Um exemplo de um scorecard de estratégia com indicadores de desempenho que aborda as tendências emergentes da cibersegurança.
Tópicos principais do artigo:
Ponto de partida: estudos de segurança de dados
Estudos regulares sobre segurança e proteção de dados nos dão uma boa ideia sobre a causa raiz das violações de dados e as maneiras de preveni-las. Neste artigo, discutiremos um exemplo de como essas descobertas podem ser combinadas em uma estratégia abrangente de cibersegurança mensurável por KPIs.
Aqui estão os relatórios que usaremos como referência:
- Relatório de Custo de Violação de Dados da IBM1 com estudos conduzidos pelo Instituto Ponemon é um dos benchmarks no mundo da segurança de TI.
- Relatório de Investigações de Violação de Dados da Verizon2 adiciona uma perspectiva diferente sobre os riscos de cibersegurança e as maneiras de abordá-los.
- Pesquisa Global de Segurança da Informação da EY3 compartilha as melhores práticas que as organizações implementam para abordar os riscos de segurança de dados.
- Relatório M-TRENDS da FireEye4 relata as ameaças à segurança de dados e sua evolução ao longo do tempo.
Terminologia: Cibersegurança, Segurança de Dados, Proteção de Dados, Privacidade de Dados
Vamos começar com a discussão da diferença entre os termos segurança de dados/informação e proteção de dados (privacidade de dados).
- Segurança de dados/informação refere-se à manutenção de uma arquitetura segura para gerenciar dados. Pense em backups regulares, software de segurança atualizado, direitos de acesso, implementação de software DLP, etc.
- Proteção de dados diz respeito ao uso ético e legal dos dados – obter consentimento e seguir obrigações regulatórias.
Essa diferença é importante. Por exemplo, no caso do Facebook–Cambridge Analytica, os dados foram geridos de forma segura (foram criptografados e armazenados em um servidor seguro), mas não foram geridos de forma responsável de acordo com os regulamentos de proteção de dados.
O termo proteção de dados é usado principalmente na Europa e Ásia, enquanto nos EUA, o mesmo conceito é chamado de privacidade de dados. Françoise Gilbert compartilhou uma boa explicação das diferenças em seu blog.
Finalmente, o termo cibersegurança deve abranger uma gama mais ampla de ideias, incluindo não apenas a segurança de dados, mas outros sistemas de segurança. Na prática, ele é muitas vezes usado de forma intercambiável com o termo segurança de dados.
Por que precisamos de KPIs e estratégia de cibersegurança?
Além das ideias óbvias, como saber como sua organização está indo e entender a direção a seguir, eu mencionaria estes motivos:
- Ser capaz de apoiar argumentos com alguns dados ao apresentar novas soluções de segurança às partes interessadas.
- Ter um contexto de negócios formulado ajuda a alinhar iniciativas de cibersegurança a outras partes da estratégia, por exemplo, ao scorecard de Talentos, scorecard de TI ou scorecard de governança corporativa.
- Converter algumas ideias vagas como “ambiente de negócios altamente seguro que aproveita as mais recentes tecnologias de TI” em algo mais tangível com indicadores de desempenho específicos.
Como medir algo que ainda não aconteceu
Pode parecer que a segurança de dados é algo intangível e difícil de quantificar e medir, pois nunca sabemos de antemão que tipo de violação de dados uma organização enfrentará. Os estudos empíricos mencionados no início (veja, por exemplo, o relatório de Segurança da IBM) compartilham um ponto de vista diferente.
A maioria das violações de dados é causada por fatores conhecidos como:
- Credenciais comprometidas (19%)
- Phishing (14%)
- Mau configuração de nuvem (19%)
Isso nos dá uma ideia de onde os esforços de cibersegurança devem ser focados.
Embora não possamos prevenir todas as violações de dados, os dados mostram que podemos minimizar seu impacto na organização por meio de:
- Implementação de automação de segurança,
- Ter uma equipe de resposta e um plano de resposta prontos,
- Educando os funcionários, e
- Testando o ambiente de negócios usando abordagens como o teste de red team.
Para as funções e ativos empresariais mais críticos, definiremos o ponto de recuperação e os objetivos de tempo de recuperação, que podem ser formalizados no scorecard para recuperação de desastres e alinhados com o scorecard de cibersegurança.
Quais Estruturas de Negócios são Aplicáveis para Segurança de Dados?
