Além de contar com ferramentas para proteger informações confidenciais, evitar violações ou detectar ataques e manter uma política de segurança robusta, controlar se os objetivos de segurança são realmente alcançados é essencial para saber se o investimento em segurança está realmente funcionando. Entretanto, de acordo com a PwC, apenas 22 % dos executivos entrevistados acreditam que as informações sobre segurança cibernética são completas o suficiente para ajudá-los a tomar decisões.
Tais informações são criticas para a manutenção de um programa de segurança, justificar os investimentos na área e para que os stakeholders entendam a importância dessas políticas de segurança, que, quando bem implementadas e monitoradas, protegem a empresa de prejuízos que vão além da perda de dados e dinheiro.
Erros comuns em relatórios
O desafio é saber quais as métricas ideais para esses objetivos, as erradas, ou que, apesar de serem as métricas certas, entregam informações incompletas ou falhas. Além disso, há alguns erros que devem ser evitados:
- Métricas genéricas ou excessivamente técnicas
Relatórios genéricos que tragam informações sobre ataques ocorridos e qual a porcentagem de ataques evitados não refletem maturidade em um programa de segurança. Esse tipo de métrica é superficial e não se conecta a uma estratégia de segurança robusta e efetiva. Da mesma forma, métricas extremamente técnicas e detalhadas, impedem sua total compreensão, e podem contribuir para que a estratégia de segurança seja questionada.
- Métricas conectadas aos resultados de negócios
A melhor forma de reportar à liderança da empresa é explicar diretamente o impacto que problemas com segurança cibernética pode causar nos negócios, quais são esses riscos e quais as ações tomadas para evitá-los. Para isso, é preciso responder a algumas questões:
– Quais os tipos de ataques que a empresa está preparada para defender?
– Quais as deficiências e quais os riscos para os negócios
– O que está sendo feito para reduzir esses riscos, sob o ponto de vista dos negócios e tecnologia
– Qual a estratégia sugerida para reduzir esses riscos?
As respostas devem ser relacionadas ao risco comercial, não a fatores técnicos.
- Excesso de métricas
Muitas vezes, os times de segurança entregam uma quantidade excessiva de métricas e outras informações à equipe responsável por corrigir vulnerabilidades. Porém, nem todas as vulnerabilidades são igualmente importantes ou impactam nos negócios da mesma maneira e devem ser citadas em relatórios longos e extremamente detalhados. Isso pode impedir que as medidas corretas para garantir a segurança sejam tomadas, aumentando a probabilidade de invasões e prejuízos aos negócios.
- Focar nos maiores riscos
Entender as vulnerabilidades mais importantes é essencial para que as equipes de segurança consigam atuam de maneira eficaz. Ainda assim, isso deve levar em conta os objetivos de negócio e priorizar as vulnerabilidades que possam causar maior impacto nesses objetivos e trabalhar por suas correções. Da mesma forma, é importante priorizar as ações de correção, como a atualização de softwares em todos os dispositivos.
Qual a importância das métricas?
Simples, se a equipe de TI não conseguir avaliar os esforços de segurança, dificilmente saberá o que está rastreando ou o que é preciso rastrear. Como as ameaças evoluem rapidamente, processos e tecnologias utilizados precisam evoluir da mesma forma e é necessário ter métricas para poder avaliar a eficácia das ferramentas e estratégias de segurança adotadas.
A solução Varonis Data Classification Framework descobre conteúdo sensível, onde está exposto e ajuda sua empresa a bloqueá-lo rapidamente. Fale conosco e faça um teste gratuito.