La implementación de métricas útiles y legítimas aún no ha penetrado completamente la comunidad de la seguridad de información. Sin métricas adecuadas, no es posible demostrar el valor de un programa de seguridad, lo cual dificulta enormemente incrementar el presupuesto o incluso mantenerlo.
Es imperativo comprender la diferencia entre conciencia y entrenamiento. El entrenamiento ofrece una serie de conocimientos, pero la conciencia procura modificar conductas. Mientras que el conocimiento debe ser impartido con conciencia, es irrelevante si no resulta en las conductas deseadas.
Métricas de componente
Las métricas más fáciles de recolectar son aquellas que ayudan a optimizar los presupuestos. Una meta principal podría ser cuáles componentes de los progamas de conciencia en seguridad realmente están siendo utilizados y están teniendo un impacto. Un ejemplo sencillo es la incrustación de analíticas en correos electrónicos y sitios web. Es una manera sencilla de saber si los usuarios realmente están utilizando los componentes en los que estamos invirtiendo tiempo y dinero. Si no los están utilizando, es necesario determinar la causa y hallar una solución o sencillamente dejar de invertir en ellos.
Métricas de conducta
Es importante conocer la conducta de nuestros empleados. La meta no es medir conocimientos, sino la conducta y la conciencia en seguridad. Se pueden aplicar simulaciones de ingeniería social para determinar si revelarían una contraseña a un extraño. Otras métricas que involucran la seguridad de dispositivos móviles y el phishing dependen de los recursos de la organización. Hay que tener cuidado con las simulaciones de phishing, ya que producen números que únicamente representan las métricas de susceptibilidad al pretexto utilizado.
Otro punto importante para reunir métricas exitosamente es recolectarlas de manera proactiva antes de iniciar la campaña de conciencia de seguridad. Al recolectar métricas desde el Día 0, podremos saber si el progama en realidad tuvo un impacto. Es importante saber si los resultados están incrementando las conductas deseadas, pero también es esencial saber si no es así, ya que esto nos ayudará a conocer las áreas en las que debemos trabajar.
Asumiendo que estamos obteniendo los resultados deseados, el siguiente paso es procurar ahorrar costos en el esfuerzo. Esto requiere estimar los incidentes prevenidos y los costos asociados.
El propósito de la seguridad es mitigar riesgos de manera rentable, no prevenir todas las eventualidades y esto es especialmente cierto cuando se habla de conciencia en seguridad. Un buen programa de conciencia en seguridad ahorrará más de lo que costará y las métricas son la manera ideal de demostrarlo y comprobarlo.