Os consumidores estão cada vez mais compartilhando dados confidenciais com as empresas em troca de conveniência. Por essa razão, as organizações têm uma responsabilidade crescente para evitar violações e proteger os dados dos usuários. Como resultado, muitas leis e regulamentos foram estabelecidos para proteger as informações confidenciais que podem ser armazenadas ou transferidas através desses sistemas.
As regulamentações de proteção de dados tendem a ser bastante extensas e exigem monitoramento constante para garantir efetivamente a conformidade dentro da organização. É por isso que é importante estabelecer uma lista de métricas de segurança para medir a eficácia, a participação, a janela de oportunidade e quaisquer outras informações que possam ser usadas para orientar futuras decisões de segurança e proteger os dados.
Sem um programa de métrica de segurança quantificável em vigor, as organizações se tornam mais suscetíveis a ataques, o que pode impactar a receita e a reputação.
O que são métricas de segurança?
As métricas de segurança são usadas para medir se o programa de cibersegurança de uma organização está ou não cumprindo metas e mantendo a conformidade. Esses benchmarks dizem o que é e não está funcionando dentro do seu quadro de segurança cibernética para que melhorias possam ser feitas em políticas, sistemas ou processos, e quaisquer lacunas na segurança de dados podem ser resolvidas.
Embora a redução de riscos seja um importante indicador de desempenho (KPI) para lidar com a eficácia geral do seu programa de segurança, também existem diferentes métricas que podem fornecer insights sobre o desempenho do programa. As métricas que você escolhe rastrear devem ser quantificáveis e ter influência sobre comportamento e estratégia. Eles devem direcionar para os esforços contínuos de segurança para que você possa monitorar o progresso de sua estrutura ao longo do tempo.
As métricas também permitem compartilhar insights do programa de segurança com os executivos da empresa de forma objetiva e fácil de entender. Números rígidos e benchmarks ajudam a evitar confusão e destacam eficientemente áreas para melhorias.
Quais métricas ajudam você a entender sua postura de segurança atual e identificar quaisquer lacunas?
Uma das métricas de segurança mais óbvias e importantes é o tempo de moradia, que é a quantidade de tempo que um ator de ameaças tem acesso não detectado dentro de uma rede antes de ser completamente removido. Isso é relevante porque quanto mais tempo demorar para uma empresa conter um ataque, mais custará.
Consider other metrics that can be leveraged to drive change, such as:
- The number of known vulnerabilities on internal and external systems.
- O tempo médio entre uma liberação de patch de segurança e implementação real.
- O número de funcionários que completaram um programa de treinamento em segurança cibernética.
- Vulnerabilidades classificadas com base na gravidade e classificações prioritárias.
Métricas para rastrear para conformidade comum de regulação
Uma das razões para rastrear métricas é garantir que você esteja cumprindo quaisquer regulamentos de conformidade aplicáveis,como HIPAA, PCI DSS e GDPR. À medida que a pressão aumenta para que os executivos tossem decisões baseadas em dados, medir KPIs de segurança torna-se mais importante do que nunca. As métricas que você escolhe rastrear precisam quantificar efetivamente a capacidade da sua organização de manter a conformidade normativa e o desempenho de segurança de dados.
Documentar seu programa de cibersegurança e usar dados para melhorar sua eficiência pode não apenas ajudá-lo a decidir quais medidas tomar a seguir, mas também pode ajudar sua organização a evitar multas, processos judiciais e outras penalidades.
Dê uma olhada em alguns exemplos de métricas para acompanhar os seguintes regulamentos:
PCI DSS
A conformidade PCI DSS (Payment Card Industry Data Security Standard) refere-se às normas e padrões que uma empresa deve seguir para garantir que os dados do cartão de crédito dos usuários estão protegidos.
Exemplos de métricas úteis para manter a conformidade com PCI incluem:
- A porcentagem de todos os softwares inventariados que são avaliados regularmente e consistentemente para vulnerabilidades e riscos associados.
- O número de servidores web configurados de acordo com as normas do sistema.
- A porcentagem de vulnerabilidades conhecidas para as quais os patches foram aplicados ou mitigados de outra forma.
HIPAA
A conformidade com a HIPAA refere-se à Lei de Portabilidade e Responsabilização de Seguros de Saúde de 1996, criada para proteger a privacidade do paciente. É importante estabelecer metas de segurança que demonstrem os esforços de uma organização para alcançar as melhores práticas, padrões e regulamentos do setor.
Exemplos de métricas a serem rastreada para garantir a conformidade com o HIPAA incluem:
- O tempo médio que seu plano de recuperação levará para resolver violações.
- O número de incidentes de cibersegurança relatados por funcionários e partes interessadas.
- O número de tentativas registradas de acesso aos dados. É uma prática recomendada estabelecer registros de atividades e auditar regularmente os controles para registrar essas tentativas e anotar o que foi feito com esses dados após o acesso.
GDPR
O GDPR é uma recente lei de proteção de dados inse sendo aplicada pela União Europeia que se aplica a qualquer empresa que manusee dados pertencentes a residentes da UE, mesmo que esse negócio não seja uma empresa sediada na UE. O objetivo é fornecer aos usuários maior transparência e poder sobre seus dados confidenciais. Se sua organização não estiver em conformidade, então ela enfrenta multas de até 4% da receita anual e até mesmo remoção do mercado.
Exemplos de métricas-chave para rastrear para conformidade incluem:
- A porcentagem de todos os sistemas que utilizam criptografia de dados.
- O número de notificações de violação documentadas. É importante notar que os controladores de dados são obrigados a relatar violações de dados pessoais não mais do que 72 horas após tomar conhecimento do incidente.
Como o SecurityScorecard pode ajudar
As ameaças à segurança que as organizações modernas enfrentam estão constantemente se multiplicando e evoluindo, e os consumidores estão optando por compartilhar mais dados com as empresas do que nunca. É por isso que o monitoramento contínuo é crucial para o sucesso de um programa de segurança. As métricas de segurança são uma maneira objetiva e quantificável de acompanhar o progresso e a conformidade, a fim de evitar violações e, por sua vez, multas e ações judiciais.
O SecurityScorecard torna simples monitorar regularmente a conformidade em todo o seu ecossistema digital. Dentro da plataforma, o mapeamento de conformidade rastreia o desempenho e destaca quaisquer lacunas dentro de cada mandato de segurança, facilitando a identificação do que é e não está funcionando. As classificações de segurança fornecem ainda as ferramentas e inteligência necessárias para identificar deficiências de segurança e melhorar a saúde cibernética em toda a sua organização. As consequências de não estar em conformidade excedem em muito os desafios de atender aos padrões do setor, e é por isso que é importante definir a si mesmo e sua organização para o sucesso desde o início, estabelecendo metas claras e benchmarking contra métricas de segurança.
FONTE: SECURITY SCORECARD