Peça a seus profissionais de segurança uma lista de importantes métricas e espere obter uma lista longa com muito debate. No entanto, os gerentes de segurança da informação precisam encontrar uma maneira de acompanhar o seu progresso na proteção da rede, tomando o devido cuidado para evitar situações potencialmente ameaçadoras.
Boas métricas podem ajudar a definir a luta. Embora muitos profissionais possam argumentar que é melhor ter o máximo de informação possível sobre a segurança da sua rede, muita informação pode cegar os praticantes para o que está acontecendo, disse Mike Lloyd, diretor de tecnologia para monitoramento de rede da RedSeal Network.
?Você não tem que ter, nem querer, um painel como o de um avião?, diz ele. ?Você tem que querer um painel mais parecido com o de um carro.?
No seu próprio painel para os clientes, RedSeal vai a um extremo: a única pontuação global para o risco de rede. A pontuação é o que revela as métricas específicas que compõem o placar. Um mapa de rede e duas listas de Top 10 completam o painel.
A Verizon e sua prática de segurança gerenciada incide mais sobre as métricas de incidentes. Seguir o que der errado pode ajudar um gerente de TI a descobrir onde alocar recursos, disse Christopher Porter, diretor de equipe de risco da Verizon.
?Os tipos de incidentes que você tem em sua organização são uma espécie de indicativo das pessoas, processos e tecnologia que você tem no lugar?, disse ele.
Aqui estão cinco métricas recomendadas pelas empresas:
1. Sua ignorância.
De Sun Tzu para Donald Rumsfeld, generais militares interessados em segurança estão sempre preocupados com o que eles não sabem. Profissionais de segurança devem ter uma página de seus playbooks, disse Lloyd da RedSeal.
Ao medir o que é desconhecido pode parecer um paradoxo na melhor das hipóteses e na pior das hipóteses um exercício de futilidade, ela é tanto factível e importante. Comparando a imagem de que diferentes grupos têm da rede pode levar a encontrar as peças que uma equipe conhece e outra não.
?Você tem que ser capaz de examinar o terreno?, diz Lloyd. ?Se você não pode dizer, como um CISO, o quão grande as falhas são em seu conhecimento, então você está em apuros.?
2. Área de superfície de ataque
Uma vez que uma rede foi mapeada, as empresas podem então tentar encontrar os caminhos em uma rede que um invasor pode usar.
A medida da caixa preta geral de um sistema ou de rede pode ser expressa como uma avaliação da área de superfície de ataque ? uma medida para ser minimizada. Se a rede é um tabuleiro de xadrez, então os sistemas na rede são peças de xadrez, diz Lloyd. Se alguma for deixada aberta para os atacantes, a caixa poderá estar comprometida.
?Você pode pegar qualquer dado ativo e descobrir como é fácil de entrar?, diz Lloyd. ?Um scanner de vulnerabilidade é uma ótima maneira de avaliar o tabuleiro de xadrez da rede. Ele conhece uma enorme quantidade de peças.?
3. Incidentes ao longo do tempo
Quando os incidentes acontecem, erros de configuração do roteador ou ataques de verdade, eles devem ser monitorados, diz Porter da Verizon.
Incidentes de rastreamento podem ajudar o gerente de segurança a ter uma ideia de como a equipe está ciente dos potenciais problemas antes que eles se tornem problemas de verdade.
?Se eu começar a recolher os meus incidentes e tiver a capacidade de ver quais os tipos que estão afetando a organização, poderei ver minhas fraquezas?, diz ele. ?Eu posso ver se meus recursos estão fazendo esses incidentes ir para baixo.?
4. Vulnerabilidade dos recursos críticos
Priorizar as questões que necessitam de ação é uma parte necessária do trabalho de qualquer gerente de segurança.
Uma forma de escolher questões de segurança é classificá-las por nível de vulnerabilidade de um ativo e o valor do ativo. Uma vulnerabilidade crítica em um servidor exposto segurando lista de clientes da empresa sensível é muito mais importante do que uma questão de baixa severidade em um servidor de arquivo interno.
?A questão que precisa ser respondida é sobre as ações que têm o maior retorno?, diz Lloyd.
5. Impacto das vulnerabilidades de mitigação
Finalmente, as empresas precisam ser capazes de buscar soluções que podem ser benéficas para múltiplos servidores e estações de trabalho. Uma boa métrica para controlar esse benefício positivo é concentrar-se sobre o impacto da fixação de uma vulnerabilidade particular, diz Lloyd.
?O maior impacto que pode ter não é apenas por remendar os servidores mais críticos. Eu quero encontrar uma maneira de maximizar o impacto.?
Conhecer o impacto de cada ação é fundamental.
Fonte: Robert Lemos | InformationWeek EUA; replicada pela InformatioWeek Brasil
