecutivo piense “Ningún incidente de seguridad nos ha impactado en los últimos meses, mejor cancelemos los nuevos proyectos de seguridad pues ya no es necesario invertir más”.

Cookie	Duración	Descripción
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.