Um diretor de segurança da informação (CISO) deve rastrear determinadas métricas de desempenho importantes para avaliar a eficiência de seu centro de operações de segurança. Usando essas métricas, eles poderão definir metas tangíveis. Ao final de cada período de revisão, o CISO poderá observar se as metas foram atingidas ou não. Eles poderão ver como a função de segurança progrediu em cada uma das métricas ao longo do tempo. As métricas também ajudarão o CISO a comparar com os padrões do setor e entender as áreas críticas de melhoria.
Sem mais delongas, vejamos quais são as as 13 métricas que um CISO deve acompanhar.
1. Taxa de incidentes: a taxa de incidentes indica o número de incidentes de segurança ocorridos em um período de tempo específico. Ambos os incidentes que foram mitigados com sucesso e aqueles que não foram devem ser rastreados. Isso dará aos CISOs informações sobre a eficácia de sua solução de segurança e com que frequência sua organização é alvo de agentes mal-intencionados.
Os CISOs devem rastrear:
-
O número de incidentes em que os invasores violaram a rede com sucesso.
-
O número de incidentes em que os invasores tentaram violar a rede, mas falharam.
Ao rastreá-los regularmente, os CISOs terão uma boa ideia do número de possíveis violações que podem esperar trimestre a trimestre.
Sem dúvida, isso ajudará os CISOs durante as reuniões orçamentárias. Ao receber as descobertas de probabilidade, custo e risco de violação, o conselho também entenderá a extensão das ameaças direcionadas à sua organização. Portanto, eles estarão mais inclinados a continuar ou aumentar seus investimentos em segurança cibernética, conforme demonstrado pelos dados.
2. Probabilidade de violação: a probabilidade de violação informa aos CISOs a probabilidade de sofrer uma violação se a tendência de ataque atual continuar. As taxas de incidentes podem ajudar os CISOs a determinar a probabilidade de uma violação. Depois de rastrear o número total de incidentes (tentativas de violação bem-sucedidas e malsucedidas), os CISOs podem usar modelagem preditiva e análise para determinar a probabilidade de violações e projetar quanto custaria à empresa se as previsões se tornassem realidade.
3. Custo por incidente: as violações de dados custam às organizações sua reputação e dinheiro. De acordo com o relatório de custo de violação de dados de 2022 da IBM, o custo médio de uma violação de dados é de US$ 4,35 milhões. Ao medir o custo por incidente (às vezes chamado de impacto da violação), os CISOs podem determinar o verdadeiro impacto das violações nos negócios e também comparar e identificar o quanto seus custos são mais altos ou mais baixos em comparação com os padrões do setor. Também oferece o benefício adicional de convencer o conselho a fornecer um orçamento de segurança adequado.
4. Exposição ao risco: A exposição ao risco é o produto da probabilidade de violação e do impacto da violação. Rastrear isso pode ajudar os CISOs a fortalecer as defesas de suas organizações contra riscos. Além disso, ao implantar uma solução UEBA com análise de grupo de pares e recursos de sazonalidade, eles podem rastrear o risco de cada usuário e entidade, em uma escala de 1 a 100. A partir desses insights, os CISOs devem determinar ainda mais o risco organizacional e o risco do departamento. Além disso, eles também devem levar em consideração a pontuação da avaliação de risco de terceiros ao calcular o nível de exposição ao risco. Medir a exposição ao risco também ajudará os CISOs a obter aprovações orçamentárias do conselho para evitar que os riscos se tornem incidentes de segurança.
5. Nível de gravidade da violação: a gravidade de uma violação indica sua magnitude. Quanto mais severa a violação, mais devastadoras as consequências. Para cada violação de segurança, o CISO deve rastrear sua gravidade. Uma maneira de fazer isso é usar uma escala de 1 a 5 (com “5” sendo o mais alto). A medida da gravidade da violação pode ser qualitativa ou quantitativa, dependendo das restrições enfrentadas pelo CISO. O rastreamento da gravidade da violação mostra aos CISOs o verdadeiro reflexo de sua postura de segurança, porque uma organização com uma equipe e solução de segurança eficazes terá um número mínimo de violações graves.
6. Tempo médio de detecção (MTTD): o MTTD informa aos CISOs quanto tempo sua equipe de segurança levou para detectar uma violação. As organizações devem procurar minimizar o MTTD porque quanto mais rápida a detecção, menos tempo um invasor permanecerá sem ser desafiado na rede e mais rápida será a mitigação da ameaça.
