La seguridad informática es, por naturaleza, un objetivo o servicio intangible y difícil de medir. Puede ser extremadamente difícil evaluar con precisión el beneficio de las disposiciones de seguridad, o ver lo bien que funcionan los sistemas de seguridad.
Los análisis y evaluaciones de riesgos se realizan para valorar cada riesgo individual en relación con la probabilidad de que ocurra y su impacto. Una vez etiquetados los riesgos como bajos, medios o altos, la empresa puede medir su capacidad para afrontarlos, mitigarlos o directamente evitarlos.
En el sector de la seguridad han surgido algunas prácticas recomendadas para medir la eficacia de las estrategias y los sistemas de seguridad. Las métricas de seguridad se miden en función de ciertas normas para cuantificar el riesgo de sufrir daños o pérdidas como consecuencia de un ataque malintencionado. Estas métricas son especialmente importantes para comprender qué áreas pueden mejorarse, cuáles son las vulnerabilidades más destacadas y cómo asignar adecuadamente un presupuesto de ciberseguridad.
Una forma de medir la seguridad informática es tabular los informes de ciberataques y ciberamenazas a lo largo del tiempo. Al trazar cronológicamente estas amenazas y respuestas, las empresas pueden acercarse más a la evaluación de lo bien que han funcionado los sistemas de seguridad a medida que se implantan. Las empresas también pueden encuestar a personas puntuales que ocupen puestos clave de seguridad para disponer de una especie de “percepción del riesgo” que también alimente la evaluación comparativa de la seguridad. Algunos expertos recomiendan hacer un seguimiento del rendimiento de la inversión en seguridad formulando las preguntas adecuadas a quienes trabajan en primera línea de la ciberseguridad y tomando todos los datos entrantes para obtener una visión más amplia de los resultados de la seguridad.
Las empresas también pueden fomentar la precisión y la medición de la seguridad desglosando la seguridad en sus distintos componentes. Por ejemplo, la seguridad de los puntos finales es la aplicación específica de prácticas de seguridad para puntos finales de datos como pantallas de teléfonos inteligentes, tabletas y PC. Otros aspectos de la seguridad de los datos tienen que ver con los datos en uso a través de una red, donde los profesionales pueden utilizar puntos de control de la red para establecer puntos de referencia de seguridad, o medir la seguridad de otras formas.
Las herramientas de seguridad podrían rastrear rastros de actividad maliciosa, junto con otros datos que podrían sugerir posibles vulnerabilidades (como el número de parches aplicados, intentos de intrusión, cambios en los privilegios, alertas del sistema, etc.). Estos datos pueden cotejarse con la información extraída del software de gestión de registros para hacer correlaciones e informes que midan la mejora de la seguridad a lo largo del tiempo.
Para muchos profesionales de TI, la medición de la seguridad es un proceso de “entrada y salida” en el que los expertos en seguridad agregan datos sobre ciberamenazas, los introducen en una base de datos y elaboran informes informativos. Estos tipos de análisis sofisticados contribuyen a impulsar la evaluación de las prácticas de seguridad y ayudan a los responsables humanos a abordar la gestión del cambio de las estrategias de seguridad. En general, la seguridad informática implica un “ciclo de vida de la seguridad” con múltiples pasos y etapas para responder a las amenazas, en lugar de limitarse a proporcionar un tipo estático