Después de más de 25 años de mitigar los riesgos, garantizar el cumplimiento y construir programas de seguridad sólidos para compañías Fortune 500, he aprendido que Parecer ocupado no es lo mismo que estar seguro.
Es una trampa fácil para que los líderes de ciberseguridad ocupados caigan. Confiamos en las métricas que cuentan una historia de los tremendos esfuerzos que estamos gastando: cuántas vulnerabilidades parcheamos, qué tan rápido respondimos, pero a menudo las métricas de gestión de vulnerabilidad se asocian con las métricas operativas porque los enfoques tradicionales para medir e implementar la gestión de vulnerabilidad no reducen el riesgo. Por lo tanto, recurrimos a varias formas de informar sobre cuántos parches se aplicaron bajo el método tradicional de parcheo de 30/60/90 días.
Yo llamo a estos Métricas de vanidad: Números que parecen impresionantes en los informes pero carecen de impacto del mundo real. Ofrecen tranquilidad, pero no ideas. Mientras tanto, las amenazas continúan creciendo más sofisticadas, y los atacantes explotan los puntos ciegos que no estamos midiendo. He visto de primera mano cómo esta desconexión entre medición y significado puede dejar a las organizaciones expuestas.
En este artículo, explicaré por qué las métricas de vanidad no son suficientes para proteger los entornos complejos de hoy y por qué es hora de dejar de medir actividad y comenzar a medir eficacia.
Derriba: ¿Qué son las métricas de vanidad?
Las métricas de vanidad son números que se ven bien en un informe pero ofrecen poco valor estratégico. Son fáciles de rastrear, fáciles de presentar y a menudo se usan para demostrar actividad, pero generalmente no reflejan la reducción real del riesgo. Normalmente caen en tres tipos principales:
- Métricas de volumen – Estas cuentan las cosas: parches aplicados, vulnerabilidades descubiertas, escaneos completados. Crean un sentido de productividad pero no hablan con el impacto empresarial o la relevancia del riesgo.
- Métricas basadas en el tiempo sin contexto de riesgo – Las métricas como el tiempo medio para detectar (MTTD) o el tiempo medio para remediar (MTTR) pueden sonar impresionantes. Pero sin priorización en función de la criticidad, la velocidad es solo el “cómo”, no el “qué”.
- Métricas de cobertura – Porcentajes como “95% de los activos escaneados” o “90% de las vulnerabilidades parcheadas” dan una ilusión de control. Pero ignoran la pregunta de la cual se perdieron el 5%, y si son los que más importan.
Las métricas de vanidad no son inherentemente incorrectas, pero son peligrosamente incompletas. Rastrean el movimiento, no significan. Y si no están vinculados a la relevancia de la amenaza o los activos críticos para el negocio, pueden socavar silenciosamente toda su estrategia de seguridad.
Métricas de vanidad: más daño que bien
Cuando las métricas de vanidad dominan los informes de seguridad, pueden hacer más daño que bien. He visto a las organizaciones quemar el tiempo y los números de persecución presupuestario que se veían geniales en las sesiones ejecutivas, mientras que las exposiciones críticas quedaron intactas.
¿Qué sale mal cuando confías en las métricas de vanidad?
- Esfuerzo mal asignado – Los equipos se centran en lo que es fácil de solucionar o lo que mueve una métrica, no lo que realmente reduce el riesgo. Esto crea una brecha peligrosa entre lo que hecho y que debe hacerse.
- Falsa confianza -Los gráficos de tendencia ascendente pueden engañar al liderazgo para que crea que la organización es segura. Sin contexto (explotabilidad, caminos de ataque), esa creencia es frágil y puede ser costosa.
- Priorización rota – Las listas de vulnerabilidad masiva sin contexto causan fatiga. Los problemas de alto riesgo pueden perderse fácilmente en el ruido, y la remediación puede retrasarse donde más importa.
- Estancamiento estratégico – Al informar que recompensa la actividad sobre el impacto, la innovación se ralentiza. El programa se vuelve reactivo, siempre ocupado, pero no siempre más seguro.
He visto que se producen violaciones en entornos llenos de KPI brillantes. ¿La razón? Esos KPI no estaban vinculados a la realidad. Una métrica que no refleja el riesgo comercial real no es solo sin sentido, es peligroso.
