{"id":2706,"date":"2019-10-30T15:01:03","date_gmt":"2019-10-30T18:01:03","guid":{"rendered":"https:\/\/centric.com.br\/?p=2706"},"modified":"2019-10-30T15:01:03","modified_gmt":"2019-10-30T18:01:03","slug":"como-gerar-metricas-de-seguranca-para-a-sua-empresa","status":"publish","type":"post","link":"https:\/\/centric.com.br\/blog\/como-gerar-metricas-de-seguranca-para-a-sua-empresa\/","title":{"rendered":"Como gerar m\u00e9tricas de seguran\u00e7a para a sua empresa?"},"content":{"rendered":"\n
As m\u00e9tricas indicam o grau de seguran\u00e7a em rela\u00e7\u00e3o a um ponto de refer\u00eancia. Confira sete crit\u00e9rios que s\u00e3o fundamentais para a cria\u00e7\u00e3o de m\u00e9tricas de seguran\u00e7a eficazes. <\/p>\n\n\n\n
Um dos objetivos fundamentais da medi\u00e7\u00e3o e monitoriza\u00e7\u00e3o est\u00e1 relacionado ao apoio \u00e0 tomada de decis\u00f5es<\/strong>. Deste ponto de vista, \u00e9 fundamental poder responder a perguntas como: voc\u00ea pode definir o grau de seguran\u00e7a de sua empresa? Qual n\u00edvel de seguran\u00e7a seria suficiente? Que impacto a falta de seguran\u00e7a pode ter sobre a produtividade? Sem d\u00favida, teremos de contar com uma ferramenta que nos permita esclarecer este tipo de quest\u00f5es.<\/p>\n\n\n\n Ao longo deste texto, focamos em uma abordagem para o uso de m\u00e9tricas de seguran\u00e7a de forma eficaz.<\/p>\n\n\n\n \u00c9 comum ouvir que, se algo \u00e9 conhecido, mas n\u00e3o pode ser medido em n\u00fameros, o conhecimento \u00e9 prec\u00e1rio ou deficiente. Podemos definir \u201cm\u00e9trica\u201d como um termo usado para denotar medidas baseadas em uma ou mais refer\u00eancias, envolvendo pelo menos dois pontos: a medida e a refer\u00eancia.<\/p>\n\n\n\n Se falamos de seguran\u00e7a, podemos tamb\u00e9m defini-la como a prote\u00e7\u00e3o contra qualquer preju\u00edzo ou riscos. Relacionando ambos conceitos, podemos concluir que as m\u00e9tricas de seguran\u00e7a geralmente indicam o estado ou grau de seguran\u00e7a<\/strong> em rela\u00e7\u00e3o a um ponto de refer\u00eancia.<\/p>\n\n\n\n Logicamente, as m\u00e9tricas mais t\u00e9cnicas s\u00e3o especialmente \u00fateis para a gest\u00e3o operacional como Sistemas de Detec\u00e7\u00e3o de Intrus\u00e3o (IDS), Antiv\u00edrus, Firewalls, WAF ou Security Event Information Manager (SIEM), entre outras ferramentas de seguran\u00e7a. A principal informa\u00e7\u00e3o que podem indicar \u00e9 se as plataformas s\u00e3o tratadas corretamente ou n\u00e3o, a identifica\u00e7\u00e3o de vulnerabilidades ou se recebem o acompanhamento correspondente.<\/p>\n\n\n\n No entanto, estas m\u00e9tricas podem n\u00e3o ter tanto valor do ponto de vista da gest\u00e3o, considerando que:<\/p>\n\n\n\n Por esta raz\u00e3o, m\u00e9tricas relevantes que atendam aos requisitos desenvolvidos e alinhados com a gest\u00e3o do neg\u00f3cio ter\u00e3o maiores benef\u00edcios, sendo mais eficazes<\/strong> para a seguran\u00e7a da empresa.<\/p>\n\n\n\n Em alguns casos, auditorias e avalia\u00e7\u00f5es de risco abrangentes s\u00e3o as \u00fanicas a\u00e7\u00f5es que as empresas tomam para fornecer uma perspectiva mais extensa. Embora sens\u00edveis e necess\u00e1rias \u00e0 gest\u00e3o, essas atividades fornecem apenas uma imagem est\u00e1tica<\/strong>, n\u00e3o o que \u00e9 idealmente necess\u00e1rio para orientar a gest\u00e3o di\u00e1ria da seguran\u00e7a, nem fornecem as informa\u00e7\u00f5es necess\u00e1rias para tomar decis\u00f5es prudentes.<\/p>\n\n\n\n \u00c9 importante compreender que, para que as m\u00e9tricas sejam \u00fateis, as informa\u00e7\u00f5es fornecidas devem ser relevantes para os pap\u00e9is e responsabilidades dos receptores. Desta forma, os departamentos envolvidos ser\u00e3o capazes de executar as decis\u00f5es relevantes, tais como qualquer coisa que resulte de uma mudan\u00e7a e possa ser medida.