Un ejemplo de un cuadro de mando estratégico con indicadores de rendimiento que aborda las tendencias emergentes de ciberseguridad.
Temas clave del artículo:
Punto de partida: estudios de seguridad de datos
Los estudios regulares sobre seguridad de datos y protección de datos nos dan una buena idea sobre la causa raíz de las violaciones de datos y las formas de prevenirlas. En este artículo, discutiremos un ejemplo de cómo esos hallazgos pueden combinarse en una estrategia integral de ciberseguridad medible mediante KPIs.
Aquí están los informes que utilizaremos como referencia:
- Informe sobre el costo de las violaciones de datos de IBM1 con estudios realizados por el Instituto Ponemon, es uno de los puntos de referencia en el mundo de la seguridad de TI.
- Informe de investigaciones de violaciones de datos de Verizon2 añade una perspectiva diferente sobre los riesgos de ciberseguridad y las formas de abordarlos.
- Encuesta global sobre seguridad de la información de EY3 comparte las mejores prácticas que las organizaciones implementan para hacer frente a los riesgos de seguridad de datos.
- Informe M-TRENDS de FireEye4 informa sobre las amenazas a la seguridad de los datos y su evolución a lo largo del tiempo.
Terminología: Ciberseguridad, Seguridad de datos, Protección de datos, Privacidad de datos
Comencemos con la discusión sobre la diferencia entre los términos seguridad de datos/información y protección de datos (privacidad de datos).
- Seguridad de datos/información se refiere a mantener una arquitectura segura para gestionar los datos. Piense en copias de seguridad regulares, software de seguridad actualizado, derechos de acceso, implementación de software DLP, etc.
- Protección de datos se refiere al uso ético y legal de los datos: obtener consentimiento y seguir las obligaciones regulatorias.
Esta diferencia es importante. Por ejemplo, en el caso de Facebook–Cambridge Analytica, los datos fueron gestionados de manera segura (fueron encriptados y almacenados en un servidor seguro), pero no se gestionaron de manera responsable de acuerdo con las regulaciones de protección de datos.
El término protección de datos se usa principalmente en Europa y Asia, mientras que en los EE. UU., el mismo concepto se llama privacidad de datos. Françoise Gilbert compartió una buena explicación de las diferencias en su blog.
Finalmente, se supone que el término ciberseguridad cubre una gama más amplia de ideas, que incluyen no solo la seguridad de datos, sino otros sistemas de seguridad. En la práctica, a menudo se utiliza de manera intercambiable con el término seguridad de datos.
¿Por qué necesitamos KPIs y estrategia de ciberseguridad?
Más allá de las ideas obvias, como saber cómo le va a su organización y entender la dirección a seguir, mencionaría estas razones:
- Ser capaz de apoyar argumentos con algunos datos al presentar nuevas soluciones de seguridad a las partes interesadas.
- Tener un contexto empresarial formulado ayuda a alinear las iniciativas de ciberseguridad con otras partes de la estrategia, por ejemplo, con el cuadro de mando de Talento, el cuadro de mando de TI o el cuadro de mando de gobierno corporativo.
- Convertir algunas ideas vagas como “entorno empresarial altamente seguro que aprovecha las últimas tecnologías de TI” en algo más tangible con indicadores de desempeño específicos.
Cómo medir algo que aún no ha sucedido
Puede parecer que la seguridad de los datos es algo intangible y difícil de cuantificar y medir, ya que nunca sabemos de antemano qué tipo de violación de datos enfrentará una organización. Los estudios empíricos mencionados al principio (vea, por ejemplo, el informe de IBM Security) comparten un punto de vista diferente.
La mayoría de las violaciones de datos son causadas por factores conocidos como:
- Credenciales comprometidas (19%)
- Phishing (14%)
- Configuración incorrecta de la nube (19%)
Esto nos da una idea de dónde deberían enfocarse los esfuerzos de ciberseguridad.
