Inicio / Protege tu empresa / Blog / ¿Sabes cómo se mide la seguridad de la información en tu empresa?

¿Sabes cómo se mide la seguridad de la información en tu empresa?

Publicado el 21/09/2015, por INCIBE
¿Sabes cómo se mide la seguridad de la información en tu empresa?

Acabas de poner en marcha un Plan Director de Seguridad, ahora toca medir los resultados en el nivel de seguridad de tu empresa. Te surgen dudas profundas: ¿cómo se mide esto? y ¿servirán estas métricas para tomar decisiones? Para conocer el efecto de las actuaciones tenemos que medir, medir y medir, en ciberseguridad no iba a ser menos. Aunque no es un asunto baladí, lo conseguirás siguiendo estas pautas.

Recuerda que el objetivo de la seguridad de la información es garantizar la continuidad del negocio y prevenir o minimizar el posible daño el impacto de los incidentes. Desde esta perspectiva ¡que no cunda el pánico!, no es una cuestión exclusivamente técnica. Para establecer qué medir se han de considerar además de los aspectos técnicos también aspectos organizativos, de recursos humanos y de cumplimiento legal.

En lo fundamental las métricas en seguridad de la información están ligadas a la gestión de riesgos ya que, en esencia, las decisiones de seguridad son decisiones de gestión de riesgos. Las métricas van a aportar luz en los tres niveles de decisión de la empresa: operativo, táctico y estratégico.

Operativo, Táctico, Estratégico

Con el siguiente gráfico vemos cómo diseñar nuestro plan director de seguridad de la información partiendo de nuestros objetivos de negocio a nivel estratégico, definiendo a partir de estos los objetivos de seguridad. Para aterrizar estos objetivos al nivel táctico se han de concretar en procesos de seguridad y estos a su vez en controles o actuaciones sobre uno o varios procesos de negocio (gestión de personal, producción,…)

diagrama de cobertura de riesgos de seguridad para el negocio

Cada empresa tiene sus riesgos y sus objetivos de seguridad, por tanto cada una necesitará sus propias métricas vinculadas a sus estrategias de negocio. A modo de ejemplo estos podrían ser algunos de los objetivos de seguridad de tu empresa:

  • Definir el Pan director de seguridad teniendo como referencia un análisis de riesgos sobre los activos de información.
  • Establecer una organización de seguridad para administrar la seguridad de la entidad.
  • Establecer políticas y procedimientos de seguridad. Definir directrices de seguridad de la información.
  • Optimizar las inversiones en seguridad de la información al ejecutar planes de acción que apoyen la consecución de los objetivos de la organización.
  • Evaluar la situación actual de seguridad de la empresa respecto a un estándar de buenas prácticas.
  • Conocer y planificar las inversiones y costos necesarios para alcanzar el nivel de seguridad adecuado.
  • Mejorar los niveles de Seguridad de la Información al fomentar la adopción de una cultura de seguridad de la información a todos los niveles.

Siguiendo adelante en el gráfico los procesos necesarios serían, entre otros:

  • Identificar los Activos de información críticos para el proceso de negocio de producción, contabilidad o gestión de personal.
  • Realizar un análisis de riesgos bajo una metodología de riesgos identificando los riesgos y amenazas en cada uno de los activos de información. Asegurarse de que los riesgos son efectivamente comprendidos y controlados.
  • Identificar el nivel de seguridad existente en los sistemas, servicios, aplicaciones e infraestructura (incidentes, actualizaciones,…)
  • Definir y planificar los planes de acción a realizar (a corto, mediano y largo plazo) teniendo como referencia la diferencia existente entre el nivel de seguridad actual y el nivel de seguridad objetivo.
  • Implementar mecanismos de seguridad en servidores, estaciones de trabajo y dispositivos de red para reducir el tiempo de inactividad y los incidentes.
  • Formar a los empleados para el uso seguro de las TIC. Asegurarse de que todos los usuarios entienden las responsabilidades de seguridad.

Pero no basta con saber cuáles son los riesgos y dónde están, el valor de los activos amenazados (o de su reposición) y el tiempo que será necesario invertir en reparar daños o prevenirlos. Con el objetivo de mitigar los riesgos la empresa establece controles, no exclusivamente técnicos, que se implementan según el plan director de seguridad. Desde formación hasta políticas de copias de seguridad o control de los accesos, se revisa todo con detalle.

