Indicadores y métricas de tolerancia al riesgo en la materia de base de referencia de seguridadRisk tolerance metrics and indicators in the Security Baseline discipline

Aprenda a cuantificar la tolerancia al riesgo empresarial asociada a la materia de base de referencia de seguridad.Learn to quantify business risk tolerance associated with the Security Baseline discipline. La definición de métricas e indicadores ayuda a crear un caso empresarial para invertir en la madurez de esta materia.Defining metrics and indicators helps to create a business case for investing in the maturity of this discipline.

MétricasMetrics

La materia de base de referencia de seguridad se centra por lo general en identificar posibles puntos vulnerables en las implementaciones en la nube.The Security Baseline discipline generally focuses on identifying potential vulnerabilities in your cloud deployments. Como parte del análisis de riesgos, querrá recopilar datos relacionados con el entorno de seguridad para determinar el riesgo al que se enfrenta y la importancia que la inversión en la materia de base de referencia de seguridad tiene en sus planes de implementación en la nube.As part of your risk analysis you'll want to gather data related to your security environment to determine how much risk you face, and how important investment in your Security Baseline discipline is for your planned cloud deployments.

Cada organización tiene distintos entornos y requisitos de seguridad y diferentes orígenes potenciales de datos de seguridad.Every organization has different security environments and requirements and different potential sources of security data. A continuación encontrará varios ejemplos de métricas útiles que debe recopilar, ya que le ayudarán a evaluar la tolerancia al riesgo en la materia sobre la base de referencia de la seguridad:The following are examples of useful metrics that you should gather to help evaluate risk tolerance within the Security Baseline discipline:

  • Clasificación de datos: Número de servicios y datos almacenados en la nube que no están clasificados según las normas de privacidad, cumplimiento o impacto empresarial de su organización.Data classification: Number of cloud-stored data and services that are unclassified according to on your organization's privacy, compliance, or business impact standards.
  • Número de almacenes de datos confidenciales: Número de puntos de conexión de almacenamiento o bases de datos que contienen información confidencial y que deben protegerse.Number of sensitive data stores: Number of storage endpoints or databases that contain sensitive data and should be protected.
  • Número de almacenes de datos sin cifrar: Número de almacenes de datos confidenciales que no están cifrados.Number of unencrypted data stores: Number of sensitive data stores that are not encrypted.
  • Superficie expuesta a ataques: Cuántos orígenes de datos, servicios y aplicaciones en total se hospedarán en la nube.Attack surface: How many total data sources, services, and applications will be cloud-hosted. ¿Qué porcentaje de estos orígenes de datos se clasifican como confidenciales?What percentage of these data sources are classified as sensitive? ¿Qué porcentaje de estas aplicaciones y servicios es crítico?What percentage of these applications and services are mission-critical?
  • Estándares cubiertos: Número de estándares de seguridad definidos por el equipo de seguridad.Covered standards: Number of security standards defined by the security team.
  • Recursos cubiertos: Recursos implementados que están cubiertos por los estándares de seguridad.Covered resources: Deployed assets that are covered by security standards.
  • Cumplimiento general de estándares: Tasa de cumplimiento de los estándares de seguridad.Overall standards compliance: Ratio of compliance adherence to security standards.
  • Ataques por gravedad: ¿Cuántos intentos de interrupción de los servicios hospedados en la nube, por ejemplo, mediante ataques de denegación de servicio distribuido (DDoS), experimenta su infraestructura?Attacks by severity: How many coordinated attempts to disrupt your cloud-hosted services, such as through distributed denial of service (DDoS) attacks, does your infrastructure experience? ¿Cuál es el tamaño y la gravedad de estos ataques?What is the size and severity of these attacks?
  • Protección contra malware: Porcentaje de máquinas virtuales implementadas que tienen todo el software antimalware, firewall u otro software de seguridad instalado.Malware protection: Percentage of deployed virtual machines (VMs) that have all required anti-malware, firewall, or other security software installed.
  • Latencia de revisiones: El tiempo que hace desde que se aplicaron las últimas revisiones de software y del sistema operativo a las máquinas virtuales.Patch latency: How long has it been since VMs have had OS and software patches applied.
  • Recomendaciones sobre estado de seguridad: Número de recomendaciones de software de seguridad para resolver los estándares de mantenimiento para los recursos implementados, organizados por gravedad.Security health recommendations: Number of security software recommendations for resolving health standards for deployed resources, organized by severity.