Aunque no podemos prevenir todas las violaciones de datos, los datos muestran que podemos minimizar su impacto en la organización mediante:
- Implementar automatización de seguridad,
- Contar con un equipo de respuesta y un plan de respuesta listos,
- Educar a los empleados, y
- Probar el entorno empresarial utilizando enfoques como las pruebas de red team.
Para las funciones y activos empresariales más críticos, definiremos los objetivos de punto de recuperación y tiempo de recuperación, los cuales pueden formalizarse en el cuadro de mando para recuperación ante desastres y alinearse con el cuadro de mando de ciberseguridad.
¿Qué marcos de negocio son aplicables para la seguridad de datos?
Antes, discutimos varios marcos de negocio que ayudan a las organizaciones a articular y ejecutar sus estrategias. ¿Qué marcos son aplicables para un dominio de ciberseguridad?
Para obtener los mejores resultados, necesitamos combinar varios marcos:
- Usaremos el análisis PESTEL para detectar y analizar los nuevos factores del entorno externo (ver los objetivos desde la perspectiva de Aprendizaje y Crecimiento). Estos pueden ser cambios en la legislación, como las leyes de protección de datos, o cambios disruptivos que vimos después del Covid-19, por ejemplo, la tendencia del trabajo remoto.
- Hablaremos mucho sobre enfocarnos en los esfuerzos de respuesta. En este contexto, varios marcos de priorización serán de ayuda.
- Al trabajar en una estrategia de seguridad de datos, necesitamos tener en cuenta las acciones que se requieren hoy, en el futuro cercano, y algunas iniciativas para el futuro lejano. En este contexto, el marco de Tres Horizontes ayudará a realizar discusiones disciplinadas.
- Para convertir todas esas ideas desconectadas en una estrategia coherente, utilizaremos el marco del Cuadro de Mando Integral.
Utilicemos los marcos de negocio mencionados y los informes de investigación referenciados al principio para crear un ejemplo de estrategia de seguridad de datos.
Perspectiva financiera. Estimación del impacto financiero de la seguridad de datos
Los KPIs financieros para la seguridad de datos son imprescindibles al presentar iniciativas de seguridad a los interesados. La presentación resulta aún más impresionante cuando se pueden proporcionar referencias de la industria relevantes.
El informe de Verizon, así como el informe de IBM (realizado por el Instituto Ponemon), comparten algunas ideas en este contexto. A veces, los datos son contradictorios. Por ejemplo, encontrará que los costos de una violación de datos por registro varían significativamente. El informe de IBM da un rango de $150-$175, mientras que según el informe de Verizon (ver el Informe de Investigaciones de Violaciones de Datos, 2015), es alrededor de $0.58. Ken Spinner compartió algunas explicaciones sobre el tema en TeachBeacon.
¿Cómo puede estimar los costos de una violación de datos en el caso de su organización?
Puede basarse en los costos directos e indirectos:
- Costos directos incluyen el costo del análisis forense, multas, compensaciones a los clientes.
- Costos indirectos se refieren a la pérdida de clientes existentes y potenciales, empleados, socios que ocurrió debido a una violación de datos.
En el cuadro de mando de seguridad de datos, podemos tomar algunas referencias de los estudios de Ponemon o Verizon para la métrica de costo de violación de datos por registro y multiplicarlo por el número de registros en riesgo.
Para realizar los cálculos, necesitaremos tener algunos datos comerciales básicos:
- LTV (valor de vida del cliente)
- Estimación de rotación de clientes debido a la violación de datos
- Número de clientes
- Número de registros en riesgo
- Clientes potenciales perdidos
Respectivamente, el impacto directo de una violación de datos se puede calcular como:
- Costos de violación de datos (costos directos) = Costo de violación de datos por registro * El número de registros en riesgo
En cuanto a los costos indirectos, una forma de cuantificarlos es utilizando la tasa de rotación de clientes debido a la violación de datos y LTV:
- Costo de rotación de clientes = [Número de clientes]*[LTV]*[Rotación de clientes debido a la violación de datos]/100
Además, puede estimar el número de clientes potenciales que no firmaron el contrato.
