Fazer login no IT Mídia Redefinir senha
Bem-vindo de volta,
Digite seu e-mail e clique em enviar
Ainda não tem uma conta? Cadastre-se
Salvar em Nova pasta de favoritos

+

Criar pasta
Salvar Escolher Pasta
10 fatores que caracterizam um ótimo programa de cibersegurança
Home > Notícias

10 fatores que caracterizam um ótimo programa de cibersegurança

Quão forte é o seu programa de segurança? Esses dez indicadores ajudarão você a reconhecer a grandeza em sua própria organização e servirão de guia pa

Mary K. Pratt, para CSO internacional

24/04/2020 às 8h00

Foto: Shutterstock

Os CISOs
têm várias maneiras de quantificar o trabalho que realizam, desde a
contagem do número de ameaças frustradas ao número de patches
executados. Algumas dessas métricas falam do volume de trabalho que está
sendo executado, enquanto outras - como tempo médio para detectar e
tempo para responder - oferecem informações sobre a eficácia das
pessoas, processos e tecnologia do departamento. 

Embora
importantes, alguns especialistas em segurança dizem que recorrem a
outros indicadores para determinar a força geral de seu departamento de
segurança cibernética. Eles vão além de qualquer instantâneo de como a
equipe de segurança está se saindo em uma área específica e falam do
desempenho geral da empresa. 

Nesta reportagem, os CISOs e os consultores de segurança compartilham o que consideram sinais de um ótimo programa de segurança cibernética. 

1) Elogios não solicitados 

A
líder veterana de segurança Mary Gardner considera elogios não
solicitados a projetos relacionados à segurança, particularmente aqueles
que foram inicialmente confrontados com resistência, um sincero
reconhecimento de que a empresa valoriza os esforços do departamento de
segurança. 

Atual CISO da F5 Networks, Gardner havia liderado uma iniciativa de autenticação multifator
em uma organização de assistência médica, onde os médicos inicialmente
resistiram à medida de segurança porque temiam que isso atrasasse o
acesso aos aplicativos. Mas ela e sua equipe de segurança se reuniram
com os trabalhadores e garantiram que a iniciativa traria benefícios. Mais importante, a nova medida de segurança fez exatamente isso.  

CIO2503

E-book por:

E
quando os médicos perceberam que a autenticação multifatorial fornecia
login mais rápido que o processo anterior e permitiam acesso móvel a
mais aplicativos, eles elogiaram. "Prefiro esse feedback espontâneo,
porque isso significa que fizemos algo tão bem que eles sentiram a
necessidade de comentar", explica Gardner. 

2) Ajuda a justificar os custos de segurança 

O
orçamento da equipe de segurança cobrirá grande parte dos gastos com
segurança, principalmente em itens essenciais, como a solução de
firewall e o software antivírus. Mas as equipes de segurança geralmente
defendem investimentos adicionais vinculados a iniciativas comerciais
específicas, apenas para descobrir que seus colegas de negócios se
recusam a adicionar - e muito menos a pagar - essas camadas extras de
segurança.  

No entanto, John Pescatore, Diretor de Tendências Emergentes de Segurança do SANS Institute,
uma organização de treinamento em segurança cibernética, diz que viu
equipes de segurança trabalharem efetivamente com seus colegas de
negócios para demonstrar como as medidas de segurança podem possibilitar
seus objetivos, tanto que a unidade de negócios divide a tarefa. 

Por exemplo, Pescatore diz que viu um departamento de marketing pagar por uma solução recomendada de segurança de mídia social e as equipes de DevOps
cobrem o custo de adicionar ferramentas de segurança na parte inicial
do processo de desenvolvimento, porque entendem que isso diminui o ciclo
de desenvolvimento. 

 "Quando
você vê as organizações avançarem, isso é sinal de um programa de
segurança avançado", acrescenta. "Uma equipe de segurança é bem-sucedida
quando solicitada e a empresa está disposta a pagar pelas medidas de
segurança; significa que eles vêem o benefício deles”. 

3) Comprova a eficiência 

Os CISOs
estão acostumados a coletar e apresentar métricas, como o tempo médio a
ser detectado como uma maneira de medir a eficácia do departamento de
segurança, mas Pescatore diz que fortes programas de segurança estão começando a medir a eficiência também.  

Ele diz que essas métricas são modeladas após as usadas pelos CIOs para quantificar a eficiência da equipe de TI, como gastos com TI como porcentagem da receita organizacional. 

“Bons CIOs tiveram que aprender a fazer isso”, diz Pescatore,
acrescentando que está vendo medidas de uso de segurança como número de
funcionários SOC por nó, número de funcionários de segurança como uma
porcentagem do número de funcionários de TI, e tempo médio para aprovar
uma solicitação relacionada à segurança como medidas de eficiência.  

"A chave é tornar mais eficaz e mais eficiente", explica ele. Ele diz que os CISOs
podem observar melhorias nessas medidas como uma indicação de que a
segurança está fazendo um bom trabalho ao permitir que os negócios
avancem o mais rápido que for necessário. 

4) Pedidos de aconselhamento 

Os CISOs
dizem que querem ser vistos como parceiros de negócios confiáveis, mas
Gardner sabe que está atingindo essa marca quando seus colegas abordam
os membros de sua equipe para obter orientação. 

Ela
aponta para uma troca em um de seus empregadores anteriores, como
exemplo: os desenvolvedores ficaram incomodados com o mecanismo de login
em um aplicativo que estavam desenvolvendo e procuraram a equipe de
segurança para aconselhamento.  

