Número de intentos de intrusión, nivel medio de severidad de incidentes de seguridad, monitoreo de virus y malware, métricas de tiempo promedio, volumen de datos de la red corporativa…. Los líderes de seguridad están inundados de métricas para seguir.

En el mejor de los casos, seguir demasiadas métricas es una distracción que diluye su enfoque. En el peor, pueden pintar una imagen engañosa del desempeño de su programa de ciberseguridad y afectar su capacidad de tomar decisiones empresariales bien informadas. Demasiadas métricas también pueden confundir y abrumar a sus ejecutivos y a la junta.

Los CISOs, CIOs y líderes de seguridad de TI más efectivos son capaces de separar la señal del ruido al centrarse en los indicadores clave de rendimiento correctos y monitorearlos obsesivamente. Con ese fin, hemos afinado una lista de 10 métricas y KPIs que brindan a los CISOs y equipos de seguridad conocimientos prácticos sobre sus iniciativas de ciberseguridad. Debe elegir solo los más relevantes para su situación.

Métricas de ciberseguridad versus KPIs

Una breve introducción antes de sumergirnos en la lista de métricas y KPIs: ¿cuál es la diferencia entre métricas de ciberseguridad y KPIs?

Los KPIs miden el rendimiento en torno a objetivos comerciales estratégicos. Ayudan a los CISOs y otros líderes de ciberseguridad a comprender qué aspectos del programa de seguridad se han implementado exitosamente y qué áreas necesitan mayor atención para que puedan tomar decisiones informadas sobre la estrategia de ciberseguridad.

Las métricas de ciberseguridad proporcionan conocimientos cuantitativos sobre cómo están funcionando los controles y programas de seguridad de una organización.

Los KPIs deben ser prácticos y orientados a objetivos. Aquí hay un ejemplo de un KPI y una métrica de ciberseguridad:

• KPI de ciberseguridad: Medir la efectividad de la formación en seguridad a través de un puntaje medio de salud de seguridad de los empleados.
• Métricas de ciberseguridad: Tasas de finalización de la formación en concienciación sobre seguridad, puntuaciones promedio de los cuestionarios, tasas de éxito de las pruebas de phishing, tasas de reconocimiento de políticas.

Las métricas y KPIs de ciberseguridad correctos son esenciales para medir el rendimiento y responder al riesgo de manera más efectiva y eficiente. Proporcionan una mejor visibilidad de cómo las iniciativas de ciberseguridad agregan valor en toda la empresa. Y ayudan a los CISOs y CIOs a demostrar a la alta dirección y a la junta directiva lo que han hecho para proteger la integridad y seguridad de los datos en toda la organización.

10 métricas clave de ciberseguridad para seguir en 2023

Estas diez métricas y KPIs le ayudarán a medir la efectividad de sus controles e iniciativas de seguridad de la información. Con estas métricas, estará bien preparado para identificar y mitigar riesgos y proteger sus activos de información.

KPIs de detección de amenazas y respuesta a incidentes

1. Tiempo Medio para Detectar (MTTD): Cuanto más rápido su equipo detecte un incidente de seguridad, más rápido podrá responder. Esta métrica mide el tiempo promedio entre cuando ocurre un incidente y cuando se detecta.

2. Tiempo Promedio de Respuesta (MTTR): Cuanto más rápido pueda tu equipo responder a un incidente, mejor podrá contenerlo y limitar su impacto. Medir el tiempo promedio que tu equipo tarda en neutralizar una amenaza y recuperar el control de los sistemas comprometidos puede ayudarte a minimizar los daños potenciales y optimizar tus esfuerzos.

3. Tiempo Promedio para Contener (MTTC): ¿Cuánto tiempo tarda tu equipo en asegurar todos los puntos finales comprometidos y vectores de ataque? Rastrear esta métrica puede demostrar la eficiencia y efectividad de tu equipo en reducir el impacto de un incidente de seguridad o ciberataque.

Enfócate en el MTTR y si crees que tiene sentido, incluye el MTTD más tarde.

Indicadores Clave de Rendimiento (KPI)

4. Retraso y Tiempo de Inactividad Promedio: Esta métrica rastrea el tiempo promedio que los sistemas no están operativos, ya sea por reparación, mantenimiento correctivo y preventivo, o fallos del sistema. Según Gartner, un solo minuto de inactividad cuesta a las empresas un promedio de $5,600. La mejor manera de mitigar los riesgos de inactividad y minimizar los costos es rastrear e identificar tendencias.

5. Costo Promedio por Incidente de Seguridad: ¿Cuánto cuesta responder y resolver un ataque? Ten en cuenta factores como los costos de investigación y remediación, así como la pérdida de productividad de los empleados y las horas extras. Ten mucho cuidado en asegurarte de que tu KPI aquí esté bien informado y respaldado por buenos datos. Si lo inventas y no puedes explicarlo, perderás credibilidad.

6. Número de Sistemas con Vulnerabilidades Conocidas o Gran Número de Misconfiguraciones: Un entendimiento profundo de las vulnerabilidades dentro de tu entorno es esencial para identificar y mitigar amenazas. ¿Cuántas vulnerabilidades están presentes en tu sistema y cuáles son vulnerabilidades críticas? Los informes de escaneos de vulnerabilidades regulares, pruebas de penetración, y lanzamientos de parches pueden ayudar a demostrar las tendencias en el número de activos expuestos y probar la efectividad de tu gestión de vulnerabilidades.

