This post is also available in: Português
As apostas cada vez mais altas de acertar a segurança e aumentar o interesse do conselho significa que as métricas são mais importantes do que nunca.
Porém, existem algumas métricas que são mais úteis e relevantes e outras que devem ser abandonadas pelos gestores de segurança.
Para as CISOs (Chief information security officer, no português: diretor de segurança da informação), uma das tarefas executivas mais desafiadoras é quantificar o sucesso e o valor da função de cibersegurança.
As organizações e seus líderes de segurança usaram uma infinidade de métricas ao longo dos anos.
No entanto, os dados apresentados em reuniões de conselho muitas vezes não possibilitam visão ou compreensão adequada de quão bem o departamento de segurança está executando, como está melhorando e onde está deixando a desejar, na estratégia de segurança.
O presidente e CEO da empresa de segurança SpearTip, Jarret Kolthoff, afirma:
“Muito jargão técnico está sendo apresentado ao executivo-chefe e ao conselho. Os CISOs ainda estão informando ao conselho sobre vulnerabilidades críticas e o número de patches, mas o conselho não entende isso porque não há um contexto adequado fornecido”.
Ele ainda acrescenta:
“Esses números podem ser ótimos para o CISO, mas o CISO precisa trabalhar (no desenvolvimento de métricas) que ofereçam contexto para que o conselho entenda os riscos e quanto investimento em segurança é necessário”.
Especialistas em cibersegurança, incluindo Kolthoff, disseram que não há uma métrica que possa funcionar para todos os CISOs para demonstrar como seus esforços de segurança estão funcionando e se estão melhorando com o tempo.
Porém, existem algumas métricas, ou a combinação certa de medidas e narrativa, que são mais úteis que outras.
Métricas de segurança importantes para os negócios
Curtis Simpson, CISO da empresa de tecnologia Armis e ex CISO da Sysco Foods, acredita que as métricas são mais importantes do que nunca, considerando as apostas cada vez mais altas de acertar a segurança e a crescente supervisão da diretoria neste espaço.
Simpson afirma que é sobre ter as métricas corretas:
“Métricas favoritas são as que os negócios realmente se preocupam”.
Ele procura medidas que descrevam como a segurança ajuda a empresa a atingir seus objetivos.
Citando um exemplo, ele aponta as métricas usadas na Sysco, que tinham um objetivo declarado de atender seus clientes globais 24 horas por dia.
“Eu tive que contar uma história que explicava como o alto risco desafiaria o resultado desse objetivo”, ele explica.
Em vez de relatar o número de ataques que a empresa estava enfrentando, ele usou isso para medir o impacto desses ataques em áreas como produtividade e operações e mostrou como as melhorias poderiam ser feitas, a que custo e como elas reduziriam os riscos.
Em última análise, melhore as métricas sobre o impacto nos negócios – tudo para obter suporte ao cliente 24 horas por dia e 7 dias por semana.
Simpson reconhece que determinada métrica pode não funcionar para outros CISOs.
O conselho é encontrar as métricas que podem ajuda-los a medir o impacto nos negócios relacionados à segurança, o risco para os principais objetivos e o sucesso da mitigação ao longo do tempo.
Os especialistas concordam e dizem que o importante não é apenas os números usados, mas como essas medidas destacam a história dos negócios e ilustram o que os CISOs estão fazendo para resolver problemas e outras metas comerciais.
O analista de pesquisa da IT-Harvest e autor do Security Yearbook 2020, Richard Stiennon, diz que trabalhou com uma empresa do setor de defesa que rastreava ameaças e as categorizava como ameças de baixo nível.
Ele diz que essa empresa transformou o que muitas vezes é um número sem sentido e deu a ele um contexto que outros executivos e membros do conselho entendem e podem usar para tomar decisões significativas sobre o investimento em melhorias de segurança.
O que realmente importa é alinhar suas métricas às principais funções de negócios da organização.
A ideia é que o CISO trabalhe com as unidades de negócios para entender quais processos críticos precisam ser mantidos para que o negócio tenha sucesso.
Os CISOs precisam estabelecer indicadores-chave de risco, com base na classificação das informações alinhadas aos ativos e objetivos.
Portanto, se o objetivo de segurança de uma organização é minimizar interrupções, esse é um objetivo que pode ser medido e rastreado.
