Cuadro de mando equilibrado de ciberseguridad: guía práctica con ejemplos de KPIs

Un ejemplo de un cuadro de mando estratégico con indicadores de rendimiento que aborda las tendencias emergentes de ciberseguridad.

Mapa de Estrategia de Seguridad de Datos con KPIs, Factores de Éxito e Iniciativas

Los principios rectores para el mapa de estrategia de ciberseguridad. Fuente: Ver Cuadro de Mando de Seguridad de Datos en línea en BSC Designer Cuadro de Mando de Seguridad de Datos.

Temas clave del artículo:

Punto de partida: estudios de seguridad de datos

Los estudios regulares sobre seguridad de datos y protección de datos nos dan una buena idea sobre la causa raíz de las violaciones de datos y las formas de prevenirlas. En este artículo, discutiremos un ejemplo de cómo esos hallazgos pueden combinarse en una estrategia integral de ciberseguridad medible mediante KPIs.

Aquí están los informes que utilizaremos como referencia:

  • Informe sobre el costo de las violaciones de datos de IBM1 con estudios realizados por el Instituto Ponemon, es uno de los puntos de referencia en el mundo de la seguridad de TI.
  • Informe de investigaciones de violaciones de datos de Verizon2 añade una perspectiva diferente sobre los riesgos de ciberseguridad y las formas de abordarlos.
  • Encuesta global sobre seguridad de la información de EY3 comparte las mejores prácticas que las organizaciones implementan para hacer frente a los riesgos de seguridad de datos.
  • Informe M-TRENDS de FireEye4 informa sobre las amenazas a la seguridad de los datos y su evolución a lo largo del tiempo.

Terminología: Ciberseguridad, Seguridad de datos, Protección de datos, Privacidad de datos

Comencemos con la discusión sobre la diferencia entre los términos seguridad de datos/información y protección de datos (privacidad de datos).

  • Seguridad de datos/información se refiere a mantener una arquitectura segura para gestionar los datos. Piense en copias de seguridad regulares, software de seguridad actualizado, derechos de acceso, implementación de software DLP, etc.
  • Protección de datos se refiere al uso ético y legal de los datos: obtener consentimiento y seguir las obligaciones regulatorias.

Esta diferencia es importante. Por ejemplo, en el caso de Facebook–Cambridge Analytica, los datos fueron gestionados de manera segura (fueron encriptados y almacenados en un servidor seguro), pero no se gestionaron de manera responsable de acuerdo con las regulaciones de protección de datos.

El término protección de datos se usa principalmente en Europa y Asia, mientras que en los EE. UU., el mismo concepto se llama privacidad de datos. Françoise Gilbert compartió una buena explicación de las diferencias en su blog.

Finalmente, se supone que el término ciberseguridad cubre una gama más amplia de ideas, que incluyen no solo la seguridad de datos, sino otros sistemas de seguridad. En la práctica, a menudo se utiliza de manera intercambiable con el término seguridad de datos.

¿Por qué necesitamos KPIs y estrategia de ciberseguridad?

Más allá de las ideas obvias, como saber cómo le va a su organización y entender la dirección a seguir, mencionaría estas razones:

  • Ser capaz de apoyar argumentos con algunos datos al presentar nuevas soluciones de seguridad a las partes interesadas.
  • Tener un contexto empresarial formulado ayuda a alinear las iniciativas de ciberseguridad con otras partes de la estrategia, por ejemplo, con el cuadro de mando de Talento, el cuadro de mando de TI o el cuadro de mando de gobierno corporativo.
  • Convertir algunas ideas vagas como “entorno empresarial altamente seguro que aprovecha las últimas tecnologías de TI” en algo más tangible con indicadores de desempeño específicos.
Cuadro de Mando de la Seguridad de los Datos - Cómo crear una estrategia global de ciberseguridad

Cómo medir algo que aún no ha sucedido

Puede parecer que la seguridad de los datos es algo intangible y difícil de cuantificar y medir, ya que nunca sabemos de antemano qué tipo de violación de datos enfrentará una organización. Los estudios empíricos mencionados al principio (vea, por ejemplo, el informe de IBM Security) comparten un punto de vista diferente.

La mayoría de las violaciones de datos son causadas por factores conocidos como:

  • Credenciales comprometidas (19%)
  • Phishing (14%)
  • Configuración incorrecta de la nube (19%)

Esto nos da una idea de dónde deberían enfocarse los esfuerzos de ciberseguridad.

Aunque no podemos prevenir todas las violaciones de datos, los datos muestran que podemos minimizar su impacto en la organización mediante:

  • Implementar automatización de seguridad,
  • Contar con un equipo de respuesta y un plan de respuesta listos,
  • Educar a los empleados, y
  • Probar el entorno empresarial utilizando enfoques como las pruebas de red team.

Para las funciones y activos empresariales más críticos, definiremos los objetivos de punto de recuperación y tiempo de recuperación, los cuales pueden formalizarse en el cuadro de mando para recuperación ante desastres y alinearse con el cuadro de mando de ciberseguridad.