Indicadores de tolerancia al riesgoRisk tolerance indicators

Las plataformas en la nube proporcionan un conjunto básico de características que permiten a los equipos de implementaciones pequeñas configurar las opciones básicas de seguridad sin un planeamiento adicional amplio.Cloud platforms provide a baseline set of features that enable small deployment teams to configure basic security settings without extensive additional planning. Como resultado, las primeras cargas de trabajo experimentales o de desarrollo/pruebas pequeñas que no incluyen información confidencial representan un nivel de riesgo relativamente bajo, y probablemente no necesitarán demasiado en relación con la directiva formal de la base de referencia de seguridad.As a result, small dev/test or experimental first workloads that do not include sensitive data represent a relatively low level of risk, and will likely not need much in the way of formal Security Baseline policy. En cuanto los datos importantes o la funcionalidad crítica se transfieren a la nube, los riesgos de seguridad aumentan, mientras que la tolerancia a dichos riesgos se reduce rápidamente.As soon as important data or mission-critical functionality is moved to the cloud, security risks increase, while tolerance for those risks diminishes rapidly. Cuantos más datos y funcionalidades se implementen en la nube, más deberá invertir en la materia de la base de referencia de seguridad.As more of your data and functionality is deployed to the cloud, the more likely you need an increased investment in the Security Baseline discipline.

En las primeras fases de adopción de la nube, trabaje con el equipo de seguridad de TI y las partes interesadas de la empresa para identificar riesgos de negocio relacionados con la seguridad y, luego, determine una línea de base aceptable para la tolerancia al riesgo de seguridad.In the early stages of cloud adoption, work with your IT security team and business stakeholders to identify business risks related to security, then determine an acceptable baseline for security risk tolerance. En esta sección de Cloud Adoption Framework se proporcionan ejemplos, pero los riesgos y las bases de referencia específicos de su empresa o sus implementaciones pueden ser diferentes.This section of the Cloud Adoption Framework provides examples, but the detailed risks and baselines for your company or deployments may be different.

Una vez que tenga una base de referencia, establezca bancos de pruebas mínimos que representen un aumento inaceptable de los riesgos identificados.Once you have a baseline, establish minimum benchmarks representing an unacceptable increase in your identified risks. Estos bancos de pruebas actúan como desencadenadores cuando se necesita tomar medidas para corregir estos riesgos.These benchmarks act as triggers for when you need to take action to remediate these risks. En los siguientes ejemplos, se muestra cómo las métricas relacionadas con la seguridad, como las descritas anteriormente, pueden justificar una mayor inversión en la materia de la base de referencia de seguridad.The following are a few examples of how security metrics, such as those discussed above, can justify an increased investment in the Security Baseline discipline.

