Quão forte é o seu programa de segurança? Esses dez indicadores ajudarão você a reconhecer a grandeza em sua própria organização e servirão de guia

Por: Mary K. Pratt, para CSO internacional

Os CISOs têm várias maneiras de quantificar o trabalho que realizam, desde a contagem do número de ameaças frustradas ao número de patches executados. Algumas dessas métricas falam do volume de trabalho que está sendo executado, enquanto outras – como tempo médio para detectar e tempo para responder – oferecem informações sobre a eficácia das pessoas, processos e tecnologia do departamento.

Embora importantes, alguns especialistas em segurança dizem que recorrem a outros indicadores para determinar a força geral de seu departamento de segurança cibernética. Eles vão além de qualquer instantâneo de como a equipe de segurança está se saindo em uma área específica e falam do desempenho geral da empresa.

Nesta reportagem, os CISOs e os consultores de segurança compartilham o que consideram sinais de um ótimo programa de segurança cibernética.

1) Elogios não solicitados

A líder veterana de segurança Mary Gardner considera elogios não solicitados a projetos relacionados à segurança, particularmente aqueles que foram inicialmente confrontados com resistência, um sincero reconhecimento de que a empresa valoriza os esforços do departamento de segurança.

Atual CISO da F5 Networks, Gardner havia liderado uma iniciativa de autenticação multifator em uma organização de assistência médica, onde os médicos inicialmente resistiram à medida de segurança porque temiam que isso atrasasse o acesso aos aplicativos. Mas ela e sua equipe de segurança se reuniram com os trabalhadores e garantiram que a iniciativa traria benefícios. Mais importante, a nova medida de segurança fez exatamente isso.

E quando os médicos perceberam que a autenticação multifatorial fornecia login mais rápido que o processo anterior e permitiam acesso móvel a mais aplicativos, eles elogiaram. “Prefiro esse feedback espontâneo, porque isso significa que fizemos algo tão bem que eles sentiram a necessidade de comentar”, explica Gardner.

2) Ajuda a justificar os custos de segurança

O orçamento da equipe de segurança cobrirá grande parte dos gastos com segurança, principalmente em itens essenciais, como a solução de firewall e o software antivírus. Mas as equipes de segurança geralmente defendem investimentos adicionais vinculados a iniciativas comerciais específicas, apenas para descobrir que seus colegas de negócios se recusam a adicionar – e muito menos a pagar – essas camadas extras de segurança.

No entanto, John Pescatore, Diretor de Tendências Emergentes de Segurança do SANS Institute, uma organização de treinamento em segurança cibernética, diz que viu equipes de segurança trabalharem efetivamente com seus colegas de negócios para demonstrar como as medidas de segurança podem possibilitar seus objetivos, tanto que a unidade de negócios divide a tarefa.

Por exemplo, Pescatore diz que viu um departamento de marketing pagar por uma solução recomendada de segurança de mídia social e as equipes de DevOps cobrem o custo de adicionar ferramentas de segurança na parte inicial do processo de desenvolvimento, porque entendem que isso diminui o ciclo de desenvolvimento.

 “Quando você vê as organizações avançarem, isso é sinal de um programa de segurança avançado”, acrescenta. “Uma equipe de segurança é bem-sucedida quando solicitada e a empresa está disposta a pagar pelas medidas de segurança; significa que eles vêem o benefício deles”.

3) Comprova a eficiência

Os CISOs estão acostumados a coletar e apresentar métricas, como o tempo médio a ser detectado como uma maneira de medir a eficácia do departamento de segurança, mas Pescatore diz que fortes programas de segurança estão começando a medir a eficiência também.

Ele diz que essas métricas são modeladas após as usadas pelos CIOs para quantificar a eficiência da equipe de TI, como gastos com TI como porcentagem da receita organizacional.

“Bons CIOs tiveram que aprender a fazer isso”, diz Pescatore, acrescentando que está vendo medidas de uso de segurança como número de funcionários SOC por nó, número de funcionários de segurança como uma porcentagem do número de funcionários de TI, e tempo médio para aprovar uma solicitação relacionada à segurança como medidas de eficiência.

“A chave é tornar mais eficaz e mais eficiente”, explica ele. Ele diz que os CISOs podem observar melhorias nessas medidas como uma indicação de que a segurança está fazendo um bom trabalho ao permitir que os negócios avancem o mais rápido que for necessário.

4) Pedidos de aconselhamento

Os CISOs dizem que querem ser vistos como parceiros de negócios confiáveis, mas Gardner sabe que está atingindo essa marca quando seus colegas abordam os membros de sua equipe para obter orientação.

Ela aponta para uma troca em um de seus empregadores anteriores, como exemplo: os desenvolvedores ficaram incomodados com o mecanismo de login em um aplicativo que estavam desenvolvendo e procuraram a equipe de segurança para aconselhamento.

