Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Blog da Tenable

Inscrever-se

Como melhorar a tomada de decisão de segurança cibernética para reduzir o risco ao negócio

Aumente a eficácia do seu programa identificando as métricas que oferecem o contexto certo para auxiliar a tomada de decisão de nível executivo, estratégico e tático da organização.

Os desafios para as equipes de segurança não param de crescer em face de ambientes em constante mudança e de invasores que utilizam a velocidade e a escalabilidade dos ambientes modernos de TI. O ritmo e a complexidade dessas mudanças marcam o início de um novo capítulo na evolução das equipes de segurança da informação: hoje, essas equipes também precisam se tornar especialistas em gestão de riscos. Não importa se você atua sozinho ou com mais pessoas, terá que tomar decisões em vários níveis da organização para mitigar riscos de forma mais eficaz. 

Na nossa última publicação, Três níveis da estratégia de segurança para decisões de risco ao negócio, nós nos aprofundamos nos três níveis de estratégias de tomada de decisão que as equipes de segurança precisam percorrer: 

  • executivo;

  • estratégico;  e 

  • tático 


O processo de tomada de decisão em cada um desses níveis envolve várias nuances e pode ser complexo. Aqui, mostraremos alguns exemplos dos tipos de decisão necessários em cada nível e como as métricas e as ferramentas corretas podem ajudar a melhorar a tomada de decisão nos três níveis e, assim, aumentar a eficácia do seu programa de segurança. 

Decisões de nível executivo

No nível executivo, os líderes de segurança lidam com duas subáreas diferentes de apoio à tomada de decisão: transmitir informações e métricas sobre a postura de risco e segurança da organização para os outros membros da diretoria e fornecer orientação e apoio à própria equipe de segurança para suas próprias decisões de nível executivo. 

Em apoio aos outros membros da diretoria, os executivos de segurança costumam pedir às suas equipes de segurança uma ampla variedade de informações para ajudar a orientar decisões relacionadas ao negócio, ao faturamento e a responsabilidades que afetam toda a organização. Para melhorar a tomada de decisão nesse nível, as métricas fornecidas pela equipe de segurança devem ser baseadas em riscos e estruturadas de forma a se alinharem com os fatores determinantes do negócio.

Por exemplo, como os líderes do negócio precisam que as informações de segurança sejam comunicadas no contexto mais amplo das metas da organização, eles não encontrarão muito valor ao analisar o número bruto de programas de malware bloqueados pelo software de proteção de endpoints ou o número total de vulnerabilidades corrigidas naquele mês. Esses números representam o volume total, sem nenhum contexto do negócio. Em vez disso, os líderes de segurança devem considerar o percentual de vulnerabilidades de risco crítico descobertas e eliminadas dentro do prazo estabelecido no Acordo de Nível de Serviço (SLA) ou a tendência de redução de risco detalhada por uma função notável do negócio, como o principal site de comércio eletrônico da organização ou o principal data center em Nova York.

Observar o desempenho da segurança por uma lente mais ampla permite que os líderes de segurança apresentem um contexto valioso para que os executivos possam ver como o programa de segurança está sendo eficaz e decidam se há áreas onde devem investir mais recursos para mitigar e reduzir ainda mais o risco no negócio.

Como melhorar a tomada de decisões de segurança cibernética para reduzir o risco ao negócio_1

Essas mesmas métricas, quando vistas apenas pelas lentes da equipe de segurança, representam a fusão de todas as iniciativas conduzidas por todos os membros e níveis de tomada de decisão da equipe. Dessa forma, os CISOs e demais líderes de segurança de nível executivo podem determinar de forma mensurável se a visão da equipe de segurança está sendo colocada em prática corretamente por outros membros da equipe e se as decisões de nível estratégico e tático são eficazes para reduzir o risco de forma tangível. Claro, se essas métricas estão mostrando uma tendência de queda, isso permite que os líderes de segurança corrijam o curso e identifiquem as áreas que precisam de mais suporte da gestão para remover obstáculos, adquirir mais recursos, contratar mais pessoas ou trazer mais ajuda externa. 