¿Qué marcos de negocio son aplicables para la seguridad de datos?

Antes, discutimos varios marcos de negocio que ayudan a las organizaciones a articular y ejecutar sus estrategias. ¿Qué marcos son aplicables para un dominio de ciberseguridad?

Para obtener los mejores resultados, necesitamos combinar varios marcos:

  • Usaremos el análisis PESTEL para detectar y analizar los nuevos factores del entorno externo (ver los objetivos desde la perspectiva de Aprendizaje y Crecimiento). Estos pueden ser cambios en la legislación, como las leyes de protección de datos, o cambios disruptivos que vimos después del Covid-19, por ejemplo, la tendencia del trabajo remoto.
  • Hablaremos mucho sobre enfocarnos en los esfuerzos de respuesta. En este contexto, varios marcos de priorización serán de ayuda.
  • Al trabajar en una estrategia de seguridad de datos, necesitamos tener en cuenta las acciones que se requieren hoy, en el futuro cercano, y algunas iniciativas para el futuro lejano. En este contexto, el marco de Tres Horizontes ayudará a realizar discusiones disciplinadas.
  • Para convertir todas esas ideas desconectadas en una estrategia coherente, utilizaremos el marco del Cuadro de Mando Integral.

Utilicemos los marcos de negocio mencionados y los informes de investigación referenciados al principio para crear un ejemplo de estrategia de seguridad de datos.

Perspectiva financiera. Estimación del impacto financiero de la seguridad de datos

Los KPIs financieros para la seguridad de datos son imprescindibles al presentar iniciativas de seguridad a los interesados. La presentación resulta aún más impresionante cuando se pueden proporcionar referencias de la industria relevantes.

El informe de Verizon, así como el informe de IBM (realizado por el Instituto Ponemon), comparten algunas ideas en este contexto. A veces, los datos son contradictorios. Por ejemplo, encontrará que los costos de una violación de datos por registro varían significativamente. El informe de IBM da un rango de $150-$175, mientras que según el informe de Verizon (ver el Informe de Investigaciones de Violaciones de Datos, 2015), es alrededor de $0.58. Ken Spinner compartió algunas explicaciones sobre el tema en TeachBeacon.

Perspectiva financiera del cuadro de mando de seguridad

El objetivo de reducir el impacto financiero potencial de las violaciones de datos se divide en indicadores de resultado específicos. Fuente: Ver Cuadro de mando de seguridad de datos en línea en BSC Designer Cuadro de mando de seguridad de datos.

¿Cómo puede estimar los costos de una violación de datos en el caso de su organización?

Puede basarse en los costos directos e indirectos:

  • Costos directos incluyen el costo del análisis forense, multas, compensaciones a los clientes.
  • Costos indirectos se refieren a la pérdida de clientes existentes y potenciales, empleados, socios que ocurrió debido a una violación de datos.

En el cuadro de mando de seguridad de datos, podemos tomar algunas referencias de los estudios de Ponemon o Verizon para la métrica de costo de violación de datos por registro y multiplicarlo por el número de registros en riesgo.

Para realizar los cálculos, necesitaremos tener algunos datos comerciales básicos:

  • LTV (valor de vida del cliente)
  • Estimación de rotación de clientes debido a la violación de datos
  • Número de clientes
  • Número de registros en riesgo
  • Clientes potenciales perdidos

Fórmula para el costo de la violación de datos

El valor para el indicador 'Costo de violación de datos' se calcula utilizando los valores de otros dos indicadores. Fuente: Ver Cuadro de mando de seguridad de datos en línea en BSC Designer Cuadro de mando de seguridad de datos.

Respectivamente, el impacto directo de una violación de datos se puede calcular como:

  • Costos de violación de datos (costos directos) = Costo de violación de datos por registro * El número de registros en riesgo

En cuanto a los costos indirectos, una forma de cuantificarlos es utilizando la tasa de rotación de clientes debido a la violación de datos y LTV:

  • Costo de rotación de clientes = [Número de clientes]*[LTV]*[Rotación de clientes debido a la violación de datos]/100

Además, puede estimar el número de clientes potenciales que no firmaron el contrato.

  • Costo de oportunidad perdida = [Clientes potenciales perdidos] * [LTV]

Perspectiva del cliente. Cuantificación de riesgos de seguridad.

Para la perspectiva del cliente, el objetivo clave se formula como:

  • Mitigar los riesgos de seguridad y protección de datos

Los objetivos y KPIs de la perspectiva del cliente del cuadro de mando de seguridad de datos

El objetivo general del cliente se formula como 'Mitigar los riesgos de seguridad de datos'. Sus resultados se cuantifican mediante el índice de 'riesgo ponderado'. Fuente: Ver Cuadro de mando de seguridad de datos en línea en BSC Designer Cuadro de mando de seguridad de datos.

