El Cyber Report se produce cuando la Comisión de Bolsa y Valores de EE. UU. exige a los directores de seguridad de la información (CISO) y a las juntas directivas que aumenten la transparencia sobre las capacidades de ciberseguridad de sus organizaciones y aceleren la divulgación de violaciones a los inversores y las métricas se han convertido en una prioridad aún mayor. para empresas este año.
Las juntas están capacitando a los ejecutivos de seguridad y riesgos para que comprendan mejor cómo realizar un seguimiento de los indicadores clave de rendimiento (KPI) y los indicadores clave de riesgo (KRI) y cómo utilizar estas métricas para asesorar e informar a la junta. Tenemos requisitos estrictos para ser exactos. La base tanto para los KPI como para los KRI son las métricas operativas de seguridad que rastrean el alcance de los activos, las actividades de ciberseguridad relacionadas con esos activos y los resultados de seguridad medidos.
“Los equipos de seguridad utilizan métricas operativas para rastrear e informar sobre las actividades y resultados de seguridad cibernética”, dice el veterano líder en riesgos cibernéticos 2, para ayudar a las juntas directivas y a los ejecutivos a mantenerse al tanto de los problemas cibernéticos. Se explica en un libro introductorio publicado recientemente, “The Cyber. Sala de juntas inteligente.” “Cuando se comparten con el comité de auditoría o de riesgo de una junta, estos indicadores clave de desempeño iluminan la efectividad de las capacidades y controles de seguridad cibernética de una organización, ayudando a la junta a justificar las inversiones en tecnología y talento. También ayuda a evaluar el género.
En coautoría con Homaira Akbari, directora ejecutiva de la consultora global AKnowledge Partners, y Shamla Naidoo, directora de estrategia en la nube de Netskope, este libro cubre una amplia gama de temas, pero algunas de las partes más importantes del libro introductorio se centran en indicadores. . Dark Reading ha resumido y extraído el libro aquí, en el que Akbari y Naidoo analizan los temas más críticos que los CISO creen que es esencial rastrear y compartir con las juntas directivas para informar sobre los niveles de riesgo y el desempeño de la seguridad.
La advertencia, por supuesto, es que los líderes de seguridad deben poder compilar estas métricas en evaluaciones y paneles de control fáciles de entender. Como se explica en el manual, las métricas detalladas en cada categoría crean un modelo respaldado por datos para determinar la efectividad de los programas de una organización e identificar brechas en la protección.
“Las conclusiones de estas evaluaciones deben compilarse en varias evaluaciones integrales e incorporarse al panel de control de ciberseguridad de una empresa”, explican Akbari y Naidoo.
datos
Estas métricas deben abarcar los riesgos asociados con los activos de datos y rastrear el desempeño de las medidas de protección clave para la seguridad, resiliencia y continuidad de los datos. Algunas de las métricas que Akbari y Naidoo recomiendan que los CISO sigan en esta categoría incluyen:
Información de empleado/cliente/usuario en la Dark Web%
Profundidad de la segmentación del lago de datos
activos financieros
El riesgo y la pérdida de activos financieros se incluyen en este grupo de indicadores y deberían proporcionar una idea del impacto financiero de una infracción reciente. Las métricas que los autores recomiendan seguir (basadas en el último trimestre o el año pasado) incluyen:
Valor real del dinero perdido/criptomoneda
Pérdida financiera o de productividad debido al ransomware
Cantidad de datos financieros filtrados (cuentas, tarjetas de crédito, puntos, credenciales de banca online)
Aunque no se menciona específicamente, también es valioso realizar un seguimiento de los datos sobre las pérdidas financieras y los costos indirectos de respuesta a violaciones debido al Business Email Compromise (BEC).
gente
Ya sea que sean víctimas de phishing o ataques BEC (liberación de datos o exposición de sistemas de acuerdo con una política), las empresas generalmente ven a su gente como su mayor vulnerabilidad. Medir la efectividad de la capacitación en concientización sobre seguridad puede ser difícil, pero existen algunas métricas que pueden brindarle una idea aproximada de qué tan bien la fuerza laboral de su organización cumple con las mejores prácticas y políticas de seguridad. Los autores sugieren los siguientes indicadores en esta categoría:
Tasa de clics en correos electrónicos de phishing
% de correos electrónicos sospechosos reportados
Número total de cuentas de cuentas privilegiadas
% de empleados mueven datos/archivos fuera del sitio
Otras métricas que no se mencionan directamente pero que siguen siendo relevantes incluyen los resultados de simulaciones de phishing, puntuaciones de evaluación de conocimientos y datos de cuentas y de comportamiento sobre personas de alto riesgo.
proveedor
Las juntas directivas estarán informadas sobre los riesgos operativos de seguridad relacionados con los proveedores y los niveles de rendimiento, ya que incidentes como SolarWinds han llevado a muchos ejecutivos a priorizar la gestión de riesgos de terceros y la seguridad de la cadena de suministro digital. Akbari y Naidoo creen que es importante que los CISO mantengan el negocio enfocado en los siguientes datos y métricas de tendencias:
Autocertificación de la postura de ciberseguridad de un tercero
Evaluación externa de pares y de la industria.
