A NIST espera criar uma comunidade de métricas de cibersegurança

O National Institute of Standards and Technology (NIST) está a apelar à criação de uma Community of Interest (CoI) para aqueles interessados na medição de segurança da informação, para trabalharem juntos, partilharem conhecimentos, refinarem o corpo de conhecimento e recursos, e identificarem oportunidades de crescimento e melhoria.

Na sequência da partilha de um rascunho público inicial de dois conjuntos de melhores práticas para primeiro determinar quais métricas a serem recolhidas e como implementar formas de as recolher, o NIST está agora a pedir feedback público sobre estes rascunhos como parte de um esforço para construir uma comunidade maior. O primeiro define uma abordagem flexível para o desenvolvimento, seleção e priorização de medidas de segurança de informações baseadas em métricas quantitativas e qualitativas que podem ser modeladas e analisadas. O segundo define uma metodologia para desenvolver e implementar uma estrutura para um programa de medição de segurança da informação.

Medir a eficácia sempre foi problemático porque envolve tentar provar um negativo. Na ausência de uma violação, a cibersegurança é considerada bem-sucedida. Quando a violação inevitável ocorre, a questão rapidamente se torna em quão rapidamente as equipas de cibersegurança conseguem limitar os danos. A maioria das equipas de cibersegurança implementou algum tipo de defesa em camadas para limitar o potencial raio de explosão de uma violação.

Agora, no entanto, os líderes empresariais estão a pedir à cibersegurança que quantifique o nível de risco de cibersegurança que a organização enfrenta para determinar melhor qual é o nível real de investimento necessário. Os executivos empresariais podem não saber muito sobre cibersegurança, mas conseguem avaliar os riscos para o negócio. A cibersegurança, do seu ponto de vista, é apenas um dos muitos riscos para o negócio que precisam de ser avaliados. De forma igualmente crítica, os líderes empresariais querem saber se os investimentos anteriores feitos em cibersegurança tiveram algum impacto significativo na redução do nível de risco enfrentado.

O desafio é que as métricas que as equipas de cibersegurança monitorizam hoje nem sempre se correlacionam facilmente com um risco que os líderes empresariais valorizem. Em vez de cada equipa de cibersegurança tentar definir um conjunto de métricas que esperam que os líderes empresariais possam compreender, a NIST está a apelar à comunidade de cibersegurança para definir essas métricas de forma colaborativa.

Naturalmente, será difícil para qualquer equipa de cibersegurança dedicar tempo e recursos a estes tipos de esforços. A maioria das equipas de cibersegurança está sob pressão para responder a ameaças existentes. Dedicar tempo a definir um conjunto de métricas para avaliar os retornos sobre o investimento (ROI) em cibersegurança parece muito com um exercício de documentação do óbvio, quando todos sabem que as violações podem ter consequências catastróficas. Infelizmente, o ROI em cibersegurança é tudo menos óbvio para os líderes empresariais, que muitas vezes sentem que pouco progresso está a ser feito, apesar de anos de investimento contínuo.

É claro que uma coisa que os líderes empresariais têm consistentemente falhado em reconhecer é como as táticas e técnicas usadas pelos cibercriminosos continuam a evoluir. Sempre que uma organização implementa um conjunto de ferramentas e práticas para impedir um tipo de ataque, não demora muito até que os cibercriminosos mudem de tática novamente. A cibersegurança não é um objetivo estático que pode ser alcançado e mantido. Pelo contrário, é uma batalha em constante mudança que, ao longo do tempo, exigirá o financiamento de novos tipos de armamento para ser travada com sucesso.