Esto está calificado por estos indicadores:

  • Indicador de actuación Detección temprana y respuesta rápida a los riesgos de datos que es el resultado de los objetivos de la Perspectiva interna
  • Indicador de actuación Preparación para la protección de datos
  • Indicador de resultado Índice de riesgo ponderado

La lógica aquí es que la organización trabaja en los sistemas internos de seguridad (cuantificados por detección temprana y respuesta rápida a los riesgos de datos) e introduce las medidas necesarias de protección de datos (cuantificadas por Preparación para la protección de datos) para mitigar mejor los riesgos de seguridad de datos, como se cuantifica por el Índice de riesgo ponderado.

  • Al construir una estrategia de seguridad de datos, asegúrese de que su equipo entienda la diferencia entre las métricas para los factores de éxito (métricas de actuación) y las métricas para los resultados esperados (métricas de resultado).

Discutamos en detalle los indicadores desde la perspectiva del cliente.

Índice de riesgo ponderado

El objetivo de este indicador es cuantificar el nivel de riesgo actual con el que se enfrenta la organización. Para hacerlo, cuantificaremos el número de brechas de datos categorizadas por su nivel de impacto:

  • Eventos de riesgo crítico, peso 70%
  • Eventos de riesgo importante, peso 20%
  • Eventos de riesgo de nivel medio, peso 7%
  • Eventos de riesgo de nivel bajo, peso 3%

Como puede ver, se aplicó una escala de peso no lineal. Con este modelo, las brechas de datos críticas tienen el mayor impacto en la métrica del índice, mientras que los eventos de nivel bajo tienen bajo impacto.

Métrica del índice de riesgo ponderado para la seguridad de datos

El índice de riesgo ponderado toma en cuenta los eventos de riesgo de diferentes niveles, desde los eventos de riesgo crítico (el mayor peso) hasta los eventos de riesgo de nivel bajo (el menor peso). Fuente: Ver Cuadro de mando de seguridad de datos en línea en BSC Designer Cuadro de mando de seguridad de datos.

Este enfoque aborda el problema de manipular el sistema de medición cuando el indicador de control se mueve a la zona verde resolviendo problemas menos significativos. Aun así, necesitamos asegurarnos de que los eventos de riesgo estén categorizados adecuadamente.

Si usted está interesado en aprender más sobre el cálculo de los indicadores del índice y tomando en cuenta el peso de los indicadores, entonces mire el artículo correspondiente en nuestro sitio web.

Medición de la protección de datos o privacidad de datos

Como se explicó antes, la protección de datos trata sobre el uso ético y legal de la Información Personalmente Identificable (PII) y datos similares.

Las medidas de protección, en este caso, están bien articuladas por la legislación aplicable. En Europa, es el GDPR; en los EE. UU., hay diferentes leyes según el dominio empresarial, como CCPA, HIPPA, PCI DSS, GLBA.

Índice de disponibilidad de la protección de datos para el cuadro de mando de seguridad de datos

Un ejemplo de indicador binario (los estados posibles son 'Sí' o 'No' - cuando el valor es 'Sí', el rendimiento de este indicador es 100%, de lo contrario 0%. Fuente: Ver Cuadro de Mando de Seguridad de Datos en línea en BSC Designer Cuadro de Mando de Seguridad de Datos.

Si tomamos el GDPR como ejemplo, desde el punto de vista de la medición, la protección de datos se puede rastrear mediante un indicador de índice, Preparación para la Protección de Datos, que se calcula utilizando métricas como (principalmente binarias):

  • Nombramiento del delegado de protección de datos
  • Seguimiento del consentimiento explícito
  • Procedimiento de notificación de violación de datos
  • Derecho de acceso, rectificación, borrado implementado
  • Derecho a la portabilidad de datos

Estos indicadores se pueden detallar aún más en los casos más específicos aplicables a la organización, sus productos y servicios.

Para asegurar el cumplimiento normativo, esos indicadores, así como los requisitos legales, deben revisarse regularmente. Esto se puede automatizar mediante la función de intervalo de actualización para el indicador respectivo. Consulte la sección de Automatización a continuación para obtener ejemplos más específicos.

Perspectiva interna. Cómo mitigar los riesgos de seguridad de datos

Para encontrar los objetivos y los indicadores de rendimiento para la perspectiva interna, necesitamos hacer el análisis de la causa raíz y observar los puntos de riesgo/costo encontrados.

Los hallazgos dependerán del dominio empresarial y los sistemas empresariales de una organización específica. Aun así, hay algunas tendencias comunes que fueron destacadas en los informes de IBM Security y Verizon. Utilizaremos esos hallazgos para formular los objetivos y los KPI para la perspectiva interna del cuadro de mando.

Perspectiva interna del cuadro de mando de seguridad de datos

Los impulsores de la estrategia de ciberseguridad. El objetivo 'Detección temprana' está respaldado por dos subobjetivos - 'Desarrollar un plan de mitigación de riesgos' y 'Reducir la complejidad de TI' - todos con sus respectivos indicadores de rendimiento e iniciativas. Fuente: Ver Cuadro de mando de seguridad de datos en línea en BSC Designer Cuadro de mando de seguridad de datos.