- Costo de oportunidad perdida = [Clientes potenciales perdidos] * [LTV]
Perspectiva del cliente. Cuantificación de riesgos de seguridad.
Para la perspectiva del cliente, el objetivo clave se formula como:
- Mitigar los riesgos de seguridad y protección de datos
Esto está calificado por estos indicadores:
- Indicador de actuación Detección temprana y respuesta rápida a los riesgos de datos que es el resultado de los objetivos de la Perspectiva interna
- Indicador de actuación Preparación para la protección de datos
- Indicador de resultado Índice de riesgo ponderado
La lógica aquí es que la organización trabaja en los sistemas internos de seguridad (cuantificados por detección temprana y respuesta rápida a los riesgos de datos) e introduce las medidas necesarias de protección de datos (cuantificadas por Preparación para la protección de datos) para mitigar mejor los riesgos de seguridad de datos, como se cuantifica por el Índice de riesgo ponderado.
- Al construir una estrategia de seguridad de datos, asegúrese de que su equipo entienda la diferencia entre las métricas para los factores de éxito (métricas de actuación) y las métricas para los resultados esperados (métricas de resultado).
Discutamos en detalle los indicadores desde la perspectiva del cliente.
Índice de riesgo ponderado
El objetivo de este indicador es cuantificar el nivel de riesgo actual con el que se enfrenta la organización. Para hacerlo, cuantificaremos el número de brechas de datos categorizadas por su nivel de impacto:
- Eventos de riesgo crítico, peso 70%
- Eventos de riesgo importante, peso 20%
- Eventos de riesgo de nivel medio, peso 7%
- Eventos de riesgo de nivel bajo, peso 3%
Como puede ver, se aplicó una escala de peso no lineal. Con este modelo, las brechas de datos críticas tienen el mayor impacto en la métrica del índice, mientras que los eventos de nivel bajo tienen bajo impacto.
Este enfoque aborda el problema de manipular el sistema de medición cuando el indicador de control se mueve a la zona verde resolviendo problemas menos significativos. Aun así, necesitamos asegurarnos de que los eventos de riesgo estén categorizados adecuadamente.
Si usted está interesado en aprender más sobre el cálculo de los indicadores del índice y tomando en cuenta el peso de los indicadores, entonces mire el artículo correspondiente en nuestro sitio web.
Medición de la protección de datos o privacidad de datos
Como se explicó antes, la protección de datos trata sobre el uso ético y legal de la Información Personalmente Identificable (PII) y datos similares.
Las medidas de protección, en este caso, están bien articuladas por la legislación aplicable. En Europa, es el GDPR; en los EE. UU., hay diferentes leyes según el dominio empresarial, como CCPA, HIPPA, PCI DSS, GLBA.
Si tomamos el GDPR como ejemplo, desde el punto de vista de la medición, la protección de datos se puede rastrear mediante un indicador de índice, Preparación para la Protección de Datos, que se calcula utilizando métricas como (principalmente binarias):
- Nombramiento del delegado de protección de datos
- Seguimiento del consentimiento explícito
- Procedimiento de notificación de violación de datos
- Derecho de acceso, rectificación, borrado implementado
- Derecho a la portabilidad de datos
Estos indicadores se pueden detallar aún más en los casos más específicos aplicables a la organización, sus productos y servicios.
Para asegurar el cumplimiento normativo, esos indicadores, así como los requisitos legales, deben revisarse regularmente. Esto se puede automatizar mediante la función de intervalo de actualización para el indicador respectivo. Consulte la sección de Automatización a continuación para obtener ejemplos más específicos.
Perspectiva interna. Cómo mitigar los riesgos de seguridad de datos
Para encontrar los objetivos y los indicadores de rendimiento para la perspectiva interna, necesitamos hacer el análisis de la causa raíz y observar los puntos de riesgo/costo encontrados.
Los hallazgos dependerán del dominio empresarial y los sistemas empresariales de una organización específica. Aun así, hay algunas tendencias comunes que fueron destacadas en los informes de IBM Security y Verizon. Utilizaremos esos hallazgos para formular los objetivos y los KPI para la perspectiva interna del cuadro de mando.
