Métricas que importan: una guía para mejorar los informes de seguridad

Métricas que importan: una guía para mejorar los informes de seguridad

Las métricas son vitales para que los líderes de seguridad realicen un seguimiento del progreso de los programas de seguridad y mantengan conversaciones efectivas y centradas en el riesgo con las partes interesadas del negocio y las operaciones. Pero, ¿crees que pasan por alto tus informes?

Dado que se espera que las funciones de seguridad actuales planifiquen y rastreen las contribuciones comerciales para permitir una alineación estratégica que gane y retenga clientes, las métricas de seguridad deberían ayudar a demostrar al liderazgo empresarial que el programa de seguridad implementado es eficaz e instrumental para las operaciones. Si los líderes empresariales ignoran tus métricas, es hora de modificar los informes para que estas cifras sean más significativas y demuestren valor para el negocio en general.

Para garantizar que las métricas de seguridad de la información existentes se alinean con el panorama técnico actual y el entorno de amenazas, considera los siguientes principios:

Revisa la categorización de métricas para una mayor exhaustividad

Es decir, examina la categorización funcional actual para una mayor exhaustividad y alineación del marco considerando los requisitos de seguridad y cumplimiento con las mejores prácticas regulatorias, legislativas y de la industria vigentes. Considera las métricas relativas al marco elegido para la gestión de la seguridad.

Revisa las métricas individuales para una representación holística del riesgo

Toma atributos adecuados como la eficiencia, el tiempo, el costo y la madurez del proceso. Este paso ayudaría a las partes interesadas a comprender la exposición al riesgo específico y medir cuantificablemente cada métrica de seguridad. Para obtener información significativa, cada métrica debe tener una unidad de medida adecuada.

Revisa el ciclo de vida de las métricas de seguridad

Sería bueno verificar su relevancia continua al menos una vez al año. En áreas donde las métricas han tenido éxito en impulsar la madurez, se deben hacer recomendaciones para modificar las métricas o mejorar los umbrales. Determina si las métricas deben modificarse según el cambio en la madurez general, los cambios en las tecnologías, las amenazas, los riesgos y / o las regulaciones.

Revisa las métricas de contexto, confiabilidad y credibilidad

Utiliza métricas para proporcionar el contexto, la confiabilidad y la credibilidad necesarios al examinar la disponibilidad de datos de respaldo y notas explicativas cuando sea necesario.

Revisa la orientación a la acción de las métricas

Interpreta los conocimientos para ayudar a proporcionar recomendaciones prácticas, no solo los números. Si las acciones requeridas no se hacen explícitas, la presentación de informes no cumplirá su propósito. Asegúrate de que las métricas proporcionan información adecuada para ayudar al público objetivo a tomar decisiones relevantes.

Una vez que tengas las métricas de seguridad adecuadas, la comunicación y la presentación son vitales desde la perspectiva de los informes de métricas de seguridad. Al mejorar las métricas de seguridad existentes, utiliza la comunicación que informe a las partes interesadas sobre los riesgos clave; proporciona seguridad en torno al riesgo; fortalece las discusiones sobre el riesgo; argumenta a favor de la financiación; y, en general, satisface las expectativas de diferentes funciones para medir resultados.

La presentación de las métricas de seguridad debe ser clara, concisa y coincidir con el alcance y las necesidades de la audiencia. Pueden presentarse a la junta directiva, CEO, CISO y CRO.

Para concluir, primero determina el nivel de detalle apropiado según el rol (función) y el nivel. El contenido, los formatos y los estilos de presentación deben determinarse para comunicarse de manera efectiva según el rol (función) y el nivel de la audiencia. Por ejemplo, una presentación al equipo de seguridad de la información (o equivalente) podría ser muy detallada, con datos tomados de archivos de registro y centrados en cuestiones técnicas. Una presentación para ejecutivos debe enfocarse en cubrir las actividades de cumplimiento, los éxitos del proyecto y los riesgos comerciales clave.

En segundo lugar, selecciona el formato de presentación adecuado. Dependiendo del mensaje que quieras transmitir y el nivel de detalle de la presentación, se deben seleccionar uno o más formatos a continuación para requisitos específicos de informes. Cuando el requisito es transmitir un gran volumen de información en un formato claro y fácilmente comprensible, se debe utilizar un método no basado en texto. Éstos permiten una comprensión rápida y proporcionan una visión equilibrada y de alto nivel.

Utiliza paneles para comunicar su historia y los puntos principales. Los paneles presentan una gran cantidad de datos de forma rápida y concisa, mientras que los gráficos pueden presentar tendencias y pronósticos. Los dashboards de redborder proporciona al usuario una forma totalmente personalizable de crear paneles. Dentro de estos paneles se puede agregar información proveniente de cualquiera de los sensores conectados al sistema, incluidas combinaciones de todas las métricas y datos disponibles, información de tráfico, estado de los sensores e infraestructura, dominios, eventos de seguridad, etc.

En resumen, las métricas de seguridad deben proporcionar contexto y motivación para los esfuerzos de seguridad de la información, aumentar la credibilidad y la comprensión de los riesgos y esfuerzos de seguridad de la información, crear un llamado a la acción claro para la corrección de riesgos, proporcionar garantía de cumplimiento y respaldar constantemente la toma de decisiones e influir en la seguridad. decisiones estratégicas. Si se utilizan correctamente, pueden crear una estrategia de seguridad más eficaz en todas las organizaciones e industrias.