Qué deben tener en cuenta los CISOs en las métricas de seguridad de la información

La semana pasada fue publicado por OWASP el documento Application Security, Guide for CISOs [PDF] que contiene una serie de lineamientos para los encargados de la seguridad en las empresas. Uno de los puntos tratados dentro de esta guía para CISOs tiene que ver con algunas recomendaciones sobre que se debe medir dentro de una empresa en materia de seguridad de la información.

Cuando se realizan inversiones en materia de seguridad, puntualmente en seguridad informática, se vuelve complejo justificar este tipo de gastos ante una junta directiva y más si se deben medir los efectos de estos nuevos controles implementados para que no sean vistos como un gasto realizado para el cumplimiento de una normativa.

Además para que los planes de seguridad de la información tengan un nivel alto de aceptación es importante demostrar que son eficaces y que tienen un verdadero impacto en la reducción del riesgo en el negocio.

En resumen, dentro de las métricas el CISO de la empresa debe asegurarse de tener información para gestionar los procesos y las tecnologías que componen el programa de seguridad. Basados en la información de la guía de OWASP se pueden definir al menos tres categorías para cubrir los factores mencionados:

Métricas de procesos de seguridad: El objetivo de las métricas de procesos es determinar qué tan bien los procesos de seguridad en la organización cumplen con los requisitos definidos por las políticas de seguridad y las normas técnicas seguidas por la empresa.
Métricas de riesgos de seguridad: Como parte de las métricas es muy importante conocer la eficacia de las medidas tanto preventivas como correctivas que se implementan en la empresa como parte de la gestión de la seguridad. Por ejemplo, tener medidos los tiempos de respuesta a incidentes productos las pruebas de los Planes de Continuidad del Negocio. También tener un inventario de los problemas de seguridad que han sido explotados y relacionarlos con los análisis de vulnerabilidad realizados y las acciones correctivas implementadas, de esta forma se puede conocer la eficacia de las medidas de control.
Seguridad en el ciclo de vida de desarrollo de las aplicaciones: Un aspecto a menudo descuidado es el gasto en seguridad que se hace sobre las aplicaciones antes de que salgan a producción. En este sentido si se hiciera inversión en pruebas para determinar la seguridad de las aplicaciones, los costos de las correcciones serían menores a hacerlo cuando ya están en producción. Algo que puede sonar tan obvio muchas veces no es aplicado buscando la agilidad en los procesos de desarrollo. En este sentido tener un control sobre el cumplimiento de los tiempos de desarrollo, puede ayudar a que no se limiten los tiempos de prueba con el propósito de cumplir con la implementación.

Es muy importante que las actividades dentro de la gestión de la seguridad sean medidas utilizando parámetros enfocados en la toma de decisiones. De esta forma se pueden tener las señales adecuadas que permitan monitorear la gestión y así asegurar que las actividades se cumplan correctamente, logrando evaluar los resultados de la gestión frente a los objetivos planteados. Es así como las métricas, sean cuantitativas o cualitativas deben ser la herramienta que permita obtener datos sobre procesos a través de los cuales se pueda conocer la evolución de los programas de seguridad para lograr tomar las medidas de mejora a tiempo.

Fuente: Laboratorio de ESET