10 categorias de métricas que os CISOs levarem levar ao conselho

Os conselhos estão pressionando seus executivos de segurança e risco para trazer muito mais rigor à forma como monitoram os principais indicadores de desempenho (KPIs) e os principais indicadores de risco (KRIs) — e como usam essas métricas para aconselhar e reportar ao conselho. Fundamentais para KPIs e KRIs são as métricas operacionais de segurança que rastreiam o escopo dos ativos, as atividades de segurança cibernética em torno desses ativos e os resultados de segurança medidos.

“As equipes de segurança usam métricas operacionais para rastrear e relatar atividades e resultados de segurança cibernética”, explica The Cyber ​​Savvy Boardroom , uma cartilha recente publicada por dois líderes de longa data em risco cibernético para ajudar diretores e líderes executivos a lidar com questões cibernéticas. “Quando compartilhados com os comitês de risco ou auditoria do conselho de administração, esses indicadores-chave de desempenho iluminam as capacidades de segurança cibernética da organização e a eficiência dos controles cibernéticos, ao mesmo tempo que ajudam o conselho de administração a avaliar a adequação dos investimentos em tecnologia e talento”.

Com coautoria de Homaira Akbari, CEO da empresa de consultoria global AKnowledge Partners, e Shamla Naidoo, chefe de estratégia de nuvem da Netskope, o livro cobre muito terreno, mas algumas das partes mais vitais da cartilha se concentram em métricas. Dark Reading resume e extrai trechos do livro aqui para apresentar as métricas mais comuns que Akbari e Naidoo acreditam ser cruciais para os CISOs rastrearem e compartilharem com o conselho, a fim de relatar os níveis de risco e desempenho de segurança.

A ressalva, claro, é que os líderes de segurança precisam ser capazes de agrupar essas métricas em avaliações e painéis fáceis de digerir. Conforme explicado na cartilha, as métricas detalhadas em cada categoria criam um modelo baseado em dados para determinar a eficácia do programa de uma organização e identificar lacunas na proteção.

“As conclusões destas avaliações devem ser resumidas em várias classificações gerais e incluídas no painel de segurança cibernética da empresa”, explicam Akbari e Naidoo.

Dados

Essas métricas devem avaliar o risco em torno dos ativos de dados e acompanhar o desempenho nas principais medidas de proteção para segurança, resiliência e continuidade dos dados. Algumas das métricas que Akbari e Naidoo aconselham os CISOs a rastrear nesta categoria incluem:

Ativos financeiros

Os riscos e perdas de ativos financeiros estão incluídos neste agrupamento de métricas, que devem dar uma ideia medida das consequências financeiras de violações recentes. Algumas métricas que os autores sugerem acompanhar (com base nos últimos trimestres ou no ano passado) incluem:

Embora não estejam especificamente listados, também seria valioso rastrear dados sobre perdas financeiras decorrentes de comprometimento de e-mail comercial (BEC) e custos indiretos de resposta a violações.

Pessoas

Quer seja vítima de ataques de phishing ou BEC – expondo dados por não seguir políticas ou expondo sistemas de outras formas – as pessoas são geralmente a maior vulnerabilidade de uma empresa. Embora possa ser difícil medir a eficácia do treinamento de conscientização em segurança, existem alguns bons indicadores para se ter uma noção geral de até que ponto o pessoal de uma organização está aderindo às melhores práticas e políticas de segurança. Os autores sugerem as seguintes métricas nesta categoria:

Outras métricas não mencionadas diretamente, mas que ainda são relevantes, incluem os resultados de simulações de phishing, pontuações de avaliação de conhecimento e dados comportamentais ou de contas sobre indivíduos de alto risco.

Fornecedores

Com a gestão de riscos de terceiros e a segurança da cadeia de fornecimento digital na vanguarda das mentes de muitos executivos após eventos como a SolarWinds, os conselhos vão querer ser informados sobre os riscos e níveis de desempenho das operações de segurança relacionados aos fornecedores. Akbari e Naidoo acreditam que os CISOs fariam bem em manter a empresa atenta aos dados e métricas de tendências em torno de:

Os dados sobre fornecedores provavelmente terão muita sobreposição com métricas sobre aplicações empresariais (veja abaixo), à medida que as equipes de segurança de aplicações começarem a analisar o risco da cadeia de fornecimento de software, incluindo dependências arriscadas de códigos e componentes de terceiros.

A infraestrutura

Seja no local ou na nuvem, as exposições da infraestrutura de TI e os recursos de segurança para mitigar riscos na rede e nos ativos de hardware devem ser monitorados e medidos de forma adequada. Alguns dados operacionais que os autores sugerem nesta categoria incluem métricas em torno de:

Dispositivos controlados pelo usuário

Os CISOs devem ser capazes de dar aos membros do conselho uma ideia do nível de controle que suas organizações têm sobre a Shadow IT e outros dispositivos controlados pelo usuário que operam na rede. Akbari e Naidoo dizem que as seguintes métricas comuns devem estar no radar:

Novas Tecnologias: IoT

O escopo e a escala dos dispositivos da Internet das Coisas (IoT) criaram riscos significativos para as empresas ao longo da última década. Os autores sugerem que os CISOs forneçam algumas métricas de risco em torno destes, incluindo:

Embora o foco esteja atualmente na IoT, a mesma abordagem poderia funcionar para todas as tecnologias emergentes. A IA, por exemplo, poderia incluir métricas sobre o uso de IA e – com algumas ferramentas emergentes de segurança de IA – níveis de exposição ao risco do uso de IA na organização.

Aplicações Enterprise

Quer se trate de software comercial ou de aplicativos desenvolvidos internamente, os aplicativos apresentam algumas das maiores superfícies de ataque nas empresas atualmente. Akbari e Naidoo oferecem algumas métricas comuns que você deve conhecer:

Não faltam dados e métricas adicionais de segurança de aplicativos que podem ajudar a monitorar o desempenho e os níveis de risco em todos os portfólios de aplicativos. Considere incluir dados como taxa de revisão de código automatizada versus manual, tempo para corrigir vulnerabilidades críticas, taxa de abertura de vulnerabilidades críticas e métricas que adicionem contexto sobre a capacidade de exploração ou o valor comercial de ativos com falhas críticas conhecidas.

Testando a postura de segurança

A validação e os testes de segurança são uma parte importante de um programa de segurança, portanto, os CISOs devem ser obrigados a rastrear não apenas os resultados dos testes de segurança, mas também a taxa com que eles conduzem os testes. Algumas métricas que se enquadram nesta categoria, segundo Akbari e Naidoo, são:

Detecção e resposta a incidentes

Os conselhos de administração estarão muito interessados ​​na capacidade de uma equipe de segurança detectar e responder a incidentes. Akbari e Naidoo recomendam algumas das seguintes métricas de operações comuns para rastrear isso:

• Volumes e % de incidentes reais versus tentativas de intrusão

• Tempo médio para detectar

• Tempo médio para conter

• Tempo médio para remediar/resolver

• Pontuações e descobertas da equipe vermelha

Além disso, os CISOs podem se beneficiar ao oferecer métricas e resultados de exercícios práticos e simulações de ataques, se essas atividades forem realizadas.

Fonte: Darkreading por Ericka Chickowski, escritora colaboradora