Como CISO, tu prioridad es mantener la seguridad de los sistemas de información de tu empresa, y también mejorar constantemente su rendimiento en términos de ciberseguridad.
Pero para mejorar el rendimiento, hay que controlarlo: ese es el propósito de los indicadores clave de rendimiento (o KPI). Interpretar estos datos puede ser un reto diario, especialmente para tus directivos. Entonces, ¿cómo saber si tienes el nivel de seguridad adecuado o si eres más vulnerable a los ataques que otras empresas de tu sector?
Evaluar sus propios resultados en materia de ciberseguridad
Evaluar el rendimiento cibernético de tu organización es una de las claves para garantizar que tus activos y datos informáticos (tanto sensibles como no sensibles) están protegidos, y que tus clientes y socios confían en tu. Pero, concretamente, ¿de qué estamos hablando? ¿Cómo debe evaluarse?
La noción de rendimiento en ciberseguridad
Este concepto se refiere a la capacidad de una empresa para proteger su entorno informático y sus sistemas de información frente a una multitud de ciberamenazas en constante evolución. Este concepto abarca:
- la aplicación de políticas sólidas de ciberseguridad;
- la aplicación de normas y marcos de seguridad reconocidos;
- la medición periódica de los resultados de la empresa mediante indicadores clave de rendimiento.
En este contexto, la recogida de datos permite proyectar una norma o un tipo de norma y, a continuación, medir su rendimiento. A cada política de seguridad se le asigna una puntuación y/o acciones periódicas a realizar.
Baptiste David, Product Evangelist de Tenacy, nos recuerda que “¡no basta con decir lo que se hace! Para evaluar el rendimiento, hay que añadir la noción de controlar las operaciones, comprobar las tareas recurrentes y supervisar la medición del rendimiento mediante cuadros de mando con los KPI de las plataformas de la empresa. ”
¿Qué es un buen indicador?
Empecemos por la distinción entre:
- un indicador de actividad (que, según Baptiste David, “ es completamente inútil: es un valor que no permite tomar ninguna decisión.“);
- un indicador de resultados, que es un ratio que pone de relieve la consecución de un objetivo.
Por ejemplo, el número de personas que hacen clic en una campaña de phishing no puede utilizarse para medir el rendimiento de las campañas de concienciación de los empleados. Por otro lado, establecer un objetivo como que menos del X% de las personas hagan clic puede cuantificar el rendimiento y determinar si es satisfactorio o no.
Otro ejemplo de medición de los resultados de un programa de sensibilización destinado a las personas VIP de una organización (hay que subrayar que se trata de personas en situación de riesgo que pueden ser el objetivo de los atacantes, y no sólo de los altos directivos): el indicador “participación de las VIP en los talleres de sensibilización” puede utilizarse para calcular una puntuación de conformidad basada en las políticas y normas de la empresa.
Definir los indicadores de rendimiento adecuados es, por tanto, el primer paso en el proceso de desarrollo del rendimiento en ciberseguridad.
Necesidad de controlar la evolución de los indicadores a lo largo del tiempo
No basta con tener los KPI adecuados. El segundo paso del proceso es controlar su evolución a lo largo del tiempo.
Los indicadores de rendimiento varían en función de muchos factores: cambios tecnológicos, nuevas amenazas, ajustes de las políticas de seguridad, etc. El seguimiento de la evolución de los indicadores a lo largo del tiempopuedes medir el impacto de las medidas correctivas adoptadas y detectar fluctuaciones y tendencias. Esto te da una idea más clara de los puntos fuertes y débiles de tu política de ciberseguridad.
La importancia de las partes interesadas
Evaluar el rendimiento no es algo que puedes hacer solo: como CISO, necesitas a la gente dentro de tu organización. Los directores de negocio, los equipos de TI y los usuarios finales tienen conocimientos y experiencia específicos, por lo que tu participación es crucial si quieres acceder a los recursos que necesitas para evaluar la ciberseguridad de tu empresa. Tu solo no puedes encontrar la información que necesitas.
COMPARAR EL RENDIMIENTO EN CIBERSEGURIDAD
Interpretar estos KPI es un reto, sobre todo para la alta dirección. Por tanto, es esencial establecer un marco de referencia que les permita comprender fácilmente el rendimiento y la cibersituación de la empresa, y compararlos con los de sus competidores.
Con este enfoque estructurado, la toma de decisiones en matera de ciberseguridad será más clara y sencilla. Pero, ¿cómo conseguirlo?
