A evolução das métricas de segurança para NIST CSF 2.0
Os CISOs são aficionados por planilhas há muito tempo , absorvendo métricas e usando-as como KPIs para o progresso da segurança.
Essas métricas tradicionalmente medem sistemas específicos ou indicadores únicos – vulnerabilidades detectadas, porcentagem de vulnerabilidades corrigidas, cobertura de inventário de ativos de software e hardware, etc. O NIST Cybersecurity Framework (CSF) 2.0 ressaltou que métricas como essas por si só são insuficientes e provavelmente até impróprias quando usadas como proxies para resultados de segurança.
Métricas restritas e isoladas têm um lugar na segurança cibernética, é claro. No entanto, o CISO inteligente considerará essas métricas autônomas como apenas um tipo de informação – um tipo que é útil, mas que também pode ser inexato ou manipulado. Por esse motivo, os CISOs que desejam uma visão completa também devem examinar atentamente os processos de segurança.
Combinar o uso eficaz de métricas com uma compreensão mais profunda de como os processos de segurança funcionam é a melhor maneira de criar mais agilidade de segurança e permitir que as equipes reajam de forma mais rápida e eficaz.
Os CISOs precisam de um novo conjunto de métricas em torno da conformidade dos processos para fornecer observabilidade sobre como as equipes realizam seu trabalho. As métricas de processo podem abranger vários sistemas e atributos, quebrando silos e fornecendo uma visão mais holística da segurança que se alinha mais estreitamente com a ênfase do CSF 2.0 nos resultados em vez das métricas antigas que medem um único atributo ou fator.
Por que os CISOs se apaixonaram por planilhas e métricas
No início, os CISOs recebiam relatórios isolados em planilhas, geralmente um de cada ferramenta. Os analistas os agregariam manualmente em algo valioso e abrangente. À medida que as camadas de apresentação visual melhoraram e as integrações de ferramentas de segurança por meio de APIs se tornaram mais comuns, os CISOs detectaram o bug das métricas e começaram a criar painéis para complementar suas planilhas. E porque não? Quem não gosta de um sistema nítido e bem projetado para apresentar estatísticas e comunicar histórias e verdades básicas que funcionam no piloto automático? Em muitos casos, o painel era uma extensão das planilhas originais. O painel, assim como as planilhas, também oferecia a promessa de compatibilidade e adaptabilidade de KPI.
A responsabilização sempre foi um desafio central para os CISOs. Painéis e métricas colocam a cereja no topo do bolo da responsabilidade, tornando-o fácil e atraente. Na segurança cibernética, o fascínio por métricas claras e quantificáveis é inegável. Os painéis brilham com a promessa de controle, oferecendo uma maneira aparentemente simples de avaliar a saúde cibernética de uma organização. As métricas podem ser maleáveis, ajudando os CISOs a contar rapidamente histórias sobre o progresso ou a criar justificativas para investimentos adicionais.
Além disso, painéis e métricas críticas ofereceram uma maneira de simplificar o gerenciamento. Nas reuniões do conselho e nas confabs semanais do ELT, o CISO poderia enviar um link para o painel mais recente junto com um parágrafo de comentários e encerrar o dia. Afinal, todos os outros líderes da equipe C tinham suas métricas, desde custo de capital e custo por número de funcionários até receita recorrente e leads qualificados de marketing. As métricas de segurança, pintadas em um painel, cairiam perfeitamente na apresentação. Ou você pode exportá-lo para uma planilha para a equipe financeira, que fala em planilhas.
Por que os CISOs devem ter métricas e processos de peso iguais
No entanto, por baixo deste verniz de certeza reside uma verdade complexa: as métricas individuais, embora úteis, são fundamentalmente limitadas na medida em que medem apenas pontos de dados singulares de sistemas isolados. CISOs mais progressistas estão analisando de forma mais complexa seus painéis e colocando uma lupa nos processos que afetam as métricas e os resultados. Como Bruce Schneier há muito argumenta, a segurança é um processo – não um produto.
Para entender por que as métricas de processo são um complemento necessário às métricas tradicionais isoladas, considere os recentes ataques de hackers chineses e russos que lhes permitiram acessar contas de e-mail de altos funcionários do governo dos EUA e de altos executivos da Microsoft, respectivamente.
Esses ataques combinaram métodos rudimentares com engenharia social inteligente e, em alguns casos, exploração de vulnerabilidades conhecidas que não eram consideradas de risco extremamente elevado. Em alguns casos, os invasores tiveram como alvo servidores internos herdados que permaneceram conectados a redes corporativas por engano.
Esses ataques teriam passado despercebidos em grande parte pelo radar dos painéis de segurança. A análise desses incidentes culpou principalmente a cultura de segurança das organizações infratoras — em outras palavras, a falta ou a inadequação de processos de segurança. Instâncias de processos fracos ou com falha incluíram verificações insuficientes para garantir que os sistemas legados estivessem off-line e processos de rotação de certificados inadequados para evitar ataques persistentes. O resultado final? As métricas por si só não contariam a história de um processo quebrado. De forma mais ampla, uma dependência limitada de pontos de dados únicos, e não de métricas, como parte de um processo mais extenso é perigosa para os CISOs.
