Hola,
The Center for Internet Security (CIS) tiene diversos proyectos en marcha. Uno de ellos es la definición de unas métricas de seguridad reutilizables por organizaciones y particulares, ya que la obtención del documento Consensus Metric Definitions, que recoge la definición de las mismas, es gratuita.
Un poco de teoría sobre métricas de seguridad …
Que nadie se asuste con las métricas, ya que son de lo más sencillas de comprender. La dificultad cuando se emplean métricas de seguridad estriba en saber qué vamos a medir, cómo y para qué lo queremos someter a medición. Las métricas, en su amplia mayoría, son muy simples, pero que nadie se frote las manos: son herramientas que requieren, además de su definición inicial, la objetivación necesaria para poder extraer de ellas las pautas de actuación precisas y adecuadas.
Un ejemplo clásico dentro de la seguridad aplicativa, presente en el Consensus Metric Definitions, es el porcentaje de aplicaciones críticas (PAC), y es tan simple de obtener como calcular el porcentaje que representan, dentro del total de aplicaciones, aquellas que se consideran críticas para el negocio.
PAC = (Número de aplicaciones críticas / Total aplicaciones ) * 100
Muchos dirán que vaya simpleza. Nada más lejos de la realidad:
- ¿Qué convierte a una aplicación en crítica?
- ¿Qué objetivación asociaremos a los distintos porcentajes obtenidos?
- ¿Qué decisiones deben emanar de los porcentajes?
- ¿Qué programas específicos de seguridad serán de aplicación en cada banda porcentual?
Métricas: representaciones sencillas de estrategias complejas
Al final, como podéis imaginar, esta es una métrica sobre la que no hay datos experimentales suficientes como para obtener un consenso pleno sobre los objetivos que deben derivar del porcentaje de aplicaciones críticas. Preguntas como las anteriores pueden surgir cientos, y finalmente, lo más aconsejable es que se actúe en función a la estrategia de TI de la empresa. Lo que inicialmente parece muy simple (un porcentaje) finalmente tendrá una traducción estratégica con un componente de dificultad notorio, ya que lo que es crítico o no para el negocio, y cómo se espera se actúe en estos casos, es algo muy subjetivo y variable.
Ejemplos de lo anterior se nos pueden ocurrir muchos. Para una notaría, una aplicación en línea de gestión documental puede ser crítica, ya que su negocio depende directamente de la documentación recibida y generada, que además está sujeta a una estricta legislación, mientras que, por ejemplo, la gestión documental que los usuarios de Terra Giga puedan realizar no parece ser el alma mater de Terra, y aunque es importante y relevante custodiar adecuadamente los documentos de los usuarios, esta aplicación, probablemente, no será crítica a la hora de sustentar las operaciones del citado proveedor.
Center for Internet Security Consensus Metric Definitions
En el documento Consensus Metric Definitions encontraréis métricas para los siguientes ámbitos:
- Seguridad aplicativa
- Gestión del cambio y de la configuración
- Correlación financiera de partidas de TI
- Gestión de incidentes
- Gestión de parches (no tipificada como gestión del cambio)
- Gestión de vulnerabilidades (podría ser parte de la gestión del cambio, si bien está considerada aparte)
Consensus Metric Definitions (PDF 83 páginas, 1,31 MB) se puede descargar, previo registro y sin coste alguno para el interesado, a través de la dirección https://community.cisecurity.org/download/.
Un saludo,
Muy interesante artículo.
En todos los proyectos que gestiono, el tema delas métricas de seguridad suele ser un cabalo de batala complicado de domar o, mejor dicho, de gestionar…..
A ver qué me cuenta el documento que has referenciado..
Sigo tu blog hace tiempo, siempre encuentro algo interesante……Sigue así, gracias….