Como resultado, estos son algunos de los muchos controles que seguro has implantado:

  • ¿Se ha lanzado el Plan de concienciación y formación a los empleados? o ¿cómo ha afectado este plan al nivel de seguridad de la empresa?
  • ¿Se ha identificado la legislación que aplica para nuestra actividad? ¿Sabemos cómo se cumple con la LOPD para proteger los datos de nuestros clientes? y ¿con la LSSI-CE en lo que nos afecta a nuestra web y comunicaciones comerciales?
  • ¿Se han identificado los puntos débiles de la seguridad (contraseñas, redes y sistemas, aplicativos, formación,…)?
  • ¿Se ha establecido un procedimiento para notificar los incidentes de seguridad? y ¿se han identificado los responsables?
  • ¿Se han actualizado todos los sistemas con los últimos parches?
  • ¿Se ha implantado y es efectiva una política de contraseñas?
  • ¿Se ha implantado el protocolo para alta/baja del acceso de empleados a los distintos sistemas? y ¿cómo se está cumpliendo?
  • ¿Se realizan las copias de seguridad según el procedimiento? y ¿se comprueba que se pueden recuperar las copias realizadas?
  • ¿Se ha definido/implementado/verificado un Plan de continuidad de negocio?

Por último, para estar a la altura y adaptarse a los riesgos actuales de forma dinámica es imprescindible medir el rendimiento de las acciones realizadas. Las métricas son esenciales para comprobar el resultado de los planes, procesos y controles de seguridad implantados y para dedicar los recursos en aquellas áreas que más contribuyan a conseguir los objetivos de la estrategia de protección.

Nuestro sistema de métricas consistirá en medidas definidas y adaptadas, tanto a nivel estratégico (progreso de los planes) como táctico y operativo (procesos y controles). En cada nivel las métricas deben tener las propiedades que las definen como «SMART», es decir, Específicas, Medibles, Alcanzables, Repetibles y dependientes del Tiempo.

Se puede elegir entre los siguientes tipos de métricas:

  • Eficacia o efectividad que miden en qué grado se cumplen los objetivos por ejemplo:
    • Porcentaje de disminución de contraseñas débiles tras las campañas de concienciación.
    • Porcentaje de disminución del número de incidentes.
  • Un caso particular de las anteriores son las de progreso de la implementación por ejemplo:
    • Porcentaje de implementación del plan de seguridad (o del plan de continuidad de negocio).
    • Porcentaje de planes de acción definidos o implantados.
    • Porcentaje de empleados que han recibido concienciación en seguridad.
    • Porcentaje de equipos en los que se ha instalado antivirus.
    • Porcentaje de sistemas en los que se han instalado parches o un sistema que automatice esta tarea.
  • Eficiencia que muestran la proporcionalidad entre los objetivos y los resultados alcanzados como por ejemplo:
    • Coste de los incidentes de seguridad informática respecto al presupuesto de seguridad informática.
    • Coste de la política de backup respecto al coste de inactividad en caso de incidente.
  • Impacto como por ejemplo:
    • Coste de la recuperación ante un incidente (o ahorro si se ha evitado el incidente o alguna multa).
    • Coste del software de seguridad adquirido o los servicios contratados.

Cada empresa es un mundo por ello, en cada una se establecerán unas métricas diferentes para cada estamento de decisión. Todo depende de cuales sean nuestros objetivos de seguridad, de qué nivel de seguridad partimos y hasta dónde queremos llegar.

  • Si nos propusimos implantar un plan podemos medir su progreso.
  • Si queremos reducir los incidentes mediremos cuán efectivas son las medidas tomadas, ese software que instalamos o el servicio contratado.
  • Si queremos cumplir con la legislación comprobaremos si las medidas tomadas son coherentes con las leyes.
  • Si queríamos aumentar el nivel de concienciación comprobaremos si nuestros colaboradores han comprendido el mensaje.

En cualquier caso las métricas van a indicar el grado en el que se cumplen nuestros objetivos de seguridad, ya que, como tantas veces se ha dicho, «lo que no se mide no se puede gestionar».