Como melhorar a tomada de decisão de segurança cibernética para reduzir o risco ao negócio

Aumente a eficácia do seu programa identificando as métricas que oferecem o contexto certo para auxiliar a tomada de decisão de nível executivo, estratégico e tático da organização.

Os desafios para as equipes de segurança não param de crescer em face de ambientes em constante mudança e de invasores que utilizam a velocidade e a escalabilidade dos ambientes modernos de TI. O ritmo e a complexidade dessas mudanças marcam o início de um novo capítulo na evolução das equipes de segurança da informação: hoje, essas equipes também precisam se tornar especialistas em gestão de riscos. Não importa se você atua sozinho ou com mais pessoas, terá que tomar decisões em vários níveis da organização para mitigar riscos de forma mais eficaz. 

Na nossa última publicação, Três níveis da estratégia de segurança para decisões de risco ao negócio, nós nos aprofundamos nos três níveis de estratégias de tomada de decisão que as equipes de segurança precisam percorrer: 

• executivo;

• estratégico;  e 

• tático 


O processo de tomada de decisão em cada um desses níveis envolve várias nuances e pode ser complexo. Aqui, mostraremos alguns exemplos dos tipos de decisão necessários em cada nível e como as métricas e as ferramentas corretas podem ajudar a melhorar a tomada de decisão nos três níveis e, assim, aumentar a eficácia do seu programa de segurança. 

Decisões de nível executivo

No nível executivo, os líderes de segurança lidam com duas subáreas diferentes de apoio à tomada de decisão: transmitir informações e métricas sobre a postura de risco e segurança da organização para os outros membros da diretoria e fornecer orientação e apoio à própria equipe de segurança para suas próprias decisões de nível executivo. 

Em apoio aos outros membros da diretoria, os executivos de segurança costumam pedir às suas equipes de segurança uma ampla variedade de informações para ajudar a orientar decisões relacionadas ao negócio, ao faturamento e a responsabilidades que afetam toda a organização. Para melhorar a tomada de decisão nesse nível, as métricas fornecidas pela equipe de segurança devem ser baseadas em riscos e estruturadas de forma a se alinharem com os fatores determinantes do negócio.

Por exemplo, como os líderes do negócio precisam que as informações de segurança sejam comunicadas no contexto mais amplo das metas da organização, eles não encontrarão muito valor ao analisar o número bruto de programas de malware bloqueados pelo software de proteção de endpoints ou o número total de vulnerabilidades corrigidas naquele mês. Esses números representam o volume total, sem nenhum contexto do negócio. Em vez disso, os líderes de segurança devem considerar o percentual de vulnerabilidades de risco crítico descobertas e eliminadas dentro do prazo estabelecido no Acordo de Nível de Serviço (SLA) ou a tendência de redução de risco detalhada por uma função notável do negócio, como o principal site de comércio eletrônico da organização ou o principal data center em Nova York.

Observar o desempenho da segurança por uma lente mais ampla permite que os líderes de segurança apresentem um contexto valioso para que os executivos possam ver como o programa de segurança está sendo eficaz e decidam se há áreas onde devem investir mais recursos para mitigar e reduzir ainda mais o risco no negócio.

Essas mesmas métricas, quando vistas apenas pelas lentes da equipe de segurança, representam a fusão de todas as iniciativas conduzidas por todos os membros e níveis de tomada de decisão da equipe. Dessa forma, os CISOs e demais líderes de segurança de nível executivo podem determinar de forma mensurável se a visão da equipe de segurança está sendo colocada em prática corretamente por outros membros da equipe e se as decisões de nível estratégico e tático são eficazes para reduzir o risco de forma tangível. Claro, se essas métricas estão mostrando uma tendência de queda, isso permite que os líderes de segurança corrijam o curso e identifiquem as áreas que precisam de mais suporte da gestão para remover obstáculos, adquirir mais recursos, contratar mais pessoas ou trazer mais ajuda externa. 

Decisões de nível estratégico

Conforme descemos no organograma da equipe de segurança, os tomadores de decisão de nível estratégico (geralmente diretores, líderes de equipe ou outros gerentes de nível intermediário, ou também analistas e especialistas técnicos seniores) precisam apoiar as equipes de nível executivo para tomar decisões melhores para a direção geral do negócio e ajudar as equipes de nível tático a serem mais eficientes e eficazes nas iniciativas de correção para reduzir o risco. 

A priorização do risco é fundamental para apoiar melhor as equipes de nível tático, cujas decisões operacionais do dia a dia são críticas para garantir que a organização concentre recursos nas áreas mais críticas, onde a correção terá o maior impacto. Na sua tarefa de traduzir os requisitos do negócio em execução operacional, a criticidade dos ativos é essencial para entender onde reduzir os riscos mais críticos para o negócio em geral e ajudar as equipes operacionais a priorizar suas iniciativas de trabalho de forma mais eficiente e eficaz. 

Ao entender a criticidade dos ativos para o negócio na organização, seja pela localização do ativo, pela exposição à internet, pelo tipo de dispositivo, pela função que ele desempenha ou por qualquer outro fator, você está apto a aplicar uma abordagem mais baseada em riscos aos fluxos de trabalho de correção.    

Para o gerenciamento geral do seu programa de segurança, também é importante entender se as políticas, os processos e os procedimentos estão funcionando conforme o esperado e ajudando a aumentar a maturidade ao longo do tempo. É relevante que as decisões de nível estratégico apoiem os outros dois níveis de tomada de decisão. Ao refinar e melhorar constantemente o programa de segurança por meio de melhores decisões estratégicas, é possível demonstrar que o programa é eficaz e está melhorando continuamente — essa é uma indicação importante do valor de negócios para os tomadores de decisão de nível executivo. Fazer com que os executivos entendam que há valor de negócios no que você faz para melhorar o programa de segurança não é apenas crítico para o sucesso da equipe, como também é algo que pode ser usado para respaldar solicitações de orçamento extra e alocação de pessoal. Portanto, é aqui que, sob a perspectiva de maturidade, calcular a eficácia dos seus processos de correção e avaliação permite que o tomador de decisão de nível estratégico reorganize os recursos onde necessário para melhorar os fluxos de trabalho e apoia os requisitos gerais do negócio para reduzir o risco de forma contínua e gerar mais ROI por meio de eficiência e otimização de processos.

Decisões de nível tático

Independentemente de a equipe de segurança estar ou não envolvida diretamente na execução operacional das inciativas ativas de correção, ela ainda desempenha uma função crítica ao ajudar a executar as tarefas cotidianas de correção e aplicação de patches com eficácia e eficiência. 

Ao traduzir as constatações de segurança em etapas específicas de recomendação, a equipe de segurança pode facilitar a compreensão rápida do que precisa ser feito pelas equipes de operações e desenvolver com eficiência o fluxo de trabalho adequado para executar as etapas de correção necessárias. Uma integração mais simples entre os processos operacionais e de segurança significa mais eficácia para o programa em geral, o que gera um melhor valor e reduz os riscos mais tangíveis para a organização.

Na tomada de decisão, cada nível tem seus desafios próprios e específicos. Munido com as informações e as perspectivas corretas, você pode fazer — e demonstrar — melhorias tangíveis na eficácia do programa.

Saiba mais 

• Leia a publicação: Três níveis da estratégia de segurança para decisões de risco ao negócio.
• Inscreva-se para o webinar:  Improve Your Security Strategy: Master the 3 Levels of Decision Making.
• Assista aos vídeos: Calcule a eficácia do programa com o Tenable Lumin