Detección temprana y respuesta rápida a los riesgos de datos

Si ocurre una violación de datos, una respuesta rápida en términos de detección y respuesta reduciría significativamente los costos.

En el cuadro de mando, esto se cuantifica mediante dos indicadores de resultado:

  • Tiempo promedio para detectar
  • Tiempo promedio para responder

Los indicadores de resultado cuantifican lo que ya sucedió. ¿Cómo puede una organización influir en estos indicadores? Los mismos informes sugieren ciertas acciones que típicamente conducen a una mejor respuesta de seguridad de datos.

Factor de éxito mapeado al objetivo: Equipos de respuesta a incidentes formados

Un ejemplo del factor de éxito - 'Equipo de respuesta a incidentes formado' es un factor de éxito para minimizar el impacto de la violación de datos. Fuente: Ver Cuadro de mando de seguridad de datos en línea en BSC Designer Cuadro de mando de seguridad de datos.

En la plantilla del cuadro de mando, encontrará dos registros alineados con el objetivo de Detección temprana y respuesta rápida:

  • Equipos de respuesta a incidentes formados. Este registro está marcado como un factor de éxito. Según el informe de IBM Security, es una de las causas principales para minimizar los impactos de violaciones de datos.
  • Detección de acceso a datos de alto riesgo. Con esta iniciativa, su equipo puede priorizar sus esfuerzos según el impacto de ciertos tipos de acceso a datos. Si está buscando un enfoque más sistemático para la priorización, entonces consulte el artículo sobre marcos de priorización.

Hay dos indicadores de actuación más en el contexto del objetivo de Detección temprana y respuesta rápida. Ambos se basan en los hallazgos de los informes de seguridad de datos mencionados anteriormente:

  • Desarrollar un plan de mitigación de riesgos
  • Reducir la complejidad de TI

Discutámoslos en detalle.

Desarrolle un plan de mitigación de riesgos

Tener un plan de mitigación de riesgos es un factor de éxito para una respuesta más rápida a la violación de datos.

¿Cómo podemos asegurarnos de que el plan existente para la seguridad de datos sea bueno?

Debería basarse en un modelo de riesgo actualizado que refleje la forma en que se gestionan los datos en la organización. En el cuadro de mando de la estrategia, esto se cuantifica por el indicador de actuación de auditorías de seguridad de datos regulares que se explica en las perspectivas de Aprendizaje y Crecimiento.

¿Cómo sabemos que el plan de respuesta al riesgo sugerido es realmente efectivo?

Junto con las actualizaciones regulares del plan de riesgos, podríamos probar la aplicación del plan desarrollado en la práctica. Esto se cuantifica por el indicador de resultado, Pruebas de respuesta a incidentes.

Reduzca la complejidad de TI y datos

Los estudios empíricos mencionan varios otros factores que ayudan a minimizar los costos de violación de datos, tales como:

  • Complejidad de la infraestructura de TI
  • Complejidad del esquema de datos
  • Automatización

En el mapa estratégico, formulamos estos factores dentro del objetivo de Reducir la complejidad de TI y datos.

Sub-goals for the internal perspective on security scorecard

Los subobjetivos explican cómo se logrará el objetivo general. Fuente: Ver Data Security Scorecard en línea en BSC Designer Data Security Scorecard.

En este caso:

  • Disminuir la complejidad de los datos y TI es una justificación para el objetivo
  • Limitar el acceso a los datos más valiosos es uno de los factores de éxito para disminuir la complejidad de las soluciones de TI requeridas
  • Automatizar las pruebas de vulnerabilidad y cumplimiento es una iniciativa amplia para la automatización de la seguridad en TI

Finalmente, si minimizar la complejidad se nombra como uno de los factores para una mejor respuesta a violaciones de datos, ¿cómo podemos cuantificarlo?

La respuesta es individual y depende del panorama de TI de su organización. Para este cuadro de mando, hay un ejemplo de Índice de complejidad de la seguridad de datos que se compone de indicadores como:

  • Número de usuarios con el nivel de acceso más alto. La función de optimización para este indicador se establece en «Minimizar linealmente», ya que reducir el número de usuarios con acceso a datos sensibles mejorará el rendimiento general del índice.
  • Tiempo para desactivar credenciales de inicio de sesión. El 7% de las violaciones de datos son causadas por un insider malicioso. Desactivar rápidamente las credenciales de inicio de sesión es una de las medidas de seguridad de TI que puede reducir este porcentaje. El intervalo de tiempo aceptable, en este caso, es muy corto. Para reflejar esta idea en el cuadro de mando, la función de optimización para este indicador es decadencia exponencial.

Exponential deya for some performance indicators

La función de rendimiento para este indicador se establece en 'Decadencia exponencial'. Como se ve en el gráfico de calibre, la zona verde para esta métrica es relativamente pequeña, lo que significa que el tiempo aceptable para desactivar las credenciales lógicas es de pocas horas, no días. Fuente: Ver Data Security Scorecard en línea en BSC Designer Data Security Scorecard.