"Se
eles veem algo que está errado e nos procuram para perguntar sobre
isso, isso significa que eles sabem quem somos e se sentem confortáveis
em vir até nós", diz ela. "Eles confiam em nós e nos procuram para
ajudá-los". 

5) Bons relacionamentos com membros do conselho, outros executivos 

Da
mesma forma, Gardner vê um relacionamento positivo com os membros do
conselho e outros executivos como um indicador de um forte programa de
segurança. "Quando você conversa com o conselho e os membros do conselho
e a equipe executiva regularmente, isso significa que você é visto como
um consultor de confiança", diz ela. 

Em
tais circunstâncias, o CISO está fazendo mais do que apenas informar os
outros; o CISO está trazendo suas perspectivas, oferecendo conselhos e
ajudando a criar estratégias. “Isso vale para qualquer pessoa da minha
organização, não necessariamente para o CISO. Quando a liderança sabe
quem é minha equipe, quando a reconhece, mais eu sei que estou acertando em cheio", acrescenta Gardner. 

6) Marcas altas em medidas de vencimento 

Líderes
de segurança dizem que pontuar bem contra estruturas de segurança
estabelecidas, como a NIST e a norma ISO / IEC 27001 IS, são sinais de
programas estabelecidos e maduros. Caleb Sima concorda.  

Sima, Vice-Presidente de Segurança da Databricks,
desenvolveu um modelo de maturidade para sua função de segurança usando
padrões da indústria, incluindo a matriz NIST. Ele construiu uma grade
para determinar a maturidade do programa de segurança de sua empresa e
acompanhar suas melhorias ao longo do tempo.  

"[Eu posso dizer:] Aqui
é onde estamos; aqui é onde queremos estar em um ano. É assim que
identificamos se temos uma boa estrutura de segurança e se estamos
progredindo”, diz ele. "É uma abordagem muito tática e orientada à
tecnologia". 

7) Relatos de experiência positiva do usuário 

Sima
diz que outro marcador de um programa de segurança bem-sucedido é o
quão bem ele atende às expectativas do usuário e se fornece uma
experiência positiva ao usuário.  

Ele
pesquisa os funcionários da empresa para determinar se sua equipe de
segurança está fazendo um bom trabalho, usando três pesquisas para três
conjuntos diferentes de usuários (engenheiros de produto, TI e o
restante da força de trabalho). "Se amadurecemos nosso programa e, ao
mesmo tempo, temos o feedback de relacionamento correto, esses são bons
indicadores de um bom programa", diz ele. 

8) Aprovações de terceiros 

O selo de aprovação de agências externas continua sendo uma medida importante de sucesso, diz Matthew Ferrante, líder de serviços de segurança cibernética e de informações da Withum, um provedor de serviços de tecnologia. 

"Você
precisa de uma auditoria verdadeiramente independente com uma empresa
terceirizada, e essa empresa precisa ser adequadamente selecionada", diz
ele, acrescentando que o CISO deve evitar aqueles que fornecem
"resultados amigáveis" e, em vez disso, apenas os que oferecem um exame
rigoroso políticas, processos, procedimentos e tecnologias de segurança. 

"Obter
uma visão de terceiros ajuda a mostrar que sua segurança está alinhada
corretamente e que está funcionando corretamente", diz ele. Da mesma
forma, Bruce Beam,
CIO da organização de segurança (ISC)², diz que procura determinadas
certificações, como o PCI DDS, que indicam que terceiros revisaram - e
aprovaram - o trabalho que a equipe de segurança está realizando. Ele
também procura essas certificações nas empresas com as quais faz
negócios antes de permitir que elas se conectem à rede de sua
organização. 

9) ROI positivo 

Michael Coden, Diretor-Gerente e líder global da prática de segurança cibernética do BCG Platinion, parte do Boston Consulting Group,
diz que as equipes de segurança que podem medir e demonstrar um retorno
positivo do investimento demonstram que possuem um forte programa
empresarial.  

Ele
diz que uma organização deve ver seu risco diminuir em uma quantidade
maior do que a que está investindo em tecnologias, processos,
procedimentos e treinamento em segurança.  

"Portanto,
se gastarmos US$ 10 milhões implementando autenticação multifatorial ou
implementando um novo programa de treinamento e nosso risco for
reduzido em US$ 1 bilhão, esse é um ROI muito bom", diz ele, explicando
que sua empresa usa uma ferramenta automatizada chamada Cyber Doppler
para quantificar o risco que pode ser usado para calcular o ROI. 

10) Uma mentalidade de segurança generalizada 

Certa vez, enquanto liderava uma equipe de segurança de um empregador anterior, a Beam
queria recompensar vários funcionários por fazer um ótimo trabalho. Ele
enviou a cada colaborador um cartão-presente eletrônico de U $ 50.  

Mas os funcionários se recusaram a clicar no link, pensando que era uma tentativa de phishing. De certa forma, Beam diz que não deveria se surpreender com a resposta deles, pois indica que a empresa possui uma forte cultura de segurança.

Ele afirma que é isso que ele quer ver: a segurança firmemente inserida na cultura corporativa, para que os funcionários de todos os departamentos tenham uma mentalidade de segurança em primeiro lugar. 

Vai um cookie?

A CIO usa cookies para personalizar conteúdo e anúncios, para melhorar sua experiência em nosso site. Ao continuar, você aceitará o uso. Para mais detalhes veja nossa Política de Privacidade.

Este anúncio desaparecerá em:

Fechar anúncio

15