Especialistas em segurança de informação gostam de argumentar sobre uma longa lista de possíveis métricas para medir a postura de seu sistema de segurança. Para gerentes e executivos, o cenário precisa ser simplificado para uma coleção menos controversa de medidas. Enquanto os administradores de segurança se focam em métricas técnicas, os gerentes e chefes têm como objetivo observar como a proteção interage com a empresa, afirmou Kevin Lawrence, associado sênior de segurança na empresa de segurança de TI Stach e Liu.
“Tudo depende se o impacto no negócio vale a recompensa da segurança. Não tem sentido fechar uma vulnerabilidade se depois não puder realizar negócios”, afirmou Lawrence.
As melhores notícias de tecnologia B2B
Acompanhe todas as novidades diretamente na sua caixa de entrada
Aqui estão cinco métricas de segurança para rastrear seus negócios.
- Fique pareado com seus iguais: um bom começo para as empresas é avaliar se estão gastando a media das empresas de sua indústria. Em 2012, espera-se que a segurança conte com 7% da receita de TI nas empresas americanas, segundo a empresa de inteligência de negócios Forrester Research. O número varia com empresas de serviço financeiro gastando mais e fabricantes e área de saúde, menos. “Se seus parceiros gastam 6% de sua receita de TI em segurança e você, 2%, provavelmente há um problema”, afirmou Lawrence. Apesar da métrica não indicar se a receita é gasta da maneira correta, é uma boa forma de medida.
- Correção de alto desempenho: saber quanto tempo demora para aplicar uma correção em todos os sistemas da empresa é outra métrica crítica. Uma semana ou menos é o ideal. “A correção não é tudo – há muitos zero-days por aí. Mas há uma alta correlação entre explorações no modo selvagem e vulnerabilidades que podem ser corrigidas”, afirmou Andrew Jaquith, chefe de tecnologia da empresa de serviço de segurança Perimeter e-Security. Apesar da correção não ser necessariamente o equivalente à segurança, é um indicador do controle da empresa sobre seu sistema.
- Padronização = segurança: para muitas empresas, manter o sistema atualizado com uma imagem padrão permite que seus funcionários mantenham em segurança dezenas ou milhares de programas de software em cada sistema. A padronização também ajuda a garantir que seu sistema esteja em conformidade com as regras que afetam o negócio. Segundo Lawrence da Satch & Liu, “se você possui cem computadores diferentes em seu ambiente e apenas 80 são padronizados, então há uma grande falha que é imprescindível que seja fechada”.
- Checando a lista rapidamente: empresas têm que estar em conformidade com inúmeras regas ou permissões de clientes e consumidores. Medir a rapidez com que os funcionários das empresas checam a lista crítica é uma boa medida de segurança, afirmou Jaquith da Perimeter. Como as equipes de TI estão atoladas de lista de coisas para fazer, a melhor métrica é se focar nos problemas críticos durante uma auditoria: “os que estão marcados de vermelho”, afirmou Jaquith.
- Dome a infraestrutura “Cowboy”: finalmente, se a empresa tem frequentes correções emergenciais e problemas de manutenção – sem mencionar tempo fora do ar – geralmente tem pouca segurança. Emergências são tipicamente uma indicação de que a infraestrutura não é bem gerenciada. “Se 50% de suas mudanças são feitas em modo emergencial e não como manutenção típica, sua infraestrutura é cowboy. E cowboys não levam à boas operações, e mais importante, não levam a resultados seguros”, afirmou Jaquith. A maioria das empresas agendam janelas de tempos fora do ar para manutenção, correção ou outras atividades. Ter qualquer atividade que tenha impacto na segurança nessas janelas indica que a empresa está planejando adequadamente suas ações.
Tradução: Alba Milena, especial para o IT Web | Revisão: Thaís Sabatini