A medida que la seguridad gana mayor visibilidad en las salas de juntas, los ejecutivos de nivel C les piden a los profesionales de la seguridad que rastreen el estado actual de las defensas de una compañía. Pero ¿qué números realmente importan?IDGA menudo la alta gerencia no sabe qué tipo de preguntas se deben hacer -y pueden concentrarse demasiado en la prevención y muy poco en la mitigación. Las métricas como el costo medio para responder a un incidente o el número de ataques que se detuvieron en el firewall, parecen razonables a una persona no relacionada a la seguridad, pero en realidad no fomentan el programa de seguridad de una organización.
En lugar de ello, los expertos recomiendan centrarse en las métricas que influyen el comportamiento o que cambien de estrategia.
“¿Qué haría diferente ahora que tiene esta métrica?” preguntó Caroline Wong, directora de la iniciativa de seguridad en Cigital, una firma de software y consultoría de seguridad. Las métricas como medio para mitigar las vulnerabilidades y el tiempo para parchar son útiles si la organización cuenta con procesos maduros y altamente optimizados, pero eso no se aplica al 95% de las organizaciones de hoy en día, indicó la ejecutiva.
Las métricas que miden la participación, la eficacia y la ventana de la exposición, sin embargo, ofrecen información que la organización puede utilizar para hacer planes y mejorar los programas.
Métrica de Seguridad Nº 1: Los niveles de participación del programa
Las métricas de participación se fijan en la cobertura dentro de la organización. Pueden medir la cantidad de unidades de negocio que regularmente realizan pruebas de penetración, o cuántos puntos finales están siendo actualizados por los sistemas de parches automatizados. Según Wong, esta información básica ayuda a las organizaciones a evaluar los niveles de adopción de control de seguridad y a identificar los posibles vacíos.
Por ejemplo, si bien sería bueno poder decir que una organización tiene el 100% de sus sistemas parchados dentro del mes en que las nuevas actualizaciones están disponibles, no es un objetivo realista porque los parches pueden presentar riesgos operacionales para algunos sistemas. En cuanto a la participación, ayuda a excluir los sistemas que no caen bajo las reglas normales de parchado -y centran su atención en aquellos que deben ser parchados.
Métrica de Seguridad Nº 2: Duración de ataque
El tiempo de espera o el tiempo que un atacante se encuentra en la red, también ofrece información valiosa. La información de duración de un ataque ayuda a que los profesionales de seguridad se preparen para controlar y contener amenazas, así como para minimizar el daño.
Las encuestas han demostrado que los atacantes pasan varios meses en promedio dentro de la red de una empresa antes de ser descubiertos. Pasan el tiempo aprendiendo acerca de la infraestructura, realizando actividades de reconocimiento, moviéndose alrededor de la red, y robando información.
El objetivo debe ser reducir el tiempo de permanencia tanto como sea posible, para que el atacante tenga menos oportunidad de lograr el movimiento lateral y robar datos críticos, señala Douglas, CTO de Raytheon/Websense. Conocer el tiempo de permanencia ayuda a que los equipos de seguridad encuentren la forma de manejar la mitigación de vulnerabilidades y la respuesta a incidentes.
“Mientras más tiempo estén los atacantes en su red, más información pueden obtener, y causar más daño”, añade Douglas.
Métrica de seguridad Nº 3: Código de la densidad de defectos
La densidad de defectos, o el número de problemas que se encuentran en todos los miles (o millones, dependiendo de la base de código) de líneas de código, ayuda a que las organizaciones puedan evaluar las prácticas de seguridad de sus equipos de desarrollo.
Sin embargo, el contexto es clave. Si una aplicación está en una etapa temprana de desarrollo, entonces una alta densidad de defectos significa que todos los problemas se han encontrado. Eso es bueno. Por otro lado, si una aplicación está en modo de mantenimiento, la densidad de defectos debe ser menor -y tender a la baja- para mostrar que la aplicación es cada vez más segura en el tiempo. Si no, hay un problema.
Métrica de seguridad Nº 4: Ventanas de exposición
Una organización puede identificar defectos en la aplicación, pero hasta que hayan sido abordados, la aplicación sigue siendo vulnerable. La ventana de la exposición examina el número de días en un año en los que una aplicación sigue siendo vulnerable a explotaciones serias y problemas conocidos. La “meta es tener cero días en un año durante los cuales los defectos graves encontrados son conocidos y aún no se han abordado”, anota Wong.
Indicadores engañosos
En general, a la gestión le gusta centrarse en la prevención de incidentes de seguridad, en parte debido a la noción legada de que las organizaciones pueden detener todos los ataques en el perímetro. Por ejemplo, podría hacer que todos se sientan bien al ver el número de intentos de intrusión que fueron bloqueados, pero no hay nada procesable sobre esa información no ayudará a que los equipos de seguridad averigüen qué ataques no fueron bloqueados. “No está arreglando nada”, indicó Douglas.
El tiempo de respuesta, o qué tan rápido se encontró el problema y fue mitigado, es otro indicador que puede ser poco útil. El tiempo de respuesta ignora el hecho de que los atacantes tienden a moverse lateralmente a través de la red. Puede arreglar un problema, pero si nadie intenta determinar qué más pudo haber hecho el atacante, un sistema diferente comprometido por ese mismo atacante puede pasar desapercibido. Enfocarse en cuestiones individuales, y no en la seguridad en su conjunto, deja vulnerables a los entornos.
“No solo es hacerlo, sino entenderlo”, anotó Douglas.
Otra métrica común seguida es la reducción de las vulnerabilidades, pero no es tan útil por sí sola. Si se han arreglado una gran cantidad de vulnerabilidades de bajo nivel, el riesgo de la organización sigue siendo el mismo, mientras que los temas críticos permanecen abiertos. Algunas vulnerabilidades significan más que otras.
Solo el 28% de los ejecutivos encuestados en un reciente estudio de Raytheon/Websense sintió que las métricas de seguridad utilizadas en sus organizaciones eran “completamente eficaces”, en comparación con el 65% que las sentían “algo eficaces”. Los profesionales de la seguridad tienen que explicarle a la alta dirección sobre cómo centrarse en cuestiones de seguridad que ayuden a lograr metas bien definidas. De lo contrario, se desperdicia demasiada atención en información que en realidad no reduce el riesgo o mejora la seguridad.
“¿Ese es realmente el mejor lugar para que gaste su tiempo y dinero de forma ilimitada?” preguntó Wong.