Tanto a través de las métricas como de los niveles de maduración, puede realizarse un seguimiento del trabajo realizado en el área de seguridad informática. Por tal motivo, son vinculables entre sí y muy útiles.
Otra característica en común es que ambas temáticas son flexibles y adaptables a diferentes ámbitos y a diferentes criterios. Es decir, no hay una única manera de diseñar una métrica, ni una única manera de establecer los niveles de maduración.
Como ejemplo de métricas, pueden mencionarse:
- Cantidad de empleados que realizaron al menos una capacitación en el año en curso sobre el total de empleados.
- Variación porcentual del tiempo promedio para resolver un incidente respecto al año anterior.
- Porcentaje de incidentes cuya resolución excedió el plazo máximo preestablecido en el procedimiento.
- Cantidad de nuevas vulnerabilidades detectadas en el año en curso respecto al sistema operativo de la organización.
- Porcentaje de revisiones de políticas realizadas fuera de los tiempos previstos.
En cuanto a los niveles de madurez, existe cierto consenso en utilizar 5, siendo el tercero de los niveles el correspondiente al mínimo requerido a los fines de considerar cumplido aquello que se intenta medir (un control, por ejemplo). La difusión del modelo CMMI pudo haber contribuido en ello.
Quizás la característica más controvertida, tanto en métricas como en niveles de madurez, sea la subjetividad, siendo una consecuencia de la flexibilidad referida con anterioridad. La subjetividad aparece cuando:
– Un control está al límite entre un nivel y otro,
– Una métrica no está claramente definida,
– Un dato sin mención de la escala aplicada genera distintas interpretaciones,
Etc.
Por ese motivo, es tan importante la utilización de frameworks o estándares que contribuyan a resolver esta problemática. Sin embargo, es más sencillo encontrarlos para los niveles de madurez que para un diseño de métricas, debido a que cada organización tiene sus particulares y es muy difícil contar con métricas universales que sirvan a todas de forma apropiada.
En conclusión, las métricas y los niveles de madurez, bien usados, facilitan la tarea de
monitoreo/seguimiento de la seguridad informática, especialmente respecto al cumplimiento de controles. Mal usadas, pueden generar perjuicios más que beneficios, llevando a tomar decisiones equivocadas producto de datos sesgados o mal interpretados.