Indicadores de Segurança da Informação
(Tempo de Leitura: 6 min.)

Os indicadores de segurança da informação são usados para medir se o programa de segurança da informação de uma empresa está atingindo metas e mantendo a conformidade do ambiente. Através de indicadores de segurança é possível verificar o que não está funcionando na estrutura de segurança da informação e assim são feitas melhorias em políticas, sistemas, processos ou qualquer falha na segurança da empresa.

Novos casos de vazamento de dados se tornaram recorrentes, chegando a dezenas ou mesmas centenas de milhões de pessoas afetadas. Clientes e órgãos reguladores estão cada vez mais preocupados com os programas de segurança da informação das empresas e com o planejamento para evitar incidentes de segurança da informação. 

Nesse cenário, os CISOs e CSOs estão constantemente buscando responder ao board como está a segurança da empresa, através de indicadores claros, precisos e atualizados. Por isso é importante estabelecer um conjunto de indicadores de segurança que demonstrem a eficácia do Programa de Segurança da Informação e demonstram o risco cibernético real da empresa. 

Embora a redução de risco seja um importante indicador de segurança para abordar a eficácia geral de um programa de segurança da informação, também existem outros indicadores que fornecem informações sobre o desempenho da segurança na empresa. É importante que os indicadores escolhidos forneçam informações quantificáveis e que direcionem os esforços de segurança em andamento para que seja possível monitorar o progresso de uma estrutura ao longo do tempo. Conheça logo em seguida 7 indicadores de segurança da informação essenciais para a sua empresa.

Tipos de indicadores de segurança da informação

Empresas costumam possuir vários indicadores de desempenho. A maioria possui indicadores-chave de desempenho (KPIs) em vários níveis, esses indicadores são projetados para liderar indicadores de desempenho comercial. Outros indicadores, como indicadores de risco (KRIs) existem para sinalizar maior probabilidade de eventos de impacto negativo ao negócio e os indicadores-chave de controle (KCI) estão intimamente relacionados aos KRIs na medição da eficácia dos controles de risco. 

Cada indicador possui um objetivo específico e deve ser tratado de forma independente para contribuir com a gestão de segurança da empresa. Vejamos como cada indicador pode ser aplicado ao contexto de segurança da informação. 

Os indicadores-chave de desempenho (KPI) indicam como o negócio está se saindo com base nas metas e objetivos definidos pela liderança, bem como no progresso que está sendo feito em direção a essas metas. Para operações de segurança, esse indicador de segurança pode ser usado em um esforço para resolver itens em aberto ou combater um acúmulo de investigações de segurança não resolvidas.

Os indicadores-chave de risco (KRI) apresentam o nível de risco da empresa e como seu perfil de risco muda com o tempo. Um exemplo para operações de segurança é usar indicadores de segurança que medem a gravidade das ameaças e vulnerabilidades relatadas por scanners.

Os indicadores-chave de controle (KCI) indicam quanto controle uma empresa possui sobre seu ambiente e seu nível de risco, ou com que eficácia um determinado controle está funcionando. Colocando isso em contexto com as operações de segurança da informação, uma pergunta a ser feita é se você possui os controles necessários em todas as áreas da empresa para garantir a conformidade com leis e regulações do mercado.

Indicadores de segurança da informação

A seguir apresentamos alguns exemplos de indicadores de segurança que a sua empresa pode rastrear e apresentar com facilidade aos seus parceiros de negócios.

1. Identificação de apontamentos

Qual a eficácia das suas tecnologias de prevenção e detecção de apontamentos de segurança da informação? Qual o número de alertas falsos positivos? Esses indicadores de segurança da informação permitem identificar lacunas nas tecnologias existentes e como essas tecnologias podem ser ajustadas.

2. Produtividade

Quantos ativos são monitorados? Quantos apontamentos de segurança estão em tratamento? A capacidade de resolução de apontamentos pela equipe é satisfatória? Existem melhorias no processo de escalonamento para tornar a resolução de apontamentos mais eficiente? A organização de indicadores de segurança da informação para medir as habilidades dos analistas e compará-las às necessidades atuais da empresa pode identificar espaço para melhorias de treinamentos e capacitações.

3. Tempo médio para detecção (MTTD) e Tempo médio para resposta (MTTR)

O MTTD mede quanto tempo leva para sua equipe tomar conhecimento de um possível incidente de segurança. O MTTR informa quanto tempo em média a empresa leva para responder a uma ameaça após a sua identificação. O baixo desempenho desses indicadores de segurança contribui para grandes brechas de segurança, por isso são considerados indicadores importantes para medir a segurança da empresa.

4. Score de riscos

Quais são os principais riscos enfrentados pela sua empresa? Sabemos que as empresas enfrentam uma grande quantidade de riscos e possuem um orçamento limitado para lidar com esses riscos. Um score de riscos fornece uma pontuação em relação a postura de segurança da empresa com base nas principais categorias de segurança da informação: segurança de rede, engenharia social, monitoração de hackers, segurança de sistemas, reputação de IP, segurança nas estações de trabalho, correção de patches, integridade do DNS, vazamento de credenciais e segurança de sistemas abertos. Uma nota é atribuída para cada atributo e assim é possível identificar rapidamente como a sua empresa está em comparação com outras empresas do mesmo mercado de atuação. Através da mensuração contínua do score de risco é possível entender se as ações estão sendo eficientes para diminuição do risco, definir e atender o apetite de risco da organização.

