19.1 C
Madrid
viernes, octubre 24, 2025
spot_img
spot_img
InicioCiberseguridad
Ciberseguridad

Teatro de seguridad: Vanity Metrics lo mantiene ocupado

Por Conectamentado
21
Teatro de seguridad: Vanity Metrics lo mantiene ocupado

A posteriori de más de 25 abriles de mitigar los riesgos, certificar el cumplimiento y construir programas de seguridad sólidos para compañías Fortune 500, he aprendido que Parecer ocupado no es lo mismo que estar seguro.

Es una trampa manejable para que los líderes de ciberseguridad ocupados caigan. Confiamos en las métricas que cuentan una historia de los tremendos esfuerzos que estamos gastando: cuántas vulnerabilidades parcheamos, qué tan rápido respondimos, pero a menudo las métricas de trámite de vulnerabilidad se asocian con las métricas operativas porque los enfoques tradicionales para calcular e implementar la trámite de vulnerabilidad no reducen el peligro. Por lo tanto, recurrimos a varias formas de informar sobre cuántos parches se aplicaron bajo el método tradicional de parcheo de 30/60/90 días.

Yo llamo a estos Métricas de vanidad: Números que parecen impresionantes en los informes pero carecen de impacto del mundo positivo. Ofrecen tranquilidad, pero no ideas. Mientras tanto, las amenazas continúan creciendo más sofisticadas, y los atacantes explotan los puntos ciegos que no estamos midiendo. He gastado de primera mano cómo esta desconexión entre medición y significado puede dejar a las organizaciones expuestas.

En este artículo, explicaré por qué las métricas de vanidad no son suficientes para proteger los entornos complejos de hoy y por qué es hora de dejar de calcular actividad y comenzar a calcular efectividad.

Derriba: ¿Qué son las métricas de vanidad?

Las métricas de vanidad son números que se ven aceptablemente en un mensaje pero ofrecen poco valencia decisivo. Son fáciles de rastrear, fáciles de presentar y a menudo se usan para demostrar actividad, pero generalmente no reflejan la reducción positivo del peligro. Normalmente caen en tres tipos principales:

  • Métricas de comba – Estas cuentan las cosas: parches aplicados, vulnerabilidades descubiertas, escaneos completados. Crean un sentido de productividad pero no hablan con el impacto empresarial o la relevancia del peligro.
  • Métricas basadas en el tiempo sin contexto de peligro – Las métricas como el tiempo medio para detectar (MTTD) o el tiempo medio para remediar (MTTR) pueden sonar impresionantes. Pero sin priorización en función de la criticidad, la velocidad es solo el «cómo», no el «qué».
  • Métricas de cobertura – Porcentajes como «95% de los activos escaneados» o «90% de las vulnerabilidades parcheadas» dan una ilusión de control. Pero ignoran la pregunta de la cual se perdieron el 5%, y si son los que más importan.
LEER  15,000 dominios falsos de Tiktok Shop entregan malware, roban criptografía a través de la campaña de estafa dirigida por AI

Las métricas de vanidad no son inherentemente incorrectas, pero son peligrosamente incompletas. Rastrean el movimiento, no significan. Y si no están vinculados a la relevancia de la amenaza o los activos críticos para el negocio, pueden socavar silenciosamente toda su logística de seguridad.

Métricas de vanidad: más daño que aceptablemente

Cuando las métricas de vanidad dominan los informes de seguridad, pueden hacer más daño que aceptablemente. He gastado a las organizaciones hartar el tiempo y los números de persecución presupuestario que se veían geniales en las sesiones ejecutivas, mientras que las exposiciones críticas quedaron intactas.

¿Qué sale mal cuando confías en las métricas de vanidad?

  • Esfuerzo mal asignado – Los equipos se centran en lo que es manejable de solucionar o lo que mueve una métrica, no lo que efectivamente reduce el peligro. Esto crea una brecha peligrosa entre lo que hecho y que debe hacerse.
  • Falsa confianza -Los gráficos de tendencia pino pueden engañar al liderazgo para que crea que la ordenamiento es segura. Sin contexto (explotabilidad, caminos de ataque), esa creencia es frágil y puede ser costosa.
  • Priorización rota – Las listas de vulnerabilidad masiva sin contexto causan sofocación. Los problemas de parada peligro pueden perderse fácilmente en el ruido, y la remediación puede retrasarse donde más importa.
  • Estancamiento decisivo – Al informar que remuneración la actividad sobre el impacto, la innovación se ralentiza. El software se vuelve reactivo, siempre ocupado, pero no siempre más seguro.

He gastado que se producen violaciones en entornos llenos de KPI brillantes. ¿La razón? Esos KPI no estaban vinculados a la efectividad. Una métrica que no refleja el peligro comercial positivo no es solo sin sentido, es peligroso.

LEER  El malware del viticón respaldado por el estado utiliza AWS Lambda para robar datos de los gobiernos asiáticos SE

Tener lugar a métricas significativas

Si las métricas de vanidad nos dicen qué se ha hecho, las métricas significativas nos dicen lo que importa. Cambian el enfoque de actividad a impacto – Dar a los equipos de seguridad y a los líderes empresariales una comprensión compartida del peligro positivo.

