Transformando los datos en información útil para la gestión del negocio | ||||||||||
Por: Joan Ayerbe |
|
|||||||||
En cualquier organización los diferentes sistemas y sus aplicaciones generan diariamente una enorme cantidad de datos. Existen múltiples fuentes y orígenes de datos distintos: Firewalls, IDS, log’s del sistema, log’s de las aplicaciones, sistemas anti-virus, eventos de seguridad en tiempo real, cambios en servicios disponibles en red, detección de malware, errores, incidentes, vulnerabilidades… y un largo sin fin de fuentes de datos que podríamos ir añadiendo. En este escenario juegan un papel clave los Cuadros de Mando de Seguridad puesto que permiten transformar y convertir todos los datos recopilados en información útil para la gestión del negocio y de la seguridad. Un Cuadro de Mando de Seguridad es una herramienta de gestión que facilita la toma de decisiones, que recoge un conjunto de indicadores que proporcionan tanto a la Dirección como a los mandos intermedios (incluso a los operadores) una visión del funcionamiento y del nivel de seguridad de la organización mediante el examen del grado de cumplimiento de los objetivos establecidos y de las desviaciones producidas. Es, por tanto, una herramienta orientada al control. El staff Directivo y los Responsables de Seguridad están tratando, cada vez más, de implantar herramientas de ayuda a la toma de decisiones basadas en mediciones del estado de la seguridad. Los Cuadros de Mando de Seguridad citados anteriormente permiten (como funcionalidad principal) la lectura y análisis de la información de modo rápido y preciso, optimizando la toma de decisiones. Para ello es necesario contar con información y datos de los sistemas que aporten evidencias objetivas en las que basar las decisiones. La obtención de evidencias de forma automatizada, como se ha comentado anteriormente, no representa un problema dadas las múltiples fuentes existentes actualmente. Esta información acumulada en los sistemas una vez tratada y normalizada convenientemente puede permitir identificar oportunidades o necesidades de mejora así como representar las deficiencias detectadas. Disponer de una consola de gestión única que integre toda la información de seguridad posibilita una lectura ágil de esta información y reduce el tiempo de reacción ante incidencias, además de mostrar en todo momento el nivel de seguridad global. No obstante para que todas estas “bondades” sean posibles un Cuadro de Mando debe recopilar la información de acuerdo a las siguientes directrices generales: Llegados a este punto en el que, en principio, parecen claros los beneficios principales aportados por un Cuadro de Mando veamos los elementos clave que se deben considerar para su desarrollo. Existen dos enfoques posibles para desarrollar un Cuadro de Mando de Seguridad: 1. Enfoque ‘bottom-up’ (de abajo hacia arriba): Este enfoque tiene como ventaja principal que permite acelerar el proceso de desarrollo del Cuadro de Mando. La principal característica de este enfoque es que se parte de la información disponible en relación a la seguridad (datos, registros, logs, etc.). A partir de dichos datos disponibles se seleccionan los indicadores sabiendo a priori que la información necesaria para obtenerlos es conocida. 2. Enfoque ‘top-down’ (de arriba hacia abajo): Este enfoque parte de la premisa de disponer de un mapa estratégico definido: está definida la estrategia para que el departamento/área pueda alcanzar los objetivos estratégicos de la organización (situación muy poco habitual en las organizaciones actualmente). Una de las actividades iniciales debe centrarse en conocer qué es lo que se espera del Cuadro de Mando, identificando los destinatarios a los que se les van a comunicar y presentar los resultados de las mediciones lo que determinará las categorías de los indicadores a incluir y permitirá balancearse hacia indicadores relacionados con la eficacia, la eficiencia, la gestión, el entorno, etc. El siguiente paso consistirá en identificar el conjunto de indicadores que formarán parte del Cuadro de Mando en función de los servicios de seguridad existentes y los objetivos establecidos. Existen diferentes tipologías genéricas de indicadores, entre