Um dos objetivos fundamentais da medição e monitorização está relacionado ao apoio à tomada de decisões. Deste ponto de vista, é fundamental poder responder a perguntas como: você pode definir o grau de segurança de sua empresa? Qual nível de segurança seria suficiente? Que impacto a falta de segurança pode ter sobre a produtividade? Sem dúvida, teremos de contar com uma ferramenta que nos permita esclarecer este tipo de questões.
Ao longo deste texto, focamos em uma abordagem para o uso de métricas de segurança de forma eficaz.
Entendendo o que é uma métrica
É comum ouvir que, se algo é conhecido, mas não pode ser medido em números, o conhecimento é precário ou deficiente. Podemos definir "métrica" como um termo usado para denotar medidas baseadas em uma ou mais referências, envolvendo pelo menos dois pontos: a medida e a referência.
Se falamos de segurança, podemos também defini-la como a proteção contra qualquer prejuízo ou riscos. Relacionando ambos conceitos, podemos concluir que as métricas de segurança geralmente indicam o estado ou grau de segurança em relação a um ponto de referência.
Logicamente, as métricas mais técnicas são especialmente úteis para a gestão operacional como Sistemas de Detecção de Intrusão (IDS), Antivírus, Firewalls, WAF ou Security Event Information Manager (SIEM), entre outras ferramentas de segurança. A principal informação que podem indicar é se as plataformas são tratadas corretamente ou não, a identificação de vulnerabilidades ou se recebem o acompanhamento correspondente.
No entanto, estas métricas podem não ter tanto valor do ponto de vista da gestão, considerando que:
- Não contribuem para o alinhamento estratégico com os objetivos da empresa.
- Não contribuem para identificar qual o nível de gerenciamento dos riscos.
- Fornecem poucas medidas de conformidade com políticas ou objetivos de possível impacto.
- Não fornecem informações sobre se o sistema de segurança da informação está avançando na direção certa e obtendo os resultados desejados.
Por esta razão, métricas relevantes que atendam aos requisitos desenvolvidos e alinhados com a gestão do negócio terão maiores benefícios, sendo mais eficazes para a segurança da empresa.
Em alguns casos, auditorias e avaliações de risco abrangentes são as únicas ações que as empresas tomam para fornecer uma perspectiva mais extensa. Embora sensíveis e necessárias à gestão, essas atividades fornecem apenas uma imagem estática, não o que é idealmente necessário para orientar a gestão diária da segurança, nem fornecem as informações necessárias para tomar decisões prudentes.
Como gerar métricas de segurança eficazes?
É importante compreender que, para que as métricas sejam úteis, as informações fornecidas devem ser relevantes para os papéis e responsabilidades dos receptores. Desta forma, os departamentos envolvidos serão capazes de executar as decisões relevantes, tais como qualquer coisa que resulte de uma mudança e possa ser medida.
No entanto, existem sete critérios fundamentais que devem ser usados para que uma métrica seja adequada:
- Significativa: compreensível para os receptores.
- Precisa: é fundamental para a fidelidade do dado.
- Rentável: sem muitos custos de aquisição ou manutenção.
- Genuína: não esteja sujeito a alterações.
- Repetível: capaz de ser adquirida de forma confiável ao longo do tempo.
- Predizível: deve ser um indicador de resultados.
- Processável: o receptor deve conhecer as ações que serão tomadas.
O risco operacional e a sua contraparte, a segurança, não podem ser medidos diretamente em termos absolutos - pelo contrário, o indicador de medição está geralmente relacionado com aspectos como probabilidades, exposições, atributos, efeitos e consequências.
Várias das abordagens que podem ser úteis incluem o valor em risco (VaR), o retorno sobre o investimento em segurança (ROSI) e expectativa de perdas anuais (ALLO). Para começar, o VaR é usado para calcular a perda máxima provável em um período definido (dia, semana, ano) com um nível de confiança típico de 95% ou 99%.
Em segundo lugar, o ROSI é utilizado para calcular o retorno do investimento com base na redução das perdas resultantes de uma verificação de segurança. Entretanto, o ALE fornece o cálculo da possível perda anual, com base na frequência e magnitude prováveis da instabilidade de segurança.
Estes números, geralmente especulativos, podem ser utilizados como base para atribuir ou justificar recursos para atividades de segurança.
Em algumas empresas é possível que os impactos máximos que poderiam ter eventos adversos possam ser tentados erroneamente como medida de segurança. Em outras palavras, eventos adversos teriam que ocorrer para determinar se a segurança está funcionando.
Um bom conceito indica que uma das características de um programa de segurança bem implementado é atender às expectativas e alcançar os objetivos definidos de forma eficiente, eficaz e consistente. No entanto, isso é de pouca ajuda para a maioria das empresas, pois muitas vezes não está claro quais são as expectativas ou objetivos específicos de segurança.
Conclusão
Embora não exista uma escala universalmente padronizada e objetiva de segurança, é possível desenhar métricas quantitativas eficazes para orientar o desenvolvimento e a gestão de programas nas empresas que tenham desenvolvido objetivos claros de segurança da informação.
Em essência, as métricas podem ser reduzidas a qualquer medida dos resultados do programa de segurança que avança em direção aos objetivos definidos. Finalmente, também se deve entender que diferentes métricas são necessárias para fornecer informações nos níveis estratégico, tático e operacional.