PDF de programación - ¿Cómo puede medirse la seguridad? / How can security be measured?

Copyright © 2005 Information Systems Audit and Control Association. Reservados todos los derechos. www.isaca.org.



¿Cómo Puede Medirse la Seguridad?

Por David A. Chapin -CISA, CISM, CISSP, IAM- y Steven Akridge -JD, CSM, CM, CISSP, IAM-

L

as métricas de seguridad tradicionales son, en el me-
jor de los casos, fortuitas; en el peor, dan una falsa
sensación de seguridad, que lleva a una implantación
ineficiente o insegura de medidas de seguridad. Este artículo
presenta un enfoque donde se combinan madurez y calidad
para proporcionar una imagen más completa y ordenada del
estado de seguridad de una organización. Nos referiremos a
este enfoque como Modelo de Madurez del Programa de
Seguridad.

Las métricas de seguridad -la medida de la eficacia de los
esfuerzos en seguridad de una organización a lo largo del
tiempo- han sido siempre difíciles de evaluar. ¿Cómo puede
determinar una organización si se encuentra segura? La me-
dida de la calidad del programa de seguridad sólo puede
probarse realmente cuando la organización se ve agobiada
por una crisis. Pero para evitar esa situación es precisamente
para lo que se realiza el esfuerzo en seguridad.

La gerencia necesita alguna medida de cómo de segura
está la organización. Las organizaciones necesitan pregun-
tarse:
• ¿Cuántos recursos son necesarios para estar "seguro"?
• ¿Cómo puede justificarse el coste de nuevas medidas de

seguridad?

• ¿Recibe la organización algo a cambio de su inversión?
• ¿Cuándo sabe la organización que está "segura"?
• ¿Cómo puede comparar la organización su estado con
otras del sector y con los estándares de buenas prácticas?
La respuesta tradicional a estas preguntas se relaciona
con la evaluación del riesgo y el riesgo residual que la orga-
nización está dispuesta a asumir en función de sus necesida-
des de negocio y limitaciones de presupuesto. La gestión del
riesgo puede darse por sentada, no conduciendo necesaria-
mente a un estado de mayor seguridad.

Imagine, por ejemplo, un análisis de riesgos que contiene
una matriz de amenazas y el coste de mitigar los riesgos.
Algunos de los elementos de la lista tendrían un coste insig-
nificante. Otros elementos serían muy caros (figura 1). Con
frecuencia, la gerencia puede decidir mitigar el mayor nú-
mero de elementos por la menor cantidad de dinero, posi-
blemente dejando de lado los elementos más caros. La supo-
sición es que añadir controles de reducción del riesgo es la

Fig. 1 - Sopesando el Coste de los Controles de Seguridad

¿Es mejor comprar más por la misma cantidad de dinero?

mejor opción. Por ello, hay una tendencia a comprar grandes
cantidades de herramientas de seguridad y evitar los contro-
les más caros y menos glamurosos. Los controles más com-
plicados tienden a ser de naturaleza organizativa, requirien-
do cambios culturales (tales como un plan de recuperación
de desastres), más que soluciones llave en mano (tales como
cortafuegos y sistemas de detección de intrusos -IDSs-). La
dirección piensa que está comprando más seguridad por
menos dinero.

Sin embargo, ¿quién dice que se compre más seguridad?
¿Cómo puede medir la organización la protección relativa
obtenida con cada adquisición? ¿Está comprando la organi-
zación las salvaguardas de seguridad en el orden correcto?
¿Está exponiéndose la organización a más riesgo debido al
enfoque no sistemático de la implantación?

Crear programas de seguridad desde cero permite abor-
dar estos problemas tradicionales de métricas de seguridad
de otra forma. Una mirada renovada a dichos problemas fa-
cilita el desarrollo de una solución exhaustiva para cualquier
sector.

Este enfoque nuevo, más sistemático, de las métricas de

seguridad permitirá:
• Generar mediciones reproducibles y justificables.
• Medir algo que tenga valor para la organización.
• Determinar el progreso real en el estado de la seguridad.
• Ser aplicable a un amplio espectro de organizaciones, al

tiempo que produce resultados similares.

• Determinar el orden en que deberían aplicarse los contro-

• Determinar los recursos que necesitan ser destinados al

les de seguridad.

programa de seguridad.

Métricas de seguridad tradicionales. ¿Qué
medir?

Una medida, por sí misma, no es una métrica. Debe in-
cluirse también el factor tiempo; tampoco la métrica sola es
la respuesta a todos los problemas de la organización. Hay
que considerar y analizar el significado temporal de las mé-
tricas. El truco está en desarrollar métricas que sean simples
y proporcionen información útil a la gerencia, a la vez que
se corresponden con objetivos relacionados con la seguri-
dad. Las métricas tienen que iluminar a la organización
mostrando algún tipo de progreso.

