Los modelos existentes de seguridad son generalmente reactivos y se basan en métricas tales como MTTD (Mean Time To Detection, o por su traducción al español: Tiempo medio de detección) y MTTR (Mean Time To Response, Tiempo medio de respuesta), para medir sus respuesta a las brechas de seguridad con una consideración limitada de enfoques proactivos. Sin embargo, al existir modelos personalizados según la coyuntura de la organización, la selección entre diversas métricas, convierte el panorama de medición, en un ambiente con cierto grado de incertidumbre, y los profesionales atinan a implementar métricas ad hoc o conforme se van detectando en el camino. Entonces, a pesar que existen herramientas técnicas que apoyan a la organización, eso no es suficiente, y es importante contar con modelo de medición.

NIST SP 800-55 V1 vs. ISO 27004

El primero, brinda una guía de implementación de medidas de seguridad en el cual sienta los fundamentos sólidos para entender la medición de seguridad en una organización. Sin embargo, esta guía es muy amplia y no brinda métodos precisos para medir la seguridad de todos los sistemas, pero tras un correcto estudio, interpretación e implementación, sirve como punto de partida para la construcción de un programa de seguridad. Por otro lado está la norma ISO 27004:2016, este estándar tiene un objetivo más operativo de las medidas de seguridad y brinda una guía para ayudar a las organizaciones con el proceso de monitoreo, medición, análisis y evaluación de su programa de seguridad de la información y ayudar con la mejora de responsabilidad y rendimiento de seguridad, y cumplimiento con la norma ISO 27001. En resumen, ambos establecieron las bases sólidas para la necesidad de implementar métricas de seguridad en la organización.

NIST Cybersecurity Framework 2014

Es un framework voluntario que incorpora alguna de las mejores prácticas de otros estándares como ISO 27001, CIS y COBIT 5. Esto se enfoca en cinco funciones específicas que brindan una visión de alto nivel sobre la gestión de riesgos en ciberseguridad; ellas son: identificar, proteger, detectar, responder y recuperar. Esto no busca reemplazar el proceso de gestión de riesgos existente en la organización, sin embargo busca complementarlo. La versión más reciente de NIST Cybersecurity Framework contiene una sección de evaluación de riesgos de ciberseguridad el cual incluye métricas. Ahora, también existe MITRE Cyber resiliency framework, el cual tiene cuatro metas principales: Anticipar, Resistir, Recuperar y Evolucionar. Cada una de estas metas están subdivididas en diferentes sub-grupos. Por ejemplo, Anticipar, presenta Entendimiento, Preparación y Prevención, mientras que Resistir presenta Entender, Continuar y Restringir. Los objetivos de este marco tienen cierta semejanza con las funciones básicas del marco NIST Cybersecurity Framework.

Centre for Internet Security (CIS)

El centro de seguridad de internet desarrolló métricas de seguridad los cuales están fuertemente enlazados a la gestión de riesgos y ellos han categorizados sus métricas dentro de seis funciones principales para el negocio, estos son: Gestión de incidentes, Gestión de la Configuración, Gestión de Cambios, Gestión de aplicaciones, Gestión de vulnerabilidades y Gestión de parches. Estas métricas incluyen tiempo promedio de recuperación, tiempo promedio para reducir vulnerabilidades, promedio de parches y cobertura de evaluación de riesgos. CIS también agrupa métricas acorde a su perfil de puesto y audiencia objetivo para dividirlo en métricas para la gestión, métricas operacionales y métricas técnicas.

Consejo audit

Las métricas deben considerarse más que un conjunto de checklists que verifiquen la implementación de controles y cuales de ellos están dando resultados, por lo que el enfoque debe apuntar a la medición de efectividad más que implementación. En audit estudiamos su contexto empresarial para determinar los KRI necesarios para su organización.