Una métrica significativa comienza con una fórmula clara: peligro = probabilidad × impacto. No solo pregunta «¿qué vulnerabilidades existen?» – Pregunta «¿Cuál de estos puede explotarse para alcanzar nuestros activos más críticos, y cuáles serían las consecuencias?» Para hacer el cambio a métricas significativas, considere sujetar su mensaje cerca de de cinco métricas esencia:

  1. Puntaje de peligro (vinculado al impacto comercial) – Una puntuación de peligro significativa pesa explotabilidad, criticidad de activos e impacto potencial. Debe cambiar dinámicamente a medida que cambian las exposiciones o a medida que cambia la inteligencia de amenazas. Este puntaje ayuda al liderazgo a comprender la seguridad en términos comerciales, no cuántas vulnerabilidades existen, sino cuán cerca estamos de una violación significativa.
  2. Exposición crítica de activos (rastreado con el tiempo) – No todos los activos son iguales. Debe enterarse cuáles de sus sistemas críticos de negocios están actualmente expuestos, y cómo esa exposición es de tendencia. ¿Está reduciendo el peligro a su infraestructura más importante o simplemente ciclos giratorios en soluciones de bajo impacto? El seguimiento de esto con el tiempo muestra si su software de seguridad efectivamente está cerrando las brechas correctas.
  3. Mapeo de ruta de ataque – Las vulnerabilidades no existen de forma aislada. Los atacantes encadenan las exposiciones (configuraciones erróneas, identidades sobrevivilizadas, CVE sin parpaderos) para alcanzar objetivos de parada valencia. Mapear estos caminos te muestra cómo un atacante podría moverse a través de tu entorno. Ayuda a priorizar no solo problemas individuales, sino incluso cómo trabajan juntos para formar una amenaza.
  4. Desglose de la clase de exposición – Debe comprender qué tipos de exposiciones son más frecuentes y más peligrosas. Ya sea mal uso de credenciales, parches faltantes, puertos abiertos o configuraciones erróneas en la montón, este desglose informa tanto la respuesta táctica como la planificación estratégica. Si el 60% de su peligro proviene de exposiciones basadas en la identidad, por ejemplo, eso debería dar forma a sus decisiones de inversión.
  5. Tiempo medio de remediar (MTTR) para exposiciones críticas – El MTTR promedio es una métrica defectuosa. Es remolcado alrededor de debajo por soluciones fáciles e ignora los problemas difíciles. Lo que importa es qué tan rápido está cerrando las exposiciones que efectivamente lo ponen en peligro. MTTR para exposiciones críticas, aquellas vinculadas a caminos de ataque explotables o activos de la alubia de la corona, es lo que efectivamente define la efectividad operativa.
LEER  Fire Ant Exploits VMware Fows para comprometer los hosts ESXi y los entornos vCenter

Tomados en conjunto y actualizadas continuamente, las métricas significativas le brindan más que una instantánea: proporcionan una visión viva y contextual de su exposición de amenazas. Elevan los informes de seguridad del seguimiento de tareas a la visión estratégica. Y lo más importante, brindan a los equipos de seguridad y a los líderes empresariales un habla global para tomar decisiones informadas por el peligro.

El resultado final

Las métricas de vanidad ofrecen consuelo. Llenan paneles, impresionan en salas de juntas y sugieren progreso. Pero en el mundo positivo, donde a los actores de amenaza no les importa cuántos parches aplicó el mes pasado, ofrecen poca protección.

La seguridad positivo exige un cambio de rastrear lo que es manejable de calcular a centrarse en lo que efectivamente importa. Eso significa adoptar métricas basadas en el peligro comercial. Y aquí es donde los marcos como la trámite continua de la exposición a amenazas (CTEM) entran en entretenimiento. CTEM ofrece a las organizaciones la estructura para sobrevenir de listas de vulnerabilidad estática a una actividad dinámica priorizada. Y los resultados son los proyectos convincentes: para 2026, las organizaciones que implementan CTEM podrían sujetar las infracciones en dos tercios.

Las noticias del hacker

Las métricas que eliges dan forma a las conversaciones que tienes, y las que te pierden. Las métricas de vanidad mantienen a todos cómodos. Las métricas significativas obligan a preguntas más difíciles, pero te acercan a la verdad. Porque no puede sujetar el peligro si no lo mide correctamente.

Nota: Este artículo es escrito por expertos por Jason Fruge, CISO en residencia en XM Cyber.

spot_img
Artículo anterior
Intelsat asegura el contrato de la Fuerza Espacial de EE. UU. Para proporcionar conectividad satelital marítima
Artículo siguiente
CMF Phone 2 Pro por nada confirmado que se lanzará en India el 28 de abril: Sepa lo que viene más
Conectamentado
Conectamentadohttps://conectamentado.com

Artículos relacionados

spot_img

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí

Últimos artículos

Cargar más

Bienvenido a Conectamentado, tu fuente confiable de noticias y tendencias en el mundo de la tecnología. Nos dedicamos a ofrecer información actualizada y análisis profundos sobre los avances más relevantes del sector, manteniéndote siempre al día con la evolución digital.

© 2025 Todos los derechos reservados, Protegido por Conectamentado