Las métricas son una de las herramientas tecnológicas imprescindibles hoy en día en el mundo de la gestión de la seguridad de la información. Sin ellas una organización no puede cuantificar de forma global si está siendo atacada, como está siendo atacada, si tiene un nivel de seguridad aceptable o si se está defendiendo de forma adecuada.
Las métricas recogen un resumen de toda la información interesante que generan las herramientas de seguridad que tenemos desplegadas. Y nos permiten tomar decisiones estratégicas adecuadas.
Si tenemos solo herramientas y no métricas, probablemente no estaremos haciendo un uso eficiente de ellas. Pero tengo una mala noticia, aunque tengamos métricas, probablemente tampoco estemos utilizándolas bien.
Y es que las métricas son muy propensas a la manipulación y a la paradoja del “cuanto peor, mejor”. Lo explicare con un ejemplo:
Muchas organizaciones utilizan como métrica para conocer el estado de seguridad global de su red, el número de vulnerabilidades detectadas en un proceso de análisis de seguridad que realizan de forma periódica. A groso modo, si tengo más vulnerabilidades, estoy peor, si tengo menos, estoy mejor.
Si quiero mejorar mi estado de seguridad, tengo 2 opciones, corregir el mayor número de vulnerabilidades posibles o realizar un análisis de seguridad menos exigente la próxima vez. Curiosamente esta segunda solución es mucho más barata.
Si cada año contrato a una consultora peor, o utilizo una herramienta de análisis menos completa. Cada vez detectare un menor número de vulnerabilidades. ¡Me estaré gastando menos dinero y además mejorare mis métricas!
Esto también pasa en el mundo de la respuesta ante incidentes. Si uso como métrica por ejemplo; el número de alertas tratadas, el número de ataques recibidos o el número de incidentes manejados. Una solución tramposa para mejorar mis métricas es trabajar menos: Reducir la sensibilidad de mis sondas, eliminar reglas para ciertos ataques, tener menos personal para manejar incidentes. ¡Sin duda las métricas van a mejorar y además gastare menos en seguridad!
Esta paradoja unida al recorte de los presupuestos para ciberseguridad, provoca que el estado de real de seguridad de muchas organizaciones sea mucho peor de lo que piensan y está siendo demostrado por el gran número de incidentes graves de seguridad que estamos conociendo y que probablemente vayan en aumento.
Buena reflexión aunque personalmente si creo en los indicadores... pero coincido contigo en que deben ser significativos y medir los puntos clave a mejorar. Siguiendo tu ejemplo, yo en la gestión de vulnerabilidades no pondría el foco en la cantidad (Porque da igual que tengas 1 o 20 si finalmente el atacante encuentra activa una con la que entrar) sino en la calidad del proceso de patch management. Es decir, los indicadores deberían medir por ejemplo los tiempos medios de existencia de vulnerabilidades (Mucha latencia significa poca actividad de parcheo y una mala actitud respecto a la gestión de las vulnerabilidades y por tanto, un mayor riesgo por tener demasiado tiempo los agujeros abiertos ya conocidos). Sin embargo, un ratio bajo significa que independientemente de las que existan, al menos existe un esfuerzo por ir mitigando las que ya son conocidas aunque quede un número alto de las que son nuevas.
ResponderEliminar