las que destacan las siguientes: Tras la primera aproximación eligiendo los indicadores se deberán definir las métricas de seguridad. Las métricas deben permitir conocer cuál es el estado de seguridad, de forma que interpreten los valores de los indicadores resultantes de las mediciones realizadas. Deben, por tanto, aportar un criterio de decisión: ¿Esta bien? ¿Está mal? ¿Necesita mejorar? ¿Cumple con los objetivos?. En el proceso de definición de las métricas se deben definir los valores objetivo (umbrales, valores aceptables, inaceptables, niveles de tolerancia, escalas de medición, etc.) que puedan ser identificados fácilmente por el público objetivo a quien se comunica la medida. Los umbrales deberán ser consensuados con los diferentes perfiles a los que vayan destinadas las mediciones. El siguiente paso consistirá en detallar de forma pormenorizada toda la información sobre cada uno de los indicadores que queden aprobados en la fase de selección de indicadores. Algunos aspectos a considerar serían los siguientes: Origen de los datos (fuentes de información), Requisitos previos necesarios, Fórmula de cálculo, Procedimiento de recopilación, Frecuencia y periodicidad, Fecha de obtención, Definición de responsabilidades de propiedad, recolección, análisis y comunicación…. Una vez superadas las etapas anteriores “solo” queda diseñar el Cuadro de Mando. En esta fase se deberán establecer los criterios para la normalización de los elementos que compondrán el Cuadro de Mando, con objeto de facilitar la agrupación, simplificación, composición y comparación entre las magnitudes de los mismos. Deberá acordarse también la simbología a utilizar para la representación gráfica en el Cuadro de Mando. Algunas posibilidades pueden ser: Gráficos de Barras 2D/3D (horizontales y verticales), de Quesitos, Mixtas (Barras y líneas), Stacked bars, Indicadores analógicos, semafóricos, etc. Por último deberán implementarse los indicadores en la herramienta que la organización decida como más oportuna. Esta fase está condicionada en gran medida al soporte informático que se utilice para la presentación de la información. En este sentido existen diferentes posibilidades: |
• Tendrás acceso gratuito a todos los eventos organizados por ISMS Forum Spain, incluyendo las dos Jornadas Internacionales de Seguridad de la Información anuales.
• Contarás con descuentos especiales para matricularte en las actividades formativas organizadas por ISMS Forum Spain, como cursos o seminarios.
• Accederás a descuentos exclusivos para socios de ISMS Forum en distintos eventos y cursos organizados por colaboradores de la Asociación.
• Podrás darte de alta en el Registro de Profesionales Certificados de España y poner a disposición del mercado, si lo deseas, tus datos de contacto. El único requisito es poseer una o varias certificaciones (CCSK, CDPP, CIMS, CISA, CISSP, L.A. ISO 27001, etc.).
• Recibirás la newsletter de la Asociación y tendrás acceso a la descarga gratuita de estudios y publicaciones fruto de la labor de los Grupos de Trabajo de ISMS Forum Spain u otros de especial interés para el sector.
• Gracias al networking podrías incrementar tu red de contactos e intercambiar experiencias con otros profesionales de la Seguridad de la Información que desarrollan su labor en empresas, administraciones públicas, universidades y centros de investigación, otras asociaciones y organismos de todos los sectores.
• Podrás formar parte de los grupos de trabajo de las distintas iniciativas de ISMS Forum (Data Privacy Institute (DPI), Cloud Security Alliance España (CSA-ES), Cyber Security Center (CSC), cursos de formación, etc.), y participar directamente en el desarrollo de sus actividades.
• Podrán hacer visible su compromiso con la Seguridad de la Información y materializar la Responsabilidad Social Corporativa.
• Tendrán la capacidad para nombrar a ocho trabajadores de la empresa como socios de pleno derecho.
• Si eres microempresa, de menos de 10 trabajadores, podrás nombrar hasta dos trabajadores como socios de pleno derecho.
Si te haces socio de ISMS Forum, formarás parte de la mayor red activa de organizaciones y expertos comprometidos con la Seguridad de la Información en España.