Quais são os indicadores que ideia para para acompanhar o estado atual das defesas da empresa?

Por: Fahmida Y. Rashid, InfoWorld

Como a segurança ganha maior visibilidade nas salas de reuniões e C-suites, profissionais de segurança são cada vez mais solicitados a fornecer métricas para acompanhar o estado atual das defesas da empresa. Mas quais são os números que realmente importam?

Frequentemente, a gerência sênior não sabe que tipo de pergunta deve ser feita, concentrando os indicadores em prevenção, em vez de mitigação. Métricas como o custo médio da resposta a um incidente ou o número de ataques bloqueados pelo firewall parecem razoáveis para profissionais de fora da área de segurança, mas eles realmente não dizem muito sobre a efetividade das iniciativas de segurança da organização.

Especialistas recomendam foco em métricas que influenciem a estratégia de comportamento ou de mudança.

O que você faria diferente se você tivesse tal métrica?

Métricas como o custo médio para mitigação de vulnerabilidades e o tempo médio para correção são úteis se a organização tiver processos maduros e altamente otimizados, mas isso não se aplica à maioria das organizações hoje em dia.

Métricas que medem a participação, eficácia, e a janela de exposição, no entanto, oferecem informações que podem ser usadas para fazer planos e melhorar as iniciativas de segurança.

Vejamos.

Métrica No. 1: Adesão às políticas de segurança
Métricas de adesão olham para cobertura dentro da organização. Elas podem medir quantas unidades de negócios realizam testes de penetração regularmente ou quantos endpoints estão sendo atualizados por sistemas automatizados de aplicação de patches. Essas informações básicas ajudam as organizações a avaliar os níveis de adoção de controle de segurança e a identificar eventuais lacunas.

Por exemplo, o quanto é  bom ser capaz de dizer que a empresa deve ter 100 por cento de seus sistemas corrigidos no mês, após a disponibilização de novas atualizações? Mas essa não é uma meta realista porque correções podem aumentar o risco operacional de alguns sistemas.

Olhar para a adesão ajuda a excluir os sistemas que não se enquadram nas regras normais de aplicação de patches – e centrar atenção sobre aqueles que devem ser corrigidos.

Métrica No. 2: Duração dos ataques
O tempo de permanência, ou quanto tempo um atacante está na rede, também é um indicador que fornecem informações valiosas.

Informações de duração de ataques ajudam os profissionais de segurança a preparar, conter e controlar ameaças, bem como minimizar os danos.

Pesquisas têm mostrado que atacantes são capazes de passar vários meses, em média, dentro da rede de uma empresa, antes de serem descobertos. Eles passam o tempo aprendendo sobre a infraestrutura, realizando atividades de reconhecimento, movendo-se em torno da rede e roubando informações.

O objetivo deve ser o de reduzir o tempo de permanência, tanto quanto possível, de modo que o atacante tenha menos oportunidade de se mover e ter acesso a dados críticos. Saber o tempo de permanência ajuda as equipes de segurança e descobrirem como lidar com a mitigação da vulnerabilidade e a resposta a incidentes.

Quanto mais tempo os atacantes permanecerem na sua rede, mais informações eles serão capazes de obter, e mais danos poderão causar.

Métrica No. 3: Densidade de códigos com defeitos
Saber a densidade de defeitos, ou o número de problemas encontrados em cada mil (ou milhões, de acordo com a base de código) linhas de código, ajuda as organizações a avaliarem as práticas de suas equipes de desenvolvimento e de segurança.

Contexto é fundamental, no entanto. Se um aplicativo está em um estágio inicial de desenvolvimento, uma alta densidade de defeitos pode significar que todos os problemas estão sendo encontrados. Isso é bom. Por outro lado, se um aplicativo está em modo de manutenção, a densidade de defeitos deve ser mais baixa – e tendendo para baixo – para mostrar que a aplicação está ficando mais segura ao longo do tempo. Caso contrário, há um problema.

Métrica No. 4: Janela de exposição
Uma organização pode identificar defeitos na aplicação, mas, até que o defeito tenha sido corrigido, a aplicação continuará vulnerável. A janela de exposição olha quantos dias, em um ano, uma aplicação permaneceu vulnerável a explorações conhecidas e a problemas graves. O objetivo é ter zero dias em um ano para que os defeitos sérios encontrados sejam corrigidos.

Indicadores enganosos
A gestão, em geral, gosta de se concentrar na prevenção de incidentes de segurança, em parte devido à noção de que as organizações podem parar todos os ataques no perímetro.

Por exemplo, você pode fazer com que todos se sintam bem ao ver o número de tentativas de intrusão bloqueadas. Mas se não há nada acionável sobre essa informação, ela não será útil para ajudar as equipes de segurança a descobrirem que os ataques não foram bloqueados. Você não está corrigindo nada.

O tempo de resposta, ou quão rapidamente o problema foi encontrado e mitigado, é outra métrica que pode ter pouca ou nenhuma utilidade. O tempo de resposta ignora o fato de que os atacantes tendem a mover-se lateralmente através da rede. Você pode ter corrigido um problema, mas se não tentou  identificar o que mais o atacante pode ter feito, um sistema diferente por ter sido comprometido por esse mesmo atacante e esse fato pode ter passado despercebido.

Concentrar-se sobre questões individuais, e não na segurança como um todo, deixa ambientes vulneráveis.

Não basta fazer, é preciso compreender.

Profissionais de segurança precisam explicar para a gerência sênior como se concentrar em questões de segurança que ajudem a atingir objetivos bem definidos. Caso contrário, muita atenção será desperdiçada em informações que, na verdade, não reduzem o risco ou melhoram a segurança.

Fonte: CIO

Texto original:
http://cio.com.br/gestao/2017/03/28/quatro-metricas-de-seguranca-que-realmente-importam/