Decisões de nível estratégico

Conforme descemos no organograma da equipe de segurança, os tomadores de decisão de nível estratégico (geralmente diretores, líderes de equipe ou outros gerentes de nível intermediário, ou também analistas e especialistas técnicos seniores) precisam apoiar as equipes de nível executivo para tomar decisões melhores para a direção geral do negócio e ajudar as equipes de nível tático a serem mais eficientes e eficazes nas iniciativas de correção para reduzir o risco. 

A priorização do risco é fundamental para apoiar melhor as equipes de nível tático, cujas decisões operacionais do dia a dia são críticas para garantir que a organização concentre recursos nas áreas mais críticas, onde a correção terá o maior impacto. Na sua tarefa de traduzir os requisitos do negócio em execução operacional, a criticidade dos ativos é essencial para entender onde reduzir os riscos mais críticos para o negócio em geral e ajudar as equipes operacionais a priorizar suas iniciativas de trabalho de forma mais eficiente e eficaz. 

Ao entender a criticidade dos ativos para o negócio na organização, seja pela localização do ativo, pela exposição à internet, pelo tipo de dispositivo, pela função que ele desempenha ou por qualquer outro fator, você está apto a aplicar uma abordagem mais baseada em riscos aos fluxos de trabalho de correção.    

Como melhorar a tomada de decisões de segurança cibernética para reduzir o risco ao negócio_2

Para o gerenciamento geral do seu programa de segurança, também é importante entender se as políticas, os processos e os procedimentos estão funcionando conforme o esperado e ajudando a aumentar a maturidade ao longo do tempo. É relevante que as decisões de nível estratégico apoiem os outros dois níveis de tomada de decisão. Ao refinar e melhorar constantemente o programa de segurança por meio de melhores decisões estratégicas, é possível demonstrar que o programa é eficaz e está melhorando continuamente — essa é uma indicação importante do valor de negócios para os tomadores de decisão de nível executivo. Fazer com que os executivos entendam que há valor de negócios no que você faz para melhorar o programa de segurança não é apenas crítico para o sucesso da equipe, como também é algo que pode ser usado para respaldar solicitações de orçamento extra e alocação de pessoal. Portanto, é aqui que, sob a perspectiva de maturidade, calcular a eficácia dos seus processos de correção e avaliação permite que o tomador de decisão de nível estratégico reorganize os recursos onde necessário para melhorar os fluxos de trabalho e apoia os requisitos gerais do negócio para reduzir o risco de forma contínua e gerar mais ROI por meio de eficiência e otimização de processos.

Como melhorar a tomada de decisões de segurança cibernética para reduzir o risco ao negócio_3

Decisões de nível tático

Independentemente de a equipe de segurança estar ou não envolvida diretamente na execução operacional das inciativas ativas de correção, ela ainda desempenha uma função crítica ao ajudar a executar as tarefas cotidianas de correção e aplicação de patches com eficácia e eficiência. 

Ao traduzir as constatações de segurança em etapas específicas de recomendação, a equipe de segurança pode facilitar a compreensão rápida do que precisa ser feito pelas equipes de operações e desenvolver com eficiência o fluxo de trabalho adequado para executar as etapas de correção necessárias. Uma integração mais simples entre os processos operacionais e de segurança significa mais eficácia para o programa em geral, o que gera um melhor valor e reduz os riscos mais tangíveis para a organização.

Como melhorar a tomada de decisões de segurança cibernética para reduzir o risco ao negócio_4

Na tomada de decisão, cada nível tem seus desafios próprios e específicos. Munido com as informações e as perspectivas corretas, você pode fazer — e demonstrar — melhorias tangíveis na eficácia do programa.

Saiba mais 

Artigos relacionados

Você está vulnerável às últimas explorações?

Insira seu e-mail para receber os alertas de cyber exposure mais recentes em sua caixa de entrada.

tenable.io

Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes.

tenable.io COMPRAR

Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes. Compre hoje a sua assinatura anual.

