Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Blog da Tenable

Inscrever-se

Como comunicar o risco ao negócio: por que as métricas de segurança cibernética existentes ficam aquém?.

Como comunicar o contexto de risco ao negócio do seu programa de segurança cibernética aos executivos da alta gestão da sua organização? Essa é uma questão que enfrento todos os dias em minha função de líder de segurança cibernética.

Os líderes de segurança e de gerenciamento de riscos têm um arsenal de estruturas e controles disponíveis para calcular as facetas mais granulares dos seus programas. Embora essas métricas sejam inestimáveis para nos ajudar a gerenciar as operações diárias de nossas equipes, elas são insuficientes quando se trata de encontrar uma maneira de falar com nossos líderes de negócios.

Quando você está interagindo no nível da alta gestão ou mesmo no nível do comitê de auditoria — que, na maioria das vezes, é a entidade do conselho responsável pela segurança — os executivos querem entender o impacto que o seu programa de segurança cibernética está tendo na capacidade da organização de cumprir sua principal proposta de valor. Ainda assim, um estudo mundial com mais de 800 líderes de negócios e de segurança cibernética conduzido pela Forrester Consulting em nome da Tenable revela que 66% dos líderes de negócios estão, no máximo, apenas um pouco confiantes na capacidade que sua equipe de segurança tem para quantificar o nível de risco ou segurança da organização.

Isso não significa que os líderes de segurança estão fazendo alguma coisa errada. Em vez disso, ele destaca uma realidade inevitável: as formas atuais de calcular o risco cibernético não mostram o contexto de negócio de que as organizações precisam. Mais da metade dos líderes de segurança pesquisados não tem certeza de ter a tecnologia ou os processos para prever ameaças de segurança cibernética ao seu negócio, enquanto cerca de dois quintos não têm certeza de ter os dados.

Cesar Garza, CISO da Home Depot Mexico em San Pedro, México, descreve os desafios em uma única palavra: “descobertas”. Em uma entrevista à Tenable, Garza disse que “para nós, determinar nosso nível de risco cibernético não é tão difícil. Temos avaliações de maturidade, avaliações de vulnerabilidade, testes de penetração e todos os tipos de auditorias e avaliações enviadas a nós pela [sede corporativa global]. A parte difícil é o que fazer com todas as descobertas. A maioria das descobertas exige investimento, OpEx ininterrupto, aumento da força de trabalho ou investimento em nova tecnologia.”

Como calculamos o risco cibernético?

O risco cibernético é uma função dos seus ativos, controles de segurança, ameaças e vulnerabilidades a qualquer momento. Sem saber quais são os ativos mais críticos para o valor fundamental do seu negócio, é impossível entender os riscos cibernéticos que representam uma ameaça real para o negócio. Depois de determinar seus ativos críticos, o próximo passo é entender quais das dezenas de milhares de ameaças e vulnerabilidades que sua organização enfrenta a cada ano realmente representam o maior risco para esses ativos essenciais.

De acordo com o estudo da Forrester, menos de 50% dos líderes de segurança incluem o impacto de ameaças à segurança cibernética no contexto de um risco de negócio específico. A maioria dos líderes de segurança pesquisados (56%) não está aplicando os objetivos de gerenciamento de riscos aos seus processos de priorização de vulnerabilidades. Apenas metade (51%) afirma que sua organização trabalha em proximidade com as partes interessadas para alinhar os objetivos de custo, de desempenho e de redução de riscos às necessidades do negócio. E apenas um em cada quatro relata revisar regularmente as métricas de desempenho da organização de segurança com os colegas do negócio.

O estudo da Forrester também revela que:

  • Mais da metade dos líderes de segurança (56%) afirma que sua organização não tem uma boa visibilidade da segurança de seus ativos mais críticos.
  • Cerca de 60% dos participantes relatam visibilidade alta ou total da avaliação do risco por parte dos funcionários locais, mas apenas 52% podem dizer o mesmo sobre funcionários remotos ou trabalhando de casa.
  • Apenas 51% relatam ter visibilidade alta ou total dos sistemas usados por prestadores ou parceiros, e 55% relatam o mesmo para seus fornecedores terceirizados.

Não é possível calcular o risco cibernético sem o contexto do negócio

As duas perguntas mais comuns que recebo de líderes empresariais seniores e do conselho são: "Estamos seguros?" e "Como está nosso programa em comparação com nossos colegas?".

