Cómo establecer los KPI de ciberseguridad adecuados
- Actualidad
CyberArk destaca las cuatro estrategias básicas para poder establecer indicadores de desempeño de la ciberseguridad de una compañía, buscando el equilibrio entre medir demasiado, lo que puede distraer del objeto de los KPI y llevar a error, y medir demasiado poco, lo que podría generar brechas en la protección.
Conocer a fondo la infraestructura tecnología de la compañía y los hábitos del personal es fundamental para poder plantear un sistema de ciberseguridad. También los es ser capaz de medir la eficacia del programa de ciberseguridad que se haya implantado en la organización. Para ello es muy importante haber establecido unos indicadores de desempeño (KPI) que sean adecuados para las necesidades de la compañía.
Para ello CyberArk ha elaborado un listado con los cuatro elementos esenciales que deben tener los KPI para ser verdaderamente útiles. La compañía considera que hay que encontrar el balance adecuado entre la tentación de medir demasiados elementos, lo que puede hacer perder la visión de conjunto y conducir a errores, o quedarse corto y que la evaluación del sistema no sea la adecuada.
El primer elemento es realizar iteraciones con frecuencia de los propios KPI. Deben ser elementos dinámicos, que se adapten a medida que evolucionen los procesos y los objetivos comerciales de la organización, así como las herramientas de seguridad que utilicen. También es muy importante medir el cambio cultural, esto es, el modo en que los empleados van adquiriendo concienciación e higiene en ciberseguridad. En este sentido, CyberArk destaca la métrica de porcentaje de vulnerabilidad a ataques de phishing (PPP).
El tercer elemento es la comunicación, que permite ampliar el impacto de las políticas de ciberseguridad. Se recomienda utilizar mapas de calor, gracias a los que los CISO pueden recabar muchos KPI de forma rápida y comprensible. Por último, CyberArk recuerda la importancia del factor humano. Puede ser uno de los eslabones más débiles en la cadena de la seguridad y la compañía señala que “comprender las mejores formas de proteger una organización de amenazas en constante cambio y medir eficazmente su capacidad para hacerlo requiere creatividad, pensamiento crítico y una estrecha colaboración”.