Caso uma organização queira ver um alinhamento aprimorado da segurança às implantações de tecnologia, o CISO poderá criar e rastrear medidas que mostrem como, quando e onde a equipe de segurança se envolve com compras relacionadas à tecnologia e como elas melhoram com o tempo.
6 métricas convencionais que permanecem valiosas
Embora as métricas que avaliam o desempenho da segurança em relação às metas de negócios estejam aumentando, os CISOs veteranos e os consultores de gerenciamento de segurança dizem que ainda veem valor em muitas métricas usadas historicamente pela equipe de segurança.
Porém, eles também dizem que os CISOs devem considerar colocar um contexto adicional em torno dessas métricas.
O chefe de informações e segurança cibernética da Truth Initiative, Derrick A. Butts, diz que o conselho não liga para coisas como quantos e-mails de phishing você recebe.
Segundo ele, o mais importante é medir a ineficácia de nossos sistemas para proteger contra eles e contra seu impacto nos negócios.
Veja a seguir algumas das medidas que Butts e outros líderes de segurança usam para fornecer o contexto tão necessário.
Resultados de ataques simulados de phishing
Butts usa ataques simulados de phishing para ajudá-lo a avaliar o desempenho do treinamento de conscientização e definir metas de melhoria.
Tempo médio para se recuperar
Harmer mede a porcentagem de usuário afetados por um incidente, a rapidez com que a equipe de segurança resolveu o problema e se esse tempo atinge, excede ou fica aquém do tempo previsto, com base nos parâmetros estabelecidos pela organização de risco.
Tempo médio para detectar
Stiennin recomenda o uso de métricas como tempo médio para detectar – a medida de quanto tempo levou desde o ataque bem-sucedido até o momento da detecção – porque isso também indica o quão bem um programa de segurança funciona e pode ser rastreado para mostrar melhoria.
Essas métricas ajudam o CISO a discutir com o C-suite e o board de quais investimentos são necessários para trazer melhorias.
Além disso, essas métricas incentivam a melhoria contínua: obtenha o tempo médio para detectar em minutos, e o CISO pode ter como objetivo reduzi-lo a segundos.
Teste de penetração
Assim como os ataques de phishing simulados, as métricas dos testes de penetração indicam quão bem uma organização pode resistir a esses eventos e acompanhar as melhorias ao longo do tempo.
Essas são informações valorosas para Harmer, como CISO, e para outros executivos e membros do conselho.
Gerenciamento de vulnerabilidades
A sugestão de Murray é para que os CISOs desenvolvam uma métrica que eles podem usar para relatar a eficácia de seu programa de gerenciamento de vulnerabilidades.
Isso não deve relatar o número de correções feitas, mas medir a capacidade do departamento de segurança de gerenciar vulnerabilidades da melhor maneira possível, tendo como base a postura de segurança da organização.
Afinal, não se trata de implementar 100 patches de baixo risco, mas sim garantir que aquele que apresenta o maior risco seja feito o mais rápido possível.
Auditorias de segurança corporativa
Butts usa um cartão de pontos desenvolvido para sua organização a partir das estruturas do Instituto Nacional de Padrões e Tecnologia (NIST), da Biblioteca de Infraestrutura de Tecnologia da Informação (ITIL) e do Center for Internet Security (CIS).
4 métricas a serem abandonadas
A medida que surge uma nova lista aprimorada de métricas para medir a eficácia da função de segurança, os especialistas sugerem que as seguintes métricas devem ter um uso mínimo ou até serem abandonadas.
Número de ataques
Segundo Simpson, ninguém se importa se você mostra que tem 100 mil ataques em um mês e os impede.
Além disso, não se trata de interromper 100 mil ataques de baixo nível, mas frustrar um único ataque incapacitante que pode colocar a empresa fora do negócio.
Patches concluídos; Vulnerabilidades identificadas e Vírus bloqueados
Embora essas medidas façam sentido para os CISOs como uma medida interna do trabalho realizado ou sejam necessárias para confirmar que uma organização está em conformidade com certos regulamentos, elas têm pouco ou nenhum valor. Além disso, elas podem levar você a uma falsa sensação de segurança.
Acompanhe as OSTEC nas redes sociais para ficar por dentro de todo nosso conteúdo: Instagram, Facebook, Linkedin, Twitter.
Via: CSO.
This post is also available in: Português