Detección temprana y respuesta rápida a los riesgos de datos
Si ocurre una violación de datos, una respuesta rápida en términos de detección y respuesta reduciría significativamente los costos.
En el cuadro de mando, esto se cuantifica mediante dos indicadores de resultado:
- Tiempo promedio para detectar
- Tiempo promedio para responder
Los indicadores de resultado cuantifican lo que ya sucedió. ¿Cómo puede una organización influir en estos indicadores? Los mismos informes sugieren ciertas acciones que típicamente conducen a una mejor respuesta de seguridad de datos.
En la plantilla del cuadro de mando, encontrará dos registros alineados con el objetivo de Detección temprana y respuesta rápida:
- Equipos de respuesta a incidentes formados. Este registro está marcado como un factor de éxito. Según el informe de IBM Security, es una de las causas principales para minimizar los impactos de violaciones de datos.
- Detección de acceso a datos de alto riesgo. Con esta iniciativa, su equipo puede priorizar sus esfuerzos según el impacto de ciertos tipos de acceso a datos. Si está buscando un enfoque más sistemático para la priorización, entonces consulte el artículo sobre marcos de priorización.
Hay dos indicadores de actuación más en el contexto del objetivo de Detección temprana y respuesta rápida. Ambos se basan en los hallazgos de los informes de seguridad de datos mencionados anteriormente:
- Desarrollar un plan de mitigación de riesgos
- Reducir la complejidad de TI
Discutámoslos en detalle.
Desarrolle un plan de mitigación de riesgos
Tener un plan de mitigación de riesgos es un factor de éxito para una respuesta más rápida a la violación de datos.
¿Cómo podemos asegurarnos de que el plan existente para la seguridad de datos sea bueno?
Debería basarse en un modelo de riesgo actualizado que refleje la forma en que se gestionan los datos en la organización. En el cuadro de mando de la estrategia, esto se cuantifica por el indicador de actuación de auditorías de seguridad de datos regulares que se explica en las perspectivas de Aprendizaje y Crecimiento.
¿Cómo sabemos que el plan de respuesta al riesgo sugerido es realmente efectivo?
Junto con las actualizaciones regulares del plan de riesgos, podríamos probar la aplicación del plan desarrollado en la práctica. Esto se cuantifica por el indicador de resultado, Pruebas de respuesta a incidentes.
Reduzca la complejidad de TI y datos
Los estudios empíricos mencionan varios otros factores que ayudan a minimizar los costos de violación de datos, tales como:
- Complejidad de la infraestructura de TI
- Complejidad del esquema de datos
- Automatización
En el mapa estratégico, formulamos estos factores dentro del objetivo de Reducir la complejidad de TI y datos.
En este caso:
- Disminuir la complejidad de los datos y TI es una justificación para el objetivo
- Limitar el acceso a los datos más valiosos es uno de los factores de éxito para disminuir la complejidad de las soluciones de TI requeridas
- Automatizar las pruebas de vulnerabilidad y cumplimiento es una iniciativa amplia para la automatización de la seguridad en TI
Finalmente, si minimizar la complejidad se nombra como uno de los factores para una mejor respuesta a violaciones de datos, ¿cómo podemos cuantificarlo?
La respuesta es individual y depende del panorama de TI de su organización. Para este cuadro de mando, hay un ejemplo de Índice de complejidad de la seguridad de datos que se compone de indicadores como:
- Número de usuarios con el nivel de acceso más alto. La función de optimización para este indicador se establece en «Minimizar linealmente», ya que reducir el número de usuarios con acceso a datos sensibles mejorará el rendimiento general del índice.
- Tiempo para desactivar credenciales de inicio de sesión. El 7% de las violaciones de datos son causadas por un insider malicioso. Desactivar rápidamente las credenciales de inicio de sesión es una de las medidas de seguridad de TI que puede reducir este porcentaje. El intervalo de tiempo aceptable, en este caso, es muy corto. Para reflejar esta idea en el cuadro de mando, la función de optimización para este indicador es decadencia exponencial.
