Uno de los propósitos fundamentales de las mediciones y los monitoreos está ligado a respaldar latoma de decisiones. Desde este punto de vista, resulta de gran importancia poder responder preguntas como: ¿con cuánta certeza podría decir cuán segura es su organización? ¿Cuánta seguridad es suficiente? ¿Qué impacto tiene la falta de seguridad sobre la productividad? Sin lugar a dudas, tendremos que contar con una herramienta que nos permita dilucidar este tipo de interrogantes.

A lo largo de este artículo nos concentramos en una aproximación al uso de métricas de seguridad efectivas.

Entendiendo qué es una métrica

Es común escuchar que si se conoce algo, pero no se lo puede medir en números, el conocimiento es precario o deficiente. Podemos definir “métrica” como un término utilizado para denotar medidas basadas en una o más referencias, que involucran por lo menos dos puntos: la medida y la referencia.

Si hablamos de seguridad, también podemos definirla como la protección contra cualquier daño o la ausencia de riesgos. Relacionando ambos conceptos, podemos llegar a la conclusión de que las métricas de seguridad suelen indicar el estado o grado de seguridad relativa a un punto de referencia.

Lógicamente, las métricas más técnicas son especialmente útiles para gestiones operativas como sistemas de detección de intrusos (IDS), Antivirus, Firewalls, WAF o Gestor de Información de Eventos de Seguridad (SIEM), entre otras herramientas de seguridad. La información principal que pueden indicar es si las plataformas se manejan del modo adecuado o no, la identificación de vulnerabilidades o si estas reciben el seguimiento correspondiente.

Sin embargo, estas métricas son de poco valor desde un punto de vista de gestión, ya que:

• No contribuyen en la alineación estratégica con los objetivos de la organización.
• No contribuyen a saber qué tanto se gestionan los riesgos.
• Proporcionan escasas medidas de cumplimiento de políticas u objetivos de posible impacto.
• No brindan información con respecto a si el esquema de seguridad de la información está en la dirección indicada y consiguiendo los resultados deseados.

Por este motivo, métricas relevantes que traten requerimientos desarrollados y alineados con las gerencias del negocio tendrán mayores beneficios, siendo más eficaces para la seguridad de la organización.

En determinados casos, algunas auditorías completas y evaluaciones de riesgo exhaustivas son las únicas acciones que llevan a cabo las organizaciones para brindar esta perspectiva tan extensa. Aun cuando desde el punto de vista de gestión son trascendentes y necesarias, estas actividades proporcionan solo una imagen estática, no lo que idealmente se requiere para guiar en la gerencia cotidiana de la seguridad; tampoco proporcionan la información necesaria para tomar decisiones prudentes.