12 métricas clave de ciberseguridad y KPI que las empresas deben seguir

Por qué es importante realizar un seguimiento de las métricas de ciberseguridad

Comprender la exposición de una empresa a los riesgos de seguridad es la razón principal para realizar un seguimiento continuo de las métricas de ciberseguridad. Al hacerlo, se proporciona una visión histórica de los eventos de seguridad que han ocurrido y dónde ocurrieron en las redes y sistemas de TI, así como información actualizada sobre la eficacia con la que funcionan las herramientas, los procesos y los equipos de seguridad.

Las métricas de monitoreo también permiten a los equipos de seguridad comprender mejor dónde los actores de amenazas intentan actualmente obtener acceso a la infraestructura de TI. Este conocimiento ayuda a los equipos a priorizar dónde se deben tomar medidas contra los ataques en curso y a implementar una combinación de herramientas y procesos que pueden detener ciberamenazas inminentes antes de que afecten a una organización.

Finalmente, las métricas y los KPI son excelentes herramientas para establecer objetivos futuros y planificar cómo mejorar el rendimiento de la seguridad. Por ejemplo, los gerentes de seguridad pueden usar informes diarios o semanales que contienen varias métricas para ayudar a sus equipos a estar más preparados para los ataques cibernéticos, o para tener más ojos en las amenazas y partes vulnerables de la infraestructura cuando sea necesario.

Teniendo esto en cuenta, aquí hay 12 métricas de ciberseguridad que las empresas deberían seguir.

1. Intentos de intrusión detectados

A primera vista, los intentos de intrusión detectados pueden no parecer una de las estadísticas de seguridad de TI más importantes. Sin embargo, sí presenta un panorama amplio del número total de amenazas que enfrenta una empresa. Un problema con la seguridad de TI es que cuando los mecanismos de prevención de amenazas funcionan y ocurren pocos incidentes, los líderes empresariales tienden a asumir que la organización ya no es un objetivo. Compartir datos que demuestren lo contrario es una buena manera de demostrar que las amenazas a la ciberseguridad siguen existiendo y, en la mayoría de los casos, crecen todo el tiempo.

2. Número de incidentes de seguridad

Un aspecto clave de la gestión de la seguridad de TI es monitorear si los cambios en las herramientas y procesos resultan en mejoras. Una gran parte del presupuesto de TI suele gastarse en ciberseguridad, por lo que las métricas que se rastrean deben indicar que el dinero se está utilizando de manera inteligente. La recopilación de datos sobre la cantidad y la tasa de incidentes de seguridad durante períodos específicos puede ayudar a los CISO y otros líderes de ciberseguridad a asegurarse de que las defensas implementadas tengan un impacto positivo en la protección de los activos digitales de una organización.

3. Niveles de gravedad del incidente

Comprender el nivel de gravedad de una intrusión cibernética o un robo de datos ayudará a priorizar las acciones para garantizar que los incidentes que paralicen el negocio no continúen. Esta métrica también se puede utilizar a lo largo del tiempo para ver si las nuevas herramientas de seguridad o los procesos actualizados están reduciendo la cantidad de incidentes de alta gravedad.

4. Tiempos de respuesta a incidentes

La velocidad es de vital importancia cuando se trata de identificar y abordar las ciberamenazas. El seguimiento de los tiempos de respuesta a incidentes permite a los administradores de seguridad ver qué tan efectivos son sus equipos para responder a las alertas y ponerse a trabajar en las amenazas. Con esa información, los gerentes pueden concentrarse en reducir los tiempos de respuesta si no son lo suficientemente rápidos. Además de monitorear las respuestas a amenazas individuales, el tiempo medio de respuesta (MTTR) comúnmente se calcula como un promedio. El tiempo medio de detección, o MTTD, es un promedio relacionado para identificar ataques y otras amenazas.

5. Tiempos de remediación de incidentes

Responder rápidamente a un incidente de ciberseguridad es sólo la mitad de la historia. La otra mitad se relaciona con la velocidad a la que el malware u otra amenaza identificada puede aislarse, ponerse en cuarentena y eliminarse por completo de los equipos de TI. Algunos profesionales de la seguridad utilizan alternativamente MTTR en este contexto, como tiempo medio para remediar. Si los tiempos de remediación se retrasan, es una señal clara de que se deben realizar cambios en un programa de seguridad.

6. Número de falsos positivos y negativos

El campo de la ciberseguridad se basa en varias herramientas que automatizan la identificación de malware o comportamientos sospechosos y alertan a los equipos de seguridad sobre amenazas. Sin embargo, estas herramientas requieren ajustes y mantenimiento regular para evitar que marquen por error anomalías que podrían parecer una amenaza pero que son benignas, o que pasen por alto incidentes de seguridad reales. El seguimiento de los falsos positivos y negativos ayuda a los equipos a determinar si las herramientas se han configurado y ajustado correctamente.

7. Tiempos de respuesta de los parches de vulnerabilidad

Es bien sabido que una de las mejores formas de proteger el software crítico para el negocio es parchar los sistemas operativos y las aplicaciones tan pronto como los proveedores dispongan de correcciones de errores. El seguimiento de la rapidez con la que los equipos de ciberseguridad instalan parches de software muestra la eficacia de esta práctica crítica para evitar riesgos.