<\/p>\n\n\n\n No entanto, existem sete crit\u00e9rios fundamentais que devem ser usados para que uma m\u00e9trica seja adequada:<\/p>\n\n\n\n O risco operacional e a sua contraparte, a seguran\u00e7a, n\u00e3o podem ser medidos diretamente em termos absolutos<\/strong> \u2013 pelo contr\u00e1rio, o indicador de medi\u00e7\u00e3o est\u00e1 geralmente relacionado com aspectos como probabilidades, exposi\u00e7\u00f5es, atributos, efeitos e consequ\u00eancias.<\/p>\n\n\n\n V\u00e1rias das abordagens que podem ser \u00fateis incluem o valor em risco (VaR), o retorno sobre o investimento em seguran\u00e7a (ROSI) e expectativa de perdas anuais (ALLO). Para come\u00e7ar, o VaR<\/strong> \u00e9 usado para calcular a perda m\u00e1xima prov\u00e1vel em um per\u00edodo definido (dia, semana, ano) com um n\u00edvel de confian\u00e7a t\u00edpico de 95% ou 99%.<\/p>\n\n\n\n Em segundo lugar, o ROSI \u00e9 utilizado para calcular o retorno do investimento com base na redu\u00e7\u00e3o das perdas resultantes de uma verifica\u00e7\u00e3o de seguran\u00e7a. Entretanto, o ALE fornece o c\u00e1lculo da poss\u00edvel perda anual, com base na frequ\u00eancia e magnitude prov\u00e1veis da instabilidade de seguran\u00e7a.<\/p>\n\n\n\n Estes n\u00fameros, geralmente especulativos, podem ser utilizados como base para atribuir ou justificar recursos para atividades de seguran\u00e7a.<\/p>\n\n\n\n Em algumas empresas \u00e9 poss\u00edvel que os impactos m\u00e1ximos que poderiam ter eventos adversos possam ser tentados erroneamente como medida de seguran\u00e7a. Em outras palavras, eventos adversos teriam que ocorrer para determinar se a seguran\u00e7a est\u00e1 funcionando.<\/p>\n\n\n\n Um bom conceito indica que uma das caracter\u00edsticas de um programa de seguran\u00e7a bem implementado \u00e9 atender \u00e0s expectativas e alcan\u00e7ar os objetivos definidos de forma eficiente, eficaz e consistente. No entanto, isso \u00e9 de pouca ajuda para a maioria das empresas, pois muitas vezes n\u00e3o est\u00e1 claro quais s\u00e3o as expectativas ou objetivos espec\u00edficos de seguran\u00e7a.<\/p>\n\n\n\n Embora n\u00e3o exista uma escala universalmente padronizada e objetiva de seguran\u00e7a, \u00e9 poss\u00edvel desenhar m\u00e9tricas quantitativas eficazes<\/strong> para orientar o desenvolvimento e a gest\u00e3o de programas nas empresas que tenham desenvolvido objetivos claros de seguran\u00e7a da informa\u00e7\u00e3o.<\/p>\n\n\n\n Em ess\u00eancia, as m\u00e9tricas podem ser reduzidas a qualquer medida dos resultados do programa de seguran\u00e7a que avan\u00e7a em dire\u00e7\u00e3o aos objetivos definidos. Finalmente, tamb\u00e9m se deve entender que diferentes m\u00e9tricas s\u00e3o necess\u00e1rias para fornecer informa\u00e7\u00f5es nos n\u00edveis estrat\u00e9gico, t\u00e1tico e operacional. As m\u00e9tricas indicam o grau de seguran\u00e7a em rela\u00e7\u00e3o a um ponto de refer\u00eancia. Confira sete crit\u00e9rios que s\u00e3o fundamentais para a cria\u00e7\u00e3o de m\u00e9tricas de seguran\u00e7a eficazes.<\/p>\n","protected":false},"author":1,"featured_media":2707,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[194],"tags":[207,160],"yoast_head":"\nEntendendo o que \u00e9 uma m\u00e9trica<\/strong><\/h3>\n\n\n\n
Como gerar m\u00e9tricas de seguran\u00e7a eficazes?<\/strong><\/h3>\n\n\n\n
Conclus\u00e3o<\/strong><\/h3>\n\n\n\n
Fale com nossos especialistas e solicite uma consultoria:
https:\/\/centric.com.br\/contato\/<\/a>
Telefone: (11) 5181-2233
E-mail: comercial@centric.com.br
Temos as melhores solu\u00e7\u00f5es para o seu neg\u00f3cio de TI.
Fonte: https:\/\/www.welivesecurity.com<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"