Cuadros de mando de las ISS: ¿deben abandonarse?

Desde su diseño hasta su formato, sin olvidar la espinosa cuestión de la recopilación de datos, los cuadros de mando de SSI complican la vida a los CISO. La complejidad del entorno, la dificultad de implicar a los colaboradores, las herramientas inadaptadas... no faltan razones para explicar el tiempo perdido y la frustración generada, hasta el punto de que algunos CISO están casi tentados de abandonar. Así que a veces recurren a tablas técnicas predefinidas proporcionadas por la multitud de soluciones tecnológicas disponibles en las redes corporativas.

¿Y si la solución fuera seguir produciendo cuadros de mando, pero de otra manera?

Compartir

Por qué siguen siendo esenciales los cuadros de mando de las ISS

A pesar de la magnitud de los obstáculos encontrados en su elaboración y posterior seguimiento, los cuadros de mando siguen siendo esenciales. Permiten a los CISO ver, pero también hacer visible, ciberseguridad en general, ¡y sus acciones en particular!

Cuadros de mando para gestionar la seguridad

Aún hoy, los cuadros de mando de seguridad informática no están muy extendidos en las empresas de más de 100 empleados. Según un estudio del CLUSIF sobre las amenazas informáticas y las prácticas de seguridad en Francia (edición 2020), solo el 30% de las organizaciones encuestadas (350 en total) disponen de uno.

Pero, ¿de qué sirve disponer de una política de seguridad si es imposible determinar el nivel de riesgo de la organización y el cumplimiento de su reglamentación preferida?

La respuesta es clara: ¡nada! Para proteger a la empresa, al CISO no le queda más remedio que optar por la vía del "cuadro de mandos" , siendo la creación de herramientas a medida (generalmente basadas en Excel) la única forma que tiene de supervisar todas las acciones relacionadas con la SI y poner en marcha un sistema de mejora continua.

Por tanto, el salpicadero desempeña dos papeles.

  • Por un lado, proporciona información y permite el diagnóstico. Esto permite al CISO supervisar la aplicación efectiva de la política de seguridad en todos los niveles de la organización.
  • Por otro lado, le permite reaccionar, decidir, es decir, controlar el nivel global de seguridad de la empresa tomando las medidas adecuadas.

Cada tipo de cuadro de mando responde a una necesidad específica, por lo que los CISO deben adoptar tres puntos de vista (aparte de supervisar lo que ocurre en tiempo real):

  • la visión operativa, para detectar anomalías e incidentes y especificar los requisitos operativos que deben aplicarse ;
  • la vista de gestión, para la toma de decisiones, los niveles de cumplimiento y la supervisión de tendencias;
  • la visión estratégica, informar al Comité Ejecutivo sobre la cobertura de riesgos y el nivel de cumplimiento, y orientarle en la toma de decisiones.

Los cuadros de mando como herramientas de comunicación

Como bien saben todos los CISO, sigue habiendo una falta de concienciación y comprensión de los retos que plantea ciberseguridad , lo que dificulta conseguir las reacciones adecuadas de las distintas partes interesadas (equipos operativos y directivos).

Un cuadro de mandos bien diseñado puede marcar la diferencia, permitiendo al CISO posicionarse no como un técnico, sino como un experto cuya misión principal es apoyar al negocio.

En este caso, el panel SSI se convierte en una herramienta beneficiosa tanto para la organización como para el CISO:

  • Los altos directivos aprecian el hecho de comprender rápidamente la situación de la seguridad en la organización y sienten que se les ayuda en la toma de decisiones;
  • el CISO aumenta sus posibilidades de obtener la aprobación de las acciones que propone, y el presupuesto resultante.

Lo mismo ocurre con el personal operativo. Muy a menudo percibido como una restricción adicional, el cuadro de mandos puede convertirse en una herramienta para visualizar su contribución al mantenimiento de la seguridad. El resultado: una recopilación de datos "mejor experimentada" por los empleados y más información para el CISO.

Siempre y cuando se eliminen los complejos y desagradables cuadros de mando de SSI.

¿Cómo replantearse los cuadros de mando del SSI?

