As empresas necessitam cada vez mais se ver como responsáveis pelas informações que colhem dos seus clientes e funcionários. Isso significa que o conselho de administração de uma empresa tem esses dados e sua propriedade intelectual sob seus cuidados. Logo, precisam ter um setor de segurança cibernética preparado para buscar formas de se proteger das vulnerabilidades encontradas pelos hackers em cada mudança e atualização de software e com os ataques cibernéticos crescentes.
Para cumprir essas responsabilidades, o conselho precisa ter uma liderança de segurança da informação que tenha um plano para proteger ativos críticos de negócios. Os líderes de segurança da informação há muito tempo usam métricas operacionais como MTBF (mean time between failures ou tempo médio entre falhas) e MTTR (mean time to repair ou tempo médio para reparo, etc., para medir a eficácia de seus programas de segurança.
Segundo a Gartner, estima-se que até 2025, 40% dos conselhos das empresas terão um comitê dedicado à segurança da informação supervisionado por um líder qualificado, enquanto hoje, apenas 10% das empresas o possuem. Agora, os líderes de segurança da informação têm a oportunidade de possuir uma narrativa e definir os padrões que trarão benefícios para o setor nos próximos anos. Para gerenciar os riscos corretamente, esses líderes de segurança precisam comunicar as empresas claramente a probabilidade de ocorrência de um evento e a gravidade do impacto, caso ocorra.
Respondendo as perguntas de desempenho corretamente de acordo com o risco de segurança da informação, a quantidade certa de conhecimento pode ser a chave para liberar mais orçamento e recursos para proteger e defender a organização.
4 dicas para relatórios eficazes de segurança da informação
Discutir resultados de negócios, não tecnologia
O conselho não tem tempo para ouvir longas explicações ou tangentes. Eles não querem desvendar situações ou ideias complexas. Eles querem fatos rápidos, digeríveis e fáceis de entender, apoiados por dados acionáveis. Ao relatar o plano de Operações de Segurança, é melhor usar informações e exemplos simples, concisos e relevantes para demonstrar o status do programa e as recomendações a serem aprimoradas. Não há necessidade de complicar as coisas, quando são os resultados de negócios que mais importam para todos na mesa.
Forneça contexto com métricas de segurança cibernética
Além de manter o alto nível de estratégias e resultados, é útil criar uma narrativa para contar a história com o relatório. Confiar apenas em números pode não levar aos outros líderes entender o que os números representam de qualquer maneira. Em vez disso, fornecer contexto com as principais métricas cria confiança à medida que as partes interessadas se atualizam. Uma história poderia descrever por que o tempo necessário para responder se incidente aumentou e observar as maneiras de reduzir o tempo de resposta e fortalecer o programa em geral.
Essa história pode demonstrar como menos funcionários lidando com um número crescente de ameaças aumenta o risco de segurança cibernética. Explique o “porquê” das métricas quando for vender solicitações de orçamento. Os executivos não gostam de aumentar orçamentos ou gastar mais dinheiro, a menos que sintam que têm uma sólida compreensão do porquê. Ao relatar sobre segurança da informação, especialmente se você estiver solicitando um aumento de orçamento, explique por que certas métricas foram afetadas e por que um aumento no orçamento é necessário ou por que um novo programa deve ser implementado.
Use a terminologia de gerenciamento de risco com executivos
Antes da reunião com o Conselho, é fundamental conhecer o faro do conselho para riscos. Se eles não sabem que a segurança da informação é um gerenciador de risco, uma abordagem modificada pode ajudar a levar a conversa na direção certa em relação à segurança. Esses relatórios não precisam necessariamente entrar em detalhes extremos para demonstrar o risco que a organização está enfrentando. Se os relatórios de risco cibernético são apenas um monte de números ou fornecem pouca ou nenhuma orientação clara, os executivos podem ficar sobrecarregados e se desligar. Se o Conselho não puder comunicar sua tolerância ao risco em qualquer uma das recomendações do relatório, será preciso ser melhor apresentado
Quais métricas você deve usar nos relatórios de segurança cibernética?
Encontrar as métricas certas para relatórios de segurança cibernética se resume a conhecer a história e as solicitações feitas. Concentrar-se nas métricas mais relevantes ajuda a equipe interna a manter o foco no progresso geral e também ajuda a estabelecer uma linha de base de entendimento com as partes interessadas e os executivos multifuncionais. Saber como a segurança da informação é importante para eles e para o negócio em geral é fundamental. À medida que as partes interessadas aprendem mais sobre as operações de segurança da informação, o líder de segurança da informação pode incorporar outras métricas estratégicas para fornecer contexto adicional às métricas técnicas.
Aqui estão as principais métricas a serem consideradas para medir as funções de detecção e resposta nas operações de segurança da informação:
Tempo médio para reconhecimento (MTTA)
MTTA = Tempo de Atribuição de Alerta / Tempo de Alerta
MTTA é o tempo decorrido entre o momento em que seu sistema identifica um incidente e o momento em que sua equipe inicia a resposta. Você obtém essa métrica somando o valor total de um tempo para um determinado período e dividindo-o pelo número de incidentes. O MTTA é usado para otimizar problemas de triagem, identificar problemas em atribuições e responsabilidades e definir expectativas claras.
O tempo médio para reconhecer um ataque cibernético que requer investigação por um analista da equipe de segurança da informação. Como esse evento pode ser uma observação humana e nem sempre é um alerta em um sistema, pode haver momentos em que essa métrica será exata por um sistema e precisa ser capturada manualmente pelo observador.
Tempo médio de contenção (MTTC)
MTTC = MTTD + MTTA + MTTR / Nº total de incidentes em um determinado período de tempo
MTTC é a combinação de MTTD, MTTA e MTTR. Essa métrica oferece uma visão holística de seus tempos de resposta e recursos para avaliar a saúde geral do plano de contingência do seu negócio. Para obter o MTTC, some todo o tempo necessário para detectar, reconhecer e resolver um incidente em um determinado período e divida esse total pelo número de incidentes no mesmo período.
Categorizando Métricas por Criticidade e Prioridade
Ao relatar métricas, é bom classificar todas as descobertas por criticidade e prioridade (crítica, alta, média, baixa). Isso ajuda a comunicar a relevância das iniciativas propostas e aumentos de orçamento para as partes interessadas multifuncionais. Usando uma abordagem de gerenciamento de risco, as métricas podem justificar a implantação de novas tecnologias para substituir sistemas ou explicar os impactos financeiros de grandes ataques ou crimes cibernéticos para os líderes não técnicos envolvidos. Esses insights ajudam os relatórios a estabelecer a linha de base para discutir a tolerância ao risco e as soluções de segurança cibernética com a liderança executiva.