- % de datos sensibles controlados por software DLP. Las soluciones de prevención de pérdida de datos son una de las formas de automatizar la seguridad de TI. Mientras las organizaciones manejan nuevos datos, es importante revisar los modelos de datos regularmente para asegurarse de que los datos sensibles sean accesibles por las herramientas de DLP (Prevención de Pérdida de Datos).
- Cifrado de datos y copia de seguridad automatizada. Similar al indicador anterior, estamos interesados en tener un modelo de datos actualizado y asegurarnos de que los datos sensibles estén gestionados adecuadamente.
- % de software de seguridad actualizado. Esta métrica parece sencilla, pero los estudios cuentan una historia diferente. La causa raíz del 16% de las violaciones de datos es vulnerabilidad en software de terceros. Los proveedores de software lanzan actualizaciones regularmente que corrigen vulnerabilidades. Tener las últimas actualizaciones instaladas es uno de los factores de éxito para minimizar los riesgos de seguridad.
- Cobertura de automatización, % indicador que compara el nivel de automatización posible con el nivel de automatización actual. Mayor automatización reduce el impacto de factores humanos y reduce la complejidad para las partes interesadas.
Estos son solo ejemplos de algunas métricas que pueden cuantificar la complejidad en el caso de la seguridad de datos. Un enfoque más robusto para la complejidad debería incluir un análisis más profundo de las partes interesadas, encontrando puntos de malas complejidades y elaborando una estrategia de reducción de complejidad. En el artículo anterior, discutimos métricas de complejidad y las formas de aplicarlas en la práctica.
Perspectiva de aprendizaje y crecimiento
En esta perspectiva, tenemos dos grandes objetivos:
- Objetivo de auditorías regulares de seguridad de datos que ayuda a enfocarse en una infraestructura adecuada para la seguridad de los datos.
- Objetivo de capacitar a los empleados en seguridad de datos que se enfoca en proporcionar a su equipo el conocimiento y las habilidades actualizadas necesarias para prevenir violaciones de datos o minimizar su impacto.
Echemos un vistazo a cómo se formulan estos objetivos en el mapa estratégico.
Auditorías regulares de seguridad de datos
Tenemos una justificación Analizar riesgos de ciberseguridad alineada con el objetivo. ¿Cuáles son esos riesgos típicos de ciberseguridad? En la descripción de la justificación, tenemos algunos ejemplos:
- Ciberataques
- Ransomware
- Malware
- Amenazas internas
- Credenciales perdidas/robadas
- Acceso no autorizado
- Pérdida de datos
- Corrupción de datos
Existe una hipótesis, El trabajo remoto está impactando la seguridad de datos alineada con el objetivo. Para muchas organizaciones, el trabajo remoto fue parte de su estrategia anticrisis en respuesta a Covid-19.
Hay dos indicadores de actuación:
- Análisis regular de riesgos – un análisis general de los nuevos riesgos
- Evaluar regularmente el riesgo de datos sensibles – un análisis más específico en el contexto de datos sensibles
Ambos indicadores están configurados para actualizarse de forma trimestral.
Hay varias métricas que ayudan a cuantificar los esfuerzos del equipo de seguridad al analizar la situación actual de riesgos y aprender de ella:
- Escaneo de vulnerabilidades – típicamente, escaneo automatizado realizado por el equipo de TI
- Pruebas de penetración (pen test) – una simulación de un ataque cibernético
- Pruebas de equipo rojo – pruebas de seguridad a mayor escala que involucran a más participantes
Los respectivos KPIs están configurados para diferentes intervalos de actualización:
- El escaneo automatizado de vulnerabilidades puede realizarse de forma semanal o mensual.
- Dependiendo del modelo de riesgo, una prueba de penetración puede realizarse trimestralmente.
- Finalmente, el indicador para las pruebas de equipo rojo, que requieren más recursos, está configurado para un intervalo de actualización semestral o anual.
