En cualquier organización los diferentes sistemas y sus aplicaciones generan diariamente una enorme cantidad de datos. Existen múltiples fuentes y orígenes de datos distintos: Firewalls, IDS, log’s del sistema, log’s de las aplicaciones, sistemas anti-virus, eventos de seguridad en tiempo real, cambios en servicios disponibles en red, detección de malware, errores, incidentes, vulnerabilidades... y un largo sin fin de fuentes de datos que podríamos ir añadiendo.
Estos datos son un fiel reflejo de lo que está ocurriendo en una organización. No obstante, sin una herramienta de tratamiento y explotación adecuada, el análisis en tiempo real de todos estos datos puede resultar inviable para una persona, debido al gran volumen generado diariamente. En consecuencia, se hace necesario disponer de herramientas de ayuda a la toma de decisiones que, a través de la explotación de todas las fuentes recopiladas, faciliten a los responsables de seguridad su labor diaria, permitiendo la toma de decisiones de acuerdo a criterios objetivos, cuantificables, medibles, comparables y contrastables.

En este escenario juegan un papel clave los Cuadros de Mando de Seguridad puesto que permiten transformar y convertir todos los datos recopilados en información útil para la gestión del negocio y de la seguridad.

Un Cuadro de Mando de Seguridad es una herramienta de gestión que facilita la toma de decisiones, que recoge un conjunto de indicadores que proporcionan tanto a la Dirección como a los mandos intermedios (incluso a los operadores) una visión del funcionamiento y del nivel de seguridad de la organización mediante el examen del grado de cumplimiento de los objetivos establecidos y de las desviaciones producidas. Es, por tanto, una herramienta orientada al control.

El staff Directivo y los Responsables de Seguridad están tratando, cada vez más, de implantar herramientas de ayuda a la toma de decisiones basadas en mediciones del estado de la seguridad. Los Cuadros de Mando de Seguridad citados anteriormente permiten (como funcionalidad principal) la lectura y análisis de la información de modo rápido y preciso, optimizando la toma de decisiones. Para ello es necesario contar con información y datos de los sistemas que aporten evidencias objetivas en las que basar las decisiones. La obtención de evidencias de forma automatizada, como se ha comentado anteriormente, no representa un problema dadas las múltiples fuentes existentes actualmente. Esta información acumulada en los sistemas una vez tratada y normalizada convenientemente puede permitir identificar oportunidades o necesidades de mejora así como representar las deficiencias detectadas.

Disponer de una consola de gestión única que integre toda la información de seguridad posibilita una lectura ágil de esta información y reduce el tiempo de reacción ante incidencias, además de mostrar en todo momento el nivel de seguridad global.

No obstante para que todas estas “bondades” sean posibles un Cuadro de Mando debe recopilar la información de acuerdo a las siguientes directrices generales:
- Debe recoger información de interés primordial para la organización.
- Debe tener presente los destinatarios a los que se les van a comunicar y presentar los resultados de las mediciones. Los distintos destinatarios potenciales (Dirección, Mandos Intermedios, Operadores, etc.) tienen diferentes intereses en la tipología de la información y la frecuencia con que ésta debe ser comunicada.
- Debe mostrar la información de una forma sencilla, sinóptica y resumida. Estará orientado a sintetizar conceptos y por tanto requiere sencillez en el formato en el que se presenta la información.
- La información debe presentarse normalizada para todos los elementos que componen el cuadro de mando, facilitando conocer la magnitud de los diferentes indicadores y la comparación entre los mismos.
- Debe ser flexible, de forma que sea posible la inclusión de nuevos indicadores, modificación de los ya existentes, así como el establecimiento de objetivos y, en su caso, corrección de los ya introducidos.

Llegados a este punto en el que, en principio, parecen claros los beneficios principales aportados por un Cuadro de Mando veamos los elementos clave que se deben considerar para su desarrollo.

Existen dos enfoques posibles para desarrollar un Cuadro de Mando de Seguridad:

1. Enfoque ‘bottom-up’ (de abajo hacia arriba): Este enfoque tiene como ventaja principal que permite acelerar el proceso de desarrollo del Cuadro de Mando. La principal característica de este enfoque es que se parte de la información disponible en relación a la seguridad (datos, registros, logs, etc.). A partir de dichos datos disponibles se seleccionan los indicadores sabiendo a priori que la información necesaria para obtenerlos es conocida.
Presenta, como principal inconveniente, las limitaciones sobre los indicadores que pueden considerarse como necesarios, pero sobre los que no se dispone información para obtenerlos.

