No artigo anterior (Parte 1 - link no final) sobre Avaliação de Maturidade em Cybersecurity, abordamos a necessidade de um diagnóstico como primeiro passo para definir uma estratégia de segurança cibernética. Para tal, recomendamos o uso de modelos de maturidade com referências aos principais frameworks do mercado, para avaliar o nível de capacidade dos processos segundo o grau de atendimento às melhores práticas.

Quanto mais maturidade, menos risco.

Quanto mais risco, menos maturidade!

Níveis maiores de maturidade implicam necessariamente em menores riscos, pois para se atingir estágios superiores é preciso ter implementado mais controles, com mais eficácia.

Em segurança cibernética, uma referência é o CIS-RAM™2.1 (The Center for Internet Security Risk Assessment Method), publicado pelo @cisecurity, que avalia a postura de segurança das organizações em níveis de maturidade, calculados com base no grau de implementação dos Controles Críticos de Segurança (CIS Critical Security Controls, v8).

Assim, para cada Medida de Segurança, deve-se responder (1 a 5):

• Existe política escrita aprovada?
• Em quais sistemas o controle está implementado?
• Qual o grau de automatização da política?
• Como é o nível de reporte?

Com estes critérios, chega-se então aos níveis de maturidade de uma organização, indicadores que apontam o estágio de segurança de um contexto, ambiente, ou até mesmo um controle específico. Também a partir destes indicadores é possível comparar diferentes empresas ou partes da organização e definir de forma planejada um nível desejado de aumento da maturidade, a partir de ações e investimentos previstos.

Com a definição de um nível de maturidade futura, o orçamento da organização pode ser monitorado pelos controles do CIS e prestando contas da eficácia das ações de segurança com base no aumento previsto da maturidade de segurança cibernética esperada.

Boa semana a todos!

Alberto Bastos, @albastos

Link para o artigo anterior: Avaliação de Maturidade em Cybersecurity (parte 1).