Los responsables de seguridad necesitan métricas de éxito fiables
Los líderes en ciberseguridad desempeñan un papel fundamental en la protección de las organizaciones actuales frente a los riesgos. Como primera línea de defensa contra los ciberataques, los directivos y sus equipos son responsables de evitar resultados empresariales catastróficos, desde cierres de operaciones hasta fugas de datos confidenciales, consecuencias legales y mucho más. Es mucho lo que está en juego para estos directivos, y cada vez lo es más a medida que intentan sortear un panorama de amenazas en rápida evolución, adversarios cada vez más sofisticados y una creciente variedad de activos que proteger.
A pesar de la naturaleza crítica de su trabajo y de los importantes retos a los que se enfrentan, muchos responsables de seguridad no están recibiendo la inversión financiera y tecnológica adecuada que necesitan.
Cerrar la brecha entre los CISO y la alta dirección
Para dar luz verde a una inversión significativa, los consejos de administración y otras partes interesadas suelen necesitar parámetros cuantificables y resultados demostrables. Quieren saber: ¿qué impacto tangible tendrá una inversión en la empresa? Los responsables de seguridad saben que el impacto de su trabajo es enorme, pero a menudo tienen dificultades para conseguir las pruebas concretas que los consejos quieren ver.
Esto se debe a que, sin los marcos y puntos de referencia adecuados, es difícil determinar con exactitud qué aspecto tiene el éxito de un programa de seguridad, y aún más difícil de validar. Incluso cuando los responsables de seguridad pueden definir el éxito, a menudo tienen dificultades para traducir métricas de seguridad técnicas y complejas en términos empresariales que resulten comprensibles para los miembros del consejo de administración, muchos de los cuales carecen de conocimientos profundos sobre ciberseguridad.
En una encuesta reciente realizada a CISO, la mayoría de los encuestados (58%) afirmaron tener dificultades para comunicar el lenguaje técnico a los altos cargos de una forma que puedan entender. El 82 % de los encuestados también afirmaron que se sienten presionados para hacer que las cosas suenen mejor de lo que realmente son cuando están frente a su junta directiva.
Esta desconexión merma la capacidad de los responsables de seguridad para demostrar el valor empresarial y conseguir que se siga invirtiendo o se amplíe el programa. Y sin una inversión adecuada, mantener un programa de seguridad que sea realmente exitoso se vuelve aún más difícil.
Introduzca: Censys tendencias y métricas de referencia.
Tendencias y puntos de referencia para comunicar el impacto
CensysLas métricas de tendencias y puntos de referencia proporcionan a los responsables de seguridad la información que necesitan para comprender su impacto, comunicarlo a las partes interesadas y tomar medidas para alinearse mejor con los objetivos empresariales. CensysLas tendencias y puntos de referencia de Exposure Management definen y demuestran las métricas básicas que comunican el impacto basándose en temas de ciberseguridad estándar del sector. Los responsables de seguridad pueden ver cómo se calculan estas métricas, acceder a datos de apoyo detallados y beneficiarse de la flexibilidad en los cálculos para apoyar la lógica empresarial.
En concreto, con las tendencias y los puntos de referencia ganan los responsables de seguridad:
I. Métricas innovadoras que se ajustan a los temas del programa de seguridad: los responsables de seguridad y sus equipos pueden aprovechar las métricas que se ajustan a los temas de Tamaño y composición de la superficie de ataque, Reducción de riesgos y Corrección. Esto les da la oportunidad de centrar mejor los objetivos de su programa y medir de forma significativa los progresos. Estas métricas están orientadas a la presentación de informes ejecutivos, de modo que puedan utilizarse en las conversaciones de la junta directiva para comunicar los avances. En otras palabras: son fáciles de entender para las personas ajenas al ámbito de la seguridad.
- Tamaño de la superficie de ataque: Los líderes pueden utilizar esta métrica para comprender la huella digital total expuesta a las amenazas, incluidos todos los activos y servicios accesibles, y saber más sobre si su superficie de ataque está creciendo y cómo.
- Riesgos activos totales: Los responsables pueden consultar esta métrica para conocer el número total de instancias de riesgo activas que Censys observa dentro de su superficie de ataque. Los riesgos activos en activos expuestos a Internet reflejan una brecha en el perímetro de seguridad.
- Duración media de la exposición a los riesgos: Mide el número medio de días que Censys ha observado riesgos en una superficie de ataque. La métrica de la duración media de la exposición ayuda a cuantificar el tiempo que un atacante podría observar estos riesgos e intentar explotarlos.
II. Capacidades de desglose que añaden contexto y perspectivas: los directivos pueden desglosar los segmentos de apoyo de una métrica para obtener más contexto que ayude a explicar y defender por qué ha cambiado una métrica. Estas vistas desglosadas proporcionan información que puede servir de base para la estrategia y orientar a los profesionales. Por ejemplo, al examinar los riesgos activos totales, los directivos pueden desglosar un segmento de apoyo para ver el nivel o la gravedad de los riesgos activos. Pueden responder a preguntas como ¿Cuál es la gravedad de los riesgos a los que se enfrenta actualmente la organización? ¿Estamos viendo más riesgos críticos de lo esperado?
III. Análisis de tendencias históricas para demostrar el progreso y justificar un programa - Una vista de tendencias históricas ayuda a los líderes de seguridad a contar una historia sobre cómo su equipo está progresando o retrocediendo en sus esfuerzos para impactar en las métricas clave. Estas tendencias ayudan a los equipos a comunicar el progreso y justificar la forma en que su solución de gestión de la exposición les ha ayudado a alcanzar sus objetivos. Por ejemplo, un líder podría utilizar el análisis de tendencias históricas para mostrar cómo el equipo ha reducido significativamente la duración media de la exposición al riesgo de la organización en el último trimestre.
IV. Evaluación comparativa - Al tratar de responder a la pregunta "¿qué aspecto tiene lo bueno?", los responsables de seguridad pueden comparar sus métricas y segmentos de apoyo con su media y con sus homólogos. De este modo, pueden evaluar la salud de su programa e identificar oportunidades para cambiar de estrategia. Las evaluaciones comparativas también ofrecen a los directivos otra forma de introducir fácilmente parámetros cuantificables en las conversaciones con su junta directiva.
Facilitar a los líderes la medición de lo que gestionan
Los responsables de seguridad no deberían tener que dedicar tiempo y esfuerzo adicionales a encontrar formas de demostrar su valor empresarial. Con las métricas de tendencias y puntos de referencia de Censys, no tienen por qué hacerlo. El impacto de los programas de seguridad se mide automáticamente y se pone a disposición de los directivos y sus equipos desde las sencillas vistas del panel de control de Censys. Estas métricas estándar del sector también son ricas en contexto y están pensadas para el debate a nivel ejecutivo, de modo que los líderes puedan mantener conversaciones significativas con las partes interesadas y, lo que es más importante, garantizar la inversión que necesitan.
Eche un vistazo a la demostración de las métricas de tendencias y puntos de referencia para ver en detalle cómo aparecen estas métricas en la solución Censys' Exposure Management. También puede encontrar más detalles en nuestro artículo de soporte sobre tendencias y puntos de referencia.
¿Quiere saber más? Póngase en contacto con nosotros. Nuestro equipo estará encantado de charlar con usted y responder a sus preguntas.
SABER MÁS