  • % de datos sensibles controlados por software DLP. Las soluciones de prevención de pérdida de datos son una de las formas de automatizar la seguridad de TI. Mientras las organizaciones manejan nuevos datos, es importante revisar los modelos de datos regularmente para asegurarse de que los datos sensibles sean accesibles por las herramientas de DLP (Prevención de Pérdida de Datos).
  • Cifrado de datos y copia de seguridad automatizada. Similar al indicador anterior, estamos interesados en tener un modelo de datos actualizado y asegurarnos de que los datos sensibles estén gestionados adecuadamente.
  • % de software de seguridad actualizado. Esta métrica parece sencilla, pero los estudios cuentan una historia diferente. La causa raíz del 16% de las violaciones de datos es vulnerabilidad en software de terceros. Los proveedores de software lanzan actualizaciones regularmente que corrigen vulnerabilidades. Tener las últimas actualizaciones instaladas es uno de los factores de éxito para minimizar los riesgos de seguridad.
  • Cobertura de automatización, % indicador que compara el nivel de automatización posible con el nivel de automatización actual. Mayor automatización reduce el impacto de factores humanos y reduce la complejidad para las partes interesadas.

Complexity index of data security

Un ejemplo de cómo cuantificar la complejidad con un indicador de estilo índice, donde los subindicadores contribuyen al índice con diferentes ponderaciones. Fuente: Ver Data Security Scorecard en línea en BSC Designer Data Security Scorecard.

Estos son solo ejemplos de algunas métricas que pueden cuantificar la complejidad en el caso de la seguridad de datos. Un enfoque más robusto para la complejidad debería incluir un análisis más profundo de las partes interesadas, encontrando puntos de malas complejidades y elaborando una estrategia de reducción de complejidad. En el artículo anterior, discutimos métricas de complejidad y las formas de aplicarlas en la práctica.

Perspectiva de aprendizaje y crecimiento

En esta perspectiva, tenemos dos grandes objetivos:

  • Objetivo de auditorías regulares de seguridad de datos que ayuda a enfocarse en una infraestructura adecuada para la seguridad de los datos.
  • Objetivo de capacitar a los empleados en seguridad de datos que se enfoca en proporcionar a su equipo el conocimiento y las habilidades actualizadas necesarias para prevenir violaciones de datos o minimizar su impacto.

Learning perspective of the data security scorecard

Los impulsores de aprendizaje e infraestructura de la estrategia de ciberseguridad - 'Auditorías regulares de seguridad de datos' y 'Capacitación de empleados en seguridad de datos'. Dos objetivos importantes acompañados de iniciativas, indicadores de actuación e indicadores de resultado. Fuente: Ver Data Security Scorecard en línea en BSC Designer Data Security Scorecard.

Echemos un vistazo a cómo se formulan estos objetivos en el mapa estratégico.

Auditorías regulares de seguridad de datos

Tenemos una justificación Analizar riesgos de ciberseguridad alineada con el objetivo. ¿Cuáles son esos riesgos típicos de ciberseguridad? En la descripción de la justificación, tenemos algunos ejemplos:

  • Ciberataques
  • Ransomware
  • Malware
  • Amenazas internas
  • Credenciales perdidas/robadas
  • Acceso no autorizado
  • Pérdida de datos
  • Corrupción de datos

Un ejemplo de la justificación: analizar riesgos de ciberseguridad

La necesidad de un análisis regular de los riesgos de ciberseguridad se formula como una iniciativa. El indicador alineado 'análisis regular de riesgos' muestra el progreso real para esta iniciativa. Fuente: Ver Cuadro de mando de seguridad de datos en línea en BSC Designer Cuadro de mando de seguridad de datos.

Existe una hipótesis, El trabajo remoto está impactando la seguridad de datos alineada con el objetivo. Para muchas organizaciones, el trabajo remoto fue parte de su estrategia anticrisis en respuesta a Covid-19.

Hay dos indicadores de actuación:

  • Análisis regular de riesgos – un análisis general de los nuevos riesgos
  • Evaluar regularmente el riesgo de datos sensibles – un análisis más específico en el contexto de datos sensibles

Ambos indicadores están configurados para actualizarse de forma trimestral.

El intervalo de actualización está configurado para actualización trimestral

El intervalo de actualización para 'Evaluar regularmente el riesgo de datos sensibles' está configurado a trimestres. El software controlará que el indicador se actualice regularmente y que los nuevos datos se registren en las fechas permitidas por el intervalo de actualización (primer día del trimestre en esta configuración). Fuente: Ver Cuadro de mando de seguridad de datos en línea en BSC Designer Cuadro de mando de seguridad de datos.

