Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Pesquisa Recurso - BlogRecurso - WebinarRecurso - RelatórioRecurso - Eventoícones_066 ícones_067ícones_068ícones_069ícones_070

Blog da Tenable

Inscrever-se
  • Twitter
  • Facebook
  • LinkedIn

Como melhorar a tomada de decisões de segurança cibernética para reduzir o risco ao negócio

Como melhorar a tomada de decisões de segurança cibernética para reduzir o risco ao negócio

Aumente a eficácia do seu programa identificando as métricas que oferecem o contexto certo para auxiliar a tomada de decisão de nível executivo, estratégico e tático da organização.

Os desafios para as equipes de segurança não param de crescer em face de ambientes em constante mudança e de invasores que utilizam a velocidade e a escalabilidade dos ambientes modernos de TI. O ritmo e a complexidade dessas mudanças marcam o início de um novo capítulo na evolução das equipes de segurança da informação: hoje, essas equipes também precisam se tornar especialistas em gestão de riscos. Não importa se você atua sozinho ou com mais pessoas, terá que tomar decisões em vários níveis da organização para mitigar riscos de forma mais eficaz. 

Na nossa última publicação, Três níveis da estratégia de segurança para decisões de risco ao negócio, nós nos aprofundamos nos três níveis de estratégias de tomada de decisão que as equipes de segurança precisam percorrer: 

  • executivo;

  • estratégico;  e 

  • tático 


O processo de tomada de decisão em cada um desses níveis envolve várias nuances e pode ser complexo. Aqui, mostraremos alguns exemplos dos tipos de decisão necessários em cada nível e como as métricas e as ferramentas corretas podem ajudar a melhorar a tomada de decisão nos três níveis e, assim, aumentar a eficácia do seu programa de segurança. 

Decisões de nível executivo

No nível executivo, os líderes de segurança lidam com duas subáreas diferentes de apoio à tomada de decisão: transmitir informações e métricas sobre a postura de risco e segurança da organização para os outros membros da diretoria e fornecer orientação e apoio à própria equipe de segurança para suas próprias decisões de nível executivo. 

Em apoio aos outros membros da diretoria, os executivos de segurança costumam pedir às suas equipes de segurança uma ampla variedade de informações para ajudar a orientar decisões relacionadas ao negócio, ao faturamento e a responsabilidades que afetam toda a organização. Para melhorar a tomada de decisão nesse nível, as métricas fornecidas pela equipe de segurança devem ser baseadas em riscos e estruturadas de forma a se alinharem com os fatores determinantes do negócio.

Por exemplo, como os líderes do negócio precisam que as informações de segurança sejam comunicadas no contexto mais amplo das metas da organização, eles não encontrarão muito valor ao analisar o número bruto de programas de malware bloqueados pelo software de proteção de endpoints ou o número total de vulnerabilidades corrigidas naquele mês. Esses números representam o volume total, sem nenhum contexto do negócio. Em vez disso, os líderes de segurança devem considerar o percentual de vulnerabilidades de risco crítico descobertas e eliminadas dentro do prazo estabelecido no Acordo de Nível de Serviço (SLA) ou a tendência de redução de risco detalhada por uma função notável do negócio, como o principal site de comércio eletrônico da organização ou o principal data center em Nova York.

Observar o desempenho da segurança por uma lente mais ampla permite que os líderes de segurança apresentem um contexto valioso para que os executivos possam ver como o programa de segurança está sendo eficaz e decidam se há áreas onde devem investir mais recursos para mitigar e reduzir ainda mais o risco no negócio.

Como melhorar a tomada de decisões de segurança cibernética para reduzir o risco ao negócio_1

Essas mesmas métricas, quando vistas apenas pelas lentes da equipe de segurança, representam a fusão de todas as iniciativas conduzidas por todos os membros e níveis de tomada de decisão da equipe. Dessa forma, os CISOs e demais líderes de segurança de nível executivo podem determinar de forma mensurável se a visão da equipe de segurança está sendo colocada em prática corretamente por outros membros da equipe e se as decisões de nível estratégico e tático são eficazes para reduzir o risco de forma tangível. Claro, se essas métricas estão mostrando uma tendência de queda, isso permite que os líderes de segurança corrijam o curso e identifiquem as áreas que precisam de mais suporte da gestão para remover obstáculos, adquirir mais recursos, contratar mais pessoas ou trazer mais ajuda externa. 

Decisões de nível estratégico

Conforme descemos no organograma da equipe de segurança, os tomadores de decisão de nível estratégico (geralmente diretores, líderes de equipe ou outros gerentes de nível intermediário, ou também analistas e especialistas técnicos seniores) precisam apoiar as equipes de nível executivo para tomar decisões melhores para a direção geral do negócio e ajudar as equipes de nível tático a serem mais eficientes e eficazes nas iniciativas de correção para reduzir o risco. 

A priorização do risco é fundamental para apoiar melhor as equipes de nível tático, cujas decisões operacionais do dia a dia são críticas para garantir que a organização concentre recursos nas áreas mais críticas, onde a correção terá o maior impacto. Na sua tarefa de traduzir os requisitos do negócio em execução operacional, a criticidade dos ativos é essencial para entender onde reduzir os riscos mais críticos para o negócio em geral e ajudar as equipes operacionais a priorizar suas iniciativas de trabalho de forma mais eficiente e eficaz. 

Ao entender a criticidade dos ativos para o negócio na organização, seja pela localização do ativo, pela exposição à internet, pelo tipo de dispositivo, pela função que ele desempenha ou por qualquer outro fator, você está apto a aplicar uma abordagem mais baseada em riscos aos fluxos de trabalho de correção.    

