Ver Suplemento Temático...

Seguridad Corporativa y Protección del Patrimonio.
 

 Expertos

Diofanor Rodríguez Lozano

Oficial de la Policía Nacional de Bogotá en excedencia.
Certificado Profesional en Protección (CPP), por ASIS Internacional
Especialización en Seguridad Física y de Informática por la Escuela de Comunicaciones Militares de Bogotá

Gerente de Seguridad de Agroindustria UVE, S.A. (Colombia)

Cómo medir la seguridad en las organizaciones


Las Organizaciones en el mundo, a partir de un perfil aproximado de los riesgos que enfrentan, generalmente se preguntan: ¿Cuál es nuestro nivel de seguridad?  Y se encuentran con que las formas tradicionales de medir la seguridad son, en el mejor de los casos, fortuitas, y en el peor, dan una falsa impresión de seguridad, que lleva a una implantación ineficiente o insegura de medidas de seguridad.

Existe sin duda la necesidad de “medir” el nivel real de seguridad de una Organización. En este sentido, no se puede decir que una empresa es más o menos segura por que posea más vigilantes que otra o más cámaras que otra. La forma ideal  de medir seguridad  consistirá muy seguramente en valorar aspectos subjetivos, que son característicos e individuales en cada organización, mediante metodologías objetivas y pragmáticas.

Antes de entrar en materia, es de gran ayuda preguntarnos que entendemos por métrica. Aunque para muchos la respuesta puede ser obvia, en la realidad no lo es cuando intentamos responder a la pregunta ¿Cómo se mide la seguridad de una organización? Las respuestas a esta pregunta no fluyen como quisiéramos. Se nos podría ocurrir que la seguridad se puede medir por el número de pérdidas sufridas en un periodo de tiempo fijado o por el número de veces que un intruso ha entrado en la Organización. Con estos datos obtendremos un valor de $2 millones o $4 millones o una frecuencia de 5, 6 ó 20 veces, pero nada más que eso. La preguntas relevantes son: ¿Qué valor es seguro para nuestra organización? ¿Cinco intrusiones en un mes son aceptables? ¿Lo serían tres? Y por otro lado, ¿Qué es más seguro o qué da más seguridad? ¿Disponer de un guarda o instalar un CCTV? Pues todo ello depende en gran medida de la organización, de los criterios de seguridad de la misma, de los daños causados, del tiempo de reacción para evitarlos, del impacto producido por la intrusión, entre otros.

Como puede observarse en este ejemplo, ya disponemos de diversos factores a medir, tales como vulnerabilidades, riesgo, impacto, tecnología instituida y demás. En consecuencia, la definición de las métricas deberá tener en cuenta aspectos que se detallan a continuación:

¿Para qué? (queremos medir):

  • Medir la evolución de la seguridad de un sistema o proceso.
  • Medir la efectividad de una aproximación de protección y prevención.
  • Medir la capacidad o habilidad de la organización en las tareas de seguridad.
  • Tener datos elocuentes sobre el estado de seguridad de la organización – Saber dónde hay que hacer hincapié en la mejora de la seguridad.

¿Qué? (queremos medir):

  • Cantidad y tipo de amenazas.
  • Calidad de las respuestas a las amenazas y ataques recibidos.

¿Cómo? (podemos medirlo):

  • ¿Cómo convertimos la información en datos válidos?
  • ¿Qué fuentes y herramientas necesitamos?

La dificultad en la definición de una métrica esta precisamente en la dificultad de concretar estos tres factores. La Alta gerencia necesita alguna medida de cuanto segura está la organización. Las organizaciones necesitan preguntarse:

  • ¿Cuántos recursos son necesarios para estar "seguro"?
  • ¿Cómo puede justificarse el costo de nuevas medidas de seguridad?
  • ¿Recibe la organización algo a cambio de su inversión?
  • ¿Cuándo sabe la organización que está "segura"?
  • ¿Cómo puede comparar la organización su estado con otras del sector y con los     estándares de buenas prácticas?

La respuesta habitual a estas preguntas se relaciona con el análisis del riesgo y el riesgo residual que la organización está dispuesta a aceptar en función de sus necesidades de negocio y limitaciones de presupuesto. La gestión del riesgo puede darse por sentada, no conduciendo necesariamente a un estado de mayor seguridad.  Imagine, por ejemplo, un análisis de riesgos que contiene una matriz de amenazas y el costo de mitigar los riesgos. Algunos de los elementos de la lista tendrían un costo insignificante. Otros elementos serían muy caros.

