En el marco del Forrester Security Forum, celebrado en Londres, Andrew Jacquith, analista senior de la consultora, admitió que era difícil medir la efectividad de la seguridad. “Tiende a ser muy emocional, tomamos decisiones basándonos en la percepción del riesgo y en los titulares de los periódicos. Y ese no un buen modo de juzgarlo”, apuntó.

En su lugar, el consultor recomienda que para medir la resistencia de su seguridad de forma segura y fiable, las organizaciones deberían definir sus medidas de seguridad según áreas claras y desarrollar métricas simples y coherentes. Asimismo, aconseja producir un simple número de cada medición que ponga la calidad de la seguridad en contexto; por ejemplo, “qué porcentaje de portátiles están cubiertos por los programas antimalware, cuántas intrusiones de red se han producido dividido por el número de usuarios de la red, o qué porcentaje de intrusiones fue detectado por los sistemas y no por accidente y a posteriori”.

Además, señala que crear esos sencillos números que reflejen la fortaleza de la seguridad es mucho más eficiente que las métricas complejas, difíciles de descifrar y con poco significado en un contexto de negocio. “Los ejecutivos no tienen mucho tiempo y quieren respuestas sencillas de las que se puedan fiar. La industria de seguridad no ha sido buena creando una explicación no técnica”. Para Andrew Jacquith, el acto de medir los progresos, y la disciplina que ello implica, mejora la seguridad y demuestra su valor a los directivos, y “tal y como están los presupuestos sabemos lo importante que es eso”.