Hay varias métricas que ayudan a cuantificar los esfuerzos del equipo de seguridad al analizar la situación actual de riesgos y aprender de ella:

  • Escaneo de vulnerabilidades – típicamente, escaneo automatizado realizado por el equipo de TI
  • Pruebas de penetración (pen test) – una simulación de un ataque cibernético
  • Pruebas de equipo rojo – pruebas de seguridad a mayor escala que involucran a más participantes

Los respectivos KPIs están configurados para diferentes intervalos de actualización:

  • El escaneo automatizado de vulnerabilidades puede realizarse de forma semanal o mensual.
  • Dependiendo del modelo de riesgo, una prueba de penetración puede realizarse trimestralmente.
  • Finalmente, el indicador para las pruebas de equipo rojo, que requieren más recursos, está configurado para un intervalo de actualización semestral o anual.

Los procedimientos de análisis de riesgos y pruebas están diseñados para encontrar puntos débiles en el sistema de seguridad. ¿Cómo sabemos que las conclusiones de esas simulaciones y pruebas se implementan efectivamente? Para encontrar la respuesta a esta pregunta, podemos rastrear:

  • El número de violaciones de datos recurrentes indicador.

Si la violación de datos del mismo tipo tiene ocurrencias repetidas, es una señal de que el plan de mitigación de riesgos sugerido por el equipo de seguridad no es tan efectivo como se esperaba.

Capacitar a los empleados en seguridad de datos

El factor humano sigue siendo uno de los mayores riesgos de cualquier sistema de seguridad de datos. Según el informe de IBM Security, alrededor del 36% de las brechas de datos maliciosas están asociadas con el comportamiento humano (phishing, ingeniería social, credenciales comprometidas).

¿Cómo se puede diseñar la estrategia de seguridad de datos para mitigar esos riesgos de manera efectiva?

Una de las soluciones es automatizar ciertas operaciones y reducir el papel del operador humano. Resuena mucho con el objetivo de Reducción de complejidad que discutimos en la perspectiva interna.

Capacitar a los empleados en seguridad de datos: un ejemplo de las iniciativas

La lista de iniciativas y sus estados. Fuente: Ver Cuadro de mando de seguridad de datos en línea en BSC Designer Cuadro de mando de seguridad de datos.

Para el resto de los casos, donde la automatización no es posible o no es rentable, la educación es una respuesta. ¿Cómo enfocar los esfuerzos educativos en el contexto de la seguridad de datos? ¡Podemos usar un par de indicadores de actuación y de resultado!

  • Indicador de actuación: la Tasa de penetración de la capacitación en seguridad de datos se puede utilizar para rastrear la cobertura de la capacitación en concienciación sobre seguridad de datos, donde los participantes pueden aprender, por ejemplo, sobre las prácticas de phishing y la manera de evitarlas.
  • El mejor indicador de resultado, en este caso, debería centrarse en el impacto tangible de la capacitación en concienciación. Si comprender las prácticas de phishing fue uno de los temas de la capacitación, realice una Prueba de phishing y vea si los empleados realmente utilizan los aprendizajes de la capacitación. Esto se puede cuantificar en el cuadro de mando con el indicador de Tasa de éxito de la prueba de phishing.

Si educar a los empleados sobre seguridad de datos es su prioridad ahora, entonces su equipo de seguridad puede diseñar un cuadro de mando de evaluación de capacitación utilizando el modelo de niveles de Kirkpatrick, como se discute en este artículo.

Automatización para el Cuadro de Mando de Seguridad de Datos

Hablamos de un ejemplo de un cuadro de mando estratégico que ayuda a describir, implementar y ejecutar la estrategia de seguridad de datos en su organización.

Este cuadro de mando está disponible como una de las plantillas gratuitas en BSC Designer Online para que pueda registrarse con una cuenta de plan gratuito y comenzar a personalizarlo según sus necesidades.

Conozca el costo total de la estrategia

Mencionamos que una de las razones para tener un cuadro de mando de estrategia para la seguridad de datos es que facilitará la presentación de nuevas iniciativas a los interesados.

El costo de la estrategia sugerida es una de las primeras preguntas que estará sobre la mesa. El costo para ejecutar la estrategia se puede estimar como la suma de los costos de todos los objetivos empresariales y sus respectivas iniciativas.

An example of cost of strategy report

El informe 'Costo de la Estrategia' para el cuadro de mando de Ciberseguridad resume los presupuestos (asignados y realmente utilizados) de todas las iniciativas. Fuente: Ver Cuadro de Mando de Seguridad de Datos en línea en BSC Designer Cuadro de Mando de Seguridad de Datos.

Si utiliza BSC Designer como una herramienta de automatización, podrá asignar presupuestos a las iniciativas y controlar su uso. El software podrá generar un informe de costo de la estrategia para presentar un costo total esperado para ejecutar la estrategia.

Visualice datos importantes en los paneles de control

Otra solicitud típica de las partes interesadas es tener los datos para tomar las decisiones correctas (antes, hablamos sobre decisiones basadas en datos). Por sí mismo, el mapa estratégico contiene muchos datos. Otro enfoque es construir un panel de control de BI que se pueda configurar para mostrar los indicadores más importantes y sus datos.

En la plantilla de estrategia para este artículo, tenemos dos paneles de control (puede alternar entre ellos).

