10 categorias de métricas que os CISOs levarem levar ao conselho

10 categorias de métricas que os CISOs levarem levar ao conselho. Os conselhos de administração não se importam com os mínimos detalhes técnicos de um programa de segurança. Eles querem ver como os principais indicadores de desempenho são monitorados e usados.

Com a Comissão de Valores Mobiliários dos EUA exigindo que os CISOs e os conselhos de administração aumentem o nível de transparência em torno das capacidades de segurança cibernética das suas organizações e acelerem a divulgação de violações aos investidores, os relatórios e métricas cibernéticas tornaram-se uma prioridade ainda maior para as empresas este ano.

Os conselhos estão pressionando seus executivos de segurança e risco para trazer muito mais rigor à forma como monitoram os principais indicadores de desempenho (KPIs) e os principais indicadores de risco (KRIs) — e como usam essas métricas para aconselhar e reportar ao conselho. Fundamentais para KPIs e KRIs são as métricas operacionais de segurança que rastreiam o escopo dos ativos, as atividades de segurança cibernética em torno desses ativos e os resultados de segurança medidos.

As equipes de segurança usam métricas operacionais para rastrear e relatar atividades e resultados de segurança cibernética”, explica The Cyber ​​Savvy Boardroom , uma cartilha recente publicada por dois líderes de longa data em risco cibernético para ajudar diretores e líderes executivos a lidar com questões cibernéticas. “Quando compartilhados com os comitês de risco ou auditoria do conselho de administração, esses indicadores-chave de desempenho iluminam as capacidades de segurança cibernética da organização e a eficiência dos controles cibernéticos, ao mesmo tempo que ajudam o conselho de administração a avaliar a adequação dos investimentos em tecnologia e talento”.

Com coautoria de Homaira Akbari, CEO da empresa de consultoria global AKnowledge Partners, e Shamla Naidoo, chefe de estratégia de nuvem da Netskope, o livro cobre muito terreno, mas algumas das partes mais vitais da cartilha se concentram em métricas. Dark Reading resume e extrai trechos do livro aqui para apresentar as métricas mais comuns que Akbari e Naidoo acreditam ser cruciais para os CISOs rastrearem e compartilharem com o conselho, a fim de relatar os níveis de risco e desempenho de segurança.

A ressalva, claro, é que os líderes de segurança precisam ser capazes de agrupar essas métricas em avaliações e painéis fáceis de digerir. Conforme explicado na cartilha, as métricas detalhadas em cada categoria criam um modelo baseado em dados para determinar a eficácia do programa de uma organização e identificar lacunas na proteção.

As conclusões destas avaliações devem ser resumidas em várias classificações gerais e incluídas no painel de segurança cibernética da empresa”, explicam Akbari e Naidoo.

Dados

Essas métricas devem avaliar o risco em torno dos ativos de dados e acompanhar o desempenho nas principais medidas de proteção para segurança, resiliência e continuidade dos dados. Algumas das métricas que Akbari e Naidoo aconselham os CISOs a rastrear nesta categoria incluem:

  • % de dados centralizados

  • % de dados criptografados

  • Frequência de backup

  • Velocidade de recuperação de dados

  • % de informações de funcionários/clientes/usuários na Dark Web

  • Profundidade da segmentação do data lake

Ativos financeiros

Os riscos e perdas de ativos financeiros estão incluídos neste agrupamento de métricas, que devem dar uma ideia medida das consequências financeiras de violações recentes. Algumas métricas que os autores sugerem acompanhar (com base nos últimos trimestres ou no ano passado) incluem:

  • Valor do dinheiro real/cripto perdido diretamente

  • Valor do dinheiro ou perdas de produtividade na forma de ransomware

  • Volume de dados financeiros vazados (contas, cartões de crédito, pontos de fidelidade, credenciais bancárias online)

Embora não estejam especificamente listados, também seria valioso rastrear dados sobre perdas financeiras decorrentes de comprometimento de e-mail comercial (BEC) e custos indiretos de resposta a violações.

Pessoas

Quer seja vítima de ataques de phishing ou BEC – expondo dados por não seguir políticas ou expondo sistemas de outras formas – as pessoas são geralmente a maior vulnerabilidade de uma empresa. Embora possa ser difícil medir a eficácia do treinamento de conscientização em segurança, existem alguns bons indicadores para se ter uma noção geral de até que ponto o pessoal de uma organização está aderindo às melhores práticas e políticas de segurança. Os autores sugerem as seguintes métricas nesta categoria:

  • % de cliques em e-mails de phishing

  • % de e-mail suspeito relatado

  • Senhas hackeadas

  • Contas privilegiadas para total de contas

  • % de funcionários que transferem dados/arquivos para fora da empresa

Outras métricas não mencionadas diretamente, mas que ainda são relevantes, incluem os resultados de simulações de phishing, pontuações de avaliação de conhecimento e dados comportamentais ou de contas sobre indivíduos de alto risco.