Los procedimientos de análisis de riesgos y pruebas están diseñados para encontrar puntos débiles en el sistema de seguridad. ¿Cómo sabemos que las conclusiones de esas simulaciones y pruebas se implementan efectivamente? Para encontrar la respuesta a esta pregunta, podemos rastrear:
- El número de violaciones de datos recurrentes indicador.
Si la violación de datos del mismo tipo tiene ocurrencias repetidas, es una señal de que el plan de mitigación de riesgos sugerido por el equipo de seguridad no es tan efectivo como se esperaba.
Capacitar a los empleados en seguridad de datos
El factor humano sigue siendo uno de los mayores riesgos de cualquier sistema de seguridad de datos. Según el informe de IBM Security, alrededor del 36% de las brechas de datos maliciosas están asociadas con el comportamiento humano (phishing, ingeniería social, credenciales comprometidas).
¿Cómo se puede diseñar la estrategia de seguridad de datos para mitigar esos riesgos de manera efectiva?
Una de las soluciones es automatizar ciertas operaciones y reducir el papel del operador humano. Resuena mucho con el objetivo de Reducción de complejidad que discutimos en la perspectiva interna.
Para el resto de los casos, donde la automatización no es posible o no es rentable, la educación es una respuesta. ¿Cómo enfocar los esfuerzos educativos en el contexto de la seguridad de datos? ¡Podemos usar un par de indicadores de actuación y de resultado!
- Indicador de actuación: la Tasa de penetración de la capacitación en seguridad de datos se puede utilizar para rastrear la cobertura de la capacitación en concienciación sobre seguridad de datos, donde los participantes pueden aprender, por ejemplo, sobre las prácticas de phishing y la manera de evitarlas.
- El mejor indicador de resultado, en este caso, debería centrarse en el impacto tangible de la capacitación en concienciación. Si comprender las prácticas de phishing fue uno de los temas de la capacitación, realice una Prueba de phishing y vea si los empleados realmente utilizan los aprendizajes de la capacitación. Esto se puede cuantificar en el cuadro de mando con el indicador de Tasa de éxito de la prueba de phishing.
Si educar a los empleados sobre seguridad de datos es su prioridad ahora, entonces su equipo de seguridad puede diseñar un cuadro de mando de evaluación de capacitación utilizando el modelo de niveles de Kirkpatrick, como se discute en este artículo.
Automatización para el Cuadro de Mando de Seguridad de Datos
Hablamos de un ejemplo de un cuadro de mando estratégico que ayuda a describir, implementar y ejecutar la estrategia de seguridad de datos en su organización.
Este cuadro de mando está disponible como una de las plantillas gratuitas en BSC Designer Online para que pueda registrarse con una cuenta de plan gratuito y comenzar a personalizarlo según sus necesidades.
Conozca el costo total de la estrategia
Mencionamos que una de las razones para tener un cuadro de mando de estrategia para la seguridad de datos es que facilitará la presentación de nuevas iniciativas a los interesados.
El costo de la estrategia sugerida es una de las primeras preguntas que estará sobre la mesa. El costo para ejecutar la estrategia se puede estimar como la suma de los costos de todos los objetivos empresariales y sus respectivas iniciativas.
Si utiliza BSC Designer como una herramienta de automatización, podrá asignar presupuestos a las iniciativas y controlar su uso. El software podrá generar un informe de costo de la estrategia para presentar un costo total esperado para ejecutar la estrategia.
Visualice datos importantes en los paneles de control
Otra solicitud típica de las partes interesadas es tener los datos para tomar las decisiones correctas (antes, hablamos sobre decisiones basadas en datos). Por sí mismo, el mapa estratégico contiene muchos datos. Otro enfoque es construir un panel de control de BI que se pueda configurar para mostrar los indicadores más importantes y sus datos.
En la plantilla de estrategia para este artículo, tenemos dos paneles de control (puede alternar entre ellos).