2. Enfoque ‘top-down’ (de arriba hacia abajo): Este enfoque parte de la premisa de disponer de un mapa estratégico definido: está definida la estrategia para que el departamento/área pueda alcanzar los objetivos estratégicos de la organización (situación muy poco habitual en las organizaciones actualmente).

Una de las actividades iniciales debe centrarse en conocer qué es lo que se espera del Cuadro de Mando, identificando los destinatarios a los que se les van a comunicar y presentar los resultados de las mediciones lo que determinará las categorías de los indicadores a incluir y permitirá balancearse hacia indicadores relacionados con la eficacia, la eficiencia, la gestión, el entorno, etc.
Con carácter general los niveles directivos estarán interesados en análisis comparativos o análisis de tendencias de las mediciones respecto a periodos anteriores (por ejemplo: Incremento porcentual de los incidentes de seguridad, Coste de los incidentes de seguridad en el periodo de estudio). A su vez, los niveles tácticos y operativos estarán interesados en segregar los incidentes detallando su tipología (virus, spam, configuraciones erróneas/inadecuadas, entornos, equipos y activos afectados, etc.).

El siguiente paso consistirá en identificar el conjunto de indicadores que formarán parte del Cuadro de Mando en función de los servicios de seguridad existentes y los objetivos establecidos.

Existen diferentes tipologías genéricas de indicadores, entre las que destacan las siguientes:
- Indicadores de Ejecución (Eficacia y Eficiencia): Debe ser posible verificar que un control cumple con los objetivos de seguridad para los cuales fue diseñado (Tiempo medio de aplicación de los parches de seguridad críticos, Desviación en el tiempo de ejecución de las pruebas del Plan de Contingencia, Porcentaje de procesos críticos monitorizados....).
- Indicadores de Gestión: Deben dar información sobre el esfuerzo o compromiso, por parte de los niveles directivos, para conseguir los objetivos de seguridad (Riesgo efectivo de los sistemas de información, Porcentaje del presupuesto destinado a Seguridad...).
- Indicadores de Entorno: Deben dar información sobre el entorno en el que las organizaciones se desenvuelven y cómo está la seguridad fuera de la organización. Con carácter general deben considerarse las múltiples situaciones inherentes a la “vida digital” (virus, spam, worms, spyware, troyanos, vulnerabilidades potenciales, phising, pharming, etc.).

Tras la primera aproximación eligiendo los indicadores se deberán definir las métricas de seguridad. Las métricas deben permitir conocer cuál es el estado de seguridad, de forma que interpreten los valores de los indicadores resultantes de las mediciones realizadas. Deben, por tanto, aportar un criterio de decisión: ¿Esta bien? ¿Está mal? ¿Necesita mejorar? ¿Cumple con los objetivos?. En el proceso de definición de las métricas se deben definir los valores objetivo (umbrales, valores aceptables, inaceptables, niveles de tolerancia, escalas de medición, etc.) que puedan ser identificados fácilmente por el público objetivo a quien se comunica la medida. Los umbrales deberán ser consensuados con los diferentes perfiles a los que vayan destinadas las mediciones.

El siguiente paso consistirá en detallar de forma pormenorizada toda la información sobre cada uno de los indicadores que queden aprobados en la fase de selección de indicadores. Algunos aspectos a considerar serían los siguientes: Origen de los datos (fuentes de información), Requisitos previos necesarios, Fórmula de cálculo, Procedimiento de recopilación, Frecuencia y periodicidad, Fecha de obtención, Definición de responsabilidades de propiedad, recolección, análisis y comunicación....

Una vez superadas las etapas anteriores “solo” queda diseñar el Cuadro de Mando. En esta fase se deberán establecer los criterios para la normalización de los elementos que compondrán el Cuadro de Mando, con objeto de facilitar la agrupación, simplificación, composición y comparación entre las magnitudes de los mismos. Deberá acordarse también la simbología a utilizar para la representación gráfica en el Cuadro de Mando. Algunas posibilidades pueden ser: Gráficos de Barras 2D/3D (horizontales y verticales), de Quesitos, Mixtas (Barras y líneas), Stacked bars, Indicadores analógicos, semafóricos, etc.

Por último deberán implementarse los indicadores en la herramienta que la organización decida como más oportuna. Esta fase está condicionada en gran medida al soporte informático que se utilice para la presentación de la información. En este sentido existen diferentes posibilidades:
- Herramientas de reporting de terceros: software específico que permita que los resultados de las mediciones puedan estar disponibles en un formato tal que pueda ser interpretado/accedido y maquetado por dicho software.
- Herramientas ofimáticas (por ejemplo, Hojas de cálculo, dadas las múltiples funcionalidades en cuanto a la representación gráfica).