A la hora de evaluar el rendimiento de la ciberseguridad, la verdad reside en las cifras. Aquí tienes los KPI esenciales que debes medir, supervisar y mejorar para garantizar operaciones cibernéticas altamente efectivas.

Los KPI y las métricas son indispensables para evaluar la eficacia de las ciberdefensas empresariales. Estas herramientas cruciales ofrecen información sobre las vulnerabilidades del sistema, los patrones de amenazas y la eficiencia de la respuesta a incidentes. En una época de creciente dependencia digital, los KPI y las métricas desempeñan un papel vital en la toma de decisiones de seguridad , garantizando la preparación empresarial frente a las ciberamenazas en constante evolución.

Lamentablemente, al implementar KPI y métricas de ciberseguridad, es fácil perderse en la interminable cantidad de información e indicadores populares. Afortunadamente, solo unos pocos destacan como esenciales para cualquier estrategia de ciberseguridad. A continuación, presentamos algunos de los mejores.

1. Tiempo medio de detección

El tiempo medio de detección (MTD) es una métrica crucial que refleja la capacidad de una organización para identificar y abordar rápidamente incidentes potenciales, minimizando en última instancia el daño potencial, dice Mehdi Houdaigui , líder estadounidense en ciberseguridad y transformación de la firma de consultoría empresarial Deloitte.

Un MTD bajo indica que su organización de seguridad detecta rápidamente amenazas potenciales, lo que reduce la ventana de oportunidad para que los atacantes dañen la organización, afirma Houdaigui. Y con la rápida reducción de los tiempos de ataque , mantener un MTD bajo será cada vez más importante.

Aun así, Houdaigui afirma que el MTD es solo una de las muchas métricas que las organizaciones encontrarán útiles. «Es importante que las organizaciones se centren en lo que más importa y es estratégico para su negocio», afirma.

2. Ciberresiliencia

La resiliencia cibernética es la medida real de si su programa de seguridad está haciendo su trabajo, afirma John Wheeler, CSO de la firma de servicios profesionales Cognizant.

“Al final, no se trata de cuántas amenazas bloquees —lo cual sin duda importa—, sino de la rapidez y eficacia con la que te recuperas cuando algo se impone, lo cual eventualmente ocurrirá”, observa. “La resiliencia significa que tu negocio sigue funcionando, tus clientes mantienen la confianza y que un mal día no se convierte en una crisis”.

Ningún sistema es completamente infalible. "Incluso las mejores defensas pueden ser vulneradas", afirma Wheeler. Lo que distingue a las organizaciones exitosas de las que se desploman es la rapidez con la que responden y se recuperan. "Si se recupera en horas, es un dolor de cabeza. Si tarda semanas, es un desastre", señala. "La resiliencia marca la diferencia entre un problema temporal y un daño permanente, para su negocio, su reputación y la confianza de sus clientes".

3. Visibilidad de la red, el sistema y los puntos finales

No se puede arreglar lo que no se ve o no se conoce. "Si no se tiene visibilidad de la seguridad de los endpoints, no se podrá detectar cuándo alguno de ellos está comprometido", afirma Sandra McLeod, CISO interina de Zoom. "Si se tiene una cobertura completa de los entornos de producción, pero se carece de controles de seguridad y visibilidad de los entornos de desarrollo, es posible que se esté careciendo de protección crítica para el código y los procesos de compilación".

Las brechas de visibilidad crean oportunidades para los atacantes y puntos ciegos para los defensores.

Uno de los errores más comunes que cometen las organizaciones es no implementar los KPI y las métricas, observa McLeod, lo que significa que se les da seguimiento, pero no se integran en las decisiones empresariales diarias. Otra trampa, advierte, es desarrollar una falsa sensación de seguridad basada únicamente en el rendimiento de los KPI. Que las cifras sean buenas no significa que la organización esté completamente segura. "Es importante preguntarse: ¿Qué no nos muestran estas métricas?"

4. Métrica de pregunta de objetivo (GQM)

Richard Caralli, asesor senior de ciberseguridad en Axio, un proveedor de software de gestión cibernética basado en SaaS, sugiere utilizar el enfoque estructurado proporcionado por la métrica de pregunta de objetivo (GQM) para ayudar a contar su historia de valor cibernético .

“Esta métrica puede ayudar a las organizaciones a centrarse en la mejora de los procesos de ciberseguridad mediante la adopción de métodos tradicionales de mejora de procesos de software”, afirma. “GQM es especialmente útil para apoyar las necesidades de gobernanza, ya que puede ayudar a la alta dirección y a las juntas directivas a desarrollar métricas significativas que indiquen la eficacia del programa”.

Por ejemplo, una junta directiva podría preguntar: "¿Estamos remediando las vulnerabilidades conocidas de manera oportuna?" Algunos CISO podrían responder a esa pregunta afirmando que existe un programa, una política y procesos de apoyo para la gestión de vulnerabilidades, pero eso no necesariamente responde a la pregunta, dice Caralli.

“En un enfoque GQM, se pueden establecer una o más métricas para responder a esta pregunta y proporcionar información de tendencias que demuestre la competencia a lo largo del tiempo”, afirma.

5. Tasa de evitación de costes

La efectividad de un programa de ciberseguridad se puede evaluar de manera efectiva utilizando la tasa de evitación de costos (CAR), una medida comparativa de los costos asociados con la prevención, detección y respuesta a incidentes versus las pérdidas potenciales incurridas por no hacerlo , dice Tim Lawless, arquitecto de software maestro e ingeniero de remediación de vulnerabilidades en el Cybersecurity Manufacturing Innovation Institute.

Las métricas que miden la capacidad de una organización para detectar, responder y recuperarse de incidentes pueden tener un impacto directo en el costo total y la interrupción causada por dichos eventos, afirma Lawless. Estos gastos incluyen costos de contención, esfuerzos de recuperación y costos de oportunidad derivados del tiempo de inactividad operativa. «Un CAR más alto refleja una postura de ciberseguridad más efectiva, lo que demuestra que las inversiones proactivas en capacidades de respuesta a incidentes minimizan con éxito los daños potenciales y maximizan la resiliencia organizacional».

6. Tiempo medio entre fallos

En cualquier negocio, pero especialmente en el financiero, la confiabilidad es fundamental, afirma Jason Pack, director de ingresos de la firma de préstamos Freedom Debt Relief, una empresa de servicios de alivio de deudas. Por eso, el tiempo medio entre fallos (MTBF) se ha convertido en una métrica esencial para evaluar la ciberseguridad.

“Los clientes y el mercado dependen del acceso constante a servicios como la banca en línea, el procesamiento de pagos y las plataformas de comercio”, observa Pack. “Un MTBF alto indica que estos sistemas son lo suficientemente estables y confiables como para que la gente confíe en ellos”.

El MTBF proporciona una imagen clara del rendimiento real de una infraestructura y su probable resiliencia ante interrupciones, ya sean problemas técnicos simples o amenazas de seguridad, afirma Pack. «Seguir de cerca el MTBF puede ayudar a anticiparse a los riesgos operativos, algo que sin duda es una prioridad para los reguladores».

Con MTBF, es posible anticipar posibles problemas, programar el mantenimiento con mayor eficacia y, en definitiva, mantener la profunda confianza del cliente que sustenta las industrias sensibles, afirma Pack. "En definitiva, menos fallos del sistema se traducen en tiempos de inactividad menos costosos, operaciones más fluidas para todos y una mayor confianza en la fiabilidad de los servicios".

#TKSteProtege

• Fuente: CSO.