Fornecedores

Com a gestão de riscos de terceiros e a segurança da cadeia de fornecimento digital na vanguarda das mentes de muitos executivos após eventos como a SolarWinds, os conselhos vão querer ser informados sobre os riscos e níveis de desempenho das operações de segurança relacionados aos fornecedores. Akbari e Naidoo acreditam que os CISOs fariam bem em manter a empresa atenta aos dados e métricas de tendências em torno de:

  • Autocertificação da postura de segurança cibernética de terceiros

  • Pontuação externa em relação aos pares e à indústria

  • Acompanhamento contínuo da postura de terceiros e quartos

  • Conformidade de auditoria externa

  • Pontuações de testes de penetração (de fornecedores)

Os dados sobre fornecedores provavelmente terão muita sobreposição com métricas sobre aplicações empresariais (veja abaixo), à medida que as equipes de segurança de aplicações começarem a analisar o risco da cadeia de fornecimento de software, incluindo dependências arriscadas de códigos e componentes de terceiros.

A infraestrutura

Seja no local ou na nuvem, as exposições da infraestrutura de TI e os recursos de segurança para mitigar riscos na rede e nos ativos de hardware devem ser monitorados e medidos de forma adequada. Alguns dados operacionais que os autores sugerem nesta categoria incluem métricas em torno de:

  • Número de servidores/hardware chegando ao fim da vida útil

  • Configurações seguras de todos os ativos

  • Profundidade da segmentação de rede/infraestrutura

  • Nível de automação de inventário e controle de ativos de hardware

  • Verificação de vulnerabilidades

  • Profundidade da implantação da arquitetura de confiança zero: identidade, dispositivo, acesso, serviços

Dispositivos controlados pelo usuário

Os CISOs devem ser capazes de dar aos membros do conselho uma ideia do nível de controle que suas organizações têm sobre a Shadow IT e outros dispositivos controlados pelo usuário que operam na rede. Akbari e Naidoo dizem que as seguintes métricas comuns devem estar no radar:

  • Número de dispositivos não identificados na rede

  • Número de dispositivos com software sem patch

  • Taxa de falsos positivos

  • Número de ameaças detectadas e evitadas pela solução de endpoint

Novas Tecnologias: IoT

O escopo e a escala dos dispositivos da Internet das Coisas (IoT) criaram riscos significativos para as empresas ao longo da última década. Os autores sugerem que os CISOs forneçam algumas métricas de risco em torno destes, incluindo:

  • Número de dispositivos IoT não atualizáveis ​​ou passíveis de patch

  • Número de portas IoT conectadas a redes corporativas

  • Profundidade da segmentação de lote a partir de recursos empresariais

Embora o foco esteja atualmente na IoT, a mesma abordagem poderia funcionar para todas as tecnologias emergentes. A IA, por exemplo, poderia incluir métricas sobre o uso de IA e – com algumas ferramentas emergentes de segurança de IA – níveis de exposição ao risco do uso de IA na organização.

Aplicações Enterprise

Quer se trate de software comercial ou de aplicativos desenvolvidos internamente, os aplicativos apresentam algumas das maiores superfícies de ataque nas empresas atualmente. Akbari e Naidoo oferecem algumas métricas comuns que você deve conhecer:

  • Vulnerabilidades conhecidas de software aberto

  • Patches de software pendentes

  • Número de vulnerabilidades de software de dia zero

Não faltam dados e métricas adicionais de segurança de aplicativos que podem ajudar a monitorar o desempenho e os níveis de risco em todos os portfólios de aplicativos. Considere incluir dados como taxa de revisão de código automatizada versus manual, tempo para corrigir vulnerabilidades críticas, taxa de abertura de vulnerabilidades críticas e métricas que adicionem contexto sobre a capacidade de exploração ou o valor comercial de ativos com falhas críticas conhecidas.

Testando a postura de segurança

A validação e os testes de segurança são uma parte importante de um programa de segurança, portanto, os CISOs devem ser obrigados a rastrear não apenas os resultados dos testes de segurança, mas também a taxa com que eles conduzem os testes. Algumas métricas que se enquadram nesta categoria, segundo Akbari e Naidoo, são:

  • Teste de penetração (vermelho, azul)

  • Classificações de segurança externas independentes versus pares e a indústria

  • Relatório do auditor interno/externo sobre conformidade regulatória e cibernética

  • Aplicação e outras pontuações e descobertas de testes

Detecção e resposta a incidentes

Os conselhos de administração estarão muito interessados ​​na capacidade de uma equipe de segurança detectar e responder a incidentes. Akbari e Naidoo recomendam algumas das seguintes métricas de operações comuns para rastrear isso:

• Volumes e % de incidentes reais versus tentativas de intrusão

• Tempo médio para detectar

• Tempo médio para conter

• Tempo médio para remediar/resolver

• Pontuações e descobertas da equipe vermelha

Além disso, os CISOs podem se beneficiar ao oferecer métricas e resultados de exercícios práticos e simulações de ataques, se essas atividades forem realizadas.

Fonte: Darkreading por Ericka Chickowski, escritora colaboradora

Veja também:

Sobre mindsecblog 2427 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

1 Trackback / Pingback

  1. Mudança do papel do CISO

Deixe sua opinião!