 

Un ejemplo de panel de control del índice de riesgo

Un ejemplo del panel de control de BI para ciberseguridad: el gráfico de tiempo para eventos de riesgo crítico, la evolución del índice de riesgo ponderado, gráficos para algunos indicadores específicos, el diagrama de Gantt para las iniciativas de respuesta, la lista de riesgos y sus estados. Fuente: Ver Cuadro de Mando de Seguridad de Datos en línea en BSC Designer Cuadro de Mando de Seguridad de Datos.

El Panel de Control del Índice de Riesgo está enfocado exclusivamente en los indicadores del índice de riesgo que utilizamos para cuantificar la situación actual de riesgo. Con los diagramas del panel de control, podemos ver:

  • Riesgos actuales visualizados en los gráficos de agujas
  • Cómo el índice de riesgo fue cambiando a lo largo del tiempo
  • La contribución de cada indicador al índice de riesgo en el gráfico de peso

Un ejemplo del panel de control del índice de complejidad de seguridad de datos

El segundo panel de control en el cuadro de mando de ciberseguridad se centra exclusivamente en el índice de complejidad, su evolución a lo largo del tiempo y el estado de su indicador. Fuente: Ver Cuadro de Mando de Seguridad de Datos en línea en BSC Designer Cuadro de Mando de Seguridad de Datos.

Otro panel de control es el Índice de Complejidad de Seguridad de Datos. Como discutimos, las malas complejidades de los sistemas de seguridad son el factor de mayores riesgos de violación de datos. Este panel de control visualiza el estado actual de la complejidad tal como lo cuantifican los indicadores seleccionados.

Análisis de datos de rendimiento

Recopilar datos de rendimiento en forma de KPIs es algo que la mayoría de las organizaciones hacen regularmente. No importa qué herramienta de automatización se utilice, hay muchos datos disponibles.

La pregunta siempre es cómo utilizar estos datos y convertirlos en información procesable. Algunas ideas surgen cuando el equipo discute un mapa estratégico o un panel de control; encontrar otras ideas puede ser automatizado.

En este sentido, la función de Análisis en BSC Designer ayuda mucho. Aquí hay algunos ejemplos:

  • La mayoría de los indicadores que discutimos necesitan ser actualizados regularmente. Con el análisis de Tiempo de actualización, usted puede encontrar los indicadores que necesitan ser actualizados pronto o aquellos que no se actualizaron a tiempo. Esto también puede ser automatizado con la función de Alertas.
  • Cada indicador en el cuadro de mando tiene su peso que refleja la importancia del indicador. Con el análisis de Peso absoluto, usted puede encontrar los indicadores con el peso más alto. Por ejemplo, en nuestro ejemplo, el indicador Tiempo medio para detectar tiene uno de los pesos más altos. Si su equipo considera trabajar en varias iniciativas, y una de ellas promete detectar violaciones de datos más rápidamente, entonces dé prioridad a esa.
  • A veces, hallazgos interesantes pueden ser localizados simplemente observando cómo cambió el dato de rendimiento. Una ganancia o pérdida rápida es una señal de algunos factores nuevos que deberían ser analizados. ¿Por qué el indicador de Eventos de riesgo medio tuvo una pérdida del 30%? ¿Fue el resultado de alguna actualización interna del sistema, o es un problema de reporte?

Tiempo medio para detectar tiene uno de los pesos más altos

El análisis de 'Peso absoluto' ayuda a encontrar los indicadores que tienen el mayor impacto (mayor peso absoluto) en el cuadro de mando. En este caso, 'Eventos de riesgo crítico' y 'Tiempo medio para detectar' tienen el mayor impacto. Fuente: Ver Cuadro de mando de seguridad de datos en línea en BSC Designer Cuadro de mando de seguridad de datos.

Mapear fundamentos, factores de éxito y resultados esperados

En el curso gratuito de planificación estratégica, discutimos la importancia de entender el contexto empresarial de un objetivo. No es suficiente tener un objetivo bien descrito, es importante comprender el razonamiento detrás de él, sus factores de éxito y los resultados esperados que son valiosos para la organización.

Un ejemplo del fundamento y factor de éxito para el objetivo de reducir la complejidad

La lista de iniciativas, sus estados y el progreso de los indicadores alineados con ellas. Fuente: Ver Cuadro de mando de seguridad de datos en línea en BSC Designer Cuadro de mando de seguridad de datos.

Eche un vistazo al objetivo Reducir la complejidad de TI y datos del modelo de cuadro de mando:

  • Hay un registro de fundamento Disminuir las complejidades de datos y TI que explica por qué este objetivo es importante: “La alta complejidad de los sistemas de software y la infraestructura de datos es un factor de riesgo para la violación de datos.”
  • También hay un factor de éxito en la disminución de complejidades – Limitar el acceso a los datos más valiosos. Tiene perfecto sentido en el contexto del objetivo – menos acceso a los datos sensibles reduce la complejidad del esquema de datos y reduce los riesgos de violaciones de datos como resultado.

