martes, 10 de febrero de 2015

Métricas de seguridad

A la famosa frase de: “hay tres tipos de mentiras: mentiras, grandes mentiras y estadísticas” podemos añadirle una cuarta categoría, las métricas.

Las métricas son una de las herramientas tecnológicas imprescindibles hoy en día en el mundo de la gestión de la seguridad de la información. Sin ellas una organización no puede  cuantificar de forma global si está siendo atacada, como está siendo atacada, si tiene un nivel de seguridad aceptable o si se está defendiendo de forma adecuada.

Las métricas recogen un resumen de toda la información interesante que generan las herramientas de seguridad que tenemos desplegadas. Y nos permiten tomar decisiones estratégicas adecuadas.



Si tenemos solo herramientas y no métricas, probablemente no estaremos haciendo un uso eficiente de ellas. Pero tengo una mala noticia, aunque tengamos métricas, probablemente tampoco estemos utilizándolas bien.

Y es que las métricas son muy propensas a la manipulación y a la paradoja del “cuanto peor, mejor”. Lo explicare con un ejemplo:

Muchas organizaciones utilizan como métrica para conocer el estado de seguridad global de su red, el número de vulnerabilidades detectadas en un proceso de análisis de seguridad que realizan de forma periódica. A groso modo, si tengo más vulnerabilidades, estoy peor, si tengo menos, estoy mejor.

Si quiero mejorar mi estado de seguridad, tengo 2 opciones, corregir el mayor número de vulnerabilidades posibles o realizar un análisis de seguridad menos exigente la próxima vez. Curiosamente esta segunda solución es mucho más barata.

Si cada año contrato a una consultora peor, o utilizo una herramienta de análisis menos completa. Cada vez detectare un menor número de vulnerabilidades. ¡Me estaré gastando menos dinero y además mejorare mis métricas!

Esto también pasa en el mundo de la respuesta ante incidentes. Si uso como métrica por ejemplo; el número de alertas tratadas, el número de ataques recibidos o el número de incidentes manejados. Una solución tramposa para mejorar mis métricas es trabajar menos: Reducir la sensibilidad de mis sondas, eliminar reglas para ciertos ataques, tener menos personal para manejar incidentes. ¡Sin duda las métricas van a mejorar y además gastare menos en seguridad!

Esta paradoja unida al recorte de los presupuestos para ciberseguridad, provoca que el estado de real de seguridad de muchas organizaciones sea mucho peor de lo que piensan y está siendo demostrado por el gran número de incidentes graves de seguridad que estamos conociendo y que probablemente vayan en aumento.