La necesidad de definir e implantar métricas es algo habitual en distintos ámbitos dentro de los sistemas de la  seguridad Integral. A pesar de haberse mantenido hasta ahora un poco al margen, debería sin duda ser uno de ellos. Y debe hacerse no porque sea algo que esté  de moda, sino porque existen motivos claros que así lo justifican, como por ejemplo:

  • Conocer el estado de la seguridad de una forma clara y sucinta evadiendo las “falsas expectativas” de seguridad y permitiendo el crecimiento dinámico de los sistemas de seguridad de acuerdo con las necesidades reales de la empresa.
  • Anticiparse a las necesidades, de forma que puedan preverse las inversiones necesarias para garantizar, al menos, el cumplimiento de los objetivos de seguridad de la empresa.
  • Justificar frente a los departamentos financieros de las empresas el gasto en seguridad, mostrando de una forma clara la relación existente entre dicho gasto y el aumento en la seguridad de los activos de la empresa.
  • Disponer de herramientas que permitan a los responsables de seguridad realizar informes detallados del estado de sus procesos y detectar las variaciones que puedan producirse en la seguridad. Con estas pruebas, justificar la necesidad de implantar métricas de seguridad adaptadas al entorno concreto de una organización puede parecer algo sencillo. Y sin duda alguna lo es, salvo cuando llega el momento de realizarlo y nos encontramos con las dificultades derivadas de la definición de esas métricas siguiendo los esquemas “tradicionales”.

A continuación dejare a consideración un ejemplo de métricas para la seguridad en las organizaciones.


Una pieza importante del rompecabezas de las métricas es la medida del progreso del programa de seguridad frente a un modelo de madurez de seguridad, lo que se busca entonces es medir cosas significativas para la organización y el progreso hacia un objetivo o meta. 

Esto también impide el peligro de implantar medidas de seguridad en el orden incorrecto, introduciendo riesgos de seguridad precisamente por no implantar las medidas sistemáticamente. Puesto que este modelo es esencialmente una herramienta detallada de conformidad, la gerencia puede malinterpretar quizás la madurez del programa. Un alto nivel de madurez puede dar la falsa impresión de seguridad la conclusión del proyecto puede indicar a la gerencia que ahora la organización está segura" y que no hay ya necesidad de apoyar el esfuerzo en seguridad, cuando, en cambio, sólo si los elementos han sido ejecutados con un alto nivel de calidad, puede ser indicativo de un estado seguro. Pero, por otra parte, sólo porque una organización haya completado un elemento de seguridad en particular, no quiere decir necesariamente que esté haciendo un buen uso de él. Esto es por lo que debe utilizarse una herramienta de medida separada para medir la calidad o eficacia de la implantación actual.

Concluyendo, en una empresa mediana o grande la visión que proporcionan las métricas de seguridad resulta una necesidad irrefutable. Con todo, las métricas deben cambiar para acomodarse a las nuevas necesidades de la empresa en temas de seguridad. Con este argumento, la perplejidad de cualquier proyecto en un hábitat como el descrito hace muy recomendable la aplicación de los principios de las metodologías ágiles en los proyectos de definición e implantación de métricas de seguridad en las organizaciones, con la diferencia de ser estos proyectos incesantes en el tiempo. Las métricas han dejado de ser sólo un instrumento de defensa para las inversiones en seguridad para pasar a ser una pretensión de la alta gerencia de las empresas que necesitan una perspectiva del momento de  seguridad.


Referencias.

Security Metrics Guide for Information Technology Systems. NIST-National
Institute of Standards and Technology. Computer Security. July, 2003
ñigo González Ponze. Seguridad Basada en Métricas. Exocert SDI. Nov. 2000
“How can security be measured?”

Suplemento Temático: Los nuevos retos del Director de Seguridad

 


Fuente: Diofanor Rodríguez Lozano
Fecha: 08/08/07

   Mas artículos de Diofanor Rodríguez Lozano       Otros Expertos   

Este experto ha sido visto por 6488 personas.