O desafio de medir a qualidade dos processos de segurança
Métricas são fundamentais para oferecer uma base quantitativa e objetiva da efetividade dos processos de segurança, avaliando o desempenho de profissionais de segurança da informação e servindo de apoio à tomada de decisão. Mas as métricas podem ir muito além desses insights, permitindo que as organizações adotem posturas proativas e uma abordagem preditiva para reduzir o risco de ataques cibernéticos e ameaças internas.
Pesquisa da consultoria PwC – 2016 Economic Crime Survey – mostra que 61% dos CEOs estão atentos à segurança cibernética, preocupação que também chega ao Conselho, cujos membros querem informações sobre as capacidades da organização de enfrentar essa ameaça.
Por conta disso, os dados advindos dessas métricas devem ser transformados em informações compreensíveis para os membros do Conselho e diretoria, em interfaces visuais, com dashboards que oferecem indicadores de desempenho e segurança customizadas, como as disponibilizadas pelo GAT, facilitando a visão executiva.
Mas quais são as métricas realmente capazes de medir esse desempenho e a maturidade dos processos de segurança da organização e que também sejam importantes para os membros do Conselho e diretoria? Contabilizar o número de vulnerabilidades e incidentes não é suficiente para que o Conselho e os executivos nível C compreendam quais medidas a organização tem implantadas para evitar essas ameaças e quais são as suas consequências para os negócios.
Ainda de acordo com o estudo da PwC, cerca de 50 das organizações entrevistadas reportaram ataques que provocaram perdas de mais de US$ milhões, enquanto em um terço delas os prejuízos ultrapassaram US$ 100 milhões.
Contextualizando e automatizando as informações
Essas e outras informações é que precisam ser repassadas para o Conselho e diretoria. As métricas precisam ir além dos dados quantitativos e medir e comunicar de forma eficaz como os processos de segurança estão alinhados aos objetivos de negócios.
Uma abordagem é concentrar-se nos impactos financeiros provocados pelo “sequestro” de dados sensíveis devido a vulnerabilidades existentes ou pela indisponibilidade de ativos provocada por ataques como o DDoS (Distributed Denial of Service), em vez de relatar estatísticas técnicas de segurança que não estão vinculadas a resultados de negócios.
Os processos de segurança devem avaliar e incluir diversos fatores, como conformidade, ameaças, vulnerabilidades, acessibilidade e criticidade de negócios. Para cada um desses fatores, as organizações coletam grandes volumes de dados que precisam ser integrados, contextualizados e então priorizada a criticidade de cada resultado encontrado conforme a sua relevância para o negócio.
Inovadoras tecnologias integram a gestão de vulnerabilidades e o gerenciamento de risco, como a plataforma GAT, reunindo inteligência interna de segurança e de ameaças externas, correlacionando esses dados ao risco para a organização.
O resultado é a implantação de métricas de segurança automatizadas e contextualizadas, alinhadas aos objetivos do negócio, com todas as informações – ameaças, análises e compliance – de cada processo de negócio reunidas em uma única plataforma, com base em contextos customizáveis, como processos de negócio, equipes e localidades.
Com isso, membros do Conselho e diretoria nível C podem facilmente contextualizar os processos de segurança e mudar de uma abordagem de gestão de crises para uma proativa e preditiva, capaz de impedir que os ataques sejam bem-sucedidos.