Indicadores Clave de Preparación (KPI)

7. Eficacia del Entrenamiento en Seguridad: Los empleados que saben cómo reconocer y responder a posibles amenazas cibernéticas son esenciales para prevenir una brecha. ¿Qué tan efectivo es tu entrenamiento de concienciación en seguridad para reducir el riesgo humano? Estas métricas te ayudarán a entender qué está funcionando e identificar oportunidades para mejorar.

• Porcentaje de empleados que completaron el entrenamiento de concienciación en seguridad en los últimos 12 meses y resultados de las pruebas
• Éxito de los ataques de phishing simulados

8. Informes de Riesgo de Seguridad y Cumplimiento de los Proveedores; calificaciones de seguridad: Casi el 60% de las empresas creen que han sufrido una brecha de datos debido al acceso de proveedores. Las calificaciones de seguridad de los proveedores proporcionan una visión general de la fortaleza de la postura de seguridad de una organización. Rastrear las calificaciones de seguridad de los proveedores con los que te asocias puede ser una manera efectiva de monitorear y limitar tu exposición al riesgo. La cadena de suministro y los proveedores son críticos; muchos tienen prácticas de seguridad de datos menos que ideales, lo que tiene un impacto directo e importante en cualquier programa de seguridad.

9. Cadencia de Parches (y cadencia de parches de proveedores): ¿Con qué frecuencia revisa tu organización los sistemas, redes, dispositivos y aplicaciones para actualizaciones que corrigen vulnerabilidades de seguridad? Un proceso de parches bien establecido puede ayudarte a rastrear, monitorear, priorizar y limitar las vulnerabilidades. Si no aplicas parches, eres susceptible a brechas de seguridad.

10. Gestión de Accesos: Una estrategia IAM sólida impacta múltiples aspectos de una organización, desde fortalecer la seguridad y confidencialidad de los datos hasta reducir la carga de trabajo para los equipos de TI y seguridad de la información. Al monitorear los controles de acceso y limitar el acceso al mínimo necesario, puedes demostrar a los interesados que has reducido dramáticamente el riesgo de acceso no autorizado.

• Número de usuarios con nivel de acceso de superusuario
• Tiempo promedio para desactivar las credenciales de ex-empleados
• Frecuencia de revisión del acceso de terceros

La auditoría de seguridad interna y los informes de cumplimiento también deben revisarse periódicamente para actualizar los elementos clave de su postura de seguridad de la información, como su panorama actual de amenazas, estrategia de gestión de riesgos, exposición a riesgos de terceros, plan de remediación y cualquier punto de referencia de rendimiento interno.

Informe ejecutivo: Hacer que las métricas de ciberseguridad sean significativas

Rastrear las métricas que importan es solo una parte del rompecabezas: es fundamental hacer que esas métricas importen a otras partes interesadas clave.

Puede que tenga 10 o 15 métricas (o más) que rastree para su propio beneficio, pero como CISO, su trabajo es tomar esas métricas y contar una historia que esté hecha a medida para su audiencia específica y explique por qué deberían importarle. Cuando se presenta al equipo ejecutivo, puede compartir las seis o siete métricas principales, pero cuando informa al consejo de administración, puede resaltar solo dos o tres.

¿Qué le importa a su audiencia y cómo puede mostrar el impacto de sus actividades de seguridad y cumplimiento en esos objetivos comerciales clave?

Al consejo le importa el ingreso y las ganancias, por lo que use sus métricas de informe para demostrar y cuantificar cómo sus esfuerzos mueven esa aguja. Tal vez haya logrado nuevas certificaciones de seguridad o implementado un proceso más rápido de RFPs y cuestionarios de seguridad y eso impactó positivamente en la cantidad de clientes que adquirió o el tamaño promedio de los acuerdos.

Al compartir resultados trimestrales con el equipo ejecutivo, puede presentar una serie de KPIs que son puntuaciones agregadas de varias métricas de seguridad y cumplimiento: un puntaje de riesgo de vulnerabilidad, puntaje de riesgo de terceros, puntaje de cumplimiento de seguridad, puntaje de concientización de seguridad; luego demuestre cómo esas puntuaciones agregadas están mostrando una tendencia a lo largo del tiempo y cómo afectan la salud general de la organización.

Cualquiera que elija presentar, debe estar hecho a medida para su organización y su audiencia. Como CISO, es fundamental que pueda traducir sus métricas en una narrativa significativa que explique cómo los programas de seguridad, privacidad y cumplimiento agregan valor en toda la empresa.

Elegir las métricas de ciberseguridad adecuadas para su negocio

Como con casi todo en el mundo de la seguridad de la información, no hay una respuesta única para todos. Aunque las métricas listadas anteriormente le brindarán información esencial sobre cómo está funcionando su programa de ciberseguridad a lo largo del tiempo, las métricas exactas que elija rastrear dependerán de su industria específica, regulaciones, requisitos de los clientes y perfil de riesgo de ciberseguridad.

Una plataforma todo en uno de automatización de seguridad y privacidad como Secureframe facilita obtener información significativa sobre las métricas de rendimiento que más te importan. La monitorización continua a lo largo de tu stack tecnológico ofrece visibilidad completa y conocimientos prácticos sobre la postura de seguridad y privacidad de tus datos, y los paneles en tiempo real te dan una visión clara de tu estado de cumplimiento de un vistazo.

Conoce más sobre las potentes capacidades de informes de Secureframe, o ve la plataforma en acción solicitando una demostración.