Monitoreo continuo de la postura de terceros y cuartos.
cumplimiento de auditoría externa
Puntuación de la prueba de penetración (del proveedor)
A medida que los equipos de seguridad de aplicaciones comienzan a considerar los riesgos de la cadena de suministro de software, incluidas las dependencias riesgosas de códigos y componentes de terceros, es probable que los datos sobre los proveedores se superpongan en gran medida con las métricas sobre las aplicaciones empresariales (ver más abajo).
infraestructura
Ya sea en las instalaciones o en la nube, las exposiciones de la infraestructura de TI y las características de seguridad deben monitorearse y medirse adecuadamente para reducir el riesgo en la red y los activos de hardware. Los datos operativos que los autores sugieren en esta categoría incluyen métricas como:
Número de servidores/hardware que se acercan al final de su vida útil
Configuración segura de todos los activos
Profundidad de la segmentación de red/infraestructura
Nivel de automatización para el inventario y control de activos de hardware.
Profundidad de implementación de la arquitectura Zero Trust: identidad, dispositivos, acceso, servicios
Dispositivo controlado por el usuario
Los CISO deberían poder explicar a los ejecutivos el nivel de control de la organización sobre la TI en la sombra y otros dispositivos controlados por el usuario que operan en la red. Akbari y Naidoo dicen que debes prestar atención a los siguientes indicadores comunes:
Número de dispositivos no identificados en su red
Número de dispositivos con software sin parches
Número de amenazas detectadas y prevenidas por soluciones de endpoint
Nueva tecnología: IoT
Durante la última década, el alcance y la escala de los dispositivos de Internet de las cosas (IoT) han planteado riesgos importantes para las empresas. Los autores sugieren que los CISO proporcionen los siguientes indicadores de riesgo con respecto a estos:
Número de dispositivos IoT que no se pueden actualizar ni parchear
Número de puertos IoT que se conectan a la red corporativa
Profundidad de la segmentación de IoT a partir de recursos empresariales
Aunque actualmente la atención se centra en la IoT, el mismo enfoque se puede aplicar a todas las tecnologías emergentes. Por ejemplo, la IA puede incluir métricas sobre su uso y, con las herramientas de seguridad de IA emergentes, el nivel de exposición al riesgo por el uso de IA dentro de una organización.
aplicación empresarial
Las aplicaciones, ya sean de software comercial o desarrolladas internamente, representan algunas de las mayores superficies de ataque en las empresas actuales. Akbari y Naidoo ofrecen algunas métricas generales que las juntas directivas deben conocer.
Vulnerabilidades conocidas del software abierto
Parche de software no aplicado
Número de vulnerabilidades de software de día cero
Hay muchos datos y métricas de seguridad de aplicaciones adicionales que pueden ayudarle a realizar un seguimiento de los niveles de rendimiento y riesgo en toda su cartera de aplicaciones. Datos como la proporción de revisiones de código automatizadas y manuales, tiempo para corregir vulnerabilidades críticas, tasa de apertura de vulnerabilidades críticas y métricas que agregan contexto sobre la explotabilidad y el valor comercial de los activos con fallas críticas conocidas. Considere incluirlos.
Probando su postura de seguridad
La validación y las pruebas de seguridad son una parte fundamental de un programa de seguridad, por lo que los CISO deben realizar un seguimiento no solo de los resultados de las pruebas de seguridad, sino también de la tasa de implementación de las pruebas. Según Akbari y Naidoo, las métricas que entran en esta categoría incluyen:
Pruebas de penetración (rojo, azul)
Calificaciones de seguridad externas independientes y comparaciones entre pares y la industria
Informes de Auditoría Interna/Externa sobre Cumplimiento Normativo y Cibernético
Aplicaciones y otros puntajes de pruebas y descubrimientos.
Detección y respuesta a incidentes
Las juntas directivas están muy preocupadas por la capacidad del equipo de seguridad para detectar y responder a incidentes. Akbari y Naidoo recomiendan algunas de las siguientes métricas operativas comunes para realizar un seguimiento de esto:
• Número y proporción de incidentes reales a intentos de intrusión.
• Tiempo medio de detección
• Tiempo promedio hasta la contención
• Tiempo promedio de reparación/resolución
• Puntuaciones y descubrimientos del equipo rojo
Además, si su CISO realiza actividades como ejercicios prácticos o simulaciones de ataques, puede beneficiarse al proporcionar esas métricas y resultados.
Fuente: https://www.darkreading.com/cybersecurity-analytics/10-security-metrics-categories-cisos-should-present-to-the-board