Anteriormente, discutimos várias estruturas de negócios que ajudam as organizações a articular e executar suas estratégias. Quais estruturas são aplicáveis para um domínio de cibersegurança?
Para obter os melhores resultados, precisamos combinar várias estruturas:
- Usaremos a análise PESTEL para detectar e analisar os novos fatores do ambiente externo (veja os objetivos da perspectiva de Aprendizado e Crescimento). Esses podem ser mudanças na legislação, como leis de proteção de dados, ou mudanças disruptivas que vimos após a Covid-19, por exemplo, a tendência do trabalho remoto.
- Falaremos muito sobre focar nos esforços de resposta. Nesse contexto, várias estruturas de priorização ajudarão.
- Ao trabalhar em uma estratégia de segurança de dados, precisamos levar em conta ações que são necessárias hoje, no futuro próximo e algumas iniciativas para o futuro remoto. Nesse contexto, a estrutura dos Três Horizontes ajudará a realizar discussões disciplinadas.
- Para converter todas essas ideias desconectadas em uma estratégia coerente, usaremos a estrutura do Balanced Scorecard.
Vamos usar as estruturas de negócios mencionadas e os relatórios de pesquisa referenciados no início para criar um exemplo de estratégia de segurança de dados.
Perspectiva financeira. Estimando o impacto financeiro da segurança de dados
Os KPIs financeiros para segurança de dados são imprescindíveis ao apresentar iniciativas de segurança aos stakeholders. A apresentação se torna ainda mais impressionante quando benchmarks da indústria relevantes podem ser fornecidos.
O relatório da Verizon, assim como o relatório da IBM (realizado pelo Instituto Ponemon), compartilham alguns insights nesse contexto. Às vezes, os dados são contraditórios. Por exemplo, você encontrará que os custos de uma violação de dados por registro variam significativamente. O relatório da IBM fornece uma faixa de $150-$175, enquanto de acordo com o relatório da Verizon (veja o Data Breach Investigations Report, 2015), é em torno de $0,58. Ken Spinner compartilhou algumas explicações sobre o tema no TeachBeacon.
Como você pode estimar os custos de violação de dados no caso da sua organização?
Pode ser baseado nos custos diretos e indiretos:
- Custos diretos incluem o custo de análise forense, multas, compensações aos clientes.
- Custos indiretos referem-se à perda de clientes existentes e potenciais, funcionários, parceiros que ocorreram devido a uma violação de dados.
No scorecard de segurança de dados, podemos usar alguns benchmarks dos estudos Ponemon ou Verizon para a métrica de Custo de violação de dados por registro e multiplicá-lo pelo número de registros em risco.
Para fazer os cálculos, precisaremos ter alguns dados comerciais básicos:
- LTV (valor do tempo de vida do cliente)
- Estimativa de churn de clientes devido à violação de dados
- Número de clientes
- Número de registros em risco
- Clientes potenciais perdidos
Respeitivamente, o impacto direto de uma violação de dados pode ser calculado como:
- Custos de violação de dados (custos diretos) = Custo de violação de dados por registro * O número de registros em risco
Quanto aos custos indiretos, uma maneira de quantificá-los é usar a taxa de churn de clientes devido à violação de dados e o LTV:
- Custo de churn de clientes = [Número de clientes]*[LTV]*[Churn de clientes devido à violação de dados]/100
Além disso, você pode estimar o número de clientes potenciais que não assinaram o contrato.
- Custo de oportunidade perdida = [Clientes potenciais perdidos] * [LTV]
Perspectiva do cliente. Quantificando os riscos de segurança.
Para a perspectiva do cliente, o objetivo principal é formulado como:
- Mitigar os riscos de segurança e proteção de dados
Isso é qualificado por estes indicadores:
- Indicador de tendência Detecção precoce e resposta rápida aos riscos de dados que é o resultado dos objetivos da Perspectiva Interna
- Indicador de tendência Prontidão para Proteção de Dados
- Indicador de resultado Índice de risco ponderado
A lógica aqui é que a organização trabalha nos sistemas internos de segurança (quantificados por detecção precoce e resposta rápida aos riscos de dados) e introduz medidas necessárias de proteção de dados (quantificadas por Prontidão para Proteção de Dados) para melhor mitigar os riscos de segurança de dados conforme quantificado pelo Índice de risco ponderado.
