Métricas de Gestão de Identidade que o Board Executivo se interessará

Mostrar números da operação da áreas ao board executivo é sempre um desafio, principalmente se for de áreas que não gerar produtividade direta nas vendas e no lucro da empresa. No entanto demonstrar como estes números podem impactar nos gastos e nas perdas financeiras pode ser mais atrativo, mas como transformar os números de Gestão de Identidade em algo relevante para os executivos da empresa?

Estamos vivendo a era da violação de dados

É conhecido que estamos vivendo a idade da violação de dados. Segundo relatório do Identity Theft Resource Center, houveram mais violações de dados significativas este ano do em qualquer período passado – 758 até Junho.

De outra sorte, no Brasil a Gestão de Identidade envolve também casos de corrupção e fraudes internas e externas, o que segundo a KPMG 83% das causas de incidentes relacionados a identidade de acesso estão relacionadas a privilégios, controles e treinamento inadequados.

Em muitas dessas violações de alto perfil, os hackers usaram políticas de Gestão de Identidade fracas como seu ponto de entrada. Por exemplo, os hackers da violação de dados da empresa Target em 2013 obtiveram acesso à rede corporativa por meio de credenciais de login roubadas de uma empresa contratada.

Na sequência dessa violação, a consultoria Institutional Shareholder Services recomendou a substituição de sete dos 10 membros da Diretoria da Target por não supervisionar o risco de segurança cibernética. Desde então, a segurança cibernética tem sido o topo da mente para os membros do conselho em empresas grandes e pequenas.

Tudo isso parece tornar evidente a necessidade de uma solução forte de Gerenciamento de Identidade e Acesso (IAM), mas, como qualquer executivo de nível C pode lhe dizer, vender programas de TI para a liderança nunca é fácil. Portanto, você só poderá obter a atenção através de demonstração de benefícios quantificáveis.

Estabelecendo um baseline

Uma das melhores maneiras de transmitir aos seus membros do conselho é apelar para o seu senso de dever fiduciário. Faça-os perguntarem-se: Estamos agindo adequadamente sobre a segurança cibernética para nossos clientes e acionistas? Estamos cumprindo com as exigências legais de nossa indústria quanto à proteção cibernética?

Você precisa deixar claro que, enquanto sua empresa pode economizar dinheiro no curto prazo, evitando o investimento na tecnologia IAM, a longo prazo, você continuará gastando demais nos custos causados ​​por processos manuais. De acordo com o modelo de custo da Forrester Research para a IAM, uma empresa com 3.300 funcionários irá, em três anos, gastar mais que o dobro em processos manuais do que em sistemas automatizados.

Há uma série de métricas que podem demonstrar o que a sua empresa está gastando em processos IAM manuais em termos reais:

Contagem de login com falha

Esta é uma métrica simples para coletar e rastrear, e um indicador fácil do sucesso ou falha de seus processos IAM.

Em alguns casos, um levantamento enorme no volume de tentativas de login inválidas pode ser um indicador de um ataque de força bruta, mas na maioria das vezes, um grande número de tentativas de login inválidas indica uma falha na política – ou os seus usuários precisam de mais treinamento, ou eles têm mais contas do que podem lidar, o que se relaciona com nossa próxima métrica.

Contas únicas por usuário

Um indicador chave de desempenho (KPI) para seus processos IAM, quanto mais próximo este número for zero, melhor, ou seja, uanto menos credenciais o seu usuários necessitar gerenciar melhor.

Quanto mais credenciais de login e senhas seus usuários têm para manusear , mais provável é que esqueçam essas credenciais, causando chamadas onerosas e o desperdício de tempo, reiniciando e gerenciando essas contas. Além de propiciar que ele escreva estas senhas em algum lugar para poder “lembrá-las” no momento necessário.

O que é pior, quanto mais credenciais um usuário tem para gerenciar, mais provável é que eles se apoie em maus hábitos, como anotar em pedaços de papel ou na agenda as senhas, reutilizar senhas ou usar senhas fracas. Quando 97 por cento das mais de 1.000 empresas globais tiveram credenciais vazadas na internet, a má segurança por senha é um problema sério.

