Read the rest of the post ' El riesgo de pedir demasiados datos personales en los Hoteles '
¡Feliz 2022, queridos lectores! ¿Qué mejor forma de comenzar el año que hablando sobre esta ciberseguridad que tanto nos gusta?
Estoy seguro de que este artículo se sumará a la larga lista de textos que, en estas fechas, hablan de propósitos, de cómo enunciarlos de manera correcta y/o de ejemplos que nos pueden interesar y motivar en esta época. Sin embargo, en este caso, no quiero ayudaros a aplicar nuevas prácticas, pues estoy seguro de que, a estas alturas, con todo el recorrido que llevamos juntos, ya tenéis suficientes temas en los que trabajar. Por eso prefiero centrarme en atacar un problema que sucede, incluso, en las mejores empresas: los objetivos (en nuestro caso, propósitos) que nunca se cumplen.
A la hora de enfrentarnos a los objetivos vamos a dejar de lado su frecuente mala formulación que, para resolverla, ya existen infinidad de artículos que nos ayudan a entender cómo plantearlos (como es, por ejemplo, la metodología S.M.A.R.T), y vamos a centrarnos en un gran problema que es muy habitual: el mal uso de las métricas en la ciberseguridad. Y es que ya lo dijo el famoso físico Lord Kelvin: “Lo que no se mide, no se puede mejorar. Y lo que no se mejora, se degrada siempre”. Por tanto, de la mano de los objetivos, siempre han de ir unas buenas métricas que nos ayuden a evaluarlos.
Y, si hablamos de métricas y, en concreto, sobre métricas de ciberseguridad, no hay problema mayor para empresas y particulares que no saber qué medir. Y, para esto, como se suele decir, no hace falta reinventar la rueda, pues ya hay numerosas propuestas de métricas que son útiles para este ámbito y que pueden suponer un punto de partida muy adecuado para quien no sabe por dónde comenzar, como la realizada por el CCN-CERT en el marco de la Gestión de Ciberincidentes del Esquema Nacional de Seguridad; o en cuanto a métricas para trazabilidad de incidentes de seguridad, propuestas como la de la asociación internacional KPI.org para evaluar aspectos globales de tecnologías o, también, la propuesta del CIS (Center for Internet Security) para un estándar de métricas de ciberseguridad o para evaluar controles de seguridad.
A continuación, una muestra de ejemplos de la facilidad y nivel de detalle que ofrecen en cuanto a las métricas que proponen:
Ejemplo de métrica propuesta por CCN-CERT. Esquema Nacional de Seguridad
Ejemplo de métrica propuesta por CIS. CIS Security Metrics
Una vez que las métricas se han definido de manera correcta, el siguiente problema más habitual es no llevar la trazabilidad y seguimiento del progreso de nuestros objetivos. Para entenderlo mejor visualicemos la idea con un ejemplo de la vida cotidiana como es el proponerse un objetivo como “perder 6 kilos durante el año 2022”, el cual tiene un enunciado correcto al plantear una meta clara y medible en un tiempo definido. Ante un objetivo como este, resulta extraño que lleguemos al 31 de diciembre y comprobemos que no lo hemos cumplido sin antes haber hecho un seguimiento previo y, que sea entonces, cuando no hay margen de corrección, cuando emprendamos una discusión interna sobre las excusas, problemas y razones por las que no se ha cumplido.
Pues esto es lo que lo que sucede en materia de ciberseguridad en las empresas demasiado a menudo, que al terminarse los plazos marcados y ver que no se han cumplido los objetivos establecidos se trata de buscar responsables y razones para justificarlo y, esto, es como empezar la casa por el tejado. Por lo que, para lograr alcanzar nuestros objetivos, el siguiente gran punto a tener en cuenta es que hay que llevar un seguimiento correcto a lo largo del tiempo, fijar una periodicidad a partir de la cual midamos el progreso de nuestro objetivo y que permita corregir los errores o desviaciones que se vayan presentando.
Si nos fijamos en los ejemplos de métricas planteados más arriba, siempre se intenta ofrecer una propuesta de frecuencia en la medición. Y es que elegir esta periodicidad no es baladí, ya que establecer unos tiempos excesivamente largos resta capacidad de maniobra para corregir desviaciones, pero si son plazos excesivamente cortos puede suponer una sobrecarga de trabajo de medición e, incluso, llegar a distraernos de nuestro objetivo original. En el caso de nuestro ejemplo cotidiano, esto es lo que supondría estar pesándonos a diario para cuantificar el progreso hacia nuestro objetivo. Por ello, si somos capaces de atacar estas dos cuestiones principales, entender qué es bueno medir y cuándo medirlo, tendremos la mayor parte del recorrido realizado y será mucho más probable que alcancemos nuestros objetivos de ciberseguridad, ya sea como empresa o a título individual.
Espero, como siempre, que el artículo os haya ayudado e interesado y, si es así, ¡confío en volver a vernos el próximo mes!