¿Qué son las métricas en Seguridad digital?

Los KGI (KEY GOAL INDICATOR) son indicadores de objetivos, es decir, aquellos cuya función principal es confirmar si se ha alcanzado o no un objetivo comercial importante. Es una forma de hacer tangible un concepto que a menudo puede ser demasiado abstracto: el éxito.

No alt text provided for this image

En la práctica, un KGI debe señalar lo que hay que hacer para que un proyecto o sector se considere exitoso. Por lo tanto, no debe ser vago, sino objetivo y fácilmente mensurable.

Lo ideal sería que los indicadores clave de desempeño se expresarán en números o porcentajes. Muestran la forma en que la tecnología de la información contribuye a la misión y los objetivos de la empresa y, por lo tanto, garantizan la alineación entre los niveles operacional y estratégico.

Aunque muchas organizaciones utilizan los términos Indicadores Clave de Desempeño (KPI) e Indicadores Clave de Riesgo (KRI) indistintamente, en realidad son dos herramientas diferentes con propósitos distintos. Echemos un vistazo a lo que son y en qué se diferencian. (Bernard marr, 2019)

Los Indicadores Clave de Rendimiento (KPI) son los indicadores y medidas que una organización utiliza para comprender el rendimiento de los individuos, unidades de negocio, proyectos y empresas en relación con sus objetivos estratégicos.

Indicadores clave de riesgo (KRI)

Los Indicadores Clave de Riesgo (KRI), como su nombre lo indica, miden el riesgo. Los KRI son utilizados por las organizaciones para determinar a cuánto riesgo se exponen o cuán arriesgado es un emprendimiento o actividad en particular. (Bernard marr, 2019)

Los KRIs son una forma de cuantificar y monitorear los mayores riesgos a los que una organización (o actividad) está expuesta. Al medir los riesgos y su posible impacto en el rendimiento empresarial, las organizaciones pueden crear sistemas de alerta temprana que les permiten supervisar, gestionar y mitigar los riesgos clave. (Bernard marr, 2019)

La importancia de la métrica de la seguridad digital

No puedes manejar lo que no puedes medir. Y no puedes medir tu seguridad si no estás rastreando KPIs específicos de ciberseguridad. La evaluación comparativa de la seguridad cibernética es una forma importante de controlar sus esfuerzos de seguridad. Es necesario realizar un seguimiento de la métrica de la ciberseguridad por dos razones importantes.

Al elegir los KPI para medir, la calidad debe ser valorada por encima de la cantidad.

No alt text provided for this image

Cada KPI debe tener un significado a la organización y añadir valor al programa de seguridad. Hay muchos métodos diferentes para evaluar la efectividad de un KPI; aquí usaremos el acrónimo SMART. Cada KPI debe ser:

  • Simple – los KPIs no deberían ser demasiado complicados de medir. Debería estar claro cuál es el propósito de cada KPI es y cómo impacta en el programa de seguridad.
  • Medible – Un KPI debe ser capaz de ser medido de alguna manera, cuantitativa o cualitativamente. El método por el que se mide cada KPI debe estar claramente definido y ser consistente.
  • Actuable – Los KPIs deben ser usados como un conductor para las decisiones. El propósito de un KPI es medir el rendimiento, y si es necesario, tomar alguna acción basada en los resultados. Un KPI que no es accionable sirve de poco a nada propósito.
  • Relevante – Cada KPI debe ser una medida de la función que se está evaluando; Los indicadores clave de desempeño (KPI) que son simples, medibles y procesables, pero no son relevantes para la función que se está evaluando será de poco valor.
  • Basado en el tiempo – Los KPIs pueden y deben ser usados para mostrar los cambios a lo largo del tiempo. Un KPI efectivo debería ser capaz de se recogen y agrupan por varios intervalos de tiempo para mostrar variaciones y patrones.

Ejemplo útiles basados en Dflabs traducido al español.