Los cuadros de mando llevan tiempo y energía, a veces con poca satisfacción al final: no son rellenados por los equipos, y son consultados (con demasiada) poca frecuencia por la dirección. Por lo tanto, a los CISO les interesa diseñar sus cuadros de mando de SI de forma que vayan directamente al grano.

Las ventajas de limitar los indicadores

Dada la cantidad de trabajo que conlleva lacreación y supervisión de cuadros de mando, no cabe duda de que todos los CISO harían bien en plantearse dos preguntas de antemano:

  • ¿Debo incluir en mi cuadro de mandos todo lo que me gustaría compartir con mis directivos/todo lo que soy capaz de mostrar?
  • ¿El objetivo es demostrar que podría ser cinturón negro Excel?

En ambos casos, la respuesta tiene que ser ¡no!

Una vez más, el cuadro de mando es una herramienta de gestión y comunicación. Como tal, sólo debe presentar indicadores con determinadas características.

  • Representatividad Representatividad: no tiene sentido presentar indicadores que no estén vinculados a un riesgo. Es mejor apuntar, empezando por identificar un riesgo importante por línea de negocio, y desglosarlo. Este enfoque permite comparar la situación actual del sistema de información con la que el CISO desea alcanzar y mantener en el tiempo.
  • PertinenciaLos indicadores para los que no se disponga de datos de forma periódica y sistemática deben descartarse, de modo que en el cuadro de mando sólo se incluyan datos conocidos y fiables.
  • Adaptación al público destinatarioLos indicadores que deben utilizarse para un cuadro de mando operativo no pueden ser, en esencia, similares a los utilizados en un cuadro de mando estratégico. Por tanto, ¡no es necesario incluir las causas de los incidentes de seguridad en un cuadro dirigido a un Comité Ejecutivo! La información interesará al personal operativo, que está en condiciones de cambiar sus prácticas, pero no a la alta dirección, que no tendrá la solución y está más preocupada por la estrategia.

La importancia de personalizar los cuadros de mando

Admitámoslo: Excel no es sexy. Para no desanimar a los destinatarios de sus cuadros de mando, el CISO tiene que ser astuto, adaptando su presentación a las expectativas.

En la práctica, un cuadro de mandos de fácil consulta para los no iniciados es ante todo un resumen. Un cuadro de mando estratégico de SSI debe permitir a los responsables de la toma de decisiones comprender muy rápidamente dónde residen los problemas potenciales y qué nivel de inversión se requiere para cubrir el riesgo.

Por supuesto, la forma también es importante: un buen cuadro de mando también debe ser claro, legible e incluso "significativo". Hay dos buenas prácticas que los CISO pueden adoptar para mejorar su presentación.

  • Representaciones visuales Representaciones visuales: es posible representar el riesgo de muchas maneras, ya sea con un simple diagrama bidimensional (impacto del riesgo/frecuencia, por ejemplo) o en forma de radar. Este tipo de presentación tiene la ventaja de resaltar determinadas conclusiones, apoyando así el mensaje del CISO.
  • Los códigos de colores: verde para indicar conformidad, naranja para advertir de incumplimientos que no ponen en peligro el SI, y rojo para incumplimientos que revelan un riesgo.

Tenacy para cambiar de opinión sobre los cuadros de mando

¿Sabía que ahora existe una herramienta diseñada por CISOs para CISOs que hace más fácil, rápida y completa la elaboración de cuadros de mando?

¡Esta es una de las características y ventajas de Tenacy !

Desarrollada como una solución SaaS adaptable y colaborativa, nuestra solución de monitorización ciberseguridad permite a los ISSM desarrollar y gestionar sus cuadros de mando de ISS de forma eficiente, gracias a funcionalidades 100% adaptadas a su negocio.

  • Establecer indicadores específicos de su política de seguridad
  • Indicadores preconfigurados
  • Construcción a medida, modular e intuitiva
  • Gestión dinámica de perímetros y agrupaciones
  • Colaboración (web, funciones y ámbitos, flujo de trabajo y recordatorios)
  • Colecciones múltiples (GUI-XLS-API)

¿Quiere saber más sobre Tenacy ?

Póngase en contacto con nosotros