Novas métricas para calcular o valor da cibersegurança

Praticamente todos os CISO concordam que não existe uma equação matemática que possa medir a sua verdadeira eficácia. Mas, ao mesmo tempo, reconhecem que há pressão para fazer melhor.

Por Mary K. Pratt

A especialista em cibersegurança Jenai Marinkovic não presta muita atenção às métricas que mostram os ataques que a sua equipa conseguiu evitar. Segundo a especialista, estes números não trazem informação. Em vez disso, “o CISO precisa de encontrar métricas que forneçam informações processáveis que lhes permita usar para tomar decisões. Devem ser figuras que ajudam o negócio.” Da mesma forma, acrescenta, que os gestores de segurança devem calcular o impacto dos resultados, o retorno dos seus investimentos e em que medida estão a melhorar a estratégia de segurança das TI.

Para Marinkovic, este último significa calcular o tempo médio de notificação de uma violação e o tempo médio de contenção. Mas isto ainda não revela uma fotografia completa, uma vez que estes dados não indicam a maturidade do departamento ou se os controlos de segurança estão alinhados com objetivos estratégicos. “Para conseguir isto, provavelmente não é preciso procurar métricas quantitativas, mas qualitativas.”

À procura de algo melhor

Praticamente todos os CISO concordam que não existe uma equação matemática que possa medir a sua verdadeira eficácia. Mas, ao mesmo tempo, reconhecem que há pressão para fazer melhor. “Há CISO que não têm nada, nenhuma métrica, nenhuma forma de quantificar; e estão cientes do problema”, disse Jeff Pollard, vice-presidente e analista principal da Forrester. Estão à procura de uma forma de saber a eficácia do programa para ver se melhoraram.”

Os líderes de segurança enfrentam este desafio e recolhem dados. E, parece que estas métricas estão a revelar-se úteis na avaliação da sua estratégia. Para isso, estão a tentar medir os resultados de muitos processos e ferramentas complexos, utilizando dados que não fazem sentido fora do contexto. Por exemplo, os gestores de todo o mundo entendem o que é investir um milhão de dólares, mas têm dificuldade em dizer se impedir um milhão de tentativas de ataque é positivo ou negativo ou absoluto. “Não há um único mecanismo de pontuação de risco que possa ser adicionado a uma visão que todos entendam, o que é um desafio”, disse John Gelinne, diretor de serviços de risco cibernético da Deloitte Advisory.

“Propor uma métrica para o facto de nada de mal ter acontecido e depois pedir mais investimentos ao conselho de administração é difícil de vender”, acrescenta Tim Rawlins, diretor de segurança do Grupo NCC. “Felizmente, estão a ser geradas métricas ligadas aos números para mostrar como um ato ou estratégia tem gerado mais segurança para a empresa, ou como algo poupado de ter de explicar uma violação de dados a clientes e parceiros. É difícil, mas o CISO já está a ver a cibersegurança como uma ciência e estão a encontrar métodos com avaliações que podem ser repetidas e reproduzidas para mostrar tendências e referências. “

Foco em permitir a tomada de decisões

Desenvolver a combinação certa de métricas permite uma boa tomada de decisão. Como explica Pollard, os únicos dados que devem ser utilizados são os que levam a decisões. “Estamos sempre à procura de informação e de decisões, por isso os líderes de segurança precisam de grandes métricas. Se não podem fazê-lo, não vale a pena. “

Os princípios de empréstimo das medidas comerciais convencionais, Pollard diz que estas métricas podem ser indicadores coxos, coincidentes ou de fundo. Na verdade, Pollard nota que viu algumas destas métricas serem convenientemente usadas por diferentes CISO. Por exemplo, alguns CISO usam as taxas de retenção e de retenção dos colaboradores como um indicador primário de riscos de ameaça interna, uma vez que os funcionários que saem podem levar consigo informações da empresa, apesar das políticas internas que proíbem tais ações. O acompanhamento dos riscos de ameaça interna pode ser um indicador de atraso se o CISO estiver a trabalhar para restringir o acesso dos funcionários como parte de uma iniciativa de segurança contínua.

De qualquer forma, diz Pollard, tal métrica pode ajudar o CISO a tomar decisões sobre que ações tomar, como reclassificar funções e reduzir permissões para limitar o acesso a dados sensíveis ou adicionar software de análise de comportamento do utilizador.

Desenvolver métricas baseadas em custos

Os CISO precisam identificar os ativos e riscos potenciais da organização, mas depois determinar os custos associados aos eventos de segurança. A Deloitte fala sobre os custos de incidentes “acima da superfície” (e, portanto, mais conhecidos) e custos “abaixo da superfície” (ou menos visíveis).

No seu relatório de 2020, a consultora enumera as despesas associadas a investigações técnicas, notificações de incumprimento de cidadãos ou clientes e honorários de advogados como despesas acima da media. Enumera também aumentos nos prémios de seguros, aumento dos custos de empréstimos, desvalorização da marca e perda de propriedade intelectual como alguns dos custos menos visíveis.

“Estes são mais difíceis de quantificar se algo de mal acontece, mas se conseguir quantificar tudo isto, então pode compreender o valor dos controlos no lugar e onde precisa de se concentrar e investir. Pode identificar em que controlos deve investir e depois extrapolar os retornos”, explica Gelinne.

Adaptação da decisão de dados

Uma vez que as métricas devem satisfazer as necessidades das empresas, os especialistas dizem que o CISO tem de considerar o que precisam de medir, que dados precisam de levar para os cálculos e como utilizarão essa informação para tomar decisões. Estas métricas devem ser transparentes e, portanto, compreensíveis para todas as partes interessadas.


Tags


Deixe um comentário

O seu email não será publicado