Como melhorar a tomada de decisões de segurança cibernética para reduzir o risco ao negócio_2

Para o gerenciamento geral do seu programa de segurança, também é importante entender se as políticas, os processos e os procedimentos estão funcionando conforme o esperado e ajudando a aumentar a maturidade ao longo do tempo. É relevante que as decisões de nível estratégico apoiem os outros dois níveis de tomada de decisão. Ao refinar e melhorar constantemente o programa de segurança por meio de melhores decisões estratégicas, é possível demonstrar que o programa é eficaz e está melhorando continuamente — essa é uma indicação importante do valor de negócios para os tomadores de decisão de nível executivo. Fazer com que os executivos entendam que há valor de negócios no que você faz para melhorar o programa de segurança não é apenas crítico para o sucesso da equipe, como também é algo que pode ser usado para respaldar solicitações de orçamento extra e alocação de pessoal. Portanto, é aqui que, sob a perspectiva de maturidade, calcular a eficácia dos seus processos de correção e avaliação permite que o tomador de decisão de nível estratégico reorganize os recursos onde necessário para melhorar os fluxos de trabalho e apoia os requisitos gerais do negócio para reduzir o risco de forma contínua e gerar mais ROI por meio de eficiência e otimização de processos.

Como melhorar a tomada de decisões de segurança cibernética para reduzir o risco ao negócio_3

Decisões de nível tático

Independentemente de a equipe de segurança estar ou não envolvida diretamente na execução operacional das inciativas ativas de correção, ela ainda desempenha uma função crítica ao ajudar a executar as tarefas cotidianas de correção e aplicação de patches com eficácia e eficiência. 

Ao traduzir as constatações de segurança em etapas específicas de recomendação, a equipe de segurança pode facilitar a compreensão rápida do que precisa ser feito pelas equipes de operações e desenvolver com eficiência o fluxo de trabalho adequado para executar as etapas de correção necessárias. Uma integração mais simples entre os processos operacionais e de segurança significa mais eficácia para o programa em geral, o que gera um melhor valor e reduz os riscos mais tangíveis para a organização.

Como melhorar a tomada de decisões de segurança cibernética para reduzir o risco ao negócio_4

Na tomada de decisão, cada nível tem seus desafios próprios e específicos. Munido com as informações e as perspectivas corretas, você pode fazer — e demonstrar — melhorias tangíveis na eficácia do programa.

Saiba mais 

Artigos relacionados

Você está vulnerável às últimas explorações?

Insira seu e-mail para receber os alertas de cyber exposure mais recentes em sua caixa de entrada.

Teste gratuito Comprar agora
Tenable.io AVALIAÇÃO GRATUITA POR 30 DIAS

Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes. Inscreva-se agora mesmo.

Tenable.io COMPRAR

Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes. Compre hoje a sua assinatura anual.

65 ativos

Escolha sua opção de assinatura:

Compre já
Teste gratuito Comprar agora

Teste gratuitamente o Nessus Professional

GRÁTIS POR 7 DIAS

O Nessus® é o verificador de vulnerabilidades mais abrangente do mercado atualmente. O Nessus Professional ajudará a automatizar o processo de verificação de vulnerabilidades, economizar tempo nos seus ciclos de conformidade e permitirá que você envolva a sua equipe de TI.

Comprar o Nessus Professional

O Nessus® é o verificador de vulnerabilidades mais abrangente do mercado atualmente. O Nessus Professional ajudará a automatizar o processo de verificação de vulnerabilidades, economizar tempo nos seus ciclos de conformidade e permitirá que você envolva a sua equipe de TI.

Compre uma licença para vários anos e economize. Inclua o Suporte avançado para ter acesso ao suporte por telefone, pela comunidade e por bate-papo 24 horas por dia, 365 dias por ano. Detalhes completos aqui.

Teste gratuito Comprar agora

Teste o Tenable.io Web Application Scanning

GRÁTIS POR 30 DIAS

Tenha acesso completo à nossa oferta mais recente de verificação de aplicações Web desenvolvida para aplicações modernas como parte da plataforma do Tenable.io. Verifique com segurança por vulnerabilidades em todo o seu portfólio online com um alto grau de precisão sem grandes esforços manuais ou interrupção de aplicações Web críticas. Inscreva-se agora mesmo.

Comprar o Tenable.io Web Application Scanning

Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes. Compre hoje a sua assinatura anual.

5 FQDNs

US$ 3.578,00

Compre já

Teste gratuito Entre em contato com o setor de vendas

Teste o Tenable.io Container Security

GRÁTIS POR 30 DIAS

Tenha acesso completo à única oferta de segurança de contêiner integrada a uma plataforma de gerenciamento de vulnerabilidades. Monitore imagens de contêiner por vulnerabilidades, malware e violações de segurança. Unifique sistemas de integração contínua e implantação contínua (CI/CD) para dar suporte às práticas de DevOps, reforçar a segurança e ajudar na conformidade com as políticas da empresa.

Comprar o Tenable.io Container Security

O Tenable.io Container Security habilita com perfeição e segurança os processos de DevOps ao fornecer visibilidade da segurança das imagens de contêiner, incluindo vulnerabilidades, malware e violações de segurança através da integração com o processo de compilação.

Teste gratuito Entre em contato com o setor de vendas

Avalie o Tenable Lumin

GRÁTIS POR 30 DIAS

Visualize e explore sua Cyber Exposure, monitore a redução do risco ao longo do tempo e faça uma análise comparativa com outras empresas do mesmo setor com o Tenable Lumin.

Compre o Tenable Lumin

Entre em contato com um representante de vendas para ver como o Lumin pode ajudar você a obter informações sobre toda a organização e gerenciar o risco cibernético.