Al momento de escribir estas líneas no recuerdo el nombre del autor de la cita -lo que sí recuerdo es que no es William Edwards Deming-, pero cierto estoy de que en mi vida profesional la he escuchado recitada decenas de veces: “No puedes mejorar lo que no mides”, o alternativamente, “No puedes manejar lo que no puedes medir”. La frase tiene una buena carga de razón, siempre es necesaria una referencia para determinar si uno está acercándose o alejándose de un objetivo o trayectoria definida. El mundo de la seguridad no es la excepción, definitivamente necesitamos mecanismos que nos permitan revisar si la táctica planteada fue correcta o no lo fue.

Del dicho al hecho…

La traducción del concepto a la práctica entraña varias sorpresas, la mayoría de ellas non gratas. Lo complicado de establecer métricas o índices de desempeño para seguridad de información es que no hay una manera trivial (ni siquiera hay consenso entre los expertos) de medir la salida o el producto de los sistemas de seguridad. Cada quien tiene su muy particular visión sobre lo que se debe medir de un sistema de esta naturaleza; están aquellos a los que les interesan cuestiones financieras como el retorno de la inversión en infraestructura de seguridad, o por otro lado los que requieren mediciones con una orientación más operativa,  como por ejemplo el número de equipos infectados por virus en un periodo determinado.

La gama de objetivos de medición es casi tan amplia como perspectivas y percepciones existen sobre la seguridad. Esta diversidad de posibilidades juega en contra de nosotros cuando pretendemos implantar métricas en nuestras organizaciones, y lo afirmo porque nos complica un gran trabajo que tenemos por delante: Seleccionar las métricas que mejor nos apoyen en la toma de decisiones.

En el mundo existen varios  grupos de personas que se han dado a la tarea de proponer y conjuntar diversas aproximaciones al problema, uno de los esfuerzos más conocidos y mejor organizados es el del grupo que tiene su sede electrónica en www.securitymetrics.org, del cual destaca la notable figura de Andrew Jaquith, quien es autor del libro “Security Metrics: Replacing Fear, Uncertainty and Doubt” (Métricas de Seguridad: Reemplazando Miedo, Incertidumbre y Duda). Jaquith expone en su libro varias métricas predefinidas y listas para implementar; la mayoría de ellas muy sensatas y útiles para tomar decisiones sobre el rumbo de un proyecto de seguridad. Sin embargo, existe un peligro al seguir el libro al pie de la letra, y este reside en el hecho de que quizá algunas de las mediciones que propone no serán de utilidad para ciertos casos particulares.

Si algo podemos decir de las métricas de seguridad es que no hay un estándar absoluto para elegirlas e implantarlas; como profesionales debemos usar nuestro conocimiento del negocio y mantener una actitud analítica y crítica –en el mejor sentido de la palabra- al seleccionar los indicadores que usaremos para manejar nuestro entorno de seguridad.

El modelo está listo, ¿qué sigue?

Una vez definidos los indicadores, nos enfrentamos a lo que yo reconozco como el problema principal para implantarlos: identificar una fuente confiable de la cual obtener la información que alimentará la medición. Si no cuidamos la materia prima del proceso, podemos caer en el error de seleccionar correctamente una métrica que después alimentaremos con datos irrelevantes, o que no reflejan fielmente la esencia de lo que queremos medir; y lo que es peor, la salida de nuestras mediciones será sólo un garabato sin significado real, completamente inútil para conocer el estado de nuestro proyecto. Hace algunas décadas, el ingeniero George Fueschel de IBM reconoció este fenómeno en el campo de la computación, y lo hizo mantra mediante la frase Garbage In, Garbage Out (Basura entra, basura sale).

Check-Act

Independientemente de haber seleccionado una escala cuantitativa o cualitativa, para representar la salida de las mediciones, tenemos la obligación de conocer nuestra situación particular para hacer una correcta interpretación de la métrica en un momento determinado, pues cuando el resultado no es analizado y es tomado literalmente, nuestro manejo de la seguridad se convierte en un tipo de “sistema experto” en donde el juicio y experiencia de un profesional se ven reemplazados por una matriz dentro de una hoja de cálculo, con decisiones predefinidas para cada rango de valores. La realidad es diferente, no hay fórmulas mágicas para llevar a buen puerto un proyecto de esta naturaleza.

Finalmente, el punto a ponderar para la implantación de métricas de seguridad es que éstas reflejen realmente la efectividad del programa Corporativo de Seguridad de Información y que nos permitan tomar decisiones en el sentido correcto.

[email protected]