“Se eles veem algo que está errado e nos procuram para perguntar sobre isso, isso significa que eles sabem quem somos e se sentem confortáveis em vir até nós”, diz ela. “Eles confiam em nós e nos procuram para ajudá-los”.

5) Bons relacionamentos com membros do conselho, outros executivos

Da mesma forma, Gardner vê um relacionamento positivo com os membros do conselho e outros executivos como um indicador de um forte programa de segurança. “Quando você conversa com o conselho e os membros do conselho e a equipe executiva regularmente, isso significa que você é visto como um consultor de confiança”, diz ela.

Em tais circunstâncias, o CISO está fazendo mais do que apenas informar os outros; o CISO está trazendo suas perspectivas, oferecendo conselhos e ajudando a criar estratégias. “Isso vale para qualquer pessoa da minha organização, não necessariamente para o CISO. Quando a liderança sabe quem é minha equipe, quando a reconhece, mais eu sei que estou acertando em cheio”, acrescenta Gardner.

6) Marcas altas em medidas de vencimento

Líderes de segurança dizem que pontuar bem contra estruturas de segurança estabelecidas, como a NIST e a norma ISO / IEC 27001 IS, são sinais de programas estabelecidos e maduros. Caleb Sima concorda.

Sima, Vice-Presidente de Segurança da Databricks, desenvolveu um modelo de maturidade para sua função de segurança usando padrões da indústria, incluindo a matriz NIST. Ele construiu uma grade para determinar a maturidade do programa de segurança de sua empresa e acompanhar suas melhorias ao longo do tempo.

“[Eu posso dizer:] Aqui é onde estamos; aqui é onde queremos estar em um ano. É assim que identificamos se temos uma boa estrutura de segurança e se estamos progredindo”, diz ele. “É uma abordagem muito tática e orientada à tecnologia”.

7) Relatos de experiência positiva do usuário

Sima diz que outro marcador de um programa de segurança bem-sucedido é o quão bem ele atende às expectativas do usuário e se fornece uma experiência positiva ao usuário.

Ele pesquisa os funcionários da empresa para determinar se sua equipe de segurança está fazendo um bom trabalho, usando três pesquisas para três conjuntos diferentes de usuários (engenheiros de produto, TI e o restante da força de trabalho). “Se amadurecemos nosso programa e, ao mesmo tempo, temos o feedback de relacionamento correto, esses são bons indicadores de um bom programa”, diz ele.

8) Aprovações de terceiros

O selo de aprovação de agências externas continua sendo uma medida importante de sucesso, diz Matthew Ferrante, líder de serviços de segurança cibernética e de informações da Withum, um provedor de serviços de tecnologia.

“Você precisa de uma auditoria verdadeiramente independente com uma empresa terceirizada, e essa empresa precisa ser adequadamente selecionada”, diz ele, acrescentando que o CISO deve evitar aqueles que fornecem “resultados amigáveis” e, em vez disso, apenas os que oferecem um exame rigoroso políticas, processos, procedimentos e tecnologias de segurança.

“Obter uma visão de terceiros ajuda a mostrar que sua segurança está alinhada corretamente e que está funcionando corretamente”, diz ele. Da mesma forma, Bruce Beam, CIO da organização de segurança (ISC)², diz que procura determinadas certificações, como o PCI DDS, que indicam que terceiros revisaram – e aprovaram – o trabalho que a equipe de segurança está realizando. Ele também procura essas certificações nas empresas com as quais faz negócios antes de permitir que elas se conectem à rede de sua organização.

9) ROI positivo

Michael Coden, Diretor-Gerente e líder global da prática de segurança cibernética do BCG Platinion, parte do Boston Consulting Group, diz que as equipes de segurança que podem medir e demonstrar um retorno positivo do investimento demonstram que possuem um forte programa empresarial.

Ele diz que uma organização deve ver seu risco diminuir em uma quantidade maior do que a que está investindo em tecnologias, processos, procedimentos e treinamento em segurança.

“Portanto, se gastarmos US$ 10 milhões implementando autenticação multifatorial ou implementando um novo programa de treinamento e nosso risco for reduzido em US$ 1 bilhão, esse é um ROI muito bom”, diz ele, explicando que sua empresa usa uma ferramenta automatizada chamada Cyber Doppler para quantificar o risco que pode ser usado para calcular o ROI.

10) Uma mentalidade de segurança generalizada

Certa vez, enquanto liderava uma equipe de segurança de um empregador anterior, a Beam queria recompensar vários funcionários por fazer um ótimo trabalho. Ele enviou a cada colaborador um cartão-presente eletrônico de U $ 50.

Mas os funcionários se recusaram a clicar no link, pensando que era uma tentativa de phishing. De certa forma, Beam diz que não deveria se surpreender com a resposta deles, pois indica que a empresa possui uma forte cultura de segurança.

Ele afirma que é isso que ele quer ver: a segurança firmemente inserida na cultura corporativa, para que os funcionários de todos os departamentos tenham uma mentalidade de segurança em primeiro lugar.

Fonte: CIO