Grupo lançará métricas uniformes para medir a segurança de TI

Centro de Segurança da Internet (CIS) está definido para liberar diretrizes sobre como as empresas podem medir o estado da segurança de sua organização e lançar um serviço para as empresas compararem seu desempenho com seus pares.

O mais recente projeto CIS O objetivo é descobrir se a segurança de TI de uma empresa ou organização está melhorando ou não, disse Bert Miuccio, CEO da CIS.

"O problema que passamos a reconhecer é que a segurança da informação os profissionais estão ficando cada vez mais confusos sobre como definir o sucesso ", disse Miuccio. "Eles sabem que a conformidade com requisitos regulatórios e estruturas de auditoria não necessariamente resultam em segurança aprimorada e não são as melhores medidas de sucesso."

[Leitura adicional: Como remover malware do seu PC com Windows]

CIS é um organização sem fins lucrativos financiada por empresas e outras organizações com interesse em segurança. Desde sua criação, em 2000, criou 40 benchmarks para configurações de segurança padrão para software, desde sistemas operacionais até middleware e dispositivos de rede. Os benchmarks, que são um download gratuito no site da CIS, destinam-se a ajudar as organizações a reduzir os riscos de segurança de TI.

Todo profissional de segurança tem definições diferentes para avaliar as medidas de segurança, disse Miuccio. O CIS reuniu 85 especialistas em segurança da informação para definir métodos para medir oito métricas diferentes. As métricas devem ser divulgadas no final de outubro ou início de novembro, disse Miuccio.

Duas são métricas de "resultado": o tempo médio entre incidentes de segurança e o tempo médio para se recuperar de incidentes de segurança. Os seis restantes estão relacionados ao processo: a porcentagem de sistemas configurados para padrões aprovados; a porcentagem de sistemas corrigidos para a política; porcentagem de sistemas com tecnologia antivírus; porcentagem de aplicativos de negócios que possui uma avaliação de risco; porcentagem de aplicativos de negócios que tenham uma avaliação de penetração ou vulnerabilidade; e porcentagem do código do aplicativo que possui uma avaliação de segurança ou revisão de código antes da implantação.

Juntamente com as métricas, a CIS planeja lançar na mesma época um serviço baseado em software para as empresas compararem como estão, em termos de segurança, contra outras empresas anônimas em seu mercado vertical. Esse tipo de comparação já é comumente usado para resultados financeiros e outros aspectos do desempenho dos negócios, como atendimento ao cliente.

"Isso não é feito na segurança da informação hoje", disse Miuccio. "Acreditamos que este serviço começará a permitir isso."