12 principais métricas e KPIs de segurança cibernética que as empresas devem monitorar

Por que é importante rastrear métricas de segurança cibernética

Compreender a exposição de uma empresa aos riscos de segurança é o principal motivo para monitorar continuamente as métricas de segurança cibernética. Isso fornece uma visão histórica dos eventos de segurança que ocorreram e onde ocorreram nas redes e nos sistemas de TI, bem como informações atualizadas sobre a eficácia com que as ferramentas, os processos e as equipes de segurança estão operando.

As métricas de monitoramento também permitem que as equipes de segurança entendam melhor onde os agentes de ameaças estão atualmente tentando obter acesso à infraestrutura de TI. Esse conhecimento ajuda as equipes a priorizar onde as ações devem ser tomadas contra ataques contínuos e a implementar uma combinação de ferramentas e processos que podem impedir ameaças cibernéticas iminentes antes que elas afetem uma organização.

Por fim, métricas e KPIs são ótimas ferramentas para definir metas futuras e planejar como melhorar o desempenho da segurança. Por exemplo, os gestores de segurança podem utilizar relatórios diários ou semanais contendo diversas métricas para ajudar as suas equipas a estarem mais preparadas para ataques cibernéticos —ou para manterem mais atenção às ameaças e partes vulneráveis da infraestrutura quando necessário.

Com isso em mente, aqui estão 12 métricas de segurança cibernética que as empresas devem acompanhar.

1. Tentativas de invasão detectadas

À primeira vista, as tentativas de invasão detectadas podem não parecer uma das estatísticas de segurança de TI mais importantes. No entanto, apresenta uma imagem ampla do número total de ameaças que uma empresa enfrenta. Um problema com a segurança de TI é que quando os mecanismos de prevenção de ameaças funcionam e ocorrem poucos incidentes, os líderes empresariais tendem a presumir que a organização não é mais um alvo. Partilhar dados que comprovem o contrário é uma boa forma de demonstrar que as ameaças à cibersegurança ainda existem e, na maioria dos casos, estão a crescer constantemente.

2. Número de incidentes de segurança

Um aspecto fundamental do gerenciamento da segurança de TI é monitorar se as alterações nas ferramentas e nos processos resultam em melhorias. Uma grande parte do orçamento de TI é normalmente gasta em segurança cibernética, portanto as métricas monitoradas devem indicar que o dinheiro está sendo usado com sabedoria. A recolha de dados sobre o número e a taxa de incidentes de segurança durante períodos específicos pode ajudar os CISOs e outros líderes de segurança cibernética a garantir que as defesas implementadas têm um impacto positivo na proteção dos ativos digitais de uma organização.

3. Níveis de gravidade do incidente

Compreender o nível de gravidade de uma intrusão cibernética ou roubo de dados ajudará a priorizar ações para garantir que os incidentes que prejudicam os negócios não continuem. Essa métrica também pode ser usada ao longo do tempo para verificar se novas ferramentas de segurança ou processos atualizados estão reduzindo o número de incidentes de alta gravidade.

4. Tempos de resposta a incidentes

A velocidade é de vital importância quando se trata de identificar e enfrentar ameaças cibernéticas. O rastreamento dos tempos de resposta a incidentes permite que os administradores de segurança vejam a eficácia de suas equipes na resposta a alertas e no trabalho com ameaças. Com essas informações, os gestores podem se concentrar na redução dos tempos de resposta caso não sejam rápidos o suficiente. Além de monitorar as respostas a ameaças individuais, o tempo médio de resposta (MTTR) é comumente calculado como uma média. O tempo médio de detecção, ou MTTD, é uma média relacionada para identificar ataques e outras ameaças.

5. Tempos de remediação de incidentes

Responder rapidamente a um incidente de segurança cibernética é apenas metade da história. A outra metade está relacionada à velocidade com que malware ou outras ameaças identificadas podem ser isoladas, colocadas em quarentena e completamente removidas dos equipamentos de TI. Alguns profissionais de segurança utilizam alternativamente o MTTR neste contexto, como tempo médio para remediação. Se os tempos de remediação atrasarem, é um sinal claro de que mudanças precisam ser feitas em um programa de segurança.

6. Número de falsos positivos e negativos

O campo da segurança cibernética conta com diversas ferramentas que automatizam a identificação de malware ou comportamentos suspeitos e alertam as equipes de segurança sobre ameaças. No entanto, essas ferramentas exigem ajuste e manutenção regulares para evitar que sinalizem erroneamente anomalias que podem parecer uma ameaça, mas são benignas —ou que percam incidentes de segurança reais. Rastrear falsos positivos e negativos ajuda as equipes a determinar se as ferramentas foram configuradas e ajustadas corretamente.

7. Tempos de resposta do patch de vulnerabilidade

É bem sabido que uma das melhores maneiras de proteger software crítico para os negócios é corrigir sistemas operacionais e aplicativos assim que as correções de bugs estiverem disponíveis nos fornecedores. Acompanhar a rapidez com que as equipes de segurança cibernética instalam patches de software mostra a eficácia dessa prática crítica para evitar riscos.