Mas, ao contrário dos colegas do negócio, os líderes de segurança têm dados objetivos limitados nos quais se basear para montar a equação essencial de risco cibernético dos ativos, controles de segurança, ameaças e vulnerabilidades para responder às duas perguntas. Nenhuma estrutura existente captura nossa operação na íntegra, deixando aos líderes de segurança a função de juntar os vários fragmentos de cálculo. Sem um cálculo objetivo do contexto de negócios para cada um de nosso ativos, nossos cálculos de risco cibernético só podem nos levar até um certo ponto.

De fato, de acordo com o estudo da Forrester, menos da metade dos líderes de segurança considera as estruturas de análise comparativa do setor que utiliza muito eficazes para relatar com precisão o risco ao negócio. E mais da metade diz não estar fazendo uma análise comparativa adequada de seus controles de segurança.

Ao mesmo tempo, são tantas as variáveis envolvidas na superfície de ataque de qualquer organização que obter um consenso sobre as métricas de segurança em todo o setor deve continuar sendo um sonho no futuro próximo. Nenhuma organização pode alegar estar 100% segura. Tudo o que temos é o nosso cálculo embasado do que é considerado um nível de risco aceitável, que nos permite tomar decisões de negócios sobre até onde ir depois de abordar um nível razoável de exposição.

Então, como você pode trabalhar com o que tem para começar a suplantar a desconexão entre a segurança cibernética e o negócio?

Não existe uma resposta única para todos, mas podemos recorrer à LafargeHolcim IT EMEA em Madrid para um exemplo. “Avaliamos nossa taxa de penetração nas diferentes camadas de proteção em vigor”, disse Jose Maria Labernia Salvador, chefe de segurança de TI e controle interno da empresa, em entrevista à Tenable. “Isso ajuda nosso negócio a entender a exposição potencial em nosso cenário e determinar o apetite de risco em toda a cadeia de valor da segurança cibernética. Nosso modelo é guiado por KPIs e agnóstico, orientado a dados ou segmentos, já que você nunca sabe qual será o vetor de ataque inicial com potencial para movimentar-se lateralmente e prejudicar nossa organização.”

Como usar os dados que você tem para chegar onde precisa

O risco é relativo, não absoluto. Sempre teremos riscos dentro da empresa. A dúvida é se reduzimos ou aumentamos nosso risco ao tomar uma determinada medida de negócios. O que as opções de avaliação de segurança disponíveis hoje fazem é oferecer a possibilidade de estabelecer um ponto de partida do qual você poderá começar a identificar o trabalho necessário para refinar ainda mais seu programa de segurança.

Na Home Depot Mexico, Garza recorre ao Tenable.io Lumin para obter “visibilidade em tempo quase real de nosso nível atual de cyber exposure. Podemos priorizar riscos cibernéticos e ter tudo isso em uma tela”. Ele observou que a organização está em processo de construção de um painel executivo que dará visibilidade aos executivos da alta diretoria.

Não existe uma abordagem comum a todos para identificar os indicadores de risco mais importantes para a sua organização. Tudo que podemos fazer, como profissionais do setor, é trabalhar em conjunto para começar a formular os tipos de métricas de risco ao negócio que serão mais significativas para os líderes de negócios da alta gestão.

Para esse fim, deixo você com a seguinte lista de perguntas que tenho recebido de conselhos e altos executivos ao longo de minha carreira:

  • Quais são e/ou onde estão nossos riscos, funções e ativos mais críticos?
    • O que você está fazendo para protegê-los?
  • Qual é o nível de maturidade do nosso programa, em comparação com o setor e empresas semelhantes?
    • Qual é o seu roteiro para aumentar nossa maturidade?
  • Quais são os recursos do nosso programa de segurança em comparação aos concorrentes ou empresas semelhantes do mesmo setor?
  • As funções mais críticas para o negócio estão mais seguras hoje do que um ano atrás?
  • O que estamos fazendo em relação a (inserir a mais recente vulnerabilidade em evidência aqui)?

Minha esperança é de que isso desperte suas próprias ideias para outros indicadores de risco de negócios que valham a pena calcular, para que, coletivamente, possamos encontrar melhores maneiras de alcançar o alinhamento entre a segurança cibernética e o negócio.

Leia a série do blog: Como tornar-se um líder de segurança cibernética alinhado ao negócio

As postagens anteriores desta série focavam nos desafios de alinhar a segurança cibernética e o negócio e em por que os líderes da segurança cibernética têm tanta dificuldade para responder à pergunta: "Qual é nosso nível de segurança?". Também examinamos o que as estratégias de resposta à COVID-19 revelam sobre a desconexão entre a área cibernética e o negócio, discutimos por que as métricas de segurança cibernética existentes são insuficientes para comunicar o risco cibernético e exploramos cinco etapas para chegar a um alinhamento com o negócio. e fornecemos uma visão sobre um dia na vida de um líder de segurança cibernética alinhado ao negócio.

Saiba mais:

Artigos relacionados

Você está vulnerável às últimas explorações?

Insira seu e-mail para receber os alertas de cyber exposure mais recentes em sua caixa de entrada.

tenable.io

Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes.

tenable.io COMPRAR

Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes. Compre hoje a sua assinatura anual.

65 ativos

Escolha sua opção de assinatura:

Compre já

Teste gratuitamente o Nessus Professional

GRÁTIS POR 7 DIAS

O Nessus® é o verificador de vulnerabilidades mais abrangente do mercado atualmente. O Nessus Professional ajudará a automatizar o processo de verificação de vulnerabilidades, economizar tempo nos seus ciclos de conformidade e permitirá que você envolva a sua equipe de TI.

Comprar o Nessus Professional

O Nessus® é o verificador de vulnerabilidades mais abrangente do mercado atualmente. O Nessus Professional ajudará a automatizar o processo de verificação de vulnerabilidades, economizar tempo nos seus ciclos de conformidade e permitirá que você envolva a sua equipe de TI.

Compre uma licença para vários anos e economize. Inclua o Suporte avançado para ter acesso ao suporte por telefone, pela comunidade e por bate-papo 24 horas por dia, 365 dias por ano.

Selecione sua licença

Compre uma licença para vários anos e economize.

Adicionar suporte e treinamento

Tenable.io

Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes.

Tenable.io COMPRAR

Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes. Compre hoje a sua assinatura anual.

65 ativos

Escolha sua opção de assinatura:

Compre já

Teste o Tenable.io Web Application Scanning

Tenha acesso completo à nossa oferta mais recente de verificação de aplicações Web desenvolvida para aplicações modernas como parte da plataforma do Tenable.io. Verifique com segurança por vulnerabilidades em todo o seu portfólio online com um alto grau de precisão sem grandes esforços manuais ou interrupção de aplicações Web críticas. Inscreva-se agora mesmo.

Comprar o Tenable.io Web Application Scanning

Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes. Compre hoje a sua assinatura anual.

5 FQDNs

US$ 3.578,00

Compre já

Teste o Tenable.io Container Security

Tenha acesso completo à única oferta de segurança de contêiner integrada a uma plataforma de gerenciamento de vulnerabilidades. Monitore imagens de contêiner por vulnerabilidades, malware e violações de segurança. Unifique sistemas de integração contínua e implantação contínua (CI/CD) para dar suporte às práticas de DevOps, reforçar a segurança e ajudar na conformidade com as políticas da empresa.

Comprar o Tenable.io Container Security

O Tenable.io Container Security habilita com perfeição e segurança os processos de DevOps ao fornecer visibilidade da segurança das imagens de contêiner, incluindo vulnerabilidades, malware e violações de segurança através da integração com o processo de compilação.

Avalie o Tenable Lumin

Visualize e explore sua Cyber Exposure, monitore a redução do risco ao longo do tempo e faça uma análise comparativa com outras empresas do mesmo setor com o Tenable Lumin.

Compre o Tenable Lumin

Entre em contato com um representante de vendas para ver como o Lumin pode ajudar você a obter informações sobre toda a organização e gerenciar o risco cibernético.

Experimente o Tenable.cs

Aproveite o acesso completo para detectar e corrigir erros de configuração da infraestrutura da nuvem e ver vulnerabilidades no tempo de execução. Inscreva-se para uma avaliação gratuita agora mesmo.

Entre em contato com um representante de vendas para comprar o Tenable.cs

Entre em contato com um representante de vendas para saber mais sobre o Tenable.cs Cloud Security e veja como é fácil integrar suas contas na nuvem e obter visibilidade das configurações incorretas e vulnerabilidades da nuvem em questão de minutos.

Teste o Nessus Expert gratuitamente

GRÁTIS POR 7 DIAS

Desenvolvido para a superfície de ataque moderna, o Nessus Expert permite ver mais e proteger sua organização de vulnerabilidades, da TI à nuvem.

Já tem uma licença do Nessus Professional?
Atualize para o Nessus Expert gratuitamente por 7 dias.

Comprar o Nessus Expert

Desenvolvido para a superfície de ataque moderna, o Nessus Expert permite ver mais e proteger sua organização de vulnerabilidades, da TI à nuvem.

Selecione sua licença

O preço promocional termina em 30 de setembro.
Compre uma licença para vários anos e economize mais.

Adicionar suporte