- Ao construir uma estratégia de segurança de dados, certifique-se de que sua equipe entenda a diferença entre métricas para os fatores de sucesso (métricas de tendência) e as métricas para os resultados esperados (métricas de resultado).
Vamos discutir em detalhes os indicadores da perspectiva do cliente.
Índice de Risco Ponderado
O objetivo deste indicador é quantificar o nível de risco atual que a organização está enfrentando. Para isso, iremos quantificar o número de violações de dados categorizadas pelo seu nível de impacto:
- Eventos de risco crítico, peso 70%
- Eventos de risco importante, peso 20%
- Eventos de risco de nível médio, peso 7%
- Eventos de risco de nível baixo, peso 3%
Como você pode ver, foi aplicada uma escala de peso não linear. Com este modelo, violações de dados críticas têm o maior impacto na métrica do índice, enquanto eventos de nível baixo têm baixo impacto.
Esta abordagem aborda o problema de manipular o sistema de medição quando o indicador de controle é movido para a zona verde ao resolver questões menos significativas. Ainda assim, precisamos garantir que os eventos de risco sejam categorizados corretamente.
Se você estiver interessado em aprender mais sobre o cálculo dos indicadores de índice e levar em conta o peso dos indicadores, então dê uma olhada no artigo respectivo em nosso site.
Medição da proteção de dados ou privacidade de dados
Como explicado anteriormente, a proteção de dados refere-se ao uso ético e legal de Informações Pessoais Identificáveis (PII) e dados semelhantes.
As medidas de proteção, neste caso, são bem articuladas pela legislação aplicável. Na Europa, é o GDPR; nos EUA, existem diferentes leis dependendo do domínio de negócios, como CCPA, HIPPA, PCI DSS, GLBA.
Se tomarmos o GDPR como exemplo, do ponto de vista da medição, a proteção de dados pode ser rastreada por um indicador de índice, Prontidão para a Proteção de Dados, que é calculado usando métricas como:
- Oficial de proteção de dados nomeado
- Rastreamento de consentimento explícito
- Procedimento de reporte de violação de dados
- Direito de acesso, retificação, apagamento implementado
- Direito à portabilidade de dados
Esses indicadores podem ser detalhados em casos mais específicos aplicáveis à organização, seus produtos e serviços.
Para garantir a conformidade regulamentar, esses indicadores, bem como os requisitos legais, devem ser revisados regularmente. Isso pode ser automatizado pela função de intervalo de atualização para o respectivo indicador. Veja a seção de Automação abaixo para exemplos mais específicos.
Perspectiva interna. Como mitigar riscos de segurança de dados
Para encontrar os objetivos e os indicadores de desempenho para a perspectiva interna, precisamos fazer a análise da causa raiz e examinar os pontos de risco/custo encontrados.
Os resultados dependem do domínio de negócios e dos sistemas de negócios de uma organização específica. Ainda assim, há algumas tendências comuns que foram destacadas nos relatórios da IBM Security e da Verizon. Usaremos esses achados para formular os objetivos e KPIs para a perspectiva interna do scorecard.
Detecção precoce e resposta rápida aos riscos de dados
Se ocorrer uma violação de dados, uma resposta rápida em termos de detecção e resposta pode reduzir significativamente os custos.
No scorecard, isso é quantificado por dois indicadores de resultado:
- Tempo médio para detectar
- Tempo médio para responder
Os indicadores de resultado quantificam o que já aconteceu. Como uma organização pode influenciar esses indicadores? Os mesmos relatórios sugerem certas ações que tipicamente levam a uma melhor resposta de segurança de dados.
No modelo de scorecard, você encontrará dois registros alinhados com o objetivo de Detecção precoce e resposta rápida:
- Equipes de resposta a incidentes formadas. Este registro é marcado como um fator de sucesso. De acordo com o relatório de segurança da IBM, é uma das causas raiz para minimizar os impactos de violações de dados.
- Detecção de acesso a dados de alto risco. Com esta iniciativa, sua equipe pode priorizar seus esforços de acordo com o impacto de certos tipos de acesso a dados. Se você está procurando uma abordagem mais sistemática para priorização, confira o artigo sobre frameworks de priorização.
Existem dois outros indicadores de tendência no contexto do objetivo de Detecção precoce e resposta rápida. Ambos são baseados nas conclusões dos relatórios de segurança de dados mencionados acima:
- Desenvolver plano de mitigação de riscos
- Reduzir a complexidade de TI
Vamos discuti-los em detalhe.