El Panel de Control del Índice de Riesgo está enfocado exclusivamente en los indicadores del índice de riesgo que utilizamos para cuantificar la situación actual de riesgo. Con los diagramas del panel de control, podemos ver:
- Riesgos actuales visualizados en los gráficos de agujas
- Cómo el índice de riesgo fue cambiando a lo largo del tiempo
- La contribución de cada indicador al índice de riesgo en el gráfico de peso
Otro panel de control es el Índice de Complejidad de Seguridad de Datos. Como discutimos, las malas complejidades de los sistemas de seguridad son el factor de mayores riesgos de violación de datos. Este panel de control visualiza el estado actual de la complejidad tal como lo cuantifican los indicadores seleccionados.
Análisis de datos de rendimiento
Recopilar datos de rendimiento en forma de KPIs es algo que la mayoría de las organizaciones hacen regularmente. No importa qué herramienta de automatización se utilice, hay muchos datos disponibles.
La pregunta siempre es cómo utilizar estos datos y convertirlos en información procesable. Algunas ideas surgen cuando el equipo discute un mapa estratégico o un panel de control; encontrar otras ideas puede ser automatizado.
En este sentido, la función de Análisis en BSC Designer ayuda mucho. Aquí hay algunos ejemplos:
- La mayoría de los indicadores que discutimos necesitan ser actualizados regularmente. Con el análisis de Tiempo de actualización, usted puede encontrar los indicadores que necesitan ser actualizados pronto o aquellos que no se actualizaron a tiempo. Esto también puede ser automatizado con la función de Alertas.
- Cada indicador en el cuadro de mando tiene su peso que refleja la importancia del indicador. Con el análisis de Peso absoluto, usted puede encontrar los indicadores con el peso más alto. Por ejemplo, en nuestro ejemplo, el indicador Tiempo medio para detectar tiene uno de los pesos más altos. Si su equipo considera trabajar en varias iniciativas, y una de ellas promete detectar violaciones de datos más rápidamente, entonces dé prioridad a esa.
- A veces, hallazgos interesantes pueden ser localizados simplemente observando cómo cambió el dato de rendimiento. Una ganancia o pérdida rápida es una señal de algunos factores nuevos que deberían ser analizados. ¿Por qué el indicador de Eventos de riesgo medio tuvo una pérdida del 30%? ¿Fue el resultado de alguna actualización interna del sistema, o es un problema de reporte?
Mapear fundamentos, factores de éxito y resultados esperados
En el curso gratuito de planificación estratégica, discutimos la importancia de entender el contexto empresarial de un objetivo. No es suficiente tener un objetivo bien descrito, es importante comprender el razonamiento detrás de él, sus factores de éxito y los resultados esperados que son valiosos para la organización.
Eche un vistazo al objetivo Reducir la complejidad de TI y datos del modelo de cuadro de mando:
- Hay un registro de fundamento Disminuir las complejidades de datos y TI que explica por qué este objetivo es importante: “La alta complejidad de los sistemas de software y la infraestructura de datos es un factor de riesgo para la violación de datos.”
- También hay un factor de éxito en la disminución de complejidades – Limitar el acceso a los datos más valiosos. Tiene perfecto sentido en el contexto del objetivo – menos acceso a los datos sensibles reduce la complejidad del esquema de datos y reduce los riesgos de violaciones de datos como resultado.
En algunos casos, no tenemos un plan fijo para lograr algo, en cambio estamos tratando con una hipótesis fundamentada. Los usuarios de BSC Designer pueden añadir una hipótesis a sus objetivos. En nuestro ejemplo, había una hipótesis, El trabajo remoto está afectando la seguridad de los datos alineada con Auditorías regulares de seguridad de datos.
Conocer los resultados esperados también es crítico. Por ejemplo, para el objetivo de Capacitar a los empleados en seguridad de datos, tenemos un resultado esperado llamado Gestión responsable de datos. ¿Qué significa esto en la práctica? ¿Cómo podemos cuantificarlo? Estas preguntas abren la puerta a una discusión interesante.
Crear iniciativas con presupuestos, responsables y estados
Para cerrar la brecha entre la planificación estratégica y la ejecución, use las iniciativas para los objetivos. Tomemos la iniciativa de Automatizar las pruebas de vulnerabilidad y cumplimiento alineada con Reducir la complejidad de TI y datos.