5. Cibersegurança

Quantas vezes invasores tentaram entrar na sua rede? Quanto tempo leva para sua equipe implementar as correções de segurança? Os usuários estão relatando problemas de segurança cibernética à sua equipe? As ameaças cibernéticas estão em constante evolução e os processos e a tecnologia necessários para evitá-las mudam constantemente. Você precisa ter indicadores de segurança para avaliar a eficácia dos controles e tecnologias nos quais investiu.

6. Riscos de ativos

Quantos dispositivos na sua rede estão totalmente corrigidos e atualizados? Quantos usuários têm acesso administrativo? Existem ativos mais propensos a problemas de segurança, aumentando o risco cibernético? Quantos apontamentos são recebidos por localização geográfica, escritório ou unidade de negócio? A utilização desses indicadores de segurança da informação verifica quais ativos representam maior impacto, maximizando a eficácia do tempo e dos recursos financeiros e contribuindo para uma gestão de riscos de ativos.

7. Ambiente

Existem penalidades financeiras ou legais associadas à exposição ou perda de alguma informação? Quão valiosa uma informação é para um concorrente? Qual seria o dano à reputação da empresa com o vazamento de informações? Quais informações se forem perdidas podem impactar a lucratividade e as operações comerciais? Comece por uma avaliação do seu ambiente em busca de dados, ativos e informações consideradas preciosas que você precisa proteger. Em seguida, perceba quais são os limites existentes de conformidade ou controles e busque entender se a arquitetura do seu ambiente é segura.

Como estabelecer indicadores de segurança da informação

A maneira mais eficaz de desenvolver indicadores de segurança é começar identificando quais são os riscos mais críticos ao negócio e   as metas para o programa de segurança da informação. Cada indicador de segurança deve possuir um significado para a empresa e acrescentar valor ao programa de segurança. Existem muitos métodos diferentes para estabelecer indicadores de segurança da informação, hoje apresentaremos a técnica SMART aplicada a construção de bons indicadores de segurança.

Assim, cada indicador deve ser:

Simples

Os indicadores não devem ser excessivamente complicados de medir. Deve ser claro qual é o objetivo de cada indicador e como isso afeta o programa de segurança.

Mensurável

Um indicador de segurança deve ser medido de alguma maneira, quantitativamente ou qualitativamente. O método pelo qual cada indicador é medido deve ser claramente definido e consistente. 

Acionável

Os indicadores de segurança da informação devem conduzir as tomada de decisões. O objetivo de um indicador é medir o desempenho e, se necessário, acionar alguma ação com base nos resultados. 

Relevante

Cada indicador deve ser uma meta das operações de segurança em constante avaliação. 

Temporizável

Os indicadores de seguranças devem ser usados para mostrar alterações ao longo do tempo. Um indicador eficaz deve ser coletado e agrupado por vários intervalos de tempo para apresentar variações e padrões.

Os indicadores de segurança costumam possuir algum custo de manutenção, seja tempo ou dinheiro gasto alterando um processo para permitir a medição do indicador, tempo gasto pelo analista registrando o indicador ou o tempo gasto pela empresa calculando e avaliando o indicador de segurança, quase sempre há um custo associado.

Seja seleto e evite rastrear indicadores desnecessários que não contribuem para o processo de tomada de decisão, além disso é preciso realizar alguma análise de custo x benefício para determinar se um indicador é apropriado para a empresa.

Plataforma GAT Core

A plataforma GAT Core é uma ferramenta aliada para a gestão de indicadores de segurança da informação porque fornece dashboards e gráficos de acompanhamento totalmente customizáveis e com informações em tempo real para o seu ambiente. Com ela, é possível fazer uma gestão adequada das vulnerabilidades, controles de implementação, tempo de exposição de vulnerabilidades e severidade de apontamentos de segurança da informação. 

O GAT Core fornece uma visão holística da postura de segurança da sua empresa, fazendo uso de indicadores de segurança importantes para o seu negócio através de uma visão operacional e gerencial dos possíveis riscos à segurança. Assim, ao utilizar o GAT Core, é possível  uma maior maturidade e assertividade na tomada de decisão por parte das lideranças com o uso de dados e métricas dispostos em um local centralizado de consulta. 

Acompanhe em tempo real a severidade dos seus apontamentos de segurança da informação e saiba quem são os responsáveis por esses apontamentos e em qual fase cada apontamento se encontra:

Identifique áreas de risco para a sua empresa, verifique o cumprimento de SLAs para tratamento e correção de incidentes, conheça o seu nível de conformidade com políticas de segurança da informação, entenda quais áreas precisam de mais investimentos e onde os recursos precisam ser alocados. 

Saiba se sua empresa está protegendo os ativos mais críticos de forma adequada e compare a evolução da sua postura de segurança da informação. Agende uma demonstração e saiba como criar seus indicadores de segurança da informação com a ajuda da plataforma GAT Core.

Você também pode curtir isso:

Av. Angélica, 2582 – 2° Andar
Bela Vista – São Paulo/SP
CEP 01228-200
+55 (11) 4395-1322
contato@gatinfosec.com

Siga-Nos