En un entorno de amenazas en constante evolución, con nuevas identidades, entornos y métodos de ataque, hay una gran cantidad de KPI que se podrían seguir. Sin embargo, monitorear demasiados indicadores puede llevar a confusión o a interpretaciones erróneas, mientras que medir solo unos pocos podría dejar vulnerabilidades sin detectar.
Por ello, es crucial establecer un marco adecuado para la elaboración de informes en ciberseguridad y centrarse en lo que realmente importa para asegurar una estrategia de seguridad efectiva. Evaluar y comunicar el progreso de manera efectiva en todos los niveles y áreas de la empresa puede resultar un reto significativo.
4 estrategias para establecer los KPI
Desde CyberArk han recopilado 4 claves que deben tenerse en cuenta a medida que una organización madura su estrategia de informes de ciberseguridad:
- Iterar constantemente. Los KPIs no deben considerarse inmutables. A medida que los objetivos del negocio, las herramientas de seguridad y los procesos cambian, también debe ajustarse la forma en que se miden. Por ello, es esencial revisar regularmente el estado actual y determinar si algunos KPIs deben modificarse, eliminarse o incluirse nuevos. Esto es crucial porque la seguridad no es un aspecto aislado. Además, la frecuencia de evaluación puede variar significativamente entre diferentes KPIs.
Hay una gran cantidad de KPI que se podrían seguir, sin embargo, monitorear demasiados indicadores puede llevar a confusión o a interpretaciones erróneas
- Incorporar indicadores de cambio cultural. Para evaluar la efectividad de la cultura de seguridad en una empresa, es necesario usar un conjunto de métricas distinto, que aborde aspectos como las conductas de los empleados, el nivel de conciencia en ciberseguridad y el cumplimiento de políticas internas. Un ejemplo es el porcentaje de vulnerabilidad a ataques de phishing (PPP), que sirve como una medida clave para evaluar la exposición de la organización a este tipo de amenazas y la ingeniería social. Esto suele involucrar la realización de simulaciones de phishing, que proporcionan datos prácticos para ajustar los programas de formación en ciberseguridad, ayudar a los empleados a identificar señales de riesgo y reforzar su comportamiento en esta área. También se pueden analizar las conductas de los usuarios a través de las herramientas de seguridad para identificar hábitos que podrían representar riesgos.
- Comunicar para generar mayor impacto. Con la creciente amenaza del ransomware, los ataques a la cadena de suministro y las amenazas basadas en IA, la ciberseguridad se ha convertido en una prioridad. Los mapas de calor son herramientas muy útiles para transmitir información clave sobre ciberseguridad, permitiendo a los CISO presentar de manera clara una variedad de KPIs que muestran los riesgos actuales. Estos mapas también ayudan a visualizar la evolución del riesgo con el tiempo y lo que aún falta para alcanzar los objetivos de seguridad.
- No subestimar el rol del factor humano. Incluso las mejores herramientas de reportes y tableros tienen limitaciones, ya que la ciberseguridad no es una ciencia exacta. Proteger a una organización de amenazas cambiantes y medir su capacidad de respuesta requiere de creatividad, pensamiento crítico y colaboración cercana.