7. MTTR é a métrica que sua organização define: MTTR pode significar qualquer um dos seguintes, dependendo de como uma organização escolhe definir o termo, e o CISO deve rastrear todos eles.
-
Tempo médio de resposta: Refere-se ao tempo médio que a organização leva para retornar à sua condição operacional após uma notificação de violação.
-
Tempo médio de recuperação: refere-se ao tempo médio que uma organização leva
-
Tempo médio para resolução: Refere-se ao tempo médio necessário para que um incidente seja resolvido completamente. Isso inclui o tempo gasto para detectar a ameaça, erradicá-la e impedir que ela se repita.
8. Tempo médio de patch (MTTP): O MTTP também é referido como o tempo de resposta do patch de vulnerabilidade. Isso indica a rapidez com que a equipe de segurança implementa patches para software e aplicações em dispositivos depois que as vulnerabilidades são descobertas. Os CISOs devem garantir que haja um atraso mínimo entre o lançamento de um patch e sua implementação. Para conseguir isso, eles devem começar rastreando o número de dispositivos não corrigidos usando scanners de vulnerabilidade.
9. Nível de maturidade de segurança: os CISOs precisam saber o quanto sua equipe de segurança está preparada para se defender contra ataques cibernéticos. Eles podem testar e avaliar a maturidade de segurança de sua organização com a ajuda de abordagens proativas, como pentest (ou hacking ético), equipe vermelha e jogos de guerra cibernética, e avaliar sua organização em uma escala de 1 a 10 (sendo “10” o mais alto) com base nos resultados.
10. Número de usuários privilegiados: para garantir a visibilidade das contas privilegiadas, os CISOs devem rastrear:
-
O número de usuários com acesso privilegiado e a primeira vez que eles utilizam um privilégio.
-
O número de usuários privilegiados que não estão usando autenticação multifator.
Embora as soluções SIEM ofereçam informações sobre a atividade do usuário, cabe aos CISOs usar essas informações para rastrear como os usuários usam esses privilégios e minimizar a criação de novas contas privilegiadas.
11. Frequência de backup: em 2022, o custo médio de um ataque de ransomware – sem incluir o custo do próprio resgate – foi de US$ 4,54 milhões. Os ataques de ransomware são aterrorizantes porque você ainda pode não obter acesso aos seus dados originais, pois os invasores podem manipular os dados ou deixar de fornecer a chave de descriptografia, mesmo que você pague o resgate. É imperativo ter backups para verificar a autenticidade de seus dados. Se um CISO garantir que a equipe de segurança faça backup dos dados com frequência, eles podem até escapar sem ter que pagar o resgate. Os CISOs podem conquistar o conselho economizando dinheiro dessa maneira.
12. Número de usuários em lista de observação: Usuários em lista de observação refere-se aos usuários de maior risco. Por exemplo, os funcionários geralmente trabalham dentro de um horário específico, digamos, das 9h às 18h. Mas, se um usuário tiver atividade constante 24 horas por dia, ou se aumentar a atividade fora do horário normal de trabalho, ele deve ser adicionado aos usuários da lista de observação. Da mesma forma, os usuários conectados à maioria dos ativos também devem ser monitorados de perto. Os CISOs devem acompanhar o número de usuários na lista de observação para evitar ataques internos.
13. Retorno sobre o investimento (ROI): os CISOs precisam ser hábeis em orientar o conselho a fazer investimentos em segurança com base nas metas de segurança e no apetite ao risco de sua organização. Só então eles observarão um ROI positivo. Por exemplo, uma organização que investe em uma solução de backup adequada pode economizar milhões de dólares para a empresa apenas evitando o pagamento do resgate. A capacidade de um CISO de convencer o conselho sobre seu ROI de segurança determinará os investimentos de segurança imediatos e futuros da organização. Portanto, é importante que os CISOs rastreiem seus gastos com segurança e métricas de ROI.
Agora você conhece as principais métricas que os CISOs devem acompanhar. Se você quiser aprender mais sobre cibersegurança e planejamento de TI, confira nossos outros blogs.
Esse post foi traduzido da nossa página em inglês SIEM Expert Talks, e sua autoria original é de Hiranmayi Krishnan.