domingo, 11 de julio de 2010

Métricas en Seguridad de la Información: Un reto permanente

Hablar sobre métricas en seguridad de la información, es actualizar una reflexión permanente que está en la agenda de los ejecutivos de seguridad. Las métricas, necesarias para evidenciar la gestión de los profesionales de seguridad frente a los temas de aseguramiento de infraestructura, pero no suficientes para dar respuesta al interrogante: ¿qué tanto hemos mejorado nuestra seguridad con respecto al año anterior?

El Dr. Hyden afirma en su libro que “medimos la seguridad para entender la seguridad”. Parece una afirmación algo simple, pero desafiante y exigente para llevarla a la práctica. En la medida que recolectamos datos sobre la seguridad, con un contexto, con un objetivo, sabiendo lo que queremos hacer con ellos, poco a poco se nos revelará aquello que queremos conocer y detallar. Podemos tener grandes reportes con datos y vulnerabilidades identificadas, los cuales carecerán de sentido si no sabemos qué es aquello que nos queremos responder y atender, para continuar nuestro viaje al corazón mismo de la inseguridad en las diferentes relaciones entre personas, tecnología y procesos.

Continúa comentando el académico mencionado previamente, que “el real beneficio de las métricas se revela cuando los datos que se representan llevan a actividades con sentido para la organización, acciones que soporta objetivos y apalancan retos en la empresa”. En este contexto, el valor de las métricas se percibe y se potencia, sólo cuando somos capaces de expresarlas en el lenguaje del negocio y la hacemos parte de la manera como la misma corporación genera valor en su entorno.

Así las cosas, las métricas en seguridad son valoraciones altamente riesgosas, pues al comprender mejor algo que previamente no se conocía, se genera un mayor conocimiento de la situación y su correspondiente responsabilidad y obligación para actuar en conformidad. En este escenario, recolectar información sobre las diferentes variables el programa de protección de la información es comprender por qué se recogen y las decisiones que se tomarán soportadas en ella.

Considerando lo anterior, el desarrollar un programa de métricas en seguridad exige declarar las limitaciones propias de este ejercicio y la comprensión de variables con cambios constantes, incertidumbre y riesgo, que en otras industrias como los seguros, la manufactura y los diseños se manifiestan con la misma intensidad. De acuerdo con lo que presenta el Prof. Hyden en su libro, se advierte al menos tres lecciones sobre las métricas de seguridad en estas industrias a saber: (HYDEN 2010, pág. 20, 21 y 22)

Lección No.1 Sus métricas de seguridad y las subsecuentes decisiones derivadas de la administración de riesgos, mejorarán su seguridad, tanto como su capacidad para recolectar, analizar y entender los datos relacionados con la operación de la seguridad. (Seguros)

Lección No.2 La seguridad es un proceso de negocio. Si usted no está midiendo ni controlando el proceso, usted no estará midiendo ni controlando la seguridad. (Manufactura)

Lección No.3 La seguridad es el resultado de una actividad humana. Un programa efectivo de métricas en seguridad tratará de entender las personas tanto como la tecnología. (Diseños)

Hyden define la medición como el acto de juicio o estimación de las calidades de algo, a través de la comparación con algo adicional. Mientras las métricas, como los estándares de medidas. En este sentido, no son las métricas las que son sensibles en sí mismas, pues responden a hecho concretos sobre aspectos de la seguridad de la información que requieren ser revisados, sino las mediciones que se derivan de ellas, es decir las valoraciones que se efectúan sobre las métricas las cuales son juicios de valor humanos frente a referentes que deberán ser los más adecuados con la realidad de la empresa y su entorno competitivo.

Considerando lo anterior, Jaquith (2007, pág.30) confirma que si bien se establece un sistema de métricas basado en estándares como el ISO 27001 es un reto interesante, no es lo más adecuado dado que las mediciones asociadas con éste, estarán focalizadas en aspectos que son auditables y requerimientos de control, más que en la incorporación de las prácticas mismas; estará muy sesgada por criterios subjetivos de valoración, dado que se requiere definir qués y cómos propios con la dinámica de la organización y sus estructuras de negocio, y finalmente, las métricas se enfrentarán al problema de la valoración, las cuales el mismo estándar no ofrece orientación al respecto.

De manera complementaria Brotby, establece en su publicación que “se mide para poder administrar”. Esto es, negociar un conjunto de recursos, acordar unos comportamientos requeridos y rendir cuentas. En consecuencia para determinar la información requerida para medir y monitorear un proceso de seguridad se requiere dar respuesta al menos a las siguientes preguntas: (BROTBY 2009, pág.73)
1. ¿Qué es lo que será administrado?
2. ¿Cuáles son sus objetivos?
3. ¿Qué decisiones se deben tomar?
4. ¿Qué información es requerida para tomar dichas decisiones?
5. ¿Qué procesos pueden proveer la información requerida?

Los tres autores coinciden en que las métricas en seguridad de la información son acuerdos propios de las organizaciones en los cuales las buenas prácticas y/o estándares nos permiten comprender la brecha que tenemos frente a los ideales y no representan un ejercicio mandatorio o imprescindible para alcanzar modelos certificables frente a nuestra gestión de riesgos relacionados con la información.

El contar con un entendimiento interno y propio de la inseguridad de la información en el contexto del negocio y cómo esta se esconde y refugia en comportamientos inadecuados y limitaciones tecnológicas, nos permite generar mayor visibilidad del programa de protección de activos de información, que el uso mismo de un estándar per se.

No queremos con esta reflexión insinuar o desvirtuar las grandes bondades de las prácticas de seguridad de la información disponibles a la fecha, sino más bien darles su debido lugar dentro de la exigente y constante manifestación de la inseguridad en cada uno de nuestros procesos organizacionales, como esos libros abiertos de sabiduría y consejo, que siempre están disponibles para continuar afinando nuestras acciones de tratamiento del riesgo y afinando nuestro olfato para enfrentar a la inseguridad de la información, haciendo de las mediciones una consecuencia de nuestro mejor entendimiento de esta realidad.

Referencias
HYDEN, L. (2010) IT Security metrics. A practical framework for measuring security & protecting data. McGraw Hill.
BROTBY, K. (2009) Information security management metrics. A definitive guide to effective security monitoring and measurement. CRC Press.
JAQUITH, A. (2007) Security metrics. Replacing fear, uncertainty, and doubt. Addison Wesley

No hay comentarios:

Publicar un comentario