0
0
Os consumidores estão cada vez mais compartilhando dados confidenciais com as empresas em troca de conveniência. Por esse motivo, as organizações têm uma responsabilidade crescente de evitar violações e proteger os dados do usuário. Como resultado, muitas leis e regulamentos foram estabelecidos para proteger as informações confidenciais que podem ser armazenadas ou transferidas através desses sistemas.
As regulamentações de proteção de dados tendem a ser bastante extensas e exigem monitoramento constante para garantir efetivamente a conformidade dentro da organização. É por isso que é importante estabelecer uma lista de métricas de segurança para medir a eficácia, a participação, a janela de oportunidade e quaisquer outras informações que possam ser usadas para orientar futuras decisões de segurança e proteger os dados.
Sem um programa de métrica de segurança quantificável, as organizações se tornam mais suscetíveis a ataques, o que pode afetar a receita e a reputação.
O que são métricas de segurança?
Métricas de segurança são usadas para medir se o programa de segurança cibernética de uma organização está ou não atingindo metas e mantendo a conformidade. Esses benchmarks informam o que está e o que não está funcionando dentro da sua estrutura de segurança cibernética para que melhorias possam ser feitas em políticas, sistemas ou processos, e quaisquer lacunas na segurança de dados possam ser resolvidas.
Embora a redução de risco seja um importante indicador-chave de desempenho (KPI) para abordar a eficácia geral do seu programa de segurança, também existem diferentes métricas que podem fornecer informações sobre o desempenho do programa. As métricas que você escolhe rastrear devem ser quantificáveis e influenciar o comportamento e a estratégia. Eles devem direcionar para os esforços contínuos de segurança para que você possa monitorar o progresso de sua estrutura ao longo do tempo.
As métricas também permitem que você compartilhe insights de programas de segurança com executivos da empresa de maneira objetiva e fácil de entender. Números rígidos e benchmarks ajudam a evitar confusão e destacar eficientemente áreas para melhoria.
Quais métricas ajudam você a entender sua postura de segurança atual e identificar quaisquer lacunas?
Uma das métricas de segurança mais óbvias e importantes é o tempo de permanência, que é a quantidade de tempo que um ator de ameaça não detectou o acesso dentro de uma rede antes de ser completamente removido. Isso é relevante porque quanto mais tempo levar para uma empresa conter um ataque, mais ele custará.
Considere outras métricas que podem ser aproveitadas para impulsionar a mudança, como:
- O número de vulnerabilidades conhecidas em sistemas internos e externos.
- O tempo médio entre uma versão do patch de segurança e a implementação real.
- O número de funcionários que concluíram um programa de treinamento em segurança cibernética.
- Vulnerabilidades classificadas com base na gravidade e classificações de prioridade.
Métricas para rastrear a conformidade com a regulamentação comum
Uma razão para rastrear métricas é garantir que você esteja atendendo a quaisquer regulamentos de conformidade aplicáveis, como HIPAA, PCI DSS e GDPR. À medida que a pressão aumenta para que os executivos tomem decisões orientadas por dados, medir KPIs de segurança se torna mais importante do que nunca. As métricas que você escolhe rastrear precisam quantificar efetivamente a capacidade da sua organização de manter a conformidade regulamentar e o desempenho da segurança dos dados.
Documentar seu programa de segurança cibernética e usar dados para melhorar sua eficiência não só pode ajudá-lo a decidir quais medidas tomar a seguir, mas também pode ajudar sua organização a evitar multas, ações judiciais e outras penalidades.
Dê uma olhada em alguns exemplos de métricas para rastrear os seguintes regulamentos:
PCI DSS
A conformidade PCI DSS (Payment Card Industry Data Security Standard) refere-se aos regulamentos e padrões que uma empresa deve seguir para garantir que os dados do cartão de crédito dos usuários sejam protegidos.
Exemplos de métricas úteis para manter a conformidade PCI incluem:
- A porcentagem de todo o software inventariado que é regular e consistentemente avaliado quanto a vulnerabilidades e riscos associados.
- O número de servidores web que foram configurados de acordo com os padrões do sistema.
- A porcentagem de vulnerabilidades conhecidas para as quais os patches foram aplicados ou mitigados de outra forma.
HIPAA
A conformidade com a HIPAA refere-se à Lei de Portabilidade e Responsabilidade do Seguro de Saúde de 1996, que foi criada para proteger a privacidade do paciente. É importante definir metas de segurança que demonstrem os esforços de uma organização para alcançar as melhores práticas, padrões e regulamentos do setor.
Exemplos de métricas a serem rastreadas para garantir a conformidade com a HIPAA incluem:
- O tempo médio que seu plano de recuperação levará para resolver violações.
- O número de incidentes de segurança cibernética relatados por funcionários e partes interessadas.
- O número de tentativas registradas de acessar dados. É uma prática recomendada estabelecer registros de atividades e auditar regularmente controles para registrar essas tentativas e anotar o que foi feito com esses dados depois de terem sido acessados.
GDPR
O GDPR é uma lei recente de proteção de dados implementada pela União Europeia que se aplica a qualquer empresa que trate dados pertencentes a residentes da UE, mesmo que essa empresa não seja uma empresa com sede na UE. Tem como objetivo fornecer aos usuários maior transparência e poder sobre seus dados confidenciais. Se sua organização for considerada incompatível, ela enfrenta multas de até 4% da receita anual e até mesmo remoção do mercado.
Exemplos de métricas-chave para rastrear a conformidade incluem:
- A porcentagem de todos os sistemas que utilizam criptografia de dados.
- O número de notificações de violação documentadas. É importante observar que os controladores de dados são obrigados a relatar violações de dados pessoais no máximo 72 horas após tomarem conhecimento do incidente.
Como o SecurityScorecard pode ajudar
As ameaças à segurança que as organizações modernas enfrentam estão constantemente se multiplicando e evoluindo, e os consumidores estão escolhendo compartilhar mais dados com as empresas do que nunca. É por isso que o monitoramento contínuo é crucial para o sucesso de um programa de segurança. As métricas de segurança são uma maneira objetiva e quantificável de acompanhar o progresso e a conformidade, a fim de evitar violações e, por sua vez, multas e ações judiciais.
O SecurityScorecard simplifica o monitoramento regular da conformidade em todo o seu ecossistema digital. Dentro da plataforma, o mapeamento de conformidade rastreia o desempenho e destaca quaisquer lacunas dentro de cada mandato de segurança, facilitando a identificação do que está e do que não está funcionando. As classificações de segurança também fornecem as ferramentas e a inteligência de que você precisa para identificar deficiências de segurança e melhorar a saúde cibernética em toda a sua organização. As consequências de não estar em conformidade excedem em muito os desafios de atender aos padrões do setor, e é por isso que é importante preparar você e sua organização para o sucesso desde o início, definindo metas claras e benchmarking em relação às métricas de segurança.
FONTE: SECURITY SCORECARD