Metamétricas para conocer el grado de madurez de los controles de un Centro de Operaciones de Ciberseguridad – CSOC

Un Centro de Operaciones de Ciberseguridad – CSOC utiliza controles técnicos y procedimentales que ayudan a mejorar continuamente el estado de la Ciberseguridad de una organización.

Es vital conocer el grado de madurez de los controles implementados en un CSOC con el fin de establecer indicadores que permitan mejorar las métricas de Ciberseguridad para reducir el riesgo vinculado a ciberamenazas.

Metamétricas

El término Metametrics fue usado por primera vez en el 2009 por Stefani and Xenos, para ellos Metametrics representa diferentes aspectos del procedimiento medición, como lo es la automatización, la fiabilidad y en si las cuestiones del cómo medir. Se define Metamétrica, como información acerca de las métricas (similar a la definición de Metadatos: datos que describen datos), por ejemplo, “número de métricas de apoyo del Programa de Ciberseguridad” califica como una Metamétrica. Metamétricas incluyen descripciones de las métricas (por ejemplo, la mayoría de los catálogos de métricas consisten en registros para cada métrica que contiene campos como el alcance, propósito, parámetros, fuentes y cálculos: estas son todas Metamétricas). Exactamente de la misma manera que las métricas de Ciberseguridad se utilizan para medir, gestionar y mejorar los controles técnicos y procedimentales utilizados por un CSOC y, por lo tanto, el Programa de Ciberseguridad, las Metamétricas ayudan a medir, gestionar y mejorar las mediciones y, por lo tanto, el sistema de medición.

En el contexto de Ciberseguridad, se utilizan Metamétricas:

•        Para evaluar distintas métricas de seguridad en forma significativa, racional y comparable, siendo posible decidir con objetividad cuáles, si es que existen, valdría la pena adoptar, desarrollar, o ignorar temporalmente.

•        Al revisar y reevaluar las métricas que están siendo actualmente utilizadas, por ejemplo, si la gerencia está insatisfecha con los resultados actuales, o requiere información de facto, para poder administrar otros riesgos de seguridad.

•        Para considerar los méritos de métricas recomendadas por otros, y para explicar el fundamento de recomendaciones específicas para terceros, sin dejar de tomar en cuenta nuestra propia administración.

•        Para realizar comparativos (benchmarking) de métricas utilizadas por diferentes organizaciones o por unidades de negocio dentro de una gran organización, en particular para identificar y compartir formas más creativas y productivas de medir la seguridad de información;

•        Para apoyar las medidas de Ciberseguridad en forma más rigurosa y desde una perspectiva más profesional, lo cual es esencial para el Gobierno (Dirección, Gestión/Administración y Control de la Ciberseguridad).

Para lograr ello, existe un método llamado P R A G M A T I C, el cual implica puntuar métricas de seguridad contra nueve criterios de evaluación cuidadosamente seleccionados, que son, en realidad, Metamétricas.

Criterios

El método P R A G M A T I C de “Krag Brotby” y “Gary Hinson”, es un conjunto completo de nueve criterios para evaluar y seleccionar las métricas de seguridad, el cual define que una metamétrica de seguridad debe ser:

P R A G M A T I C - Nueve criterios de evaluación de seguridad

El método P R A G M A T I C también tiene aplicación tanto para diseñar métricas de seguridad desde cero como para mejorar sistemáticamente sus métricas actuales. Si está utilizando medidas de seguridad que “deberían funcionar” en teoría, pero por alguna razón no parece funcionar tan bien en la práctica, el método P R A G M A T I C lo ayuda a comprender por qué no funcionan e identificar qué cambios se deben realizar.

Ejemplo: Si uno de los controles técnicos implementados en un CSOC es un “Web Application Firewall” y está asociado a la métrica de “efectividad de bloqueo de ataques de tipo SQL Injection”, podemos utilizar los nueve criterios del método P R A G M A T I C para conocer el grado de madurez del control.

Por tal motivo, recomiendo a través de este articulo utilizar como buena práctica el método P R A G M A T I C para valorar el grado de madurez de los controles técnicos y procedimentales implementados en un Centro de Operaciones de Ciberseguridad – CSOC.

A continuación, comparto la plantilla de “Brotby & Hinson”, donde la puntuación final por cada métrica es una media simple no ponderada de sus valores P R A G M A T I C. Podemos reemplazar las métricas de la plantilla por métricas propias de la organización que necesitemos mejorar o nuevas métricas que necesitemos implementar, las mismas pueden estar asociadas a controles PCI DSS, ISO 27002, CIS Controls o estándar de su elección o necesidad.

Descargar plantilla aquí.

Fuentes de referencia:

–         Libro “PRAGMATIC Security Metrics – Applying Metametrics to Information Security, by W. Krag Brotby and Gary Hinson”.

–          https://www.securitymetametrics.com/

 

autor avatar
System Administrador

También te puede gustar

ciberseguridad
Inteligencia Artificial (IA) y Machine Learning (ML) para la Detección y Respuesta ante Incidentes de Ciberseguridad
24 Marzo, 2021
playstore_outlook
Actualización de seguridad de Outlook para Android
3 Julio, 2019
Facebook quita páginas cargadas con malware
Facebook quita páginas cargadas con malware
3 Julio, 2019

Deja un comentario

Abrir Chat
1
Hola
¿En qué podemos ayudarte?