0
0
Use a estrutura CARE para desenvolver métricas que comprovem a credibilidade e defensibilidade do seu programa de cibersegurança.
Ao propor multas recordes à empresa-mãe da Marriott International e da British Airways sob as leis europeias de privacidade de dados, a comissária de Informação do Reino Unido, Elizabeth Denham, explicou que a gravidade das multas não estava relacionada a quem foi impactada, mas sim à falta de medidas apropriadas tomadas para proteger os dados das pessoas. Ao emitir a multa final muito reduzida, o comissário também teria levado em conta o “impacto econômico e a acessibilidade”.
Quando uma organização sofre uma violação de dados ou outro incidente de segurança cibernética, ela não é julgada se tinha um baixo número de vulnerabilidades ou se gastava o suficiente em ferramentas de segurança. A questão é se ele fez a coisa certa com base em seu orçamento, tamanho e necessidades.
O Gartner prevê que, em três anos, 80% da magnitude das multas impostas pelos reguladores após uma violação de segurança cibernética será atribuída a falhas para provar que o dever do devido cuidado foi cumprido em vez do impacto da violação.
Como mostrar a você SE PREOCUPA com segurança cibernética
No passado, as prioridades e investimentos em segurança cibernética eram em grande parte baseados em fazer algo para evitar um resultado. Por exemplo, você pode implementar uma ferramenta de gerenciamento de patches para evitar incidentes resultantes de vulnerabilidades de segurança não corrigidas.
Este não é o melhor curso de ação. As prioridades e investimentos em segurança cibernética devem basear-se na obtenção de um conjunto de resultados consistentes, adequados, razoáveis e eficazes (CARE). O Gartner introduziu o CARE como uma estrutura para ajudar as organizações a avaliar a credibilidade e a defensibilidade de seu programa de cibersegurança.
Por exemplo, em vez de simplesmente confirmar a presença de ferramentas e processos para corrigir vulnerabilidades, uma organização deve medir resultados diretamente relacionados ao nível de proteção, como o número de dias necessários para atualizar sistemas críticos com patches críticos.
Mas como não há um conjunto padrão do setor de métricas de segurança ou KPIs, toda organização precisa de flexibilidade para atender às suas circunstâncias únicas.
“Em última análise, são julgamentos de valor”, diz Claude Mandy, analista diretor sênior do Gartner. “Essas quatro características incorporam inúmeras oportunidades de fazer o que é melhor para a organização. Use a estrutura para garantir que seu programa de segurança ofereça melhores resultados, não apenas maiores gastos.”
Recomendamos que, como líder de gerenciamento de riscos e segurança, você desenvolva um catálogo de 20 a 30 métricas CARE que traduzem métricas operacionais em algo facilmente compreendido por um público não técnico.
A seguir, tipos de métricas de segurança para incluir em um painel para ajudar a provar aos principais stakeholders, como reguladores, clientes e acionistas, que você cumpriu o dever de cuidado.
Métricas de consistência
Estes avaliam se os controles de segurança estão funcionando consistentemente ao longo do tempo em uma organização. Eles devem ser continuamente atualizados, medidos e relatados semanalmente, mensalmente ou trimestralmente para demonstrar que permanecem consistentes. Por exemplo:
- Avaliação de risco de terceiros: O controle de segurança pode ser cobertura ou a porcentagem de terceiros com uma avaliação de risco concluída.
- Conscientização de segurança: O controle pode ser moeda ou a porcentagem de funcionários que receberam treinamento de phishing nos últimos meses X.
Métricas de adequação
Estes avaliam se os controles atendem às necessidades dos negócios e às expectativas das partes interessadas. Por exemplo:
- Realização de patches: Percentual de ativos regularmente corrigidos dentro de um contrato de nível de proteção (PLA)
- Realização da atualização de malware PLA: Porcentagem de pontos finais com definições anti-malware aplicadas regularmente dentro do PLA
Métricas de razoabilidade
Isso prova que seus controles de segurança são apropriados, justos e moderados, conforme determinado pelo impacto nos negócios e pelo atrito que causam. Por exemplo:
- Atrasos e tempo de inatividade: Atraso médio (em horas) ao adicionar novo acesso
- Queixas: Número de reclamações desencadeadas por um determinado controle de segurança
Métricas de eficácia
Estes avaliam se seus controles de segurança estão produzindo o resultado desejado. Por exemplo:
- Remediação de vulnerabilidades: O controle pode ser pontual, como o número médio ou máximo de dias necessários para sanar vulnerabilidades críticas de segurança.
- Prevalência de incidentes de segurança na nuvem: Número de problemas de segurança na nuvem por ano relacionados a problemas de configuração em nuvem
Como líder de gerenciamento de segurança e riscos, cabe a você contextualizar para o público, detalhar em detalhes unidades e sistemas de negócios específicos e vincular métricas de CARE aos resultados dos negócios.
FONTE: GARTNER