0
0
Especialistas ponderam sobre a escolha de métricas que demonstram como a equipe de segurança está lidando com a eficiência operacional e reduzindo riscos.
Medir indicadores de desempenho de operações de segurança, estatísticas de ameaças e níveis de risco são uma atividade central para líderes de segurança seniores que executam um programa de segurança cibernética. As métricas de segurança certas podem ajudar os CISOs e seus tenentes a planejar seus roteiros de segurança, acompanhar o progresso tático e estratégico, provar o ROI sobre os gastos e justificar gastos adicionais ao conselho.
No entanto, escolher as métricas de segurança certas para rastreá-las e usá-las bem é mais fácil dizer do que fazer. Os veteranos de segurança têm trabalhado há muito tempo para encontrar a mistura certa de mensuráveis que oferecem significado e discernimento para a equipe de segurança e para as partes interessadas nos negócios. Especialistas oferecem as seguintes sugestões sobre como os programas podem tirar o máximo de suas métricas de segurança.
Não caia na armadilha de “E daí?” Métricas
“Muitas vezes, estatísticas simples, como volume de alertas/notificações, são usadas em vez de métricas impactantes. Relatar que uma solução de ponto fornecida pelo fornecedor em particular gerou um número ‘X’ de alertas ou eventos ‘Y’ bloqueados este mês fornece pouco valor. O volume de trabalho realizado não é uma medida inerente à eficácia.
“Esse estilo de alerta muitas vezes é impulsionado pelo desejo de justificar os gastos – alguém acabou de comprar e implantar essa ferramenta, por isso devemos mostrar que ela é ativa e gerar atividade – independentemente de quão útil essa atividade seja. Esta é uma métrica de “e daí?” porque você raramente ganha qualquer visão sobre a ameaça.
— Joe McMann, chefe de segurança e chefe de estratégia da Capgemini
Aproveite as ferramentas de big data e mais fontes de dados para métricas operacionais
“Com o advento da mineração de dados, tecnologias de data lake e outros avanços, métricas podem ser criadas a partir de uma miríade de fontes. Os dados podem ser extraídos para entender as operações atuais e alavancados para agilizar processos e aumentar a eficácia. A dependência de dados estruturados não é mais um problema. A capacidade de minerar dados e criar métricas significativas está ao alcance de muitos mais clientes e continuará a expandir e melhorar métricas.
“As métricas estão sendo usadas para acompanhar o progresso, validar melhorias e, em alguns casos, identificar e acompanhar a degradação dos serviços. As métricas também estão sendo usadas para validar uma narrativa anedótica, fornecendo análises de dados claras e concisas em relação aos resultados.”
–James Bundy, diretor de prática, gerenciamento de riscos na Optiv Security
Considere a ‘Maturidade’ da Métrica de
“O que descobrimos é que ‘maturidade’ é a única métrica universal que toda organização deve fornecer, usando uma escala de cinco pontos. A maioria dos líderes empresariais está usando a escala CMM [Capability Maturity Model] 1-5 quando aplicada aos processos de negócios, e usando essa escala de forma semelhante ao medir o estado atual e objetivo do programa de cibersegurança, que fornece uma representação significativa de onde estão os pontos fortes e oportunidades.
“A maturidade também ajuda o CISO a conduzir uma conversa da maneira correta, como como os investimentos e iniciativas estão tendo impacto na elevação do nível de maturidade geral e dentro dessas áreas fracas específicas. Existem várias outras métricas que podem ser úteis; no entanto, a maturidade parece ser a métrica universal que vemos as organizações usarem.”
–John Hellickson, Conselheiro CxO, Estratégia Cibernética em Coalfire
Mapear métricas para resultados de negócios
“Grande parte da medição que acontece hoje permanece focada em resultados técnicos ou resultados de conformidade. Estes são tangencialmente mapeados para os resultados dos negócios, mas para muitos o elo é nebuloso. À medida que a segurança se torna uma função comercial mais crítica a cada dia, uma organização precisa garantir que eles alinhem o risco da tecnologia ao risco de negócios e que a atividade seja impulsionada a esses resultados como prioridade.”
–Brandon Hoffman, CISO da Netenrich
Métricas de alfaiataria para objetivos de negócios e audiência
“Todo negócio é único, por isso as métricas devem ser adaptadas [aos objetivos] e ao nível de gestão específico que requer as informações. Embora existam várias métricas que podem dar feedback importante sobre a eficácia de um programa de segurança atual, estar focado em laser em alguns pontos de dados pode criar pontos cegos.
“Um programa de cibersegurança eficaz e abrangente envolve a interação de todos os aspectos de um negócio, incluindo técnico, empresarial e regulatório. Ninguém captura todas essas áreas.”
-Joe Urbaniak, COO e CISO no Tier 1 Cyber
Procure mostrar progresso ao Conselho
“Cada conselho é diferente, mas de um modo geral eles gostam de ver progresso. Eles gostam de entender a direção de sua exposição ao risco. Tente limitar o FUD e se ater ao que é importante para a linha de fundo. O número de blocos de firewall ou vírus detectados não importa muito. Métricas associadas à proteção dos principais processos de negócios e como eles estão melhorando é o que eles estão procurando. Se você tiver métricas em torno de custos de mitigação de riscos e possíveis economias associadas à redução do risco, inclua-os.
“As métricas devem ser usadas para contar a história do resultado de um projeto ou de um novo processo. O produto X foi implementado para reduzir o impacto desse possível resultado. Os testes do novo controle reduziram o impacto por Y. Isso reduz a possibilidade de tecnologia por causa da tecnologia. Está impulsionando resultados e melhorias.”
–James Bundy, diretor de prática, gerenciamento de riscos na Optiv Security
Métricas suportam narrativas de nível de placa, não o contrário
“Os executivos de conselhos e suítes C não estão interessados em métricas de segurança operacional. Eles estão interessados em métricas que estejam alinhadas com iniciativas de negócios. Tendências de incidentes cibernéticos de alto nível serão de interesse, mas acompanhe isso com uma história. As pessoas gostam de histórias, então criam narrativas que ressoam com especialistas em segurança cibernética.
“Conte a história de como uma organização de pares foi alvo de ransomware e, em seguida, destaque os controles que você tem para mitigar esse risco para sua organização. Polvilhe em algumas métricas relevantes para apoiar a história, mas lembre-se que os dados são um prato lateral, não o prato principal.”
–Rick Holland, Diretor de Segurança da Informação, Vice-Presidente de Estratégia em Sombras Digitais
FONTE: DARK READING