Métricas de segurança cibernética os conselhos corporativos querem ver

0 0

Profissionais de cibersegurança interessados em métricas e medidas frequentemente ponderam e pontificam sobre quais medidas seriam melhores para mostrar ao conselho de administração. Essa pode ser uma proposta complicada porque “temos que falar como o negócio” também é um mantra. Chegar a métricas de cibersegurança do ponto de vista dos negócios pode ser um desafio. Então, como podemos resolver esse problema e fornecer uma visão útil?

Bem, primeiro temos que reconhecer que o nível da diretoria é o mais alto nível estratégico da empresa. Se você fornecer métricas sobre o status do patch e os resultados dos testes de phishing, você está essencialmente admitindo que seu programa de segurança cibernética é construído em algumas atividades de hodge-podge e uma oração.

Profissionais de segurança cibernética muitas vezes difamam os tipos de indicadores “vermelho-amarelo-verde”, mas tenha em mente que o conselho não precisa de detalhes técnicos ou variâncias. Se eles podem se safar com métricas de “vendas por metro quadrado” em lojas de varejo que vendem smartphones e barras de chocolate ou medidas de “uso de cama” para hospitais que tratam desidratação e realizam cirurgia cerebral, eles podem trabalhar com escalas de “imagem maior” em três a cinco níveis. “Vermelho-amarelo-verde” não está completamente fora de questão, desde que os níveis sejam definidos e tenham detalhes que os expliquem. O maior desafio agora é que os membros do conselho estão cada vez mais se tornando responsáveis por negligência, e eles realmente devem e querem mais discernimento.

Principais perguntas de segurança cibernética de conselhos corporativos

Agora voltamos para onde começamos – tentando fornecer aos membros do conselho orientados para negócios dados de segurança cibernética tecnicamente orientados em um nível estratégico. Pode ser útil definir uma linha de base do que os membros do conselho realmente querem saber sobre segurança cibernética em qualquer empresa. Aqui estão suas cinco principais perguntas:

1. Estamos seguros? Esta pergunta é a bane da existência de muitos profissionais de cibersegurança porque a resposta agora e sempre será “não” do ponto de vista literal de proteção 100%. Se reformularmos a pergunta para “qual é o nosso nível de exposição?” podemos começar a fazer progressos.
2. Estamos em conformidade? Essa pergunta é frequentemente facilmente respondida com resultados de auditoria, mas pode não fornecer nenhum conforto real devido à sua perspectiva “point-in-time” que pode mudar a qualquer momento. Melhor avaliar nosso programa de cibersegurança usando uma estrutura de controle.
3. Tivemos algum incidente (significativo) ? Os membros do conselho estarão bem cientes de quaisquer incidentes significativos, por isso esta pergunta geralmente é respondida com detalhes, bem como estimativas sobre custos e responsabilidade potencial.

Eu disse que há cinco perguntas, mas as três acima são as que são tipicamente articuladas. Estes dois últimos estão implícitos como um elemento padrão de boa gestão do conselho:

4. Quão eficaz é nosso programa de segurança? Qualidade em primeiro lugar.
5. Quão eficiente é nosso programa de segurança? E depois quantidade.

Métricas de cibersegurança para conselhos corporativos

À medida que construímos nosso programa, nosso objetivo deve ser traduzir diretamente os dados técnicos mais detalhados em uma estrutura estratégica que seja compreensível no nível de negócios. Devemos também considerar o fato de que os membros do conselho não são estúpidos, e eles podem aprender qualquer coisa que precisam para que os ajude a tomar decisões estratégicas. A tecnologia está tomando conta de suas vidas como a nossa, e com o mundo inteiro passando por transformação digital, tem sido incrível a facilidade com que eles pegaram métricas do SaaS conforme necessário.

Vamos trabalhar com métricas em:

• Ativos de TI (número de usuários, dispositivos, servidores, aplicativos, etc.)
• Atividade de uso (sessões, fluxos, mensagens, etc.)
• Controles de processo (criar/modificar/excluir a conta do usuário; detectar/corrigir vuln, detectar/responder incidentes, etc.)
• Controles em tempo real (inline) (antimalware, firewall, segurança de e-mail, etc.)
• Incidentes

Aqui está um bom conjunto central de métricas de placa que fornecem uma visão estratégica sobre o programa de cibersegurança corporativa:

• Risco cibernético: a porcentagem de atividades de uso inadequadas de todas as atividades de uso
• Eficácia da segurança cibernética: redução percentual do risco cibernético proporcionado pelos controles de cibersegurança em tempo real
• Exposição cibernética: número médio de atividades de uso por ativo de TI
• Resiliência cibernética: número médio de controles em tempo real aplicados para cada atividade de uso
• Razão de aversão ao risco: a disposição de aceitar o prejuízo de produtividade (por exemplo, falhas de senha, falsos positivos) em comparação com a atividade maliciosa permitida ou negada (verdadeiros positivos mais falsos negativos)

Além disso, precisamos considerar custos e valor. Afinal, a informação financeira é a lingua franca do mundo dos negócios:

• Relação perda/valor: gastos com segurança cibernética, incluindo perdas de incidentes em comparação com o valor financeiro fornecido pelos ativos de TI.
• Controle do custo por ativo de TI (provavelmente aplicativo): custos alocados de controles de segurança cibernética por ativo de TI
• Risco reduzido por custo unitário: valor financeiro de risco reduzido em comparação com os gastos totais de cibersegurança

Olhe para os procedimentos do conselho e as transcrições de chamadas de ganhos para empresas de capital aberto, ou mesmo o grande número de relações financeiras em seus sites de investimento favoritos, e você verá que as métricas descritas acima estão em um nível estratégico muito mais apropriado do que a mistura de níveis de patch e malware encontrados.

Se queremos que os executivos levem a segurança cibernética a sério na empresa, esta é a maneira de chegar lá.

FONTE: CSO ONLINE