Em um mundo onde os cibercriminosos evoluem continuamente suas metodologias de ameaças, a maioria dos profissionais de segurança da informação sabe que a qualquer momento as empresas receberão um ataque. À medida que você trabalha para proteger melhor seu sistema de segurança cibernética você precisa garantir o estabelecimento de um plano de resposta a incidentes robusto que forneça dados quantitativos. Conforme sua empresa busca amadurecer a resiliência em segurança cibernética, é preciso entender essas sete métricas de resposta a incidentes, como usá-las pode fornecer uma maneira de reduzir riscos e responder a incidentes com mais eficiência.
1. Tempo médio para detectar (MTTD)
O MTTD é definido como o tempo médio que sua equipe precisa para detectar um incidente de segurança cibernética. Para medir o MTTD, você soma o tempo total que sua equipe leva para detectar incidentes durante um determinado período e divide isso pelo número de incidentes. Você pode usar isso para comparar a eficácia entre as equipes ou usá-lo como uma forma de medir o monitoramento de seus controles atuais.
Por exemplo, se a equipe A relata 10 incidentes em um mês e leva 1000 minutos para detectar, é assim que você calcula o MTTD:
1000/10 = 100 minutos para detectar
Enquanto isso, a equipe B pode relatar 8 incidentes em um mês, mas leva 1500 minutos para detectar, seu MTTD é assim:
1500/8= 187,5 minutos para detectar
Com base no MTTD, a Equipe B leva 87,5 minutos a mais para detectar um incidente de segurança do que a Equipe A. Usando essa métrica, você pode procurar maneiras de reduzir o MTTD para que os agentes mal-intencionados passem menos tempo em seus sistemas ao ser identificado mais rápidamente.
2. Tempo médio de reconhecimento (MTTA) do incidente por parte da equipe de segurança cibernética
O MTTA mede a quantidade de tempo entre um sistema gerando um alerta e um membro de sua equipe de segurança cibernética respondendo ao alerta. Enquanto o MTTD se concentra em quanto tempo leva para detectar ou ser alertado sobre um incidente, o MTTA se concentra em quanto tempo leva para perceber e começar a trabalhar no problema.
Quanto maior o MTTA, mais tempo sua equipe de segurança cibernética leva para resolver o problema em questão. Você pode usar essa métrica para rastrear quão bem sua equipe de segurança está priorizando alertas. Se sua equipe não conseguir priorizar a identificação dos alertas de alto risco, pode levar mais tempo para começar a trabalhar na correção do risco. Um MTTA mais baixo significa que sua equipe está respondendo rapidamente aos alertas de segurança, mostrando que eles estão priorizando-os bem.
3. Tempo médio de recuperação (MTTR)
MTTR é a quantidade de tempo que sua equipe leva para colocar um sistema afetado em funcionamento novamente. O MTTR fornece informações sobre a rapidez com que sua equipe de resposta a incidentes pode fazer com que você e todos os clientes afetados voltem ao normal.
Para calcular o MTTR, pegue a soma do tempo de inatividade de um determinado período e divida-o pelo número de incidentes. Por exemplo, se você teve um total de 20 minutos de inatividade causado por 2 eventos diferentes em um período de dois dias, seu MTTR ficará assim:
20/2 = 10 minutos
Agora, se o tempo de inatividade foi de 40 minutos no total para os 2 incidentes, seu MTTR ficará assim:
40/2 = 20 minutos
Como o segundo MTTR é maior, você pode dizer que tem um problema com seus processos de resposta a incidentes. Você não pode dizer qual é o problema, mas pelo menos sabe onde focar uma investigação mais aprofundada.
4. Tempo médio que o setor de segurança cibernética consegue conter o incidente (MTTC)
O MTTC reúne MTTD, MTTA e MTTR para uma visão mais holística de como sua organização responde a incidentes. O MTTC se concentra em quanto tempo sua equipe de resposta a incidentes leva para detectar um crime cibernético ou vazamento, reconhecer o ataque e impedir efetivamente que um cibercriminoso cause mais danos.
Para calcular o MTTC, pegue a soma das horas gastas detectando, reconhecendo e resolvendo um alerta e divida-o pelo número de incidentes.
Por exemplo, se sua empresa teve 2 incidentes que levaram 3 horas para detectar cada um, 2 horas para reconhecer e 5 horas para resolver cada um, seu MTTC ficaria assim:
(2+2+3+3+2+2)/2 = 14/2 = 7 horas
Muitos consideram o MTTC uma das métricas de resposta a incidentes mais importantes porque um MTTC baixo fornece uma visão holística de como sua equipe trabalha em conjunto. Já se o MTTC for alto, fica mais difícil identificar onde está o gargalo – detecção, confirmação ou recuperação -, pois se trata de uma métrica de conjunto.
5. Disponibilidade do sistema
Seu ecossistema de sistema de informação interconectado, também, inclui fornecedores cujos programas de resposta a incidentes precisam de monitoramento. Como você não está “em um terreno” conhecido, você precisa encontrar maneiras de medir os processos de terceiros .
A disponibilidade do sistema fornecerá informações sobre como seus serviços de nuvem estão gerenciando seus produtos. Essa métrica se concentra menos em quão bem sua organização gerencia os incidentes e mais em como seus fornecedores gerenciam incidentes deles.
Muitas vezes, um incidente de segurança, como um ataque de negação de serviço distribuído (DDoS), coloca os serviços em nuvem offline. A métrica de disponibilidade do sistema oferece uma maneira de medir a confiabilidade do seu provedor de serviços, bem como a visibilidade da rapidez com que eles contêm um incidente. Quanto maior a métrica de disponibilidade do sistema, mais confiável é o serviço. Por exemplo, um serviço com 90% de disponibilidade do sistema é mais confiável do que um serviço com 80% de disponibilidade.