- ¿Cómo va a trabajar exactamente su equipo en esta iniciativa? Use el campo descripción para agregar un plan de acción detallado.
- ¿Cómo está alineada con otros planes de mitigación de riesgos? Use la sección documentos para enlazar a los recursos relevantes. En nuestro ejemplo, enlazamos al ejemplo de cuadro de mando de TI.
- ¿Quién es responsable de esta iniciativa? Asigne responsables para que reciban una notificación cuando ocurra algo relevante.
- ¿Cuál es el estado actual de la iniciativa? Actualice el estado junto con el progreso de su equipo trabajando en la iniciativa.
- ¿Cómo puede seguir el progreso en el contexto de esta iniciativa? En nuestro ejemplo, lo hemos vinculado al indicador de cobertura de automatización, % que forma un índice de complejidad de seguridad de datos.
Sesión de formación: 'Introducción al Cuadro de Mando Integral por BSC Designer' se ofrece como parte de nuestro programa de aprendizaje continuo e incluido con una suscripción a BSC Designer.
Las sesiones de formación se imparten semanalmente a través de Zoom, proporcionando conocimientos prácticos y orientación personalizada. Al finalizar, los participantes reciben un certificado de asistencia. Explore todas las sesiones de formación disponibles aquí.
Conclusiones
En este artículo, discutimos un ejemplo de una estrategia de seguridad de datos. Aquí están las ideas más importantes que discutimos:
- Existen riesgos conocidos de violación de datos, así como formas comprobadas de minimizar el impacto de los incidentes de seguridad.
- Ayude a sus interesados a comprender los costos directos e indirectos de las violaciones de datos.
- Enfoque su estrategia en detectar problemas temprano y responder rápidamente.
- Tenga un plan de mitigación de riesgos y un equipo de respuesta para disminuir el impacto de las violaciones de datos.
- Reduzca las malas complejidades de los sistemas de TI y los esquemas de datos.
- Actualice los modelos de riesgo regularmente, pruebe su entorno de seguridad.
- El factor humano es uno de los puntos de riesgo – eduque a su equipo, observe los cambios en el comportamiento, no solo en los resultados de exámenes formales.
¿Qué sigue? Una buena estrategia cibernética está hecha a medida según las necesidades de su organización. Use la plantilla de estrategia de seguridad discutida en este artículo como punto de partida para comenzar a construir su propia estrategia de seguridad de datos. Siéntase libre de compartir sus desafíos y hallazgos en los comentarios.
Use la plantilla Data Security and Protection Scorecard
BSC Designer ayuda a las organizaciones a implementar sus estrategias complejas:
- Regístrese para un plan gratuito en la plataforma.
- Use la plantilla
Data Security and Protection Scorecard como punto de partida. La encontrará en Nuevo > Nuevo cuadro de mando > Más plantillas.
- Siga nuestro Sistema de Implementación de Estrategias para alinear a los interesados y las ambiciones estratégicas en una estrategia integral.
¡Comience hoy y vea cómo BSC Designer puede simplificar la implementación de su estrategia!
- Informe sobre el costo de una violación de datos. 2020, IBM Security ↩
- Informe de investigaciones de violaciones de datos 2020, 2020, Verizon ↩
- Encuesta global sobre seguridad de la información, 2020, EY ↩
- Informe M-TRENDS, 2020, FireEye ↩
Alexis es un Consultor Senior de Estrategia y CEO en BSC Designer, con más de 20 años de experiencia en planificación estratégica. Alexis desarrolló el «Sistema de Implementación de Estrategias en 5 Pasos» que ayuda a las empresas con la implementación práctica de sus estrategias. Es un orador habitual en conferencias de la industria y ha publicado más de 100 artículos sobre estrategia y gestión del rendimiento, incluyendo el libro «Sistema KPI de 10 Pasos». Su trabajo es frecuentemente citado en investigaciones académicas.