blog-banner

Publicado em:

10/08/2021

Armadilhas na mensuração dos níveis de cibersegurança

Métricas são essenciais para uma gestão eficaz, fornecendo subsídios sobre práticas, alocação de recursos e cumprimento de objetivos pré-estabelecidos. Executivos analisam volumes imensos de dados para entender quais produtos geram lucros, quais vendedores são eficazes e quais equipes são mais competentes.  


No entanto, a cibersegurança ainda não abraçou completamente o big data - avaliar segurança não é algo simples, pois métricas tradicionais como custo x benefício ou valor de risco não são totalmente aplicáveis nesse segmento.  O dinamismo do segmento de segurança, com ameaças em tempo real, uso de novas tecnologias e evolução operacional constante, torna danosa a ideia de confiar na experiência e no instinto para avaliar riscos e tomar decisões.


Há uma série de armadilhas que as organizações devem evitar ao medir a segurança cibernética, incluindo: 


  • Métricas irrelevantes. Muitos relatórios para os C´s levels citam os milhões de ataques que a organização enfrenta por semana ou por dia. Embora atraente, esse número é irrelevante. A maioria desses ataques vem de “script kiddies” (hackers não qualificados que causam danos mínimos) - coisa que equipe de segurança minimamente competente evita com facilidade. Para a maioria das empresas, a pequena porcentagem de invasores sofisticados representa o verdadeiro risco. 


  • Uso de indicadores defasados, com exclusão de indicadores relevantes. A frequência e a gravidade dos incidentes de segurança são informações importantes, mas são um indicador de atraso. Representa um resultado, em vez de uma ferramenta a ser usada pelos gestores. 


  • Acreditar que mais é melhor. Mesmo as empresas que olham para indicadores importantes, como a extensão da criptografia, podem cometer o erro de presumir que controles mais rígidos são sempre a resposta certa. Há 10 anos, quando era mais provável que os ambientes fossem totalmente abertos, esse poderia ser o caso. Hoje, as organizações podem gastar muito e criar sistemas de defesa difíceis de gerenciar, usando criptografia em todos os dados e aplicando autenticação de dois fatores a todos os sistemas - e nenhuma dessas ferramentas talvez seja mesmo necessária para a sua empresa.


  • Basear-se na subjetividade. Num mundo com métricas quantitativas em abundância, há que se cuidar de indicadores de segurança que são “vermelho, amarelo ou verde”. Por melhores que sejam as intenções, avaliações subjetivas só fazem sentido se estiverem vinculadas a metas mensuráveis ou orientadas por marcos regulatórios.


  • Medir organização de segurança em vez da resiliência corporativa. Dizemos que 80% do que você precisa fazer para ficar seguro não é feito pelas equipes de segurança de TI. Essa equipe não escreve código seguro para os desenvolvedores, nem aplica atualizações de segurança pelo gerente do datacenter, por exemplo. É tentador focar as métricas de segurança no trabalho da equipe de TI e esquecer o que os outros departamentos da empresa estão fazendo para tornar o seu ambiente mais seguro e resiliente. 


Óbvio que todo mundo quer a maior segurança possível, mas há obstáculos nesse caminho. Alcançar resiliência digital requer uma mudança organizacional real em todos os níveis do negócio - as empresas precisam se perguntar qual é a real vontade de mudança. Obter essa resiliência também requer uma equipe de TI com muita competência técnica e treinamento - nem todas as empresas conseguem pagar por isso. 


Por outro lado, as empresas precisam pesar algumas questões na balança: Qual a importância das informações confidenciais para o negócio? Quão sofisticados são os invasores? Qual é o nível de exigência regulatória? Qual a importância dos recursos e proteções de segurança cibernética para os clientes?