5 ejemplos de indicadores para incluir en tu cuadro de mandos SSI

Partage

El cuadro de mandos de SSI es unaherramienta de gestión esencial para los CISO. Ya se utilice con fines operativos, de coordinación o estratégicos, permite visualizar el estado de la seguridad de los sistemas de información y medir la distancia entre la ISSP (política de seguridad de los sistemas de información) de la empresa y la realidad sobre el terreno.

Tu SI está en constante evolución y, como CISO, necesitas tomar decisiones rápidas y bien informadas. Esto plantea una serie de preguntas.

  • ¿Dispones de los indicadores adecuados para hacerlo?
  • ¿Los datos de que dispones son pertinentes, objetivos y comprensibles?
  • ¿Has integrado todos los equipos de tu infraestructura?
  • ¿Dispones de los indicadores adecuados para tomar decisiones sobre la seguridad de tu empresa?

En este artículo, descubre 5 ejemplos de indicadores de rendimiento para incluir en tu cuadro de mando SSI.

¿QUÉ ES UN INDICADOR DE RESULTADOS SSI?

En primer lugar, pongámonos de acuerdo sobre el concepto de indicador. Según la ANSSI, un indicador de rendimiento (o KPI, Key Performance Indicator) es un  “dato estadístico que combina la medición de uno o varios puntos clave y se utiliza en comparación con un historial, un valor o valores objetivo y/o un valor o valores umbral “. En términos más sencillos, el indicador de rendimiento permite seguir la evolución de una actividad o los resultados de las acciones a partir de datos históricos. Mediante comparaciones y umbrales, proporciona a los CISO una herramienta de toma de decisiones.

Los indicadores de la SSI suelen extraerse de la PSSI (Política de Seguridad de los Sistemas de Información) implantada en la organización. En particular, supervisan los objetivos de seguridad relativos a:

  • un análisis de riesgos;
  • acciones de seguridad derivadas de un plan de acción ;
  • obligaciones legales o cumplimiento de normas y certificaciones.

Cada empresa define sus KPI en función de sus necesidades, objetivos y recursos, con el fin de medir la eficacia de la seguridad de la SI.

« “PARA TOMAR DECISIONES CON CONOCIMIENTO DE CAUSA, ES ANTE TODO ESENCIAL ELEGIR LOS INDICADORES SSI ADECUADOS. Y MÁS ALLÁ DE ESO, ES LA VISUALIZACIÓN DE ESTOS KPI LO QUE DEBE PERMITIR AL CISO EVALUAR LA SITUACIÓN DE UN VISTAZO. »  
Baptiste David, - Head of PreSales & Delivery, Tenacy

Los indicadores proporcionan al CISO una visión multinivel.

  • A nivel estratégico, los indicadores permiten supervisar la aplicación del PSSI.
  • En términos de gestión, según la ANSSI, permiten “controlar la consecución de los objetivos y mejorar la calidad del servicio “.
  • En el plano operativo, los indicadores de rendimiento permiten medir el estado de la producción, las necesidades y los medios técnicos que hay que desplegar.

En su tabla de rendimiento, el CISO puede ver el estado de su sistema de información de forma resumida. Se trata de una ayuda esencial para presentar claramente la situación tanto a la dirección como a los equipos operativos. El objetivo de un indicador de rendimiento SSI clave es facilitar la toma de decisiones a todos los niveles.

  • 1. Índice de despliegue de parches y correcciones de seguridad por aplicación

    El primero de los indicadores clave de esta lista se refiere a la medición de la vulnerabilidad de sus activos informáticos. La gestión de parches implica buscar software y sistemas operativos en estaciones de trabajo y servidores que no se hayan actualizado.

    Con el aumento de los ciberataques, es imperativo minimizar el riesgo de fallos de seguridad y vulnerabilidades en su sistema de información. En 2017, el ransomware WannaCry aprovechó un fallo de seguridad en el protocolo SMB v1 de Microsoft Windows e infectó más de 250 000 sistemas en todo el mundo. Por eso, mantener un parque informático actualizado es vital para los CISO y sus empresas.

    Todo el mundo es consciente de lo que está en juego, pero ¿está usted al día en materia de parches? ¿Son compatibles con sus equipos? La supervisión de un indicador de vulnerabilidad, como el índice de despliegue de parches de seguridad y/o correcciones por aplicación, le ofrece una imagen real del estado de sus activos informáticos. Al supervisar estos datos a lo largo del tiempo, puede tomar las decisiones necesarias para reducir el riesgo de ciberataques a través de fallos de seguridad no parcheados.

  • 2. El volumen de actividad de sus agentes de la BDU en el parque informático

    La segunda métrica a seguir en un cuadro de mandos dedicado a la seguridad de su sistema informático se refiere a la protección de los puestos de trabajo. Con la llegada de los agentes EDR, los equipos de seguridad tienen ahora acceso a un conjunto de registros y alertas para cada estación de trabajo. Al analizar la cobertura de protección de sus agentes EDR, puede que se sorprenda al descubrir el número real de instalaciones ausentes, obsoletas y mal configuradas.