8. Resultados de la evaluación de vulnerabilidad

Las herramientas de escaneo de vulnerabilidades ejecutan pruebas en sistemas de TI y dispositivos de usuario para ver si están parchados contra vulnerabilidades conocidas e identificar otros posibles problemas de seguridad. Los resultados de la evaluación generados por los escaneos incluyen listas de vulnerabilidades nuevas y aún abiertas, calificaciones de riesgo, índices de aprobación/rechazo de vulnerabilidad y otros puntos de datos. Esta información se puede utilizar junto con la métrica sobre los tiempos de respuesta de los parches para identificar si se debe asignar más recursos para garantizar que los esfuerzos de gestión de vulnerabilidades cumplan los objetivos.

9. Niveles de acceso a datos y aplicaciones del usuario final

Los líderes empresariales podrían asumir que las amenazas a la ciberseguridad provienen en gran medida de fuera de la organización. Sin embargo, en algunas empresas, las métricas de ciberseguridad de los usuarios internos muestran que las amenazas internas son un problema mucho mayor. La recopilación y el análisis de información sobre privilegios de acceso y acceso a aplicaciones y datos por parte de los empleados puede resaltar problemas de seguridad interna, así como cambios necesarios en los controles de acceso de los usuarios.

10. Volumen total de datos generados

Si bien no es estrictamente una métrica de seguridad, el seguimiento de la cantidad de datos que se generan y envían a través de la red corporativa puede ser de gran valor para identificar amenazas potenciales y determinar qué tan bien se escalarán las herramientas y procesos de seguridad. Los cambios en los volúmenes de tráfico, ya sean graduales o abruptos, pueden indicar intrusiones de malware u otros tipos de ciberataques. Esta métrica también puede ayudar a justificar la necesidad de medidas de seguridad nuevas o mejoradas. Ayudará a hacer comprender –y correctamente– la noción de que a medida que aumenta el uso de la red, también debería hacerlo la cantidad de dinero asignada para proteger la red y los sistemas de TI.

11. Número de auditorías, evaluaciones y pruebas de penetración

La "limpieza" de ciberseguridad implica una serie de auditorías, evaluaciones, pruebas de penetración y otras comprobaciones realizadas para garantizar que los procesos y herramientas de seguridad funcionen como se espera. Sin embargo, es bastante común que los equipos de seguridad de TI estén tan sobrecargados con las tareas diarias que estos importantes procedimientos se retrasen o se olviden. El seguimiento de su frecuencia proporciona visibilidad de este aspecto de la ciberseguridad para que los administradores de seguridad puedan asegurarse de que no se quede en el camino.

12. Puntos de referencia de seguridad frente a organizaciones similares

Varias herramientas de análisis de seguridad basadas en la nube brindan la capacidad de comparar métricas de ciberseguridad anónimas con las de otras organizaciones de la misma industria. En cierto sentido, esta es una "métrica de comparación de métricas". Esta evaluación comparativa ayuda a identificar si el equipo de seguridad de TI va por buen camino o necesita un reinicio en comparación con sus pares de la industria.

Cómo gestionar el proceso de seguimiento de métricas de ciberseguridad

Obtener visibilidad de las métricas y KPI críticos de ciberseguridad no ayuda a una organización si los equipos de seguridad no entienden cómo usarlos para cumplir objetivos estratégicos. Aquí es donde entran en juego las prácticas de gestión eficaces. Para lograr los resultados de ciberseguridad deseados utilizando puntos de datos históricos y en tiempo real relevantes, adopte las siguientes prácticas de mejora:

• Defina sus objetivos y luego averigüe qué métricas le ayudarán a identificar el progreso. Con demasiada frecuencia, los líderes de seguridad de TI se centran en métricas y KPI individuales en lugar de en los objetivos que desean alcanzar. Esto conduce a situaciones en las que tienen buenos datos frente a ellos, pero no se logra nada porque no se han establecido objetivos. En lugar de eso, primero cree objetivos útiles y viables. Una vez establecidos, se pueden seleccionar las diversas métricas y KPI que mejor rastrean el éxito o el fracaso de esos objetivos.
• Cree un panel para tener en cuenta las métricas y los KPI. Combinar objetivos de ciberseguridad bien definidos con formas de medir con precisión el éxito sirve de poco si solo los gerentes de seguridad realizan un seguimiento de las métricas. En lugar de ello, asegúrese de que sea un esfuerzo de equipo. Desarrollar un panel de métricas y KPI que todo el equipo de seguridad pueda usar para monitorear el progreso ayudará a mantener a todos involucrados e informados.
• Esté preparado para perfeccionar o cambiar objetivos, métricas y KPI. No piense que una vez que los objetivos, métricas y KPI de ciberseguridad están inicialmente fijados, nunca podrán cambiar. En lugar de ello, asuma que será necesario ajustar todo con el tiempo porque los requisitos del negocio y las herramientas de seguridad, los procesos y el personal necesarios para cumplirlos sin duda cambiarán. El objetivo de este ejercicio es utilizar datos relevantes para mejorar las protecciones de ciberseguridad. Comprender que la evolución y los pivotes del negocio afectarán lo que es estratégicamente importante debería guiar el proceso de creación de objetivos y elección de métricas y KPI adecuados para realizar un seguimiento.

Andrew Froehlich es el fundador de InfraMomentum, una firma de análisis e investigación de TI empresarial, y presidente de West Gate Networks, una empresa de consultoría de TI. Ha estado involucrado en TI empresarial durante más de 20 años.