Estratégia e métricas

Introdução

A prática de estratégia e métricas no desenvolvimento de software visa criar um plano eficiente e eficaz para alcançar os objetivos de segurança. Isso envolve a seleção e priorização das atividades, a criação e divulgação de um programa de segurança de software e o acompanhamento da postura de segurança por meio de métricas. Medir é fundamental para obter uma visão precisa da situação atual.

O modelo

Nível de maturidade	Descrição	Fluxo de criar e promover	Fluxo de medir e melhorar
1	Identificar objetivos e meios de medir a eficácia do programa de segurança.	Identificar os direcionadores da organização conforme relacionados à tolerância ao risco da organização.	Estabeleça métricas que forneçam informações sobre a eficácia e eficiência do segurança de forma precisa e abrangente.
2	Estabeleça um roteiro estratégico unificado para a segurança de software dentro da organização.	Publicar uma estratégia unificada para a segurança de aplicativos.	Estabeleça metas e KPI's para medir a eficácia do programa.
3	Alinhar os esforços de segurança com os indicadores organizacionais relevantes e valores dos ativos de forma estratégica e eficiente.	Alinhar o programa de segurança de aplicativos para apoiar o crescimento da organização.	Influenciar a estratégia com base nas métricas e nas necessidades organizacionais.

Como implementar?

1. Identifique as motivações para desenvolver segurança dentro da organização:

   • Danos à reputação da marca;

   • Prejuízo financeiro;

   • Roubo de dados/confidencialidade comprometida;

   • Interrupção dos serviços ou operações;

   • Multas ou penalidades regulatórias;

   • Responsabilidade legal;

   • Perda de clientes ou oportunidades de negócios.

2. Alinhe os objetivos de segurança com sua equipe para evitar esses cenários:

   • Implementar medidas de segurança robustas e atualizadas;

   • Conscientizar os funcionários sobre boas práticas de segurança;

   • Monitorar constantemente as ameaças e vulnerabilidades;

   • Estabelecer políticas de segurança claras e aplicáveis;

   • Garantir conformidade com regulamentos e padrões relevantes;

   • Responder rapidamente a incidentes de segurança;

   • Manter backups e planos de recuperação de dados eficazes.

3. Quebre esses objetivos em tarefas menores:

   • Realizar uma avaliação abrangente de segurança da rede e sistemas;

   • Implementar autenticação de dois fatores em todos os sistemas sensíveis;

   • Realizar treinamentos periódicos de conscientização em segurança para funcionários;

   • Atualizar regularmente o software e os sistemas com correção de segurança;

   • Realizar testes de penetração e análises de vulnerabilidades periodicamente;

   • Definir e revisar regularmente as políticas de segurança;

   • Realizar auditorias internas de conformidade;

   • Estabelecer um plano de resposta a incidentes detalhado e testá-lo regularmente;

   • Realizar backups frequentes e armazená-los em locais seguros.

4. Estabeleça métodos para identificar a execução dessas tarefas:

   • Estabelecer indicadores chave de desempenho (KPIs) relacionados à segurança;

   • Implementar um sistema de monitoramento de segurança em tempo real;

   • Realizar auditorias internas regulares para garantir a conformidade;

   • Manter registros detalhados das atividades de segurança e incidentes.

5. Promova internamente o alcance de desses determinados objetivos:

   • Reconheça e recompense os esforços da equipe em relação à segurança;

   • Compartilhe histórias de sucesso e melhores práticas relacionadas à segurança;

   • Realize treinamentos e workshops para aumentar a conscientização sobre segurança;

   • Inclua objetivos de segurança em revisões de desempenho e planejamento de carreira.