El consejo quiere «métricas» de seguridad. ¿Cuál es la más significativa para reportar?
Respuesta breve
Las métricas de nivel de consejo deben conectarse con el riesgo y los resultados: tiempos de detección y respuesta (MTTD/MTTR), cumplimiento de SLA de parcheo en sistemas críticos, cobertura de controles y cómo evoluciona el riesgo residual frente al apetito. El número de ataques bloqueados por el cortafuegos, el recuento de firmas de antivirus y el total de correos recibidos son cifras vanidosas — impresionan pero no dicen nada sobre si el riesgo baja. El consejo gobierna el riesgo, así que las métricas deben dejarle ver la tendencia y decidir.
Los consejos no quieren admirar actividad; quieren saber si el ciberriesgo está bajo control y evoluciona en la dirección correcta. El escenario evalúa si un CISO sabe distinguir las métricas de resultado que informan el gobierno de las métricas vanidosas que solo parecen ocupadas.
Por qué las medidas orientadas al riesgo son lo correcto
Las buenas métricas de consejo responden a «¿estamos gestionando mejor el riesgo?». Eso significa el tiempo medio de detección (MTTD) y el tiempo medio de respuesta (MTTR) — con qué rapidez detectas y contienes incidentes; el cumplimiento de SLA de parcheo en activos críticos — si tus sistemas más importantes se remedian dentro de las ventanas acordadas; la cobertura de controles — qué fracción de tu parque está realmente protegida por los controles clave; y la tendencia del riesgo residual frente al apetito del consejo. Cada una es una cifra accionable: financiar, aceptar o impulsar. Muestran dirección en el tiempo, no una instantánea de esfuerzo.
Por qué fallan las otras opciones
- Ataques bloqueados por el cortafuegos. Una cifra enorme que casi no significa nada — Internet es ruidoso, y los ataques «bloqueados» son sobre todo escaneo automatizado de fondo. No le dice al consejo si el riesgo real baja.
- Firmas de antivirus actualizadas. Esto mide la cadencia de publicación de un fabricante, no tu postura de seguridad. Es actividad pura, no resultado.
- Total de correos recibidos. Completamente desconectado del riesgo. Una estadística de volumen sin decisión asociada.
Qué busca el entrevistador
Quiere que captes que una métrica solo es útil si el consejo puede tomar una decisión a partir de ella. MTTD/MTTR, SLA de parcheo y cobertura de controles se vinculan directamente con el riesgo y permiten gobernar; «ataques bloqueados» y recuentos de firmas son teatro que infla la confianza sin informarla. El candidato débil recurre a la cifra grande e impresionante — precisamente la trampa: parece reporte pero no comunica ningún riesgo ni tendencia por la que el consejo pueda guiarse.
Posibles preguntas de seguimiento
- ¿Por qué el MTTD/MTTR es más relevante para el consejo que un recuento de ataques bloqueados?
- ¿Cómo mostraría una métrica evolucionando frente al apetito de riesgo en una sola diapositiva?
- ¿Cuál es el peligro de reportar métricas vanidosas a un consejo a lo largo del tiempo?