As métricas de segurança mais importantes para manter a conformidade

Views: 97
0 0
Read Time:5 Minute, 47 Second

Os consumidores estão cada vez mais compartilhando dados confidenciais com as empresas em troca de conveniência. Por essa razão, as organizações têm uma responsabilidade crescente para evitar violações e proteger os dados dos usuários. Como resultado, muitas leis e regulamentos foram estabelecidos para proteger as informações confidenciais que podem ser armazenadas ou transferidas através desses sistemas.

As regulamentações de proteção de dados tendem a ser bastante extensas e exigem monitoramento constante para garantir efetivamente a conformidade dentro da organização. É por isso que é importante estabelecer uma lista de métricas de segurança para medir a eficácia, a participação, a janela de oportunidade e quaisquer outras informações que possam ser usadas para orientar futuras decisões de segurança e proteger os dados.

Sem um programa de métrica de segurança quantificável em vigor, as organizações se tornam mais suscetíveis a ataques, o que pode impactar a receita e a reputação.

O que são métricas de segurança?

As métricas de segurança são usadas para medir se o programa de cibersegurança de uma organização está ou não cumprindo metas e mantendo a conformidade. Esses benchmarks dizem o que é e não está funcionando dentro do seu quadro de segurança cibernética para que melhorias possam ser feitas em políticas, sistemas ou processos, e quaisquer lacunas na segurança de dados podem ser resolvidas.

Embora a redução de riscos seja um importante indicador de desempenho (KPI) para lidar com a eficácia geral do seu programa de segurança, também existem diferentes métricas que podem fornecer insights sobre o desempenho do programa. As métricas que você escolhe rastrear devem ser quantificáveis e ter influência sobre comportamento e estratégia. Eles devem direcionar para os esforços contínuos de segurança para que você possa monitorar o progresso de sua estrutura ao longo do tempo.

As métricas também permitem compartilhar insights do programa de segurança com os executivos da empresa de forma objetiva e fácil de entender. Números rígidos e benchmarks ajudam a evitar confusão e destacam eficientemente áreas para melhorias.

Quais métricas ajudam você a entender sua postura de segurança atual e identificar quaisquer lacunas?

Uma das métricas de segurança mais óbvias e importantes é o tempo de moradia, que é a quantidade de tempo que um ator de ameaças tem acesso não detectado dentro de uma rede antes de ser completamente removido. Isso é relevante porque quanto mais tempo demorar para uma empresa conter um ataque, mais custará.

Consider other metrics that can be leveraged to drive change, such as:

  • The number of known vulnerabilities on internal and external systems.
  • O tempo médio entre uma liberação de patch de segurança e implementação real.
  • O número de funcionários que completaram um programa de treinamento em segurança cibernética.
  • Vulnerabilidades classificadas com base na gravidade e classificações prioritárias.

Métricas para rastrear para conformidade comum de regulação

Uma das razões para rastrear métricas é garantir que você esteja cumprindo quaisquer regulamentos de conformidade aplicáveis,como HIPAA, PCI DSS e GDPR. À medida que a pressão aumenta para que os executivos tossem decisões baseadas em dados, medir KPIs de segurança torna-se mais importante do que nunca. As métricas que você escolhe rastrear precisam quantificar efetivamente a capacidade da sua organização de manter a conformidade normativa e o desempenho de segurança de dados.

Documentar seu programa de cibersegurança e usar dados para melhorar sua eficiência pode não apenas ajudá-lo a decidir quais medidas tomar a seguir, mas também pode ajudar sua organização a evitar multas, processos judiciais e outras penalidades.

Dê uma olhada em alguns exemplos de métricas para acompanhar os seguintes regulamentos:

PCI DSS

A conformidade PCI DSS (Payment Card Industry Data Security Standard) refere-se às normas e padrões que uma empresa deve seguir para garantir que os dados do cartão de crédito dos usuários estão protegidos.

Exemplos de métricas úteis para manter a conformidade com PCI incluem:

  • A porcentagem de todos os softwares inventariados que são avaliados regularmente e consistentemente para vulnerabilidades e riscos associados.
  • O número de servidores web configurados de acordo com as normas do sistema.
  • A porcentagem de vulnerabilidades conhecidas para as quais os patches foram aplicados ou mitigados de outra forma.

HIPAA

A conformidade com a HIPAA refere-se à Lei de Portabilidade e Responsabilização de Seguros de Saúde de 1996, criada para proteger a privacidade do paciente. É importante estabelecer metas de segurança que demonstrem os esforços de uma organização para alcançar as melhores práticas, padrões e regulamentos do setor.

Exemplos de métricas a serem rastreada para garantir a conformidade com o HIPAA incluem:

  • O tempo médio que seu plano de recuperação levará para resolver violações.
  • O número de incidentes de cibersegurança relatados por funcionários e partes interessadas.
  • O número de tentativas registradas de acesso aos dados. É uma prática recomendada estabelecer registros de atividades e auditar regularmente os controles para registrar essas tentativas e anotar o que foi feito com esses dados após o acesso.

GDPR

O GDPR é uma recente lei de proteção de dados inse sendo aplicada pela União Europeia que se aplica a qualquer empresa que manusee dados pertencentes a residentes da UE, mesmo que esse negócio não seja uma empresa sediada na UE. O objetivo é fornecer aos usuários maior transparência e poder sobre seus dados confidenciais. Se sua organização não estiver em conformidade, então ela enfrenta multas de até 4% da receita anual e até mesmo remoção do mercado.

Exemplos de métricas-chave para rastrear para conformidade incluem:

  • A porcentagem de todos os sistemas que utilizam criptografia de dados.
  • O número de notificações de violação documentadas. É importante notar que os controladores de dados são obrigados a relatar violações de dados pessoais não mais do que 72 horas após tomar conhecimento do incidente.

Como o SecurityScorecard pode ajudar

As ameaças à segurança que as organizações modernas enfrentam estão constantemente se multiplicando e evoluindo, e os consumidores estão optando por compartilhar mais dados com as empresas do que nunca. É por isso que o monitoramento contínuo é crucial para o sucesso de um programa de segurança. As métricas de segurança são uma maneira objetiva e quantificável de acompanhar o progresso e a conformidade, a fim de evitar violações e, por sua vez, multas e ações judiciais.

O SecurityScorecard torna simples monitorar regularmente a conformidade em todo o seu ecossistema digital. Dentro da plataforma, o mapeamento de conformidade rastreia o desempenho e destaca quaisquer lacunas dentro de cada mandato de segurança, facilitando a identificação do que é e não está funcionando. As classificações de segurança fornecem ainda as ferramentas e inteligência necessárias para identificar deficiências de segurança e melhorar a saúde cibernética em toda a sua organização. As consequências de não estar em conformidade excedem em muito os desafios de atender aos padrões do setor, e é por isso que é importante definir a si mesmo e sua organização para o sucesso desde o início, estabelecendo metas claras e benchmarking contra métricas de segurança.

FONTE: SECURITY SCORECARD

Previous post A Forrester Consulting Total Economic Impact™ of SecurityScorecard: Dimensione sua gestão de risco de terceiros
Next post Proteção crítica da infraestrutura – Lições aprendidas com o ataque do gasoduto Colonial

Deixe um comentário