    La supervisión del volumen de amenazas de los agentes también le permite identificar con mayor eficacia los equipos que son objetivo de los ciberdelincuentes en su empresa, para que pueda tomar medidas correctivas.

    ¿Sabía que cada día se identifican 380.000nuevos archivos maliciosos[1 ]? Ataques de ransomware, malware sin archivos, accesos RDP secuestrados, desplazamiento lateral… muchas amenazas tienen como objetivo las estaciones de trabajo.

    Analizando la actividad de sus agentes EDR, podrá reaccionar en caso de ataque a una de sus máquinas y evitar la parálisis de su infraestructura.

  • 3. El volumen de procesos lanzados por un superadministrador

    El tercer indicador clave se refiere a la medición del acceso privilegiado. Los administradores de sistemas son uno de los principales objetivos de los ciberatacantes, ya que permiten el acceso y la gestión de los recursos informáticos. Según CyberArk, empresa especializada en gestión de accesos privilegiados (PAM), el 79 % de las empresas han sufrido una brecha relacionada con la identidad en los últimos dos años.

    ¿Quién es el administrador de qué? Realice revisiones periódicas de las cuentas privilegiadas y controle el volumen de procesos lanzados con el usuario root. Así podrás controlar la actividad y evitarás dejar puntos de entrada a los hackers.

    El conocimiento de este indicador ayuda a evaluar la seguridad de los SI y los niveles de riesgo. Puede utilizarse paraanalizar la justificación del acceso y para rectificar situaciones de riesgo eliminando accesos inadecuados u obsoletos.

  • 4. Volumen de conexiones por AMF

    Una cuarta medida que los CISO necesitan para gestionar la seguridad de sus sistemas de información es medir la seguridad de las conexiones. Activarla autenticación multifactor o MFA (también conocida como doble autenticación o 2FA) es una medida clave para proteger el acceso de los usuarios a la red.

    Para acceder a una aplicación, una cuenta en línea o una VPN, el usuario debe presentar al menos dos factores de verificación de identidad. Una vez que ha introducido su nombre de usuario y contraseña, el acceso permanece bloqueado y requiere que introduzca una segunda contraseña deun solo uso (OTP) recibida a través de una segunda bandeja de entrada de correo electrónico, SMS o mediante una aplicación que genera códigos de un solo uso, como Google Authenticator, Microsoft Authenticator y Twilio Authy. Los factores de identificación también pueden ser biométricos, utilizando la huella dactilar, la retina o el reconocimiento facial del usuario.

     

    “En la era de Office 365 y de todo Cloud, la gente necesita usar la autenticación multifactor. Ya no es una opción en ciberseguridad . En Europa, incluso es obligatorio ofrecer doble autenticación en el sector bancario. Los CISO necesitan poder controlar este indicador clave y su evolución para tomar las decisiones adecuadas para la seguridad de su empresa.

    Baptiste David, Head of PreSales & Delivery, Tenacy

     

    El control de la tasa de conexión mediante AMF garantiza la seguridad del acceso a las aplicaciones, sobre todo a las más críticas.

  • 5. Nivel de formación de los empleados

    El quinto KPI se refiere a la medición del nivel de formación de los empleados en materia de ciberriesgos. Según un estudio de U-Secure, editorial especializada en la sensibilización de los usuarios ante los ciberataques, el 85% de las violaciones de datos implican a seres humanos. Por tanto, la necesidad de sensibilizar a los usuarios es evidente.

    Pero, ¿cómo puede estar seguro de que sus empleados han tomado realmente conciencia de los peligros y no se han limitado a escuchar distraídamente durante el último curso de formación cibernética? Si realiza un seguimiento de la tasa de participación en los cursos de formación para concienciar sobre los riesgos y amenazas cibernéticas, ¿está seguro de que está siguiendo el indicador correcto? ¿Un índice excelente sería garantía de buenos reflejos por parte de los usuarios en caso de ataque?

     

    “No basta con decir ‘estoy concienciando’. Necesitamos medir este rendimiento. Y eso es exactamente lo que hace posible la plataforma Tenacy.

    Baptiste David, Head of PreSales & Delivery, Tenacy,

     

    En su lugar, mida la tasa de clics de sus usuarios durante una falsa campaña de phishing. Cuanto mayor sea el porcentaje, mayor será el esfuerzo necesario para concienciar a su personal. Tendrá la visibilidad que necesita para aplicar nuevas medidas preventivas. Al hacer un seguimiento de este porcentaje de clics, tendrá una medida real de la concienciación de sus usuarios y, por tanto, de su rendimiento.

Como habrás visto al leer este artículo, definir indicadores relevantes es esencial si quieres obtener una imagen clara de la seguridad de tu SI. Tu siguiente paso, y no el menos importante, será determinar cómo vas a recuperar y agregar tus datos fácilmente. Elegir indicadores, configurarlos, supervisar el rendimiento… Para ayudarle, Tenacy le ofrece cuadros de mando personalizados sobre la seguridad de la SI basados en indicadores pertinentes y mensurables. Abrir los ojos es el primer paso para protegerse.

[1] Kaspersky, 2021