¿Cómo usar KPIs para generar resultados en la Ciberseguridad?
Obtener inversiones de los líderes empresariales para crear un programa maduro de ciberseguridad y financiar iniciativas es un imperativo para el éxito en la mitigación de riesgos empresariales. Con frecuencia, las organizaciones de seguridad y TI luchan por captar la atención de los ejecutivos necesarios para avanzar en sus prioridades y desarrollar incluso capacidades básicas de ciberseguridad.
Año tras año, las iniciativas importantes pierden prioridad frente a otras iniciativas empresariales, lo que empuja la adopción de tecnologías importantes o la financiación de personal para gestionar procesos críticos. El resultado es una organización con una exposición cada vez mayor a riesgos y desafíos de ciberseguridad no deseados. Las capacidades fundamentales para operaciones de seguridad efectivas que mejoran la visibilidad con herramientas como la nuestra, se consideran demasiado costosas.
¿Qué estrategias puede usar el personal de ciberseguridad para reducir el ruido de las iniciativas comerciales de la competencia y obtener el enfoque y la inversión que necesitan para lograr sus objetivos? ¿O bien para financiar adecuadamente la adopción de una nueva tecnología o capacidad?
Una forma es crear un sistema de informes que hable el lenguaje ejecutivo y resuma la tecnología difícil de entender en conceptos comerciales: riesgo, recompensa, objetivos de rendimiento, métricas y éxito. El simple hecho de establecer cuáles son las prioridades básicas de un programa ciber y luego informar formalmente sobre los indicadores clave de rendimiento de manera regular puede tener un impacto profundo. Lo que una organización elige para prestar atención crece naturalmente.
Lo que se informa puede variar de una organización a otra, según el entorno operativo, el tipo de datos transmitidos y almacenados, y los estándares normativos y de cumplimiento en juego, por nombrar algunos. Un básico a tener en cuenta debe ser la simplicidad; demasiados puntos de datos crean ruido e inacción. Como mínimo, muchas organizaciones considerarán la superficie de ataque, las vulnerabilidades y exposiciones, los incidentes y la capacitación de los empleados como un buen punto de partida.
Gestión de activos
La gestión de activos es el núcleo de cada programa. Es imposible proteger lo que no se conoce o no ve. Sin embargo, la mayoría de las organizaciones no logran tener una comprensión completa de su huella de TI básica. Cada pieza de hardware y software en propiedad de una organización debe ser contabilizada y cada conexión a sus redes e infraestructura desde los sistemas auxiliares debe ser monitoreada.
La TI invisible (Shadow IT), el BYOD (Bring Your Own Device) y WFA (Work from Anywhere) han agravado estos desafíos a medida que los endpoints tradicionales se evaporan y el flujo de datos corporativos a través de redes y dispositivos no confiables se ha vuelto cada vez más común. Este complicado trabajo de parches es la superficie de ataque de la corporación. Informar el alcance de esa huella, como mínimo, demuestra conciencia de lo que es importante para la organización.
Sorprendentemente, muchas organizaciones no pueden cuantificar fácilmente cuántos servidores poseen, el tipo de sistemas operativos que ejecutan, la cantidad de estaciones de trabajo y dispositivos móviles que tienen, o incluso dónde se encuentran sus activos en un momento dado. Este conocimiento es fundamental y reportarlo regularmente a los ejecutivos asegura que aprecien el alcance del programa al mismo tiempo que establecen una prioridad para mantener los datos actualizados y constantemente actualizados.
Gestión de vulnerabilidades y parches
Este es quizás uno de los KPI más impactantes, no solo porque es muy importante para proteger a la empresa, sino porque es un objetivo en constante movimiento (la base de datos nacional de vulnerabilidades del NIST cuenta con más de 17 000 CVE presentados solo este año). La mayoría de las filtraciones de datos (más del 90 %) aprovechan la explotación de una vulnerabilidad conocida.
Un programa eficaz de gestión de vulnerabilidades debe incluir la exploración para identificar nuevas vulnerabilidades en su infraestructura de forma regular. Los KPI en torno a esto pueden incluir la cantidad de vulnerabilidades existentes descubiertas en la organización durante el período del informe, la categorización por CVE, la rapidez con que se reparan después del descubrimiento y los gráficos que muestran linealmente la reducción de las vulnerabilidades a lo largo del tiempo.
Incidentes cibernéticos
Es imprescindible un registro de riesgos que rastree cada incidente en la organización, su gravedad, la resolución y las lecciones aprendidas. Por ello, es necesario generar conciencia sobre la cantidad de incidentes, los impactos asociados en el negocio, los esfuerzos para determinar la causa raíz y las mitigaciones.
Muchas organizaciones carecen incluso de un sistema de clasificación fundamental que se entienda bien en toda la empresa. Socializar con los ejecutivos los incidentes del último período de informe refuerza una comprensión compartida de lo que constituye un incidente de Nivel 1 frente a uno de Nivel 4, la respuesta esperada de la organización, a quién se debe notificar, etc. Una revisión de KPI mantiene estos sistemas de clasificación en la mente y también mejora la preparación general de la organización cuando ocurren nuevos incidentes.
Formación de los empleados
Las métricas de desempeño pueden incluir el progreso de las campañas de capacitación y concientización de los empleados, capacitación estructurada (online y presencial), iniciativas que se enfocan en conceptos básicos (como pensar antes de hacer clic o cómo un escritorio limpio es una prioridad en la ciberseguridad) o las lecciones aprendidas de un ejercicio de simulación reciente.
Todos son necesarios temas de discusión con las partes interesadas ejecutivas. Muchas organizaciones se vuelven creativas en esta área, presentando mascotas de seguridad o incluso competencias entre unidades de negocios.
Por dónde empezar
Para las organizaciones que se encuentran en las primeras etapas del proceso de desarrollo de KPI, un buen punto de partida es un dashboard integral.
Este enfoque innovador para la gestión del cambio ayuda a:
– aclarar la visión, la misión y los temas estratégicos
– obtener alineación y aceptación
– romper los silos organizacionales
– definir objetivos clave, iniciativas y métricas de éxito
– informar el contenido del tablero
Este marco puede ser una herramienta valiosa para que un equipo de seguridad organice su estrategia y extraiga medidas simples de éxito.
Cultivar la curiosidad
Quizás el mejor valor de una revisión de KPI es el simple acto de cultivar la curiosidad. Las revisiones de KPI son una oportunidad para que los ejecutivos se cuestionen el qué y el por qué; para indagar más profundamente. Provocar una curiosidad propia crea enfoque, atención y preocupación. Cultivarlo es uno de los poderosos catalizadores que un equipo de seguridad puede usar para madurar el programa de ciberseguridad.
Muchos tecnólogos, enterrados en las complejidades de las soluciones de ingeniería y la protección de bits y bytes, subutilizan esta estrategia simple para mantener sus prioridades en la mente de los líderes empresariales. Nuestro consejo: cultiva la curiosidad, genera preguntas y observa cómo crece la inversión en tus ideas y programas.