- Métricas isoladas não contam toda a história: métricas restritas podem mostrar o número de vulnerabilidades corrigidas, mas não capturam as causas raízes, como essas vulnerabilidades foram priorizadas ou se as mais críticas foram abordadas primeiro. Medições métricas restritas por si só não revelarão se as equipes estão seguindo protocolos de aplicação de patches consistentes ou se estão tomando decisões ad hoc.
- Métricas isoladas são facilmente manipuladas: se as equipes forem responsabilizadas apenas pelas métricas, elas poderão se concentrar em atingir metas em vez de alcançar a verdadeira segurança. Resultados inflacionados ou estatísticas escolhidas a dedo podem ser selecionados para criar uma falsa sensação de realização, em vez de gerar melhorias significativas.
- Métricas isoladas não refletem adaptabilidade: focar apenas nas métricas pode sufocar a inovação e a preparação. As métricas isoladas geralmente refletem dados históricos, e não a velocidade ou a eficácia da resposta a uma ameaça emergente.
Nada disso quer dizer que métricas restritas sejam inúteis. Sua direcionalidade pode sugerir problemas maiores ou fraquezas do processo. Eles são uma excelente forma de capturar o estado de prontidão dos controles de segurança ou o volume e tipo de ataques, por exemplo.
Métricas restritas são uma forma de medir a postura de segurança diária de uma organização. Mas ao ampliar o foco de métricas restritas para métricas de processo, os CISOs podem alcançar melhores resultados de segurança. Aqui estão algumas vantagens de adicionar análise de processo ao mix:
- Compreensão holística: a segurança orientada por processos fornece uma compreensão abrangente de como as medidas de segurança funcionam juntas como parte de processos maiores. Esse entendimento permite que os CISOs respondam a perguntas complexas, tomem decisões informadas e identifiquem áreas de melhoria.
- Verdadeira responsabilidade: priorizar o processo em detrimento das métricas garante que a responsabilidade não se baseie apenas no cumprimento de metas, mas na obtenção de melhorias de segurança significativas. Essa abordagem evita que as equipes joguem métricas e incentiva o foco nos resultados reais de segurança.
- Adaptabilidade e inovação: As métricas reflectem frequentemente dados históricos e podem não captar a velocidade e a eficácia da resposta às ameaças emergentes. A priorização de processos incentiva a adaptabilidade e a inovação, permitindo que as organizações se mantenham à frente da evolução das ameaças cibernéticas.
Como os CISOs podem construir uma força de processo melhor
Construir uma abordagem de segurança orientada por processos é mais complexo do que instituir uma série de listas de verificação e manuais (embora estes tenham o seu lugar). Aqui estão algumas etapas básicas para construir uma cultura e abordagem melhor orientadas para processos.
Analisar e instrumentar processos de segurança. O que não é medido não pode ser melhorado. Implante métodos para rastrear e registrar processos de segurança para permitir a análise sistemática de falhas e lacunas de processos. Sem análises e retrospetivas frequentes, as equipas não aprenderão com as suas ações e a aprendizagem coletiva não será ampliada através de aprendizagens partilhadas. Ironicamente, isso cria outra forma de métrica – mas com uma diferença. As métricas de processo analisam o que os sistemas e as pessoas fazem e como o fazem, usando dados em tempo real diretamente do seu ambiente. É uma visão do elemento humano do gerenciamento e resposta da postura de segurança.
Forneça orientação de processo, não regras. Os processos tornam-se mais poderosos quando as equipes podem adaptá-los às suas próprias necessidades e situações. Os CISOs que desejam desbloquear a sabedoria e o poder das suas equipes de segurança lhes darão orientação sobre os resultados que desejam, em vez de regras específicas sobre como alcançar esses resultados.
Deixe que os especialistas humanos liderem o caminho. Os melhores engenheiros de segurança são gênios no reconhecimento de padrões. Sua lógica em ataques causadores de raiz geralmente fornece excelente orientação para projetar processos. Isso também dá agência às equipes e permite que elas criem e adaptem processos que correspondam aos seus fluxos de trabalho.
Os CISOs de hoje enfrentam uma série estonteante de desafios de segurança cibernética . O CSF 2.0 e seu movimento em direção a resultados e processos em vez de métricas reconhecem que a antiga dependência de métricas e painéis simples era insuficiente para atender ao cenário de ameaças em rápida evolução.
Capturar processos com métricas compostas que abrangem sistemas e mostram comportamentos e eventos em conjunto ajudará as equipes de segurança a se concentrarem nos resultados e a se tornarem mais adaptáveis, obtendo uma visão clara de como se comportam quando é mais importante.