KPI¿Por qué nos importa?Posibles medidasEvaluación
Número de dispositivos– ¿Cuántos dispositivos están siendo ¿monitoreados? – ¿Está aumentando el número o disminuyendo? ¿Por qué?– Número de dispositivos – Número de dispositivos / analistaCarga de trabajo
El número total de eventos– ¿Cuántos eventos están siendo gestionados? – ¿Está aumentando el número o disminuyendo? ¿Por qué? – ¿Son los niveles actuales de personal ¿Adecuado?-Número de eventos / hora ( / analista) – Número de eventos / día ( / analista)  – Número de eventos / mes ( / analista) – Número de eventos / año ( / analista)  – Número de eventos / tipo de evento– El costo del valor – Riesgos claves  – Carga de trabajo
Número de eventos por dispositivo o huésped– ¿Cuántos eventos se reciben para cada dispositivo o huésped? – ¿Hay ciertos dispositivos o los anfitriones que son más propensos a problemas de seguridad, causando un aumento ¿Riesgo? ¿Por qué? – ¿Hay ciertos dispositivos o los anfitriones que son más ropensos?– Número de eventos por dispositivo o anfitrión / mes   – Número de eventos por dispositivo o anfitrión / año   – Número de eventos / dispositivo o anfitrión   – Número de eventos/operación– Detección – éxito – Riesgos claves
Número de eventos   por  servicio.¿Incremento del riesgo? ¿Por qué? – ¿Hay ciertos servicios o aplicaciones que son más propensos a los falsos positivos? ¿Por qué? – ¿Cuántos eventos son recibido por cuenta? – ¿Hay ciertos servicios o Número de eventos   aplicaciones que son más propensos a problemas de seguridad, causando– Número de eventos / aplicación – Número de eventos / servicio  – Riesgos claves – Detección – exito
Numero de eventos por cuenta– ¿Hay ciertas cuentas (usuarios) que tienen más probabilidades de realizar un comportamiento arriesgado, llevando a los eventos de seguridad y el aumento de ¿Riesgo? ¿Por qué?– Número de eventos / cuenta – Número de eventos / usuario– Riesgos claves  
Número de eventos por ubicaciónpor ubicación geográfica, oficina, etc.? – ¿Son ciertos lugares más propensos a los eventos de seguridad? ¿Por qué?– Número de falsos positivos / hora – Número de falsos positivos / día – Número de falsos positivos / mes – Número de falsos positivos / año – Porcentaje de eventos que son falsos positivos– Detección – éxito
Tiempo de deteccióm– ¿Cuánto tiempo le está tomando a tu organo– para detectar un evento de   seguridad? ¿Es esto aceptable?                                                                         – ¿Hay formas esta vez de la detección puede ser reducida?   ¿Cómo?– Medido en minutos, horas o días…     – Tiempo medio de detección – Tiempo medio de detección / tecnología – Tiempo medio de detección / tipo de   evento     – Valores atípicos– Proceso – Exito

Basado en el artículo original de (upguard 2019) adaptación 12 KPI de seguridad digital para rastrear.

  1. Nivel de preparación: ¿Cuántos dispositivos de su red están totalmente parcheados y actualizados? Los escaneos y la gestión de la vulnerabilidad es uno de los 20 controles de la CIS que pueden reducir el riesgo de explotación de la vulnerabilidad.
  2. Dispositivos no identificados en las redes internas: Los empleados pueden introducir malware y otros riesgos cibernéticos cuando introducen sus propios dispositivos, al igual que los dispositivos de Internet de las cosas (IoT) mal configurados, por lo que los sistemas de detección de intrusos en la red son una parte importante de la seguridad de su organización.  
  3. Intentos de intrusión: ¿Cuántas veces han intentado los malos actores obtener un acceso no autorizado?
  4. Incidentes de seguridad: ¿Cuántas veces un atacante ha violado sus activos de información o sus redes?
  5. Tiempo medio de detección (MTTD): ¿Cuánto tiempo pasan desapercibidas las amenazas a la seguridad? El MTTD mide el tiempo que tarda su equipo en conocer los indicadores de compromiso y otras amenazas a la seguridad. 
  6. Tiempo medio de resolución (MTTR): ¿Cuál es el tiempo medio de respuesta de su equipo para responder a un ataque cibernético una vez que son conscientes de ello? Una gran medida de la calidad de la implementación de su plan de respuesta a incidentes. 
  7. Tiempo medio de contención (MTTC): ¿Cuánto tiempo se tarda en cerrar los vectores de ataque identificados?
  8. Calificación promedio de seguridad de proveedores: El panorama de amenazas para su organización se extiende más allá de sus fronteras y sus métricas de rendimiento de seguridad deben hacer lo mismo.
  9. Aplicación de parches: ¿Cuánto tiempo le lleva a su equipo implementar parches de seguridad o mitigar las vulnerabilidades de alto riesgo de la lista CVE? Los ciberdelincuentes suelen utilizar herramientas de inteligencia de amenazas y aprovechan el tiempo que transcurre entre la publicación de los parches y su implementación.
  10. Gestión de acceso: ¿Cuántos usuarios tienen privilegios administrativos? El control de acceso y el principio del menor privilegio son métodos simples y rentables para reducir los ataques de escalada de privilegios.
  11. Aplicación de parches del proveedor: Esta métrica implica determinar cuántos riesgos tiene su proveedor y cuántas vulnerabilidades críticas están aún por remediar. 

Conclusiones: 

William Thomson Kelvin (Lord Kelvin), físico y matemático británico (1824 – 1907): «Lo que no se define no se puede medir. Lo que no se mide, no se puede mejorar. Lo que no se mejora, se degrada siempre. En Seguridad es lo mismo, necesitamos medir para poder mejorar, un colega tiene una frase “no se puede medir de guata”, aunque suene gracioso, las métricas deben tener sustento y ciencia detrás.

Fuente: https://bernardmarr.com/

Fuente: https://securityscorecard.com/blog/9-cybersecurity-metrics-kpis-to-track

Fuente: https://www.acunetix.com/blog/web-security-zone/7-cybersecurity-kpis-focus/

Fuente: https://www.owasp.org/images/7/77/Magic_Numbers_-_5_KPIs_for_Measuring_WebAppSec_Program_Success_v3.2.pdf

Fuente: https://www.upguard.com/blog/cybersecurity-metrics

Fuente: https://www.dflabs.com/wp-content/uploads/2018/03/KPIs_for_Security_Operations_and_Incident_Response-2.pdf

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios .

A %d blogueros les gusta esto: