En nuestro artículo anterior, mencionamos los modelos de métricas de seguridad que se pueden aplicar en una organización y aprovechar las bondades de las mismas según la coyuntura empresarial actual. Sin embargo, estas se basan en los principios de medición, y no son tan puntuales como una metodología, es por ello que en este artículo revisaremos las metodologías disponibles para las organización en el tema de medición de niveles de seguridad. Veamos:

GQM & SPM

GQM por las siglas en inglés Goal-Question-Metrics (Meta-Pregunta-Métricas), es una metodología de la cabeza a los pies enfocada para el diseño de programas de métricas de seguridad. GQM se basa en tres niveles: Nivel conceptual (meta), nivel operacional (preguntas) y nivel cuantitativo (métrica). GQM inicialmente fue diseñado para el desarrollo de software pero fue ampliada con la unión a estrategias que respaldan las metas de negocio y programas de medición que ayudan a la toma de decisiones. Por otro lado SPM, por su siglas en inglés Security Process Management (SPM) o en español Gestión de procesos de seguridad, nombre muy predecible, es otro framework diseñado para capturar todas las actividades relacionadas a los programas de métricas que incluyen elementos estratégicos. Este framework permite a los usuarios estructurar su actividades de medición de seguridad con la visión de mejorar sus niveles de seguridad con el tiempo. Las tres capas que lo comprenden son: Métricas de seguridad, Proyecto de medición de seguridad, Mejora de proceso de seguridad.

Attack Surface & BSC

Las métricas basadas en Attack Surface, que en español significa área de ataque, son usadas principalmente para hallar un número de caminos que un atacantes podría tomar y explotar vulnerabilidades en el sistema. Los gráficos de ataque se basan en medidas cualitativas que son subjetivas y podrían afectar su precisión; además, el área de ataque cambia cada vez que se introduce un sistema en la red, lo que podría resultar en la introducción de nuevas vulnerabilidades.Los gráficos de ataque generalmente se combinan con otros métodos, como las redes bayesianas, dado que no dan la probabilidad de explotar vulnerabilidades que involucran ataques de múltiples etapas. Por otro lado, el famosísimo BSC o Balanced Scorecard, puede introducirse como metodología de medición de seguridad, ya que recordemos que esta metodología, cueta con monitoreo de eficiencia de KPIs y estos podrían convertirse o adaptarse a KRIs. BSC tiene cuatro aspectos que funcionan como sus ejes principales: Enfoque en el cliente, Contribución financiera, Excelencia operacional y madurez organizacional.

Centre for Internet Security (CIS)

El centro de seguridad de internet propone un panel de indicadores el cual podremos utilizarlo para ayudar a las organizaciones con la implementación de sus métricas de seguridad. CSI, categoriza el panel de indicadores en tres áreas a considerar, los cuales son: Impacto, operaciones y finanzas. Por ejemplo, una organización podría usar métricas para el costo de los incidentes para informar el impacto de un incidente de seguridad en la organización. Sin embargo, no todo es color de rosa con BSC, debido a que se presenta un alto índice de fallas en su implementación debido a los problemas de complejidad en sus fases de diseño e implementación, pero aún así con sus dolores, las organizaciones aún la siguen utilizando y enfrentándose a esos retos de complejidad.

Consejo audit

Las metodologías impulsan a un detalle de procesamiento de información relacionada con las mediciones de seguridad, más precisa. Su implementación debe estar respaldada por experiencia en el negocio y dominio de la misma. En muchas ocasiones, se pueden establecer metodologías propias pero estas no pueden escapar a los principios, sobre todo a los mencionados en ISO 27004. En audit, asesoramos a las organizaciones a implementar de manera eficiente las métricas de seguridad correspondientes a las ya establecidas en el mercado de seguridad de la información.