Pasar a métricas significativas
Si las métricas de vanidad nos dicen qué se ha hecho, las métricas significativas nos dicen lo que importa. Cambian el enfoque de actividad a impacto – Dar a los equipos de seguridad y a los líderes empresariales una comprensión compartida del riesgo real.
Una métrica significativa comienza con una fórmula clara: riesgo = probabilidad × impacto. No solo pregunta “¿qué vulnerabilidades existen?” – Pregunta “¿Cuál de estos puede explotarse para alcanzar nuestros activos más críticos, y cuáles serían las consecuencias?” Para hacer el cambio a métricas significativas, considere anclar su informe alrededor de cinco métricas clave:
- Puntaje de riesgo (vinculado al impacto comercial) – Una puntuación de riesgo significativa pesa explotabilidad, criticidad de activos e impacto potencial. Debe evolucionar dinámicamente a medida que cambian las exposiciones o a medida que cambia la inteligencia de amenazas. Este puntaje ayuda al liderazgo a comprender la seguridad en términos comerciales, no cuántas vulnerabilidades existen, sino cuán cerca estamos de una violación significativa.
- Exposición crítica de activos (rastreado con el tiempo) – No todos los activos son iguales. Debe saber cuáles de sus sistemas críticos de negocios están actualmente expuestos, y cómo esa exposición es de tendencia. ¿Está reduciendo el riesgo a su infraestructura más importante o simplemente ciclos giratorios en soluciones de bajo impacto? El seguimiento de esto con el tiempo muestra si su programa de seguridad realmente está cerrando las brechas correctas.
- Mapeo de ruta de ataque – Las vulnerabilidades no existen de forma aislada. Los atacantes encadenan las exposiciones (configuraciones erróneas, identidades sobrevivilizadas, CVE sin parpaderos) para alcanzar objetivos de alto valor. Mapear estos caminos te muestra cómo un atacante podría moverse a través de tu entorno. Ayuda a priorizar no solo problemas individuales, sino también cómo trabajan juntos para formar una amenaza.
- Desglose de la clase de exposición – Debe comprender qué tipos de exposiciones son más frecuentes y más peligrosas. Ya sea mal uso de credenciales, parches faltantes, puertos abiertos o configuraciones erróneas en la nube, este desglose informa tanto la respuesta táctica como la planificación estratégica. Si el 60% de su riesgo proviene de exposiciones basadas en la identidad, por ejemplo, eso debería dar forma a sus decisiones de inversión.
- Tiempo medio de remediar (MTTR) para exposiciones críticas – El MTTR promedio es una métrica defectuosa. Es arrastrado hacia abajo por soluciones fáciles e ignora los problemas difíciles. Lo que importa es qué tan rápido está cerrando las exposiciones que realmente lo ponen en riesgo. MTTR para exposiciones críticas, aquellas vinculadas a caminos de ataque explotables o activos de la judía de la corona, es lo que realmente define la efectividad operativa.
Tomados en conjunto y actualizadas continuamente, las métricas significativas le brindan más que una instantánea: proporcionan una visión viva y contextual de su exposición de amenazas. Elevan los informes de seguridad del seguimiento de tareas a la visión estratégica. Y lo más importante, brindan a los equipos de seguridad y a los líderes empresariales un lenguaje común para tomar decisiones informadas por el riesgo.
El resultado final
Las métricas de vanidad ofrecen consuelo. Llenan paneles, impresionan en salas de juntas y sugieren progreso. Pero en el mundo real, donde a los actores de amenaza no les importa cuántos parches aplicó el mes pasado, ofrecen poca protección.
La seguridad real exige un cambio de rastrear lo que es fácil de medir a centrarse en lo que realmente importa. Eso significa adoptar métricas basadas en el riesgo comercial. Y aquí es donde los marcos como la gestión continua de la exposición a amenazas (CTEM) entran en juego. CTEM ofrece a las organizaciones la estructura para pasar de listas de vulnerabilidad estática a una acción dinámica priorizada. Y los resultados son los proyectos convincentes: para 2026, las organizaciones que implementan CTEM podrían reducir las infracciones en dos tercios.
Las métricas que eliges dan forma a las conversaciones que tienes, y las que te pierden. Las métricas de vanidad mantienen a todos cómodos. Las métricas significativas obligan a preguntas más difíciles, pero te acercan a la verdad. Porque no puede reducir el riesgo si no lo mide correctamente.
Nota: Este artículo es escrito por expertos por Jason Fruge, CISO en residencia en XM Cyber.