Compararse con los demás: imposible sin las herramientas adecuadas
Para comparar tus resultados, necesitas una visión objetiva del mercado. También hay que evitar sesgos internos o creencias que distorsionen la interpretación de los indicadores. Por lo tanto, es esencial disponer de una visión externa.
Utilizar un índice de referencia te permite compararte con organizaciones similares y medir tu rendimiento relativo. Huelga decir que la elección del marco debe adaptarse al tamaño de tu empresa y a su sector de actividad: una PYME no puede compararse con una empresa del CAC40, y las mismas limitaciones de seguridad de una empresa del sector bancario difieren de las de una planta de producción. Sin una herramienta adecuada, hacer tal comparación es misión imposible.
La buena noticia es que Tenacy incluye una función de evaluación comparativa en su plataforma de gobernanza. Ahora puedes comparar tu puntuación de cumplimiento con las políticas de seguridad públicas y las de tus homólogos (queremos asegurarte desde ahora que estos datos son, por supuesto, totalmente anónimos).
Evaluación comparativa para contextualizar y comprender los niveles de rendimiento
¿Deberías estar satisfecho con un KPI del 80%? Es imposible responder a esta pregunta sin un contexto o una base de comparación… Un punto de referencia permite interpretar los resultados y comentar las puntuaciones, especialmente para quienes no están familiarizados con el sector o carecen de cultura de riesgo.
Poder asociar un contexto y unos puntos de referencia a un indicador de rendimiento permite comentarlo en un momento dado y seguir su evolución a lo largo del tiempo.
Al compararte con empresas similares a la tuya, puedes comprender mejor su tasa de rendimiento en ciberseguridad. Y aunque tu (como CISO) tengas este conocimiento del contexto, te permite proporcionar a personas no expertas, como tu comité de dirección, las claves para comprender la situación.
A este respecto, Baptiste David señala que “para comprender los KPI de ciberseguridad, se necesita una madurez y unos conocimientos específicos. El benchmark será útil para el CISO, que tiene que hablar de seguridad a personas que no tienen conocimientos ni madurez cibernética, generalmente los miembros del Comité Ejecutivo. Proporcionará información objetiva para que puedan comentar los resultados y entender la noción de riesgo, que consiste en decir: “Mira, no somos buenos mientras otros lo consiguen. El problema somos realmente nosotros”, y tomar decisiones con conocimiento de causa para remediar los problemas.”
Comparación para poner de relieve los puntos débiles
Las comparaciones pueden servir para poner de manifiesto las lagunas y posibles deficiencias con el fin de reforzar la postura de seguridad de la empresa. Una empresa que sea peor que las demás en un punto será más vulnerable a los ataques que las demás.
Pero cuidado con las falsas creencias: “que tengas una buena puntuación no significa que estés a salvo, advierte Baptiste David. La persona con la peor puntuación, incluso con un indicador considerado ‘bueno’, tiene más probabilidades de ser atacada que las demás. Y a la inversa, ser el mejor no significa estar a salvo. Las empresas certificadas y que cumplen las normas también pueden ser atacadas. Hay que evitar una falsa sensación de seguridad. El riesgo cero no existe. “
Evaluación comparativa para aumentar la credibilidad y comunicar con más eficacia
La comparación con referencias relevantes, como empresas similares a la tuya, refuerza la credibilidad de tu empresa en matera de ciberseguridad.
Al poner en marcha planes de acción para mejorar tu nivel de seguridad, podrás controlar tus indicadores y evaluar si estás subsanando tus deficiencias. Esta comparación también facilita la comunicación de los problemas cibernéticos a los no expertos, demostrando así tu compromiso con la mejora continua del rendimiento de tu empresa en este ámbito.
La última palabra
Como se habrás dado cuenta, la comparación de resultados no eliminará el riesgo, y debes protegerte contra la falsa sensación de seguridad que produce saber que tu empresa cumple las normas. Pero saber cuál es tu posición en relación con los demás te permite dar contexto a tus resultados e indicadores de rendimiento.
Baptiste David concluye con unas palabras de buenas prácticas: “Para que la comparación merezca la pena, hay que hacerlo de forma abierta y transparente. No te sobrevalores ni te infravalores diciendo ‘ya que me van a comparar, diré que soy mejor’ o ‘al contrario, para conseguir presupuestos extra, demostraré que no soy bueno’.”