CIBERSEGURIDAD Para una gobernanza satisfactoria se debería preguntar: que datos se necesitan proteger, donde se encuentran los riesgos, que políticas estratégicas se deberían crear, que equipos deberían ser responsables de llevar a cabo estas políticas, etc. Se debe crear concienciación y formación en toda la organización, se debería monitorizar y medir que políticas operan y cuales no, que equipos o personas no siguen las políticas de seguridad, cada cuanto tiempo ocurre una brecha de seguridad, con que frecuencia se comprue- ban las medidas de seguridad, cual es el tiempo de respuesta a los ciber-incidentes, etc. Se deben establecer comunicaciones abiertas entre todos los agentes implicados, así mismo se debe promover una adaptabilidad, agilidad y una resiliencia satisfactoria preguntándonos que opera y no opera, que se debe cambiar, etc. Correlación KPI y gobernanza en ciberseguridad. Bases de la gobernanza de la seguridad Para gobernar los diversos objetos de ciberseguridad se utilizan KPI (Key Performance Indicator). Por ejemplo, el KPI utilizado para el parcheo de sistemas operativos como Windows suele ser del 99%, lo que significa que el 99% de los dispositivos de computa- ción tendrán el ultimo parche o el parche del ultimo mes. De forma similar se gestionarán los restantes objetos de ciberseguridad. Un KPI es una medida de rendimiento, comúnmente se utiliza para ayudar a una organización a definir y evaluar como de bueno es, normalmente en términos de hacer progreso hacia sus objetivos de organización a largo plazo. Los objetivos de ciberseguridad IT/ OT son, por ejemplo: comprobación del 100% de las aplicaciones Web y procesos operacionales OT, comprobación y cumplimiento automatizado, cero vulnerabilidades en aplicaciones Web de producción, entorno continuado de escaneo de nuevas vulnerabi- lidades en IT/OT, etc. Se pueden identificar diversas categorías de KPI: (i) WRT (Weighted Risk Trend). Establece una representación basada en terminología de negocio del riesgo desde los defectos de seguridad de aplicaciones Web sometidas a investigación sobre un periodo de tiempo especificado o iteraciones repetidas del desarrollo de la aplicación. (ii) DRW (Defect Remediatio Window). Representa el intervalo temporal desde que se identifica un defecto de seguridad de una aplicación Web sometida a investi- gación hasta que se cierra la verificación. (iii) RDR (Rate of Defect Recurrence). Representa la tasa de recurrencia de los defectos de seguridad de aplicación Web sometida a investigación se re-intro- ducen en una aplicación, organización u otra unidad lógica dada. (iv) SCM (Specific Coverage Metric). Representa la funcionalidad total basada en flujo o componente que ha realizado el test de seguridad de la aplicación Web. (v) SQR (Security to Quality defect Ratio). Representa la tasa de defectos de seguridad al número total de defectos de calidad software generados (funcional, rendimiento y seguridad). Algunos ejemplos de KPIs son: número de dispositivos monitorizados, número total de eventos, número de eventos por dispositivo, número de eventos por servicio o aplicación, número de eventos por cuenta, tiempo de detección, tiempo de resolución, número de analistas de ciberseguridad asignados, número de fal- sas alertas positivas, número de eventos por localización, etc. Algunos principios de base para la gobernanza de la ciberseguridad son: • Establecer y desarrollar la ciberseguridad como un sistema (la ciberseguridad se debe entender como un sistema de elementos interdependientes y enlaces entre ellos, el optimizar la ciberse- guridad necesita entender este sistema y no puede verse aislado de la gobernanza, gestión y aseguramiento). 55