Transformando uma estratégia de segurança cibernética em realidade

The frequency and cost of cyberattacks is accelerating. Globally, the cost of cybercrime is estimated to have risen from $445B in 2015 to over $2.2 trillion today. ¹ 1 McAfee, CNBC, Cybersecurity Ventures e Análise de BCG A frequência e o tamanho das violações de dados estão crescendo exponencialmente em todas as indústrias (Anexo 1). Em 2021, as principais organizações de quase todos os setores relataram ataques importantes, incluindo empresas de tecnologia, Automotivo , e Entidades governamentais .

Enquanto isso, os avanços na IA e na internet da Internet (IOT), combinados com as organizações da Pandemic-Acelerated Adondation, a expansão da adoção de trabalho de trabalho de trabalho de trabalho de trabalho de adoção de adoção de trabalho de adoção de adoção segurança cibