# Estratégia e métricas

## Introdução

A prática de estratégia e métricas no desenvolvimento de software visa criar um plano eficiente e eficaz para alcançar os objetivos de segurança. Isso envolve a seleção e priorização das atividades, a criação e divulgação de um programa de segurança de software e o acompanhamento da postura de segurança por meio de métricas. Medir é fundamental para obter uma visão precisa da situação atual.

## O modelo

<table data-full-width="true"><thead><tr><th data-type="number">Nível de maturidade</th><th>Descrição</th><th>Fluxo de criar e promover</th><th>Fluxo de medir e melhorar</th></tr></thead><tbody><tr><td>1</td><td>Identificar objetivos e meios de medir a eficácia do programa de segurança.</td><td>Identificar os direcionadores da organização conforme relacionados à tolerância ao risco da organização.</td><td>Estabeleça métricas que forneçam informações sobre a eficácia e eficiência do segurança de forma precisa e abrangente.</td></tr><tr><td>2</td><td>Estabeleça um roteiro estratégico unificado para a segurança de software dentro da organização.</td><td>Publicar uma estratégia unificada para a segurança de aplicativos.</td><td>Estabeleça metas e KPI's para medir a eficácia do programa.</td></tr><tr><td>3</td><td>Alinhar os esforços de segurança com os indicadores organizacionais relevantes e valores dos ativos de forma estratégica e eficiente.</td><td>Alinhar o programa de segurança de aplicativos para apoiar o crescimento da organização.</td><td>Influenciar a estratégia com base nas métricas e nas necessidades organizacionais.</td></tr></tbody></table>

## Como implementar?

1. **Identifique as motivações para desenvolver segurança dentro da organização:**
   * Danos à reputação da marca;&#x20;
   * Prejuízo financeiro;&#x20;
   * Roubo de dados/confidencialidade comprometida;&#x20;
   * Interrupção dos serviços ou operações;&#x20;
   * Multas ou penalidades regulatórias;&#x20;
   * Responsabilidade legal;&#x20;
   * Perda de clientes ou oportunidades de negócios.
2. **Alinhe os objetivos de segurança com sua equipe para evitar esses cenários:**
   * Implementar medidas de segurança robustas e atualizadas;
   * Conscientizar os funcionários sobre boas práticas de segurança;
   * Monitorar constantemente as ameaças e vulnerabilidades;
   * Estabelecer políticas de segurança claras e aplicáveis;
   * Garantir conformidade com regulamentos e padrões relevantes;
   * Responder rapidamente a incidentes de segurança;
   * Manter backups e planos de recuperação de dados eficazes.
3. **Quebre esses objetivos em tarefas menores:**
   * Realizar uma avaliação abrangente de segurança da rede e sistemas;
   * Implementar autenticação de dois fatores em todos os sistemas sensíveis;
   * Realizar treinamentos periódicos de conscientização em segurança para funcionários;
   * Atualizar regularmente o software e os sistemas com correção de segurança;
   * Realizar testes de penetração e análises de vulnerabilidades periodicamente;
   * Definir e revisar regularmente as políticas de segurança;
   * Realizar auditorias internas de conformidade;
   * Estabelecer um plano de resposta a incidentes detalhado e testá-lo regularmente;
   * Realizar backups frequentes e armazená-los em locais seguros.
4. **Estabeleça métodos para identificar a execução dessas tarefas:**
   * Estabelecer indicadores chave de desempenho (KPIs) relacionados à segurança;
   * Implementar um sistema de monitoramento de segurança em tempo real;
   * Realizar auditorias internas regulares para garantir a conformidade;
   * Manter registros detalhados das atividades de segurança e incidentes.
5. **Promova internamente o alcance de desses determinados objetivos:**
   * Reconheça e recompense os esforços da equipe em relação à segurança;
   * Compartilhe histórias de sucesso e melhores práticas relacionadas à segurança;
   * Realize treinamentos e workshops para aumentar a conscientização sobre segurança;
   * Inclua objetivos de segurança em revisões de desempenho e planejamento de carreira.