Rascunho de publicação do NIST oferece orientação sobre como organizações podem medir eficácia de seus programas de segurança da informação
Imagine que você é o novo chefe de segurança cibernética da sua empresa. Sua equipe começou bem a montar defesas para afastar hackers e ataques de ransomware.
À medida que as ameaças à segurança cibernética continuam a aumentar, você precisa mostrar melhorias ao longo do tempo para seu CEO e clientes. Como você mede seu progresso e o apresenta usando detalhes numéricos significativos?
Você pode querer um roteiro para criar um programa prático de medição de segurança da informação, e você o encontrará em diretrizes de rascunho recém-revisadas do National Institute of Standards and Technology (NIST).
O documento de dois volumes, cujo título geral é NIST Special Publication (SP) 800-55 Revision 2: Measurement Guide for Information Security, oferece orientação sobre o desenvolvimento de um programa eficaz e uma abordagem flexível para desenvolver medidas de segurança da informação para atender às metas de desempenho da sua organização. O NIST está pedindo comentários públicos sobre este rascunho público inicial até 18 de março de 2024.
A publicação foi projetada para ser usada em conjunto com qualquer estrutura de gerenciamento de risco, como a Estrutura de Segurança Cibernética do NIST ou a Estrutura de Gerenciamento de Risco.
Destina-se a ajudar as organizações a passar de declarações gerais sobre o nível de risco para um quadro mais coerente baseado em dados concretos.
“Todos gerenciam o risco, mas muitas organizações tendem a usar descrições qualitativas de seu nível de risco, usando ideias como cores de semáforo ou escalas de cinco pontos”, disse Katherine Schroeder, do NIST, uma das autoras da publicação. “Nosso objetivo é ajudar as pessoas a se comunicarem com dados em vez de conceitos vagos.”
Alcançar esse objetivo, segundo os autores, envolve passar de descrições qualitativas de risco — talvez usando categorias amplas como alto, médio ou baixo nível de risco — para quantitativas que carregam menos ambiguidade e subjetividade.
Um exemplo disso seria a afirmação de que 98% das contas de usuários autorizados do sistema pertencem a funcionários atuais e 2% a ex-funcionários.
A equipe desenvolveu o novo rascunho de orientação em parte em resposta a solicitações públicas e feedback de um pré-rascunho de chamada para comentários.
Grande parte desse feedback citou o aumento da disponibilidade de dados relacionados à segurança, juntamente com a incerteza sobre como colocar esses dados em uso efetivo.
Embora a orientação resultante não seja prescritiva, Schroeder disse que sua abordagem personalizada significa que pode ajudar uma variedade de organizações a criar e, em seguida, melhorar um programa de medição de segurança da informação que seja adequado para elas.
“Queremos que as pessoas consigam descobrir o processo do que medir. Você não precisa necessariamente processar todos os números”, disse ela.
“Por exemplo, você pode querer descobrir se sua organização está respondendo a incidentes adequadamente e pode considerar fatores como seu tempo de resposta e impacto na missão ou no negócio, como horas adicionais da equipe, recursos necessários ou impacto nos resultados. Então você pode apresentar essas informações de uma maneira que faça sentido, mesmo que você não seja um estatístico – para que você possa descobrir como fazer melhor.”
Os dois volumes são voltados para públicos diferentes dentro de uma organização. O primeiro, escrito principalmente para especialistas em segurança da informação, fornece orientação sobre como uma organização pode priorizar, selecionar e avaliar medidas específicas para determinar a adequação da segurança que já está em vigor.
O segundo, voltado principalmente para o C-suite, descreve como uma organização pode desenvolver um programa de medição de segurança da informação e oferece um fluxo de trabalho de várias etapas para implementá-lo ao longo do tempo.
Os autores apontam que as descrições qualitativas são apropriadas em certas circunstâncias, e que algumas organizações podem querer usar uma mistura de abordagens qualitativas e quantitativas.
Mas focar na medição pode ajudar a comunicação dentro de uma organização, potencialmente ajudando a melhorar a segurança e a alocação de recursos.
“Quando as equipes técnicas se comunicam com a gerência sobre segurança da informação, as métricas fornecem uma linguagem comum, usando tendências e números para preencher lacunas no entendimento”, escrevem os autores.
“As organizações querem ser capazes de avaliar se os controles, políticas e procedimentos estão funcionando de forma eficaz e eficiente e como a organização é impactada. As métricas podem ser usadas para ajudar a priorizar áreas de crescimento, melhoria ou redirecionamento de recursos.”
Nas Notas aos Revisores, o NIST propõe o estabelecimento de uma Comunidade de Interesse (CoI) para que os interessados em medição de segurança da informação trabalhem juntos para compartilhar conhecimentos, refinar o corpo de conhecimento e recursos e identificar oportunidades de crescimento e melhoria.
Indivíduos e organizações interessados em participar do Information Security Measurement CoI ou enviar comentários sobre o rascunho de dois volumes devem enviar um e-mail cyber-measures@list.nist.gov.
Ferramenta NIST tornará artigos de pesquisa pesados em matemática mais fáceis de visualizar on-line
As batalhas de segurança cibernética em 2024: IA, Veículos Elétricos, IoT e mais
TCS aponta tendências de segurança cibernética para 2024
O Crypto ID trilhou um caminho incrível!
Ao longo de uma década, fomos além das inovações e tendências, tornando-nos referência em segurança digital, identificação e privacidade.
Neste marco tão especial, renovamos nosso compromisso com um mundo digital mais seguro e confiável.
Agradecemos a todos que fizeram e fazem parte dessa trajetória – parceiros, colunistas, colaboradores, assessorias de imprensa e a nossa comunidade! Juntos, estamos construindo um futuro em que empresas, máquinas e pessoas possam confiar muito mais umas nas outra.