A capability de Vulnerabilities Management é um pilar fundamental da camada de Cybersecurity no contexto da macro capability Operation.
Sua importância reside na identificação, avaliação e remediação de vulnerabilidades de segurança nos sistemas de TI, contribuindo para a proteção da infraestrutura e dos dados da organização contra ameaças cibernéticas.
Para mensurar o sucesso dessa capability, é necessário acompanhar uma série de KPIs usuais que fornecem insights valiosos sobre a eficácia das operações de gerenciamento de vulnerabilidades.
Abaixo, uma lista dos principais KPIs usualmente utilizados no mercado dentro do contexto do CIO Codex Capability Framework:
· Taxa de Identificação de Vulnerabilidades (Vulnerability Identification Rate): Mede a eficácia da capacidade em identificar vulnerabilidades nos sistemas de TI da organização ao longo do tempo.
· Taxa de Classificação de Risco (Risk Classification Rate): Avalia a capacidade de classificar as vulnerabilidades com base em sua gravidade e no potencial impacto nos sistemas e dados.
· Tempo Médio de Resposta a Vulnerabilidades (Mean Time to Remediate Vulnerabilities): Calcula o tempo médio necessário para a equipe de segurança remediação de vulnerabilidades após a identificação.
· Taxa de Cumprimento de Políticas de Segurança (Security Policy Compliance Rate): Avalia a conformidade com as políticas de segurança da organização relacionadas a vulnerabilidades.
· Taxa de Vulnerabilidades Críticas Remediadas (Critical Vulnerabilities Remediated Rate): Indica a frequência com que as vulnerabilidades críticas são corrigidas em relação ao total identificado.
· Taxa de Varreduras de Vulnerabilidade Concluídas (Completed Vulnerability Scans Rate): Mede a regularidade das varreduras de vulnerabilidades realizadas nos sistemas de TI.
· Taxa de Atualização de Patches (Patch Update Rate): Avalia a rapidez com que as atualizações de segurança são aplicadas após sua disponibilização.
· Taxa de Vulnerabilidades Recorrentes (Recurring Vulnerabilities Rate): Indica a frequência com que as mesmas vulnerabilidades reaparecem após a remediação.
· Taxa de Adoção de Melhores Práticas (Best Practices Adoption Rate): Avalia a implementação de melhores práticas de segurança recomendadas pela indústria.
· Tempo Médio de Avaliação de Risco (Mean Time for Risk Assessment): Calcula o tempo médio necessário para avaliar o risco de vulnerabilidades após sua identificação.
· Taxa de Vulnerabilidades Não Corrigidas (Unresolved Vulnerabilities Rate): Indica a porcentagem de vulnerabilidades identificadas que permanecem não corrigidas.
· Taxa de Relatórios de Vulnerabilidades (Vulnerability Reporting Rate): Mede a frequência com que relatórios de vulnerabilidades são gerados e compartilhados com as partes interessadas.
· Taxa de Colaboração Interdepartamental (Interdepartmental Collaboration Rate): Avalia a colaboração entre equipes de segurança cibernética, desenvolvimento de software e operações de TI para lidar com vulnerabilidades.
· Taxa de Cumprimento de SLAs de Remediação (Remediation SLA Compliance Rate): Indica a conformidade com os acordos de nível de serviço (SLAs) estabelecidos para a remediação de vulnerabilidades.
· Taxa de Treinamento em Gerenciamento de Vulnerabilidades (Vulnerability Management Training Rate): Avalia a porcentagem de membros da equipe que receberam treinamento em gerenciamento de vulnerabilidades.
Esses KPIs desempenham um papel fundamental na avaliação do desempenho da Vulnerabilities Management.
Eles fornecem uma visão abrangente das operações de segurança cibernética, ajudando as organizações a identificar áreas de melhoria, priorizar a remediação de vulnerabilidades críticas e manter a integridade de seus sistemas de TI e dados.
A medição constante desses indicadores é essencial para manter um ambiente seguro em um mundo digital em constante evolução.