Esta métrica sozinha é uma justificativa substancial para as plataformas de Single-Sign-On (SSO), que permitem aos usuários apresentar apenas um conjunto de credenciais, em vez de aprender ou lembrar credenciais separadas para cada aplicativo.

Redefinição de senha por mês

Examinar os números mensais de redefinição de senha é uma maneira confiável de avaliar a eficácia do seu programa IAM e política de senha.

77% das empresas exigem mudanças trimestrais de senhas para os funcionários, de acordo com a Forrester, e, embora seja certamente uma recomendada prática recomendável, pode significar muitas chamadas de help desk. Uma chamada média de 15 minutos de atendimento que resolve um caso de administração de identidade custa US$ 31, de acordo com a Forrester . Esses custos se somam rapidamente para empresas com grandes bases de usuários.

Além disso, a cada minuto, um funcionário deve aguardar uma reinicialização da senha antes que eles possam fazer seu trabalho é um minuto de perda de produtividade.

As restaurações de senha de auto-atendimento podem aliviar essas preocupações e reduzir a quantidade de tempo que sua equipe de help desk gasta na redefinição manual de senhas.

O Blog Minuto da Segurança publicou em 23/06/2017 que “Trocar de senhas periodicamente não é tão seguro quanto você pensa” , em uma referência à discussão de que trocas periódicas de senhas, principalmente em pequenos intervalos de tempo, pode trazer mais inconvenientes do que não trocá-la.

Portanto analisar o volume de redefinição de senhas por mês pode apontar algumas tomadas de ações necessárias, incluindo rever e aprovar no board uma nova política de senhas.

Tempo de provisionamento e desprovisionamento de usuários

Conforme mencionado acima, as mesas de help desk gastam muito tempo lidando com problemas do IAM, e um bom pedaço daquele tempo é gasto nos fins do ciclo de vida da identidade: provisionando novas contas para novos colaboradores e desativando ou excluindo contas para os que estão deixando a organização.

Provisionamento e exclusão é o indicador de maior impacto financeiro, produtividade e risco

Assim como as reinicializações de senha, o provisionamento de contas afeta duas pessoas: a pessoa que tem que criar e provisionar novas contas e a pessoa que tem que ficar de forma ociosa e aguardar que as contas contas sejam provisionadas. Portanto, é crucial manter o processo tão eficiente quanto possível.

A Forrester estima que em média o usuário gasta 300 minutos por ano esperando que o help desk  forneça ou altere manualmente o seu acesso; Isso é reduzido em 200 minutos (mais de três horas) por ano ao usar um sistema IAM para provisionamento e desprovisionamento automatizado.

Isso é especialmente importante para as organizações de varejo, que muitas vezes experimentam grandes volumes de contratação em determinados períodos do ano e não podem deixar os trabalhadores esperando dias para acessar os sistemas necessários, resultando em uma tremenda perda de produtividade considerando o período esperado.

Demonstrando riscos de segurança

As métricas que comprovam os benefícios de custo das soluções IAM são valiosas, mas, em alguns casos, o ROI por si só pode não ser suficiente para convencer os membros ainda hesitantes do conselho a assumir os custos iniciais de uma nova solução IAM.

No entanto, como observado na pesquisa da NYSE, muitos membros do conselho estão agora encarregados de gerenciar a segurança cibernética como uma área de risco. De fato, quase dois terços dos respondentes da pesquisa indicaram uma forte preferência por métricas de risco ou descrições de estratégias de alto nível, em oposição a descrições de tecnologias de segurança.

Conclusão

“Contra números não tem discussão”

A afirmação de que “Contra número não há discussão” é verdadeiríssima quando falamos em Gerenciamento de Identidade e Acesso, porém é importante observar que números por si só não ajudaram você a conquistar o seu publico executivo, podendo, se não for bem estudada e trabalhada, inclusive depor contra e afastá-lo ainda mais deste público.

Boas métricas são aquelas que tornam-se relevantes para o público target , por isto ela deve ser trabalhada de forma inteligente e direcionada conforme a audiência.

Já dizia o matemático Osvaldo de Souza: “Dê-me os números, diga seu objetivo e eu te darei o gráfico!

fonte de referência: Identity Management Security Review by Jeff Edwards por MindSec  30/06/2017
About mindsecblog 213 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.