Obviamente, la tarea de las métricas de seguridad es con-
tar o medir algo. Pero, ¿qué debería contarse? ¿Cómo puede
medirse la seguridad? La figura 2 muestra ejemplos de mé-
tricas de seguridad utilizadas tradicionalmente. Muchas or-
ganizaciones cuentan los incidentes tratados, p. ej., virus de-
tectados o eventos registrados. ¿Cómo proporciona esto una
medida de la calidad del programa de seguridad? ¿Cómo
muestra esto el progreso?

Los totales de incidentes son medidas poco fiables, por la
siguiente razón: imagine una pequeña población con un solo
agente de policía. No realiza otra tarea policial más que pa-
trullar la carretera con un radar, deteniendo a cientos de
conductores por exceso de velocidad. Ahora, imagine una
gran ciudad con muchos policías. No usan radares y han pa-
rado a pocos conductores por exceso de velocidad, pero tie-
nen un gran programa de conducción defensiva y otro de
prevención de alcohol al volante. ¿Es más segura la pequeña
población que la gran ciudad? La cuenta de conductores por

I N F O R M A T I O N S Y S T E M S C O N T R O L J O U R N A L , V O L U M E N 2 , 2 0 0 5



exceso de velocidad es sólo tan buena como el mecanismo
de detección, pero ese número no ofrece ninguna profundi-
zación. ¿Qué hay de los conductores borrachos que no ex-
ceden la velocidad en la pequeña población?; ¿no son po-
tencialmente más peligrosos?



Figura 2 - Métricas de Seguridad Tradicionales

Métrica
Número de
virus o códi-
gos malig-
nos detecta-
dos
Número de
incidentes e
investigacio-
nes de segu-
ridad

Supuesta Medición Peligros
Eficacia de los con-
troles antivirus auto-
máticos

¿Por qué pasan tantos vi-
rus en primer
lugar?
¿Cuántos pasaron y nun-
ca se detectaron?

Nivel de actividad de
la monitorización de
eventos de seguridad

Coste de las
brechas de
seguridad

Pérdidas económicas
reales debidas a fa-
llos de seguridad

Recursos
asignados a
las
funcio-
nes de segu-
ridad
Cumplimien-
to de las re-
glas de se-
guridad

Coste económico re-
al de utilizar un pro-
grama de seguridad

Nivel de cumplimien-
to de los objetivos
del programa de se-
guridad

¿Qué umbral desencade-
na un incidente o una in-
vestigación? ¿Se desen-
cadenan
incidentes por
defectos en los procedi-
mientos organizativos?
¿Qué riesgos residuales
eligió asumir la empresa?
¿Es una medida de la
respuesta ante crisis o
desastres, pero no nece-
sariamente función de las
salvaguardas
sensatas
implantadas?
las
¿Son
herramientas,
tareas
asignadas o procedimien-
tos, llevando al personal a
perder tiempo?
¿Cómo se relaciona el
cumplimento con la efica-
cia? ¿Cuál es el orden de
cumplimiento? Una vez
logrado el cumplimiento,
¿se "acaba" el programa
de seguridad?

ineficientes



Ahora, compare esto a una herramienta antivirus en un
entorno de sistemas de información. El hecho de que esté
reportando un gran número de virus puede dar la sensación
al equipo de seguridad que su herramienta está funcionando
pero, ¿qué dice realmente acerca de la seguridad? En primer
lugar, ¿por qué están entrando tantos virus? ¿Cuántos entran
y no son detectados? ¿Cómo mide esto la calidad del pro-
grama de seguridad? ¡Debería considerarse como un gran
éxito el que el antivirus no detecte nunca un virus debido a
que ninguno llega a entrar en el sistema!

Otra métrica de seguridad tradicional es el tiempo dedi-
cado a una tarea -cuánto tiempo dedica el personal a funcio-
nes relacionadas con la seguridad-. En algunos casos, desde
un punto de vista de dirección de proyecto, esta métrica
puede ser valiosa, porque los dos únicos recursos que la
gente aporta a una organización son su capacidad intelectual
y el tiempo que emplean utilizándola. Pero, desde el punto
de vista de la seguridad, el tiempo de las personas puede no
ser una métrica valiosa. Por ejemplo, al medir el tiempo de-
dicado a investigaciones de seguridad, ¿más tiempo dedica-
do indica necesariamente un mejor estado de la seguridad?
Pudiera ser que el tiempo se esté usando ineficientemente
investigando incidentes de seguridad debido a que los pro-
cedimientos de la organización son débiles -desencadenando
más incidentes para ser tratados por el equipo de seguridad,

cuando podrían ser prevenidos de otra forma, como, p. ej.,
con mejor formación.

Finalmente, otra métrica clásica es el coste del daño pro-
vocado al negocio por un incidente de seguridad. En primer
lugar, esto parte de que algo malo ha sucedido. Mientras que
puede que mida la eficacia de la respuesta ante el desastre,
no es necesariamente una buena medida de la calidad del
programa de seguridad. Algunos incidentes son función del
riesgo residual que la empresa está dispuesta a asumir, com-
binados con circunstancias desafortunadas. O bien, otros in-
cidentes pueden ser el resultado de prácticas de seguridad
pobres que abren la