Os gestores de segurança estão sempre às voltas com dezenas de métricas que vão auferir o desempenho e a eficiência de seus programas de segurança digital. Mas como fazer uso desses indicadores para aumentar o nível de maturidade da organização, tornando o negócio mais resiliente às ameaças? Como conscientizar a alta direção e conquistar o seu apoio para um projeto de segurança digital?

Muito mais do que informações sobre performance da infraestrutura, produtividade e engajamento, os líderes de negócio querem entender como o negócio é impactado por cada uma das ações de segurança digital. Para isso, não basta apresentar um relatório com o número de vulnerabilidades solucionadas ou portas bloqueadas. O principal papel do gestor de segurança é conseguir traduzir seus indicadores em informação útil para o negócio, pois uma vulnerabilidade solucionada, mais do que um resultado técnico, significa a não realização de um prejuízo financeiro para a organização.

Métricas precisam estar acompanhadas da visão do negócio

Métricas na área de segurança da informação são bastante comuns, porém, na maioria dos casos, estão relacionadas apenas à capacidade técnica do time. São raros os casos em que as métricas estão associadas ao contexto do negócio. Dizer que “200 mil tentativas de intrusão foram detectadas pelo sistema de monitoramento”, por exemplo, pode ser um indicador relevante para a área técnica, mas conversa pouco com as áreas de negócio, pois não traz nenhuma informação que impacta a saúde financeira da empresa.

Neste cenário, é fundamental que os profissionais de segurança passem a buscar parcerias nas áreas de finanças e riscos, que certamente conhecem bem o impacto de uma falha operacional para o negócio e podem ajudar o gestor de segurança a estabelecer critérios e métricas que quantifique, do ponto de vista financeiro, o trabalho de segurança digital.

No setor de energia, por exemplo, estima-se que cada minuto de interrupção no fornecimento de energia elétrica custe cerca de R$ 5 milhões às empresas. Estabelecer um indicador que correlacione esse dado com a quantidade de tentativas de invasões poderia oferecer maior visibilidade tanto às empresas do setor quanto aos clientes em relação ao prejuízo evitado pela organização em decorrência das ameaças cibernéticas.

Dados do Instituto Ponemon mostram também que a média de tempo necessária para identificar uma ameaça é de 240 dias e 100 dias para conter a violação de dados – a média é de 197 dias no resto do mundo. Quanto maior esse período, maiores são os custos de remediação, que vão desde os custos dos danos à reputação e à imagem, passando pela perda de clientes e de informações, até os custos de paradas na produção. Ou seja, é possível associar o tempo de resposta a um incidente à perda de clientes e, consequentemente, calcular a perda financeira relacionada ao tempo de resposta.

Não por acaso, métricas associadas ao negócio são fortes argumentos para justificar o investimento de qualquer solução ou atividade que o gestor de segurança da informação queira implementar na empresa, inclusive em reuniões com a alta gestão, pois mostram que a área de segurança está alinhada aos objetivos do negócio.

Como abordar o que mais importa?

Se muitas vezes os executivos não contam com uma visão ampla da estratégia de segurança da informação e sua importância para o sucesso do negócio, só cabe ao gestor de segurança iniciar esse diálogo, especialmente porque é responsabilidade dele entender, ao definir suas estratégias, qual é o nível de tolerância ao risco da alta direção e deixar claro que nenhuma ferramenta ou processo é capaz de blindar a empresa contra todas as ameaças.

Neste sentido, as métricas podem servir para criar esse diálogo. No entanto, o maior diferencial que um gestor de segurança pode ter é, a partir dos dados, atuar como facilitador, pois ele é quem conhece em profundidade o impacto de uma ameaça cibernética, e deve traduzir, utilizando métricas e linguagem de negócio, o que isso significa para as demais áreas e lideranças da organização.

Afinal, uma empresa somente eleva sua maturidade quando a segurança da informação se torna uma preocupação de toda a organização, tornando-se elemento integrante da cultura organizacional.