Estrategias

Center for Internet Security prepara un conjunto de métricas para evaluar la seguridad TI

La asociación especializada en seguridad Internet Center for Internet Security (CIS) lanzará pronto dos métricas para medir el nivel de seguridad de las infraestructuras TI corporativas. Tales métricas constituyen un recurso especialmente necesario hoy día, dado que, según CIS, la mayoría de las organizaciones aplican enfoques inconsistentes para la medición de las mejoras en la seguridad de sus infraestructuras tecnológicas.

Tal inconsistencia afecta, según Bert Muccio, CEO de CIS, no sólo a las métricas aplicadas por las diferentes empresas –lo que dificulta cualquier análisis comparativo-, sino también a las diferentes medidas aplicadas dentro de una misma organización. Por otra parte, aunque “gobiernos e industria gastan grandes cantidades de tiempo y dinero para la mejora, por ejemplo, de la ciberseguridad, pero, a menudo, su enfoque se centra más en la conformidad con un sistema de mejores prácticas que en la consecución de resultados reales”, asegura Muccio.

Ante esta situación, CIS, organización sin ánimo de lucro con sede en Pensilvania (Estados Unidos) y dedicada a promover la seguridad TI en las empresas, ha decidido lanzar sus propias métricas –todas definidas a través de la colaboración entre diferentes profesionales especializados en seguridad de organizaciones académicas, corporativas y gubernamentales- antes de finalizar el año.

Tales métricas incluirán dos centradas en resultados: tiempo medio entre incidentes de seguridad y tiempo medio de recuperación ante tales incidentes. El resto serán métricas de procesos: porcentaje de sistemas configurados para estándares aprobados, con antivirus, parchados de acuerdo a políticas; porcentaje de aplicaciones de negocio que han sido sometidas a una valoración de riesgos, de penetración y de vulnerabilidades; y porcentaje de código de aplicación sometido a valoración de seguridad, a un análisis de modelo de amenazas, y a revisión antes de su despliegue en producción.

Las definiciones de tales métricas estarán disponibles para el público como un recurso de la comunidad. Sin embargo, las organizaciones miembros de CIS tendrán la ventaja de disponer de un software hospedado y diseñado para ayudar a los responsables de TI a seguir y evaluar el rendimiento de la seguridad a lo largo del tiempo mediante el registro de datos métricos e informes. La idea es que tales informes puedan revelar una correlación entre los resultados medidos y la implementación de prácticas de seguridad específicas.

Por ejemplo, si el tiempo medio entre incidentes de seguridad está aumentando dentro de una empresa, su director de TI “podrá analizar los indicadores de resultados de proceso y comprobar qué factores podrían estar provocando tal tendencia”, explica Miuccio. “Se trata, pues, de una forma de facilitar la correcta interpretación de los datos disponibles”.



TE PUEDE INTERESAR...

Nuevo número de nuestra revista de canal 
 
DealerWorld Digital

 

Cobertura de nuestros encuentros

 

Documentos ComputerWorld



Forma parte de nuestra comunidad

 

¿Te interesan nuestras conferencias?