8. Resultados da avaliação de vulnerabilidade

As ferramentas de verificação de vulnerabilidades executam testes em sistemas de TI e dispositivos de usuários para verificar se eles foram corrigidos contra vulnerabilidades conhecidas e identificar outros possíveis problemas de segurança. Os resultados da avaliação gerados pelas verificações incluem listas de vulnerabilidades novas e ainda abertas, pontuações de risco, taxas de aprovação/reprovação de vulnerabilidade e outros pontos de dados. Essas informações podem ser usadas em conjunto com métricas de tempo de resposta de patches para identificar se mais recursos devem ser alocados para garantir que os esforços de gerenciamento de vulnerabilidades atendam aos seus objetivos.

9. Aplicativo do usuário final e níveis de acesso a dados

Os líderes empresariais podem presumir que as ameaças à segurança cibernética vêm em grande parte de fora da organização. No entanto, em algumas empresas, as métricas de segurança cibernética dos utilizadores internos mostram que as ameaças internas são um problema muito maior. A coleta e análise de informações sobre privilégios de acesso de funcionários e acesso a aplicativos e dados pode destacar problemas de segurança interna, bem como alterações necessárias nos controles de acesso de usuários.

10. Volume total de dados gerados

Embora não seja estritamente uma métrica de segurança, o rastreamento da quantidade de dados gerados e enviados pela rede corporativa pode ser inestimável na identificação de ameaças potenciais e na determinação de quão bem as ferramentas e processos de segurança serão dimensionados. Mudanças nos volumes de tráfego, sejam graduais ou abruptas, podem indicar invasões de malware ou outros tipos de ataques cibernéticos. Esta métrica também pode ajudar a justificar a necessidade de medidas de segurança novas ou melhoradas. Isso ajudará a transmitir –e corretamente– a noção de que, à medida que o uso da rede aumenta, o mesmo deve acontecer com a quantidade de dinheiro alocada para proteger a rede e os sistemas de TI.

11. Número de auditorias, avaliações e testes de penetração

A “limpeza” da segurança cibernética envolve uma série de auditorias, avaliações, testes de penetração e outras verificações realizadas para garantir que os processos e ferramentas de segurança estejam funcionando conforme o esperado. No entanto, é bastante comum que as equipes de segurança de TI fiquem tão sobrecarregadas com tarefas diárias que esses procedimentos importantes sejam atrasados ou esquecidos. O rastreamento de sua frequência fornece visibilidade sobre esse aspecto da segurança cibernética para que os administradores de segurança possam garantir que ele não seja esquecido.

12. Benchmarks de segurança contra organizações similares

Várias ferramentas de análise de segurança baseadas em nuvem oferecem a capacidade de comparar métricas anônimas de segurança cibernética com aquelas de outras organizações do mesmo setor. De certa forma, esta é uma “métrica de comparação métrica”. Esse benchmarking ajuda a identificar se a equipe de segurança de TI está no caminho certo ou precisa de uma redefinição em comparação com seus pares do setor.

Como gerenciar o processo de rastreamento de métricas de segurança cibernética

Obter visibilidade das métricas e KPIs críticos de segurança cibernética não ajuda uma organização se as equipes de segurança não entenderem como usá-los para atingir os objetivos estratégicos. É aqui que entram em jogo práticas de gestão eficazes. Para alcançar os resultados desejados de segurança cibernética usando pontos de dados históricos e em tempo real relevantes, adote as seguintes práticas de melhoria:

• Defina seus objetivos e descubra quais métricas o ajudarão a identificar o progresso. Muitas vezes, os líderes de segurança de TI concentram-se em métricas e KPIs individuais, em vez de nas metas que desejam alcançar. Isto leva a situações em que eles têm bons dados à sua frente, mas nada é alcançado porque nenhuma meta foi definida. Em vez disso, crie primeiro metas úteis e viáveis. Uma vez estabelecidas, as diversas métricas e KPIs que melhor acompanham o sucesso ou fracasso desses objetivos podem ser selecionadas.
• Crie um painel para levar em consideração métricas e KPIs. Combinar objetivos de segurança cibernética bem definidos com formas de medir com precisão o sucesso não serve de nada se apenas os gestores de segurança monitorizarem as métricas. Em vez disso, certifique-se de que seja um esforço de equipe. O desenvolvimento de um painel de métricas e KPIs que toda a equipe de segurança possa usar para monitorar o progresso ajudará a manter todos envolvidos e informados.
• Esteja preparado para refinar ou alterar metas, métricas e KPIs. Não pense que, uma vez definidos inicialmente os objetivos, métricas e KPIs de segurança cibernética, eles nunca poderão mudar. Em vez disso, assuma que tudo terá de ser ajustado ao longo do tempo porque os requisitos empresariais e as ferramentas de segurança, os processos e as pessoas necessárias para os satisfazer irão, sem dúvida, mudar. O objetivo deste exercício é utilizar dados relevantes para melhorar as proteções de segurança cibernética. Compreender que a evolução e os pivôs dos negócios impactarão o que é estrategicamente importante deve orientar o processo de criação de metas e escolha de métricas e KPIs apropriados para acompanhar.

Sobre o autor: Andrew Froehlich é o fundador da InfraMomentum, uma firma empresarial de pesquisa e análise de TI, e presidente da West Gate Networks, uma empresa de consultoria de TI. Ele está envolvido com TI corporativa há mais de 20 anos.