Um dos desafios mais complexos para os CSOs é quantificar o sucesso e o valor da estratégia de cybersecurity. Para atingir esse objetivo, é normal o uso de uma série de números e indicadores. Mesmo com o uso dessas métricas e números, o C-Level ainda reclama de não entender bem o suficiente ou não conseguir entender como a cybersecurity está performando, como está melhorando e o que está ruim.

Muito disso ocorre porque o CSO acabam se usando de jargões técnicos em suas apresentações para o board. Muitas vezes são usados números sobre vulnerabilidades críticas e correções feitas, mas o board não entende pela falta de contexto. Esses números podem ser ótimos para o CSO, mas precisam ser trabalhados e mastigados para que o board entenda.

O fato é que não existe nenhuma métrica que possa servir para todos os casos, todos os CSOs e demonstrar facilmente para o board o valor da segurança e as melhorias em andamento. Contudo, podemos levantar algumas métricas de cybersecurity que em conjunto com contexto e narrativa, podem ser mais úteis do que outras.

 

Métricas de Cybersecurity que importam para o negócio

Vamos começar com um exemplo hipotético: imagine uma empresa que precisa realizar suporte aos clientes de forma 24/7. Uma boa forma de apresentar o valor da segurança para o board, ao invés de se utilizar de números como quantidade de ataques que a empresa está sofrendo, o CSO pode apresentar os impactos que os ataques causam na produtividade e na operação, mostrando quais melhorias podem ser tomadas, a qual custo, como isso reduziria o risco e finalmente, como isso auxiliaria em manter o suporte 24/7 para os clientes.

Cada empresa, cada vertical, terá as suas particularidades de negócio e pode encontrar métricas de cybersecurity que conversem diretamente com essas particularidades. Esse exercício vai auxiliar não só na melhor compreensão do que a equipe de segurança está fazendo, mas também na própria elaboração e melhoria da estratégia de segurança.

Contudo, também consideramos que existem algumas métricas atuais, que apresentadas com o devido contexto, auxiliam o board a ter esse entendimento e podem ser usadas por uma série de verticais de negócio.

 

Resultados de um ataque simulado de phishing

Usar os resultados de um ataque simulado de phishing ajuda a mostrar como está o entendimento dos colaboradores sobre os riscos de segurança, assim como apresentar para o board a fragilidade ou não do componente humano.

Tempo Médio de Recuperação

Aqui deve ser feito um cálculo da porcentagem de usuários impactados, quanto tempo a equipe de segurança demorou para solucionar o problema e se esse tempo cumpre ou excede os prazos estabelecidos de acordo com o risco.

Tempo Médio de Detecção

O tempo que a equipe de segurança levou para identificar um ataque, de acordo com o risco, indica se a estratégia de segurança está indo bem ou não, além de apresentar melhorias ou pioras. Essa métrica auxilia o CSO a discutir com o board investimentos necessários para trazer melhorias. Essa métrica também encoraja melhorias contínuas.

Resultados de Pentest

Assim como os simulados de phishing, as métricas que envolvem os Pentests indicam se a empresa pode resistir aos ataques de engenharia social, que são possíveis independente das proteções em software e hardware,  permitindo acompanhar as melhorias do conhecimento dos colaboradores sobre os riscos de segurança ao longo do tempo.

Gestão de Vulnerabilidade

Usar métricas de gestão de vulnerabilidade não significa relatar o número de patches feitos, mas sim medir a habilidade da equipe de segurança em gerenciar as vulnerabilidades baseado no risco e na estratégia.

Auditorias de Segurança

Essas auditorias podem e devem ser feitas de acordo com frameworks estabelecidos internacionalmente, como o CIS e o MITR& ATTACK. Dessa forma, a empresa pode ser comparada com a média das outras, sendo posicionada de acordo com a performance alcançada.

 

4 Métricas para Abandonar

Com o passar dos anos, com a atualização das necessidades da segurança e da mudança do ambiente de TI, algumas métricas usadas no passado podem ser abandonadas.

 

Número de Ataques

São tantos ataques, e feitos em sua maioria de forma automatizada, que ninguém mais se importa se a empresa foi protegida de 100 mil ataques ou mais em um mês. Evitar 100 mil ataques ou mais de baixa complexidade continua sendo importante, mas é muito mais importante evitar um ataque direcionado que tem o potencial de causar estragos enormes para a empresa.

 

Patches feitos, vulnerabilidade identificadas, vírus bloqueados

Ao passo em que essas medidas fazem sentido para o próprio CSO e sua equipe e podem ser usadas como controles internos ou necessárias para estar em compliance com controles externos, elas possuem pouco valor em si mesmas. Ter números estratosféricos nessas métricas podem dar uma falsa sensação de segurança, sendo que o que realmente importa são as vulnerabilidades críticas, zero-day, ataques direcionados entre outros.