65 ativos

Escolha sua opção de assinatura:

Compre já

Teste gratuitamente o Nessus Professional

GRÁTIS POR 7 DIAS

O Nessus® é o verificador de vulnerabilidades mais abrangente do mercado atualmente. O Nessus Professional ajudará a automatizar o processo de verificação de vulnerabilidades, economizar tempo nos seus ciclos de conformidade e permitirá que você envolva a sua equipe de TI.

Comprar o Nessus Professional

O Nessus® é o verificador de vulnerabilidades mais abrangente do mercado atualmente. O Nessus Professional ajudará a automatizar o processo de verificação de vulnerabilidades, economizar tempo nos seus ciclos de conformidade e permitirá que você envolva a sua equipe de TI.

Compre uma licença para vários anos e economize. Inclua o Suporte avançado para ter acesso ao suporte por telefone, pela comunidade e por bate-papo 24 horas por dia, 365 dias por ano.

Selecione sua licença

Compre uma licença para vários anos e economize.

Adicionar suporte e treinamento

Tenable.io

Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes.

Tenable.io COMPRAR

Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes. Compre hoje a sua assinatura anual.

65 ativos

Escolha sua opção de assinatura:

Compre já

Teste o Tenable.io Web Application Scanning

Tenha acesso completo à nossa oferta mais recente de verificação de aplicações Web desenvolvida para aplicações modernas como parte da plataforma do Tenable.io. Verifique com segurança por vulnerabilidades em todo o seu portfólio online com um alto grau de precisão sem grandes esforços manuais ou interrupção de aplicações Web críticas. Inscreva-se agora mesmo.

Comprar o Tenable.io Web Application Scanning

Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes. Compre hoje a sua assinatura anual.

5 FQDNs

US$ 3.578,00

Compre já

Teste o Tenable.io Container Security

Tenha acesso completo à única oferta de segurança de contêiner integrada a uma plataforma de gerenciamento de vulnerabilidades. Monitore imagens de contêiner por vulnerabilidades, malware e violações de segurança. Unifique sistemas de integração contínua e implantação contínua (CI/CD) para dar suporte às práticas de DevOps, reforçar a segurança e ajudar na conformidade com as políticas da empresa.

Comprar o Tenable.io Container Security

O Tenable.io Container Security habilita com perfeição e segurança os processos de DevOps ao fornecer visibilidade da segurança das imagens de contêiner, incluindo vulnerabilidades, malware e violações de segurança através da integração com o processo de compilação.

Avalie o Tenable Lumin

Visualize e explore sua Cyber Exposure, monitore a redução do risco ao longo do tempo e faça uma análise comparativa com outras empresas do mesmo setor com o Tenable Lumin.

Compre o Tenable Lumin

Entre em contato com um representante de vendas para ver como o Lumin pode ajudar você a obter informações sobre toda a organização e gerenciar o risco cibernético.

Experimente o Tenable.cs

Aproveite o acesso completo para detectar e corrigir erros de configuração da infraestrutura da nuvem e ver vulnerabilidades no tempo de execução. Inscreva-se para uma avaliação gratuita agora mesmo.

Entre em contato com um representante de vendas para comprar o Tenable.cs

Entre em contato com um representante de vendas para saber mais sobre o Tenable.cs Cloud Security e veja como é fácil integrar suas contas na nuvem e obter visibilidade das configurações incorretas e vulnerabilidades da nuvem em questão de minutos.

Teste o Nessus Expert gratuitamente

GRÁTIS POR 7 DIAS

Desenvolvido para a superfície de ataque moderna, o Nessus Expert permite ver mais e proteger sua organização de vulnerabilidades, da TI à nuvem.

Já tem uma licença do Nessus Professional?
Atualize para o Nessus Expert gratuitamente por 7 dias.

Comprar o Nessus Expert

Desenvolvido para a superfície de ataque moderna, o Nessus Expert permite ver mais e proteger sua organização de vulnerabilidades, da TI à nuvem.

Selecione sua licença

O preço promocional termina em 30 de setembro.
Compre uma licença para vários anos e economize mais.

Adicionar suporte