Establecer los KPI de ciberseguridad adecuados
Los indicadores clave de desempeño, KPI, de ciberseguridad, miden la eficacia del programa de ciberseguridad de una organización.
En un panorama de amenazas con nuevas identidades, entornos y métodos de ataque, existen muchos KPI potenciales que se deben monitorizar. Pero medir demasiados elementos puede distraer o inducir a error, mientras que no medir lo suficiente puede generar brechas en la protección.
De ahí que establecer el marco adecuado para la elaboración de informes sobre ciberseguridad y medir lo que más importa es la mejor manera de garantizarse una buena estrategia de seguridad. Medir y comunicar eficazmente el progreso en todas las líneas y niveles de la empresa puede ser un desafío. Por eso, desde CyberArk recopilan cuatro factores esenciales que deben tenerse en cuenta a medida que una organización madura su estrategia de informes de ciberseguridad:
1. Realizar iteraciones con frecuencia. Los KPI no están pensados para ser estáticos. Su enfoque de medición cambiará inevitablemente a medida que los objetivos comerciales, las herramientas de seguridad y los procesos evolucionen con el tiempo. Por lo que es importante analizar en qué punto se está y qué KPIs deben ajustarse, eliminarse o agregarse, algo fundamental porque la seguridad no ocurre de manera aislada. Además, las cadencias de evaluación también pueden variar significativamente de un KPI a otro.
2. Integrar métricas de cambio cultural. Para comprender la solidez de la cultura de seguridad de una organización se requiere un conjunto de métricas muy diferente que examine, por ejemplo, el comportamiento de los empleados, la concienciación sobre la ciberseguridad y el cumplimiento de las políticas organizacionales. La métrica del porcentaje de vulnerabilidad a ataques de phishing (PPP) es una de las formas más eficaces de establecer una línea de base y, posteriormente, medir la vulnerabilidad de una empresa a los ataques de phishing e ingeniería social. Esto generalmente implica un ejercicio de phishing simulado en toda la organización que permita obtener datos empíricos. Con ello, las organizaciones pueden adaptar sus programas de capacitación en ciberseguridad para ayudar a los empleados a reconocer las señales de alerta y mejorar su higiene en materia de ciberseguridad. O bien aprovechar el análisis del comportamiento de los usuarios dentro de sus herramientas de seguridad para comprender mejor los patrones de comportamiento de los empleados y abordar los hábitos potencialmente de riesgo.
3. Comunicar para lograr el máximo impacto. El ransomware, los ataques a la cadena de suministro digital y las amenazas impulsadas por la IA han catapultado la ciberseguridad al primer lugar de la agenda. Los mapas de calor son herramientas de comunicación muy eficaces que permiten a los CISO extraer numerosos KPI de ciberseguridad en instantáneas de riesgos fácilmente entendibles. Además de que pueden ilustrar el riesgo actual de la empresa, cómo ha cambiado dicho riesgo con el tiempo y qué es lo que aún queda por hacer para cumplir con los objetivos establecidos.
4. No subestimar el factor humano. Incluso las mejores estructuras de generación de informes y paneles de control tienen sus límites, ya que la ciberseguridad no es una ciencia. Comprender las mejores formas de proteger una organización de amenazas en constante cambio y medir eficazmente su capacidad para hacerlo requiere creatividad, pensamiento crítico y una estrecha colaboración.