En algunos casos, no tenemos un plan fijo para lograr algo, en cambio estamos tratando con una hipótesis fundamentada. Los usuarios de BSC Designer pueden añadir una hipótesis a sus objetivos. En nuestro ejemplo, había una hipótesis, El trabajo remoto está afectando la seguridad de los datos alineada con Auditorías regulares de seguridad de datos.

Conocer los resultados esperados también es crítico. Por ejemplo, para el objetivo de Capacitar a los empleados en seguridad de datos, tenemos un resultado esperado llamado Gestión responsable de datos. ¿Qué significa esto en la práctica? ¿Cómo podemos cuantificarlo? Estas preguntas abren la puerta a una discusión interesante.

Crear iniciativas con presupuestos, responsables y estados

Para cerrar la brecha entre la planificación estratégica y la ejecución, use las iniciativas para los objetivos. Tomemos la iniciativa de Automatizar las pruebas de vulnerabilidad y cumplimiento alineada con Reducir la complejidad de TI y datos.

Un ejemplo de iniciativa - automatizar pruebas

Un ejemplo de la iniciativa estratégica con presupuesto y cronograma asignados. El impacto de la iniciativa está cuantificado por el indicador 'Cobertura de automatización' (ver campo 'KPI alineado'). Fuente: Ver Data Security Scorecard en línea en BSC Designer Data Security Scorecard.

  • ¿Cómo va a trabajar exactamente su equipo en esta iniciativa? Use el campo descripción para agregar un plan de acción detallado.
  • ¿Cómo está alineada con otros planes de mitigación de riesgos? Use la sección documentos para enlazar a los recursos relevantes. En nuestro ejemplo, enlazamos al ejemplo de cuadro de mando de TI.
  • ¿Quién es responsable de esta iniciativa? Asigne responsables para que reciban una notificación cuando ocurra algo relevante.
  • ¿Cuál es el estado actual de la iniciativa? Actualice el estado junto con el progreso de su equipo trabajando en la iniciativa.
  • ¿Cómo puede seguir el progreso en el contexto de esta iniciativa? En nuestro ejemplo, lo hemos vinculado al indicador de cobertura de automatización, % que forma un índice de complejidad de seguridad de datos.

Training programSesión de formación: 'Introducción al Cuadro de Mando Integral por BSC Designer' se ofrece como parte de nuestro programa de aprendizaje continuo e incluido con una suscripción a BSC Designer.

Las sesiones de formación se imparten semanalmente a través de Zoom, proporcionando conocimientos prácticos y orientación personalizada. Al finalizar, los participantes reciben un certificado de asistencia. Explore todas las sesiones de formación disponibles aquí.

Conclusiones

En este artículo, discutimos un ejemplo de una estrategia de seguridad de datos. Aquí están las ideas más importantes que discutimos:

  • Existen riesgos conocidos de violación de datos, así como formas comprobadas de minimizar el impacto de los incidentes de seguridad.
  • Ayude a sus interesados a comprender los costos directos e indirectos de las violaciones de datos.
  • Enfoque su estrategia en detectar problemas temprano y responder rápidamente.
  • Tenga un plan de mitigación de riesgos y un equipo de respuesta para disminuir el impacto de las violaciones de datos.
  • Reduzca las malas complejidades de los sistemas de TI y los esquemas de datos.
  • Actualice los modelos de riesgo regularmente, pruebe su entorno de seguridad.
  • El factor humano es uno de los puntos de riesgo – eduque a su equipo, observe los cambios en el comportamiento, no solo en los resultados de exámenes formales.

¿Qué sigue? Una buena estrategia cibernética está hecha a medida según las necesidades de su organización. Use la plantilla de estrategia de seguridad discutida en este artículo como punto de partida para comenzar a construir su propia estrategia de seguridad de datos. Siéntase libre de compartir sus desafíos y hallazgos en los comentarios.

Use la plantilla Data Security and Protection Scorecard

BSC Designer ayuda a las organizaciones a implementar sus estrategias complejas:

  1. Regístrese para un plan gratuito en la plataforma.
  2. Use la plantilla Scorecard Template Data Security and Protection Scorecard como punto de partida. La encontrará en Nuevo > Nuevo cuadro de mando > Más plantillas.
  3. Siga nuestro Sistema de Implementación de Estrategias para alinear a los interesados y las ambiciones estratégicas en una estrategia integral.

¡Comience hoy y vea cómo BSC Designer puede simplificar la implementación de su estrategia!

  1. Informe sobre el costo de una violación de datos. 2020, IBM Security
  2. Informe de investigaciones de violaciones de datos 2020, 2020, Verizon
  3. Encuesta global sobre seguridad de la información, 2020, EY
  4. Informe M-TRENDS, 2020, FireEye
Cita: Alexis Savkín, "Cuadro de mando equilibrado de ciberseguridad: guía práctica con ejemplos de KPIs", BSC Designer, 29 marzo, 2021, https://bscdesigner.com/es/estrategia-de-ciberseguridad.htm.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.