Diseñando métricas de seguridad y no morir en el intento

Está de más indicar y repetir que si una empresa incluye en sus procesos comerciales actividades para ejecutarlas con base en internet y aplicaciones móviles, colocará a la organización en un nivel de riesgo de seguridad de la información más elevado. Por lo tanto obligará a la organización a reforzar sus controles de seguridad, aumentar su inversión en protección de activos de información. Ahí es donde aparece la palabra mágica, inversión, y una inversión necesita una justificación sólida de retorno de inversión. Por ende, es importante considerar métricas para medir la eficiencia de los controles de seguridad de información existentes o por implementar. Veamos.

Perspectiva de la gerencia

Un gerente general, director ejecutivo o CEO, tiene la labor de tomar decisiones difíciles a favor de la organización, varias de ellas son las relacionadas con la disciplina de seguridad de la información. Entonces, preguntémonos ¿A ellos les interesa el número de vulnerabilidades existentes en todas los sistemas de la empresa? o ¿Debería estar más interesado en saber que tanto representa en términos monetarios estas vulnerabilidades? Lo mencionado tiene relevancia cuando los gerentes tienen información puntual y confiable de la exposición monetaria que se representan los controles inadecuados y escasos de seguridad de la información.

¿Por donde empezar?

La empresa deberá implementar un proceso de gestión de riesgos, el cual comprende la evaluación de riesgos, implementación de políticas y controles, promover la concienciación y cultura de seguridad, y finalmente el monitoreo y evaluación. El apoyo de principios básicos parten de ISO 27005, sin embargo es importante conocer las metodología del mercado para seleccionar la más adecuada en la organización. El objetivo de todas las metodologías es la misma: reducir la probabilidad de riesgos a un nivel aceptable. El tema es cuando nacen controles muy costosos para reducir un riesgo, y ello necesita mayor información para su justificación.

¿Cuáles son las limitaciones?

Las limitaciones para evaluar la exposición al riesgo puede ser difícil, debido a que las causas están en constante cambio, y la cuantificación tanto de la probabilidad y del impacto suelen ser complejos y limitados porque los datos no son visibles fácilmente. Por ejemplo, ¿Qué tan fácil es determinar el costo relacionado a la pérdida de confianza del cliente? Si hay fuga de información ¿Qué tan fácil es cuantificar el impacto en los procesos del negocio?. Estas preguntas son necesarias responderlas para definir y medir la efectividad de los controles de seguridad y evaluar el nivel de riesgo aceptable que justifique la inversión realizada por implementar los controles de seguridad.

Consejo audit

Las métricas son un apoyo para el cálculo de retorno de inversión, al mencionar apoyo, nos referimos que es una parte de todo un proceso de cálculo de retorno de inversión, debido a que nos muestra cuanto se logra gastar para llegar al nivel de seguridad deseado. En audit nos apoyamos de nuestra herramienta aValue para reforzar el seguimiento de sus controles de seguridad y todo su flujo de gestión de riesgos.

Fuentes:
  • Teresa Pereira, Henrique Santos, (2014) Security Metrics to Evaluate Organizational IT Security