Desenvolva um plano de mitigação de riscos
Ter um plano de mitigação de riscos é um fator de sucesso para uma resposta mais rápida à violação de dados.
Como podemos garantir que o plano existente para segurança de dados é bom?
Ele deve ser baseado em um modelo de risco atualizado que reflita a forma como os dados são geridos na organização. No scorecard de estratégia, isso é quantificado pelo indicador de tendência de auditorias regulares de segurança de dados, que é explicado nas perspectivas de Aprendizado e Crescimento.
Como sabemos que o plano de resposta a riscos sugerido é realmente eficaz?
Juntamente com atualizações regulares do plano de risco, poderíamos testar a aplicação do plano desenvolvido na prática. Isso é quantificado pelo indicador de resultado, teste de resposta a incidentes.
Reduzir a complexidade de TI e dados
Os estudos empíricos nomeiam vários outros fatores que ajudam a minimizar os custos de violação de dados, tais como:
- Complexidade da infraestrutura de TI
- Complexidade do esquema de dados
- Automação
No mapa estratégico, formulamos esses fatores dentro do objetivo Reduzir a complexidade de TI e dados.
Neste caso:
- Diminuir a complexidade de dados e TI é uma justificativa para o objetivo
- Limitar o acesso aos dados mais valiosos é um dos fatores de sucesso para diminuir a complexidade das soluções de TI necessárias
- Automatizar testes de vulnerabilidade e conformidade é uma ampla iniciativa para a automação de TI em segurança
Finalmente, se minimizar a complexidade é nomeado um dos fatores para uma melhor resposta a violações de dados, como podemos quantificá-lo?
A resposta é individual e depende do cenário de TI da sua organização. Para este scorecard, há um exemplo de Índice de complexidade de segurança de dados que é compilado de indicadores como:
- Número de usuários com o nível mais alto de acesso. A função de otimização para este indicador é definida como “Minimizar linearmente”, pois reduzir o número de usuários com acesso a dados sensíveis melhorará o desempenho geral do índice.
- Tempo para desativar credenciais de login. 7% das violações de dados são causadas por um insider malicioso. Desativar rapidamente as credenciais de login é uma das medidas de segurança de TI que pode reduzir esse percentual. O intervalo de tempo aceitável, neste caso, é muito curto. Para refletir essa ideia no scorecard, a função de otimização para este indicador é decadência exponencial.
- % de dados sensíveis controlados por software DLP. As soluções de prevenção de perda de dados são uma das formas de automatizar a segurança de TI. Enquanto as organizações lidam com novos dados, é importante revisar regularmente os modelos de dados para garantir que os dados sensíveis sejam acessíveis pelas ferramentas DLP (Prevenção de Perda de Dados).
- Criptografia e backup de dados automatizados. Semelhante ao indicador anterior, estamos interessados em ter um modelo de dados atualizado e garantir que os dados sensíveis sejam geridos adequadamente.
- % de software de segurança atualizado. Esta métrica parece simples, mas estudos contam uma história diferente. A causa raiz de 16% das violações de dados é a vulnerabilidade em software de terceiros. Os fornecedores de software lançam regularmente atualizações que corrigem vulnerabilidades. Ter as últimas atualizações instaladas é um dos fatores de sucesso para minimizar os riscos de segurança.
- Cobertura de automação, % o indicador compara o nível de automação que é possível com o nível atual de automação. Maior automação reduz o impacto de fatores humanos e reduz a complexidade para as partes interessadas.
Estes são apenas exemplos de algumas métricas que podem quantificar a complexidade no caso de segurança de dados. Uma abordagem mais robusta à complexidade deve incluir uma análise mais profunda das partes interessadas, encontrando pontos de complexidades ruins e elaborando uma estratégia de redução de complexidade. No artigo anterior, discutimos métricas de complexidade e as maneiras de aplicá-las na prática.
Perspectiva de Aprendizado e Crescimento
Nesta perspectiva, temos dois grandes objetivos:
- Auditorias regulares de segurança de dados objetivo que ajuda a focar na infraestrutura adequada para a segurança de dados.
- Treinar funcionários em segurança de dados objetivo que se concentra em fornecer à sua equipe o conhecimento e as habilidades atualizadas necessárias para prevenir violações de dados ou minimizar seu impacto.
Vamos dar uma olhada em como esses objetivos são formulados no mapa estratégico.
