Si no lo mides.... no lo mejoras - to protect and serve

Una de las cosas más difíciles en seguridad de información es mostrar que tan seguro estás, que tan bien haces tu chamba como administración de la seguridad.

Precisamente por eso es importante siempre tener un esquema de medición basado en indicadores de performance e indicadores meta



No seré demasiado teórico y procuraré entrar a la práctica. Sólo antes quisiera aclarar conceptos básicos:
- KPI: key performance indicator (que tan bien vas)
- KGI: key goal indicator (que lograste)

Existe mucha confusión en como usar esta nomenclatura en los indicadores así que nos limitaremos a llamarlos como tal y los usaremos como KPIs o KGIs dependiendo de la situación. Lo importante es medirlos y que sean útiles, no tanto como los denominemos

El proceso básico de gestión de indicadores en lenguaje coloquial es el que todos conocemos:

Gestión estratégica
- Qué quiero lograr
- A donde quiero llegar
- Cómo puedo medir eso

Comunicación, ejecución y mejora
- Cómo voy hacia dicho logro
- Lo logre?
- Que, cuando y cómo tengo que mejorar
- Ahora sí ya lo logré

Redefinición de estrategia
- Ok, ahora que sigue?

Algo básico para definir indicadores útiles es usar el ya conocido esquema SMART
S: Specific (libres de ambigüedad, que no te confundas al interpretarlos, que midan algo específico, no subjetividades de subjetividades)
M:Mesurable (que se puedan medir)
A:Achievable (que se puedan alcanzar, indicadores soñadores sólo sirven para eso, par asoñar)
R:Relevant (que realmente sean importantes y por si mismos te expliquen lo que quieres medir)
T: Time Framed (que se puedan medir y comparar en el tiempo)

Una sugerencia más antes de ver ejempos
Traten de jerarquizar lo que quieren medir
Vayan de lo que el negocio quiere ver, luego lo que los clientes quieren ver, luego lo que el CIO y depto de sistemas quiere ver, y luego lo que los responsables de seguridad quieren ver
Debe existir relación y "cascadeo" para asegurar alineación de necesidades y requerimientos.
Nunca está de más tener un tablero de control para hacerle la vida más facil a quienes reciban l ainformación

Una vez dicho lo anterior, aquí algunos ejemplos:

% De covertura de seguridad



Un indicador que te permite saber que tan controlado y cubierto estás contra las principales amenazas a través de los controles básicos o baseline

Se calcula haciendo escaneos de los dispositvos en la empresa y se comparan contra los logs de los antivirus, antispam, firewalls, etc. Y así se aclara que porcentaje de ellos están protegidos

La desventaja: no te dice que tan bien protegido estás

Compliance de Parches

El tradicional indicador que mediante un escaneo te permite saber cuales equipos no tienen la última versión de parches actualizada y también cuanto tiempo tardan los parches en ser implementados (distribuido en su criticidad)

Aquí es importante hacer variaciones de manera que se adapten a sus necesidades. Por ejemplo, se puede sólo reportar: equipos que les faltan más de 2 parches críticos (no instalados en más de 2 semanas) o parches que tienen más de 2 veces el tiempo máximo permitido para instalarse

Compliance de plataforma instalada

A través de herramientas verificas periódicamente la configuración de tus items de seguridad. Puede extenrese a switches, firewalls e incluso equipos de cómputo
Similar a un scanning de langard pero hecho para configuraciones estándar (hardening style)

De esta manera puedes saber por ejemplo cuantos servidores no cumplen lo establecido en la imagen estándar.

Información detallada te permitiría saber que switches no tienen password, o que puertos no están cerrados, que servicios de sistema operativo innecesarios están arriba, etc etc

Podrías incluso tener calificaciones para poder tener un número(KPI) o podrías obtener %s

Desviaciones a políicas de seguridad

Documentar y medir las ocasiones en que se han violado las políticas de seguridad (al menos las que conoces).
Estas desviaciones pueden ser obtenidas en auditorías o en reportes/incidentes

Reportes de desviaciones de seguridad de usuario

Este indicador consiste en medir que tanto los empleados te notifican sobre temas de seguridad.

Este indicador a veces es mejor mientras más alto es porque quiere decir que la gente está consciente de su responsabilidad con respecto a la seguridad de información

Si después de varios años sigues teniendo niveles altos, perocúpate entonces...

Ataque que atentan a la seguridad de la empresa

Aquí dependiendo de lo que necesites medir pueden haber variables.

Por ejemplo: para los clientes o stakeholders quizá es más importante tener la cuenta de los ataques que afectaron el valor de la empresa (defacements, virus, robo de información, etc que fueron existosos desde el punto del atacante)

Para los responsables de seguridad talvez sería también importante medir el número de ataques en total e incluso a nivel análisis, el tipo de los mismos, su resultado, vulnerabiliad asociada, etc

Usuarios Peligrosos

Esta medición puede más bien ser como un reporte donde vez el top 50 de usuarios que generan más alertas o logs de seguridad (del antivirus, del antispam, de ids, de Active Directory, correo electrónico, etc)con la finalidad de investigar con más detalle.

recordemos que normalmente hay personas que pueden ser focos de seguridad y que mitigando sus vulnerabiliades o conociendo que es lo que realmente pasa podemos reducir considerablemente nuestros riesgos

ALE

Annual Loss Expentancy
Este indicador me parece un poco complejo e incierto. Sin embargo muchas empresas lo utilizan para mostrar cuanto se podría perder durante el año por temas de seguridad de información


Costo de riesgos materializados

El problema de este indicador es que es post-mortem
Una vez efectivo un ataque es importante cuantificar los daños y reportarlo para que en próximos años se tomen en consideración para inversión

de manera similar este indicador puede ayudar a los especialistas a saber que tanto valor no pudieron proteger correctamente para la empresa

Madurez

Para medir procesos de gestión de seguridad se puede medir la madurez del mismo usando frameworks como COBIT o ISO 27001. Con esto puedes tener puntos de referencia para saber como estás con respecto a normas
De manera adicional también se puede crear un modelo de madurez interno aunque esto no es recomendable para poder realizar benchmark

Último comment
No hay una fórmula secreta. Pero seguro hay indicadores que todos podríamos usar para mejorar la transparencia y control. Lo primero siempre será saber que es lo que más queremos medir, una vez controlado esto prosigan con otros tópicos
No traten de comerse al mundo, porque seguro se los va a comer primero a ustedes

Happy measuring