  • Desencadenador de cargas de trabajo críticas.Mission-critical workloads trigger. Una empresa que implementa cargas de trabajo críticas en la nube debe invertir en la materia de la base de referencia de seguridad para evitar posibles interrupciones del servicio o la exposición de información confidencial.A company deploying mission-critical workloads to the cloud should invest in the Security Baseline discipline to prevent potential disruption of service or sensitive data exposure.
  • Desencadenador de datos protegidos.Protected data trigger. Una empresa que hospeda datos en la nube que se pueden clasificar como confidenciales, privados o sujetos a otras cuestiones legales.A company hosting data on the cloud that can be classified as confidential, private, or otherwise subject to regulatory concerns. Necesitan una materia de base de referencia de seguridad para garantizar que estos datos no corran el peligro de pérdida, exposición o robo.They need a Security Baseline discipline to ensure that this data is not subject to loss, exposure, or theft.
  • Desencadenador de ataques externos.External attacks trigger. Una empresa que experimenta graves ataques contra su infraestructura x veces al mes podría beneficiarse de la materia de la base de referencia de seguridad.A company that experiences serious attacks against their network infrastructure x times per month could benefit from the Security Baseline discipline.
  • Desencadenador de cumplimiento de estándares.Standards compliance trigger. Una empresa con más de un x% de recursos que no cumplen los estándares de seguridad debe invertir en la materia de la base de referencia de seguridad para garantizar la aplicación coherente de los estándares en toda la infraestructura de TI.A company with more than x% of resources out of security standards compliance should invest in the Security Baseline discipline to ensure standards are applied consistently across your IT infrastructure.
  • Desencadenador de tamaño para recursos en la nube.Cloud estate size trigger. Una empresa que hospeda más de un número x de aplicaciones, servicios u orígenes de datos.A company hosting more than x applications, services, or data sources. Las implementaciones grandes en la nube pueden beneficiarse de la inversión en la materia de la base de referencia de seguridad para garantizar que su superficie expuesta a ataques total esté bien protegida frente a accesos no autorizados u otras amenazas externas.Large cloud deployments can benefit from investment in the Security Baseline discipline to ensure that their overall attack surface is properly protected against unauthorized access or other external threats.
  • Desencadenador de cumplimiento de software de seguridad.Security software compliance trigger. Una empresa en la que menos de un x% de las máquinas virtuales implementadas tienen todo el software de seguridad necesario instalado.A company where less than x% of deployed virtual machines have all required security software installed. Se puede usar una materia de base de referencia de seguridad para garantizar que el software está instalado de forma coherente en todo el software.A Security Baseline discipline can be used to ensure software is installed consistently on all software.
  • Desencadenador de aplicación de revisiones.Patching trigger. Una empresa en la que a las máquinas virtuales o los servicios implementados no se les han aplicado revisiones de software o del sistema operativo durante los últimos x días.A company where deployed virtual machines or services where OS or software patches have not been applied in the last x days. Se puede usar una materia de base de referencia de seguridad para garantizar que la aplicación de revisiones esté actualizada dentro de una programación necesaria.A Security Baseline discipline can be used to ensure patching is kept up-to-date within a required schedule.
  • Centrado en la seguridad.Security-focused. Algunas empresas tendrán estrictos requisitos de seguridad y confidencialidad de datos incluso para las cargas de trabajo de pruebas y experimentales.Some companies will have strong security and data confidentiality requirements even for test and experimental workloads. Estas empresas deberán invertir en la materia de la base de referencia de seguridad antes de iniciar las implementaciones.These companies will need to invest in the Security Baseline discipline before any deployments can begin.

Las métricas y desencadenadores exactos que use para medir la tolerancia al riesgo y el nivel de inversión en la materia de base de referencia de seguridad serán específicos para su organización, pero los ejemplos anteriores deberían servir como base útil para las conversaciones con su equipo de gobernanza en la nube.The exact metrics and triggers you use to gauge risk tolerance and the level of investment in the Security Baseline discipline will be specific to your organization, but the examples above should serve as a useful base for discussion within your cloud governance team.

Pasos siguientesNext steps

Use la plantilla de la materia de base de referencia de seguridad para documentar las métricas y los indicadores de tolerancia que se alinean con el plan actual de adopción de la nube.Use the Security Baseline discipline template to document metrics and tolerance indicators that align to the current cloud adoption plan.

Revise las directivas de base de referencia de seguridad de ejemplo como punto de partida para desarrollar otras suyas que aborden los riesgos empresariales específicos vinculados a los planes de adopción de la nube.Review sample Security Baseline policies as a starting point to develop your own policies to address specific business risks aligned with your cloud adoption plans.