Auditorias regulares de segurança de dados
Temos uma justificativa Analisar riscos de cibersegurança alinhada com o objetivo. Quais são esses riscos típicos de cibersegurança? Na descrição da justificativa, temos alguns exemplos:
- Ciberataques
- Ransomware
- Malware
- Ameaças internas
- Credenciais perdidas/roubadas
- Acesso não autorizado
- Perda de dados
- Corrupção de dados
Há uma hipótese, O trabalho remoto está impactando a segurança de dados alinhada com o objetivo. Para muitas organizações, o trabalho remoto foi parte de sua estratégia anticrise em resposta à Covid-19.
Existem dois indicadores de tendência:
- Análise regular de riscos – uma análise geral dos novos riscos
- Avaliar regularmente o risco de dados sensíveis – uma análise mais específica no contexto de dados sensíveis
Ambos os indicadores estão configurados para serem atualizados em uma base trimestral.
Existem várias métricas que ajudam a quantificar os esforços da equipe de segurança na análise da situação atual de risco e no aprendizado com ela:
- Varredura de vulnerabilidades – normalmente, varredura automatizada feita pela equipe de TI
- Teste de penetração (pen test) – uma simulação de um ataque cibernético
- Teste de equipe vermelha – teste de segurança em maior escala que envolve mais participantes
Os respectivos KPIs estão configurados para diferentes intervalos de atualização:
- A varredura automatizada de vulnerabilidades pode ser feita semanalmente ou mensalmente.
- Dependendo do modelo de risco, um pen test pode ser realizado trimestralmente.
- Finalmente, o indicador para o teste de equipe vermelha, que demanda mais recursos, está configurado para intervalo de atualização semestral ou anual.
Os procedimentos de análise e teste de riscos são projetados para encontrar pontos fracos no sistema de segurança. Como sabemos que as lições aprendidas com essas simulações e testes são efetivamente implementadas? Para encontrar a resposta a esta pergunta, podemos rastrear:
- O número de violações de dados recorrentes indicador.
Se a violação de dados do mesmo tipo tiver ocorrências repetidas, é um sinal de que o plano de mitigação de riscos sugerido pela equipe de segurança não é tão eficaz quanto esperado.
Treine os funcionários sobre segurança de dados
O fator humano continua sendo um dos maiores riscos de qualquer sistema de segurança de dados. De acordo com o relatório de Segurança da IBM, cerca de 36% das violações de dados maliciosos estão associadas ao comportamento humano (phishing, engenharia social, credenciais comprometidas).
Como a estratégia de segurança de dados pode ser projetada para mitigar esses riscos de forma eficaz?
Uma das soluções é automatizar certas operações e reduzir o papel do operador humano. Isso ressoa muito com o objetivo de Redução de complexidade que discutimos na perspectiva interna.
Para os demais casos, onde a automação não é possível ou não é rentável, a educação é a resposta. Como focar os esforços educacionais no contexto de segurança de dados? Podemos usar um par de indicadores de tendência e de resultado!
- Indicador de tendência: a Taxa de penetração de treinamento em segurança de dados pode ser usada para acompanhar a cobertura do treinamento de conscientização em segurança de dados, onde os participantes podem aprender, por exemplo, sobre práticas de phishing e como evitá-las.
- O melhor indicador de resultado, neste caso, deve se concentrar no impacto tangível do treinamento de conscientização. Se entender as práticas de phishing foi um dos tópicos do treinamento, conduza um Teste de Phishing e veja se os funcionários realmente utilizam os ensinamentos do treinamento. Isso pode ser quantificado no scorecard com o indicador Taxa de sucesso no teste de phishing.
Se educar os funcionários sobre segurança de dados é sua prioridade agora, então sua equipe de segurança pode projetar um scorecard de avaliação de treinamento usando o modelo de níveis de Kirkpatrick, conforme discutido neste artigo.
Automação para o Scorecard de Segurança de Dados
Discutimos um exemplo de um scorecard de estratégia que ajuda a descrever, implementar e executar a estratégia de segurança de dados em sua organização.
Este scorecard está disponível como um dos modelos gratuitos no BSC Designer Online, para que você possa se inscrever com uma conta de plano gratuito e começar a personalizá-lo de acordo com suas necessidades.
Conheça o Custo Total da Estratégia
Mencionamos que uma das razões para ter um scorecard de estratégia para segurança de dados é que ele facilitará a apresentação de novas iniciativas aos stakeholders.
O custo da estratégia sugerida é uma das primeiras questões que estarão na mesa. O custo para executar a estratégia pode ser estimado como a soma dos custos de todos os objetivos de negócios e suas respectivas iniciativas.
Se você usar o BSC Designer como uma ferramenta de automação, poderá atribuir orçamentos às iniciativas e controlar seu uso. O software será capaz de gerar um relatório de custo da estratégia para apresentar um custo total esperado para executar a estratégia.
Visualize dados importantes nos dashboards
Outro pedido típico dos stakeholders é ter os dados para tomar as decisões corretas (antes, falamos sobre decisões baseadas em dados). Por si só, o mapa estratégico contém muitos dados. Outra abordagem é construir um dashboard de BI que possa ser configurado para exibir os indicadores mais importantes e seus dados.
No modelo de estratégia para este artigo, temos dois dashboards (você pode alternar entre eles).
O Dashboard de Índice de Risco é focado exclusivamente nos indicadores de índice de risco que usamos para quantificar a situação atual de risco. Com os diagramas do dashboard, podemos ver:
- Riscos atuais visualizados nos gráficos de medidor
- Como o índice de risco mudou ao longo do tempo
- A contribuição de cada indicador para o índice de risco no gráfico de peso
Outro dashboard é o Índice de Complexidade de Segurança de Dados. Como discutimos, as más complexidades dos sistemas de segurança são o fator de maiores riscos de violação de dados. Este dashboard visualiza o estado atual da complexidade conforme quantificado pelos indicadores selecionados.
Analisando dados de desempenho
Coletar dados de desempenho na forma de KPIs é algo que a maioria das organizações faz regularmente. Não importa qual ferramenta de automação é usada, há muitos dados disponíveis.
A questão é sempre como usar esses dados e convertê-los em informações acionáveis. Alguns insights acontecem quando a equipe discute um mapa estratégico ou um dashboard; encontrar outros insights pode ser automatizado.
Nesse sentido, a função de Análise no BSC Designer ajuda bastante. Aqui estão alguns exemplos:
- A maioria dos indicadores que discutimos precisa ser atualizada regularmente. Com a análise de Tempo de atualização, você pode encontrar os indicadores que precisam ser atualizados em breve ou aqueles que não foram atualizados a tempo. Isso também pode ser automatizado com a função de Alertas.
- Cada indicador no scorecard tem seu peso que reflete a importância do indicador. Com a análise de Peso absoluto, você pode encontrar os indicadores com o maior peso. Por exemplo, em nosso exemplo, o indicador Tempo médio de detecção tem um dos maiores pesos. Se sua equipe está considerando trabalhar em várias iniciativas, e uma delas promete detectar violações de dados mais rapidamente, então dê prioridade a essa.
- Às vezes, descobertas interessantes podem ser localizadas simplesmente observando como os dados de desempenho mudaram. Ganho ou perda rápida é um sinal de alguns novos fatores que devem ser analisados. Por que o indicador de Eventos de risco médio teve uma perda de 30% – foi o resultado de alguma atualização interna do sistema, ou é o problema de relatórios?
Mapear justificativas, fatores de sucesso e resultados esperados
No curso gratuito de planejamento estratégico, discutimos a importância de compreender o contexto empresarial de um objetivo. Não basta ter um objetivo bem descrito, é importante entender a razão por trás dele, seus fatores de sucesso e os resultados esperados que são valiosos para a organização.
Dê uma olhada no objetivo Reduzir a complexidade de TI e dados do modelo de scorecard:
- Há um registro de justificativa Diminuir complexidades de dados e TI que explica por que este objetivo é importante: “Alta complexidade dos sistemas de software e da infraestrutura de dados é um fator de risco para violação de dados.”
- Há também um fator de sucesso de diminuir complexidades – Limitar o acesso aos dados mais valiosos. Faz todo sentido no contexto do objetivo – menos acesso aos dados sensíveis reduz a complexidade do esquema de dados e reduz os riscos de violação de dados como resultado.
Em alguns casos, não temos um plano fixo para alcançar algo, em vez disso, lidamos com uma hipótese fundamentada. Os usuários do BSC Designer podem adicionar uma hipótese aos seus objetivos. Em nosso exemplo, havia uma hipótese, Trabalho remoto está impactando a segurança dos dados alinhada com Auditorias regulares de segurança de dados.
Conhecer os resultados esperados também é fundamental. Por exemplo, para o Treinar funcionários sobre segurança de dados, temos um resultado esperado chamado Gestão responsável de dados. O que isso significa na prática? Como podemos quantificar isso? Essas perguntas abrem a porta para uma discussão interessante.
Criar iniciativas com orçamentos, responsáveis e status
Para preencher a lacuna entre o planejamento estratégico e a execução, use as iniciativas para os objetivos. Vamos tomar a iniciativa Automatizar testes de vulnerabilidade e conformidade alinhada com Reduzir a complexidade de TI e dados.
- Como exatamente sua equipe vai trabalhar nesta iniciativa? Use o campo descrição para adicionar um plano de ação detalhado.
- Como está alinhada com outros planos de mitigação de riscos? Use a seção de documentos para vincular aos recursos relevantes. Em nosso exemplo, vinculamos ao exemplo de scorecard de TI.
- Quem é responsável por esta iniciativa? Atribua responsáveis para que eles recebam uma notificação quando algo relevante acontecer.
- Qual é o status atual da iniciativa? Atualize o status junto com o progresso da sua equipe trabalhando na iniciativa.
- Como você pode acompanhar o progresso no contexto desta iniciativa? Em nosso exemplo, vinculamos ao indicador cobertura de automação, % que forma um Índice de complexidade de segurança de dados.
Sessão de treinamento: 'Introdução ao Balanced Scorecard pela BSC Designer' é oferecida como parte do nosso programa de aprendizado contínuo e incluída com uma assinatura do BSC Designer.
As sessões de treinamento são realizadas semanalmente via Zoom, proporcionando insights práticos e orientação personalizada. Após a conclusão, os participantes recebem um certificado de participação. Explore todas as sessões de treinamento disponíveis aqui.
Conclusões
Neste artigo, discutimos um exemplo de uma estratégia de segurança de dados. Aqui estão as ideias mais importantes que discutimos:
- Existem fatores de risco conhecidos de violação de dados, bem como maneiras comprovadas de minimizar o impacto de incidentes de segurança.
- Ajude seus stakeholders a entenderem os custos diretos e indiretos das violações de dados.
- Foque sua estratégia em detectar problemas cedo e responder rapidamente.
- Tenha um plano de mitigação de risco e uma equipe de resposta para diminuir o impacto das violações de dados.
- Reduza as más complexidades dos sistemas de TI e esquemas de dados.
- Atualize regularmente os modelos de risco, teste seu ambiente de segurança.
- O fator humano é um dos pontos de risco – eduque sua equipe, observe as mudanças no comportamento, não apenas nas notas de exames formais.
O que vem a seguir? Uma boa estratégia cibernética é feita sob medida de acordo com as necessidades da sua organização. Use o modelo de estratégia de segurança discutido neste artigo como ponto de partida para começar a construir sua própria estratégia de segurança de dados. Fique à vontade para compartilhar seus desafios e descobertas nos comentários.
Use o modelo Data Security and Protection Scorecard
O BSC Designer ajuda as organizações a implementarem suas estratégias complexas:
- Inscreva-se para um plano gratuito na plataforma.
- Use o modelo
Data Security and Protection Scorecard como ponto de partida. Você o encontrará em Novo > Novo Scorecard > Mais Modelos.
- Siga o nosso Sistema de Implementação de Estratégia para alinhar as partes interessadas e ambições estratégicas em uma estratégia abrangente.
Comece hoje e veja como o BSC Designer pode simplificar a implementação da sua estratégia!
- Relatório de Custo de Violação de Dados. 2020, IBM Security ↩
- Relatório de Investigações de Violação de Dados 2020, 2020, Verizon ↩
- Pesquisa Global de Segurança da Informação, 2020, EY ↩
- Relatório M-TRENDS, 2020, FireEye ↩
Alexis é Consultor Sênior de Estratégia e CEO na BSC Designer, com mais de 20 anos de experiência em planejamento estratégico. Alexis desenvolveu o “Sistema de Implementação de Estratégia em 5 Passos” que ajuda empresas na implementação prática de suas estratégias. Ele é palestrante regular em conferências do setor e publicou mais de 100 artigos sobre estratégia e gestão de desempenho, incluindo o livro “Sistema de KPI em 10 Passos”. Seu trabalho é frequentemente citado em pesquisas acadêmicas.