10 dicas para construir um painel de segurança eficaz

pesquisaHoje, as empresas devem lidar com sofisticadas ameaças. Em resposta a esta realidade não é de se admirar que as empresas estão cada vez mais se voltando para painéis (dashboards) de segurança – um poderoso veículo de comunicação para todos os profissionais de segurança da informação.

Um painel de segurança fornece informações para atender desde os analistas de segurança até CISOs, com as ferramentas para comunicar os incidentes e avaliar os riscos de segurança. Fornecedores normalmente oferecem aos clientes uma série de soluções personalizáveis, mas esta variedade levanta uma questão: quais características fazem um painel de controle de segurança mais eficaz?

Segundo especialistas da industria 10 dicas são extremamente recomendadas:

1) Certifique-se que é relevante para o público

É importante criar painéis de segurança, porque cada público tem diferentes objetivos e responsabilidades dentro da sua empresa.

Para ilustrar, uma das principais responsabilidades de um CISO é garantir que a empresa está segura de acordo com os objetivos de negócio traçados pela alta administração. Em outras palavras, o objetivo do CISO é proteger a organização contra danos à reputação e financeira. Já um analista de segurança tem outros objetivos como reduzir a superfície de ataques, investigar e responder a incidentes de segurança e outros.

2) Venda sucesso, não medo

Há sempre o medo ao redor, e sua organização já está respondendo a ele. Eles empregam você, afinal, para enfrentar esse medo! Mas eles querem ver um impacto positivo do investimento em segurança.

Você sabe que o desafio de segurança é assimétrica: enquanto o adversário pode se concentrar em um alvo específico, o defensor deve fazer o melhor uso de recursos limitados para priorizar e corrigir as exposições mais significativas. Dashboards são uma forma de demonstrar conquista em direção a esses objetivos.

Os profissionais devem usar painéis de segurança, não só para demonstrar a sua liderança que eles estão fazendo progresso em direção a melhorar métricas como tempo médio para corrigir vulnerabilidades de alta prioridade e exposições, identificação de ativos críticos e conformidade com os objetivos.

3) Seja breve e conciso

A consideração mais importante para a criação de um poderoso painel de segurança é a de saber quem é seu público e o que eles querem e precisam saber. Para conseguir isso, você deve compreender as suas necessidades e refinar seus métodos através de perguntas ou por um intermediário indicado por eles.

A alta administração da maioria das empresas é carente de tempo e tem uma baixa capacidade de atenção para temas técnicos. Esses executivos quase sempre querem saber “o que isso significa, e por que eu me importo?” Brevidade e relevância são, portanto, melhor para qualquer explicação técnica.

Os líderes da organização precisam de um painel alinhado entre risco de segurança e objetivos de negócio. O painel deve ser capaz de responder:

Que riscos são importantes para o negócio?
Qual é o status de segurança atual do negócio?
Que tendências são evidentes em segurança hoje sobre os quais a administração superior deve saber?
Como estamos em comparação com outras organizações e padrões da indústria?

4) Use visualizações compiladas

Esqueça os dados, esqueça as métricas, e esquecer os gráficos do Excel. A única coisa mais importante na construção de um poderoso painel de segurança é a apresentação da informação em si de uma forma que cria uma resposta visceral da platéia. A melhor maneira de fazer isso é começar um profissional, alguém de sua equipe de marketing, ou mesmo um terceiro.

Você precisa de alguém com experiência do usuário ou com habilidades de design de interface que pode apresentar a informação não só de uma forma visualmente atraente, mas também de uma maneira que faz sentido lógico e suavemente orienta o espectador através dos dados.

5) Permita que dados sejam detalhados

Dashboards de segurança são importantes e podem dar uma imagem geral da saúde do seu ecossistema. Mas é importante ter a capacidade de ter outras visões mais detalhadas a fim de fazer um dashboard mais eficaz.

Com vários níveis de informação será possível articular eficazmente uma mensagem de segurança, criar estratégias com níveis de recursos apropriados, e tomar medidas para melhorar suas proteções de segurança.

6) Apresentar as evoluções

Uma coisa muito importante sobre métricas, especialmente no âmbito da segurança, é que você não pode gerenciar o que não se pode medir. Se um programa de segurança está tentando remover o risco do ambiente, os profissionais de segurança precisam ter provas tangíveis de que os riscos estão sendo resolvidos. Se nenhuma evolução está sendo mostrada, não há nenhuma evidência verdadeira de como seus programas têm evoluído, seja para melhor ou para pior!

Estes resultados podem mostrar uma necessidade imediata dentro do seu ambiente e proporcionar uma visão não viciada em sua postura de segurança. Isto permite uma abordagem à segurança mais pró-ativa, ao invés de reativa.

7) Garantir customização

Os indivíduos pensam de forma diferente, e por causa disso, eles associam informações de forma diferente. Ao permitir-lhes a personalização de um painel, eles podem obter informações do jeito que mais lhe agradam. Isso irá ajudá-los a tomar melhores decisões de negócios.

8) Mantenha-o na web mas compatível com dispositivos móveis

Painéis são geralmente para o executivo ocupado e precisam ser acessados de qualquer lugar. Não há melhor maneira de fornecer este tipo de informação rapidamente do que através de um painel de segurança otimizado para dispositivos móveis. A informação deve ser sucinta, de fácil acesso, e sob medida para o executivo.

9) Revise completamente a informação antes de sua apresentação

Os executivos de negócios tendem a ser altamente hábeis em analisar grandes quantidades de informação para rapidamente tirar conclusões. Se eles encontrarem falhas na informação, imediatamente mina a sua confiança nos dados, no apresentador e, em última análise, na conclusão proposta. Como tal, é imperativo revisar que os dados estão corretos quando são apresentados pela primeira vez. Nada vai prejudicar mais rápido a sua credibilidade do que dados incorretos.

10) Peça avaliação dos seus companheiros da indústria

Pode-se realizar uma opinião sobre o que constitui uma boa segurança suficiente (mesmo uma opinião bem estudadas e validadas externamente), mas a menos que ele é testado contra a realidade local, ela permanece teórico. Quem pode dar ao luxo de fazer testes significativos de múltiplas opções? A única opção é aprender com a experiência dos colegas.

Dentro de uma indústria, você tem uma boa chance de encontrar empresas com perfis de risco comparáveis, assim, compartilhar a inteligência pode ser mutuamente benéfica.

No geral, um painel é apenas tão bom quanto a precisão do ponto de partida, a clareza da imagem, capacidade de medir o progresso, e o realismo (com capacidade existente e os investimentos obtidos) do alvo.

Acesse o conteúdo completo (em inglês) no link.