A gestão de segurança de informação, necessita de ser monitorizada e de ser medida no desempenho da mesma (KPI’s), isto, pode significar a diferença entre um projecto prático e eficiente e um completo desperdício de dinheiro (https://defenselifecycle.com/solucoes/).
Embora os gestores acompanhem os KPI’s há algum tempo, em segurança da informação, essa é uma prática incomum e ainda em desenvolvimento para rastrear métricas de segurança cibernética.
Para os CISOs e gestores de risco, os KPI’s (em conjunto com KRI’s) ajudam ainda de modo adicional a implementarem EWI’s (early warning indicators) que são verdadeiros pontos de alerta para a organização e que nunca devem ser menosprezados ou não implementados (http://kpilibrary.com/categories/itsecurity).
Métricas de segurança de informação, sugestões:
1. Tempo médio de detecção e tempo médio de resolução
O tempo médio para identificação (MTTI) e o tempo médio para contenção (MTTC) para organizações, indicam que as fases de detecção e resposta estão sofrendo. O MTTR é o tempo médio de resolução/resposta, depende muito da proactividade implementada e da gestão de incidentes.
O baixo desempenho (inversamente proporcional) no MTTI e no MTTC é um grande contribuinte para a quebra de custos. Esses devem ser seus dois KPI’s mais importantes ao medir a segurança das informações. Também é um bom KPI para os CISOs avaliarem e mostrarem ao “board” sua melhoria de desempenho a longo prazo. Todos na equipa de segurança devem priorizar a melhoria desses dois KPI’s.
2. Número de sistemas com vulnerabilidades conhecidas
Conhecer o número de activos vulneráveis em seu ambiente é uma métrica chave de segurança cibernética para determinar o risco em que seus negócios incorrem. Gerir actualizações e patches é um processo complexo, mas muito importante para evitar brechas que podem ser exploradas em seu ambiente. Uma verificação de vulnerabilidade que inclui todos os activos indica o que precisa ser feito para melhorar a postura de segurança da empresa. Um programa de gestão de vulnerabilidades não é um detalhe, mas uma necessidade.
3. Número de certificados criptográficos configurados incorretamente ou em falta
Um certificado criptográfico é um pequeno arquivo que certifica a propriedade de uma chave criptográfica do site ou empresa com a qual os dados estão sendo trocados, garantindo a autenticidade da transacção. A monitorização dos requisitos de segurança de cada certificado, além de garantir que eles estejam configurados correctamente nos servidores, evita que caiam nas mãos erradas e que a identidade digital da sua empresa não seja usada para roubar informações.
4. Volume de dados transferidos utilizando a rede corporativa
Se colaboradores tiverem acesso irrestrito à Internet por meio da rede corporativa, a monitorização do volume de tráfego permitirá identificar o uso indevido dos recursos da organização. Ao descarregar software, vídeos, filmes e aplicações, um utilizador pode deixar a porta aberta para botnets e malware invadirem seus ambientes, ainda mais, se os downloads forem de sites conhecidos por serem perigosos.
5. Acessos de utilizadores com nível de acesso “super-utilizador”.
As melhores práticas em gestão de segurança da informação incluem controle total do nível de acesso dos utilizadores aos recursos da empresa; é necessário que um funcionário aceda apenas dados, sistemas e activos necessários ao seu trabalho. O acesso por “administrador/root” é restrito ao mínimo indispensável e colidindo com permissões aplicacionais.
6. Número de medidas preventivas implementadas
Número de medidas preventivas de segurança que foram implementadas em resposta a ameaças de segurança identificadas.
7. Duração da implementação
Duração desde a identificação de uma ameaça à segurança até a implementação de uma contra-medida adequada.
8. Número de incidentes de segurança
Número de incidentes de segurança identificados, classificados por categoria de gravidade.
9. Número de incidentes
O número elevado de incidentes, em especial os repetidos, implicam uma grande incapacidade de gestão de incidentes e de alterações. Muitas vezes são utilizados mecanismos automáticos de recuperação que normalmente agravam o problema (exemplo: serviço que para e é posto a funcionar automaticamente sem analise e correcção do problema)
10. Número de indisponibilidades de serviço relacionado com segurança
Número de incidentes de segurança que causam interrupção do serviço ou disponibilidade reduzida da organização.
11. Número de deficiências identificadas durante os testes de segurança
Número de deficiências identificadas nos mecanismos de segurança identificadas durante os testes, simulações e rastreio.
Podem ainda ser consideradas adicionalmente as métricas:
1 Nível de preparação: Quantos dispositivos na sua rede estão totalmente corrigidos e atualizados?
2 Dispositivos não identificados na rede interna: os colaboradores colocam os seus dispositivos em funcionamento e sua organização pode estar usando dispositivos da Internet das Coisas (IoT) que você não conhecidos. Esses são riscos enormes para a organização, pois esses dispositivos provavelmente não são seguros. Quantos desses dispositivos estão na rede?
3 Tentativas de invasão: Quantas vezes os maus actores tentaram violar suas redes (tentativas de intrusão)?
4 Resultados do treino de consciencialização sobre segurança cibernética: Quem fez (e concluiu) o treino? Eles entenderam o material?
5 Classificações de segurança: geralmente a maneira mais fácil de comunicar métricas a colegas não técnicos, é por meio de uma pontuação fácil de entender. A pontuação de postura de segurança do SecurityScorecard fornece à organização uma nota A-F simples em 10 categorias de segurança (segurança de rede, integridade do DNS, cadencia de patches, “cubit score”, segurança de terminal, reputação de IP, segurança de aplicativos da web, conversa de hackers, credenciais disponibilizadas e engenharia social). Com base nesses 10 factores, pode-se atribuir uma nota geral para que possam ver rapidamente como a organização é segura em relação ao restante do seu sector.
6 Falhas (retrocesso e duração prolongada) de alterações: e do processo das mesmas, é vulgar aplicar incorrectamente o mecanismo de “changes”, deturpando o propósito do mesmo e podendo criar mais problemas que soluções, pois só é efectuada a parte administrativa, dando origem a abortos de intervenção, extensão temporal e erros de falha de testes prévios.
7 Equipamentos pessoais e não corporativos ligados à organização: Equipamentos pessoais ou domésticos como telefones e outros devido a falta de configuração especifica e ao tipo de utilização, estão sujeitos a elevado nível de vulnerabilidades.
Observações finais:
A ideia destes KPI’s (e KRI’s) não é apenas medir a própria organização, é um meio adicional de medir a capacidade de resposta em “outsourcing” de fornecedores de serviço e do risco associado aos mesmos.
A criação de EWI’s associados às medições, vai criar pontos de alerta dentro da estrutura da organização que possibilitam uma rápida reacção e mitigação associada evitandos impactos indesejáveis.
Os mesmos, são uma medida da eficiência do Sistema de Gestão de Segurança de Informação e dos seus componentes administrativos, humanos e tecnológicos (cibersegurança), podendo em conjunto com a análise de risco detectar e prevenir falhas e seus custos associados em impactos e mitigações urgentes.