*Mileny Ferreira
Contextualização
As dificuldades enfrentadas pelas organizações no quesito tratamento e prevenção às ameaças de segurança são grandes e exigem cautela. Com esse propósito, inúmeras recomendações são pontuadas para analisar e estabelecer a segurança da informação nos sistemas.
A ideia de quantificação aplicada a segurança da informação abrange tanto o desenvolvimento de métricas de segurança como também avaliação de riscos, modelos de medição e estudos sobre os impactos econômicos.
Afinal, o que são as métricas?
Métrica é uma forma utilizada para representar uma medida baseada em uma referência, assim como a segurança da informação, em seu significado mais simples, pode ser representada pela proteção contra as ameaças ou a ausência de ameaças. As métricas devem retratar o nível de segurança e contribuir nas tomadas de decisões quando se fala em tratar ou evitar ameaças.
Com isso, a apresentação dos resultados possibilita identificar controles técnicos, operacionais e gestão, de forma a avaliar a eficácia dos controles que estão sendo executados e fornecer uma visão geral sobre as falhas e problemas de segurança dentro da organização. Os proprietários do sistema e até mesmo os gerentes podem isolar os problemas, e utilizar os dados para fundamentar os pedidos de investimentos da área.
Como realizar um monitoramento efetivo dos KPIs?
Para avaliar e aperfeiçoar o nível de proteção da informação, é aconselhável que a empresa invista no procedimento de calcular e analisar as métricas de segurança. Geralmente, a organização possui ferramentas de: criptografia, firewalls, VPN, sistemas de detecção de intrusão, entre outras. Mas apenas a implementação dessas soluções não irá garantir o nível de segurança. Por isso, é necessário gerar métricas de segurança cibernética relevantes e capazes de atender as necessidades e particularidades da organização. E para que sejam eficientes, existem alguns critérios básicos que podem ser seguidos como diretrizes: Estas devem ser precisas para que a haja a integridade do dado, rentável para não demandar muitas manutenções e não haja muito custo, temporizável para mostrar alterações ao longo do tempo, pois um indicador eficaz deve ser coletado e agrupado por vários intervalos de tempo para apresentar variações e padrões, e por fim, as métricas precisam ser simples, não devem ser excessivamente complicadas de medir, para que o objetivo esteja claro.
Exemplos de métricas
Pensando em objetivos primários de segurança da informação em uma organização que é a proteção da informação contra usuários não permitidos, algumas das métricas mais indicadas a serem acompanhadas são:
- Tempo médio para detecção: Mostra quanto tempo se leva para detectar um evento de segurança;
- Riscos de ativos: Verifica quais ativos representam maior impacto, potencializando a efetividade do tempo e dos recursos financeiros, e contribuindo para uma gestão de riscos de ativos;
- Tempo médio de reparo: Quanto tempo a sua empresa leva para corrigir falhas na segurança;
- Vulnerabilidades de segurança: Pontos de acesso para potenciais ameaças;
- Detecção de ataques: Métodos utilizados para identificar ataques.
Estes são apenas alguns exemplos de métricas utilizadas para melhorar os índices de segurança da informação. Lembre-se, a melhor escolha de KPIs para a sua organização, deverá considerar as especificidades do seu negócio.
*Mileny Ferreira é GRC and Information Security Consultant at [SAFEWAY]
Sobre a [SAFEWAY]
A SAFEWAY é uma empresa de Segurança da Informação, reconhecida pelos seus clientes por oferecer soluções de alto valor agregado, através de projetos em Segurança da Informação que atendam integralmente às necessidades do negócio. Nesses anos de experiência, acumulamos, com muito orgulho, diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte, as 100 maiores empresas do Brasil. Hoje através de mais de 22 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas.
