En economía, lo que no se puede medir no se puede mejorar, y en ciberseguridad, esto no es diferente. Una gestión eficaz de los distintos índices de rendimiento puede significar la diferencia entre un proyecto práctico y eficiente y una pérdida total de dinero. A pesar de que los gerentes y directores de TI han estado siguiendo los KPIs desde hace bastante tiempo, en materia de seguridad de la información, esta es una práctica poco frecuente y en desarrollo más bien reciente para rastrear las métricas de ciberseguridad.
Por lo tanto, os dejo algunas sugerencias para métricas de ciberseguridad que pueden y deben seguirse para garantizar la eficiencia de todo proyecto de seguridad.
Cualquier proyecto solo se cumple con métricas bien definidas, monitoreo y evaluaciones continuas. - Peter Drucker
1. Número de dispositivos infectados por botnets en un período determinado
Saber si los botnets han invadido nuestros entornos, o si se ha intentado una invasión, es una medida importante de ciberseguridad a seguir. Existen muchos actores maliciosos que buscan en Internet puertos abiertos o dispositivos vulnerables, conocer estas redes y los modos de operación pueden mostrarnos los atacante al acecho. El phishing y el drive-by/watering hole son otros métodos comunes de infección.
2. Número de sistemas vulnerables con vulnerabilidades conocidas
Conocer la cantidad de activos vulnerables en nuestro entorno es una medida clave de ciberseguridad para determinar el riesgo en el que incurre su empresa. Administrar actualizaciones y parches es un proceso complejo, pero muy importante para evitar lagunas que pueden explotarse en el entorno. Un análisis de vulnerabilidad que incluya todos los activos indicará lo que se debe hacer para mejorar la postura de seguridad de la empresa. Un programa de administración de vulnerabilidades no es una exquisitez, sino una necesidad.
3. Número de certificados SSL configurados correctamente
Un certificado SSL es un pequeño archivo que certifica la propiedad de una clave criptográfica para el sitio web o la empresa con la que se intercambian los datos, lo que garantiza la autenticidad de la transacción. Controlar los requisitos de seguridad para cada certificado, así como garantizar que estén configurados correctamente en los servidores, evita que caigan en las manos equivocadas y que la identidad digital de la empresa no se utiliza para robar información del usuario o similar.
4. Volumen de datos transferidos utilizando la red corporativa
Si los empleados tienen acceso no restringido a internet a través de la red corporativa, monitorear el volumen de tráfico permite identificar el uso indebido de los recursos de la compañía. Al descargar software, videos, películas y aplicaciones, un usuario puede dejar la puerta abierta a que botnets y malware invadan el entornos, incluso más si las descargas provienen de sitios web conocidos como peligrosos.
5. Número de usuarios con nivel de acceso "superusuario".
Las mejores prácticas en la administración de la seguridad de la información incluyen un control total del nivel de acceso de los usuarios a los recursos de la compañía, es necesario que un empleado solo tenga acceso a los datos, sistemas y activos que son necesarios para su trabajo. La identificación de los niveles de acceso de todos los usuarios de la red le permite ajustarlos según sea necesario bloqueando cualquier superusuario o administrador que no tenga sentido.
6. Número de días para desactivar las credenciales de los empleados.
Al monitorear estas métricas de ciberseguridad, puede definir si los equipos de Recursos Humanos y TI están trabajando en sintonía. En un escenario ideal, el acceso de los usuarios finalizados de la empresa debe cancelarse de inmediato. Mantenerlos activos es un riesgo tremendo, ya que podrian filtra información sensible y/o comprometer sistemas críticos.
7. Número de puertos de comunicación abiertos durante un período de tiempo.
Como regla general, debemos evite permitir el tráfico entrante para NetBIOS (UDP 137 y 138, TCP 135-139 y 445). Cumplir con el protocolo SSL de salida (TCP 443): una sesión que permanece activa durante mucho tiempo podría ser un túnel SSL VPN que permita el tráfico bidireccional. Todos los puertos comunes para los protocolos que permiten sesiones remotas, como TCP 22 (SSH), TCP 23 (telnet), TCP 3389 (RDP) y TCP 20 y 21 (FTP) deben ser supervisados.
8. Frecuencia de revisión de accesos de terceros
A menudo, los administradores de TI otorgan acceso a terceros en sus redes para completar un proyecto o actividad. Es importante controlar si el acceso se cancela al final del suministro del servicio. De lo contrario, se pone en peligro nuestro entorno si el proveedor decide regresar y extraer datos o llevar a cabo otra actividad maliciosa; por ejemplo, pueden estar bajo el empleo de un competidor. Posiblemente peor, si se infringe la red de proveedores, podríamos exponer nuestra red a la misma amenaza.
9. Frecuencia de acceso a sistemas empresariales críticos por parte de terceros.
Crear una asignación de sistemas críticos para la empresa y conocer los usuarios que acceden a ellos son imperativos en el contexto de seguridad. La monitorización del Los intentos de accedeso a servidores o aplicaciones que no deben ser dirigidos por usuarios no autorizados pueden indicar una mala conducta e intenciones de comprometer nuestro entorno.
10. Porcentaje de socios comerciales con políticas efectivas de ciberseguridad.
Debemos mantener un control estricto y monitorizar las métricas de ciberseguridad de las compañías que brindan servicios a nuestro negocio. Dar acceso a sus entornos a esta empresa subcontratada puede ser un gran riesgo si primeramente no se cuenta con políticas efectivas para nuestra seguridad. No es demasiado decir que si nuestra empresa invierte en seguridad pero tenemos terceros conectados a nuestros sistemas que no lo hacen, tenemos nuetra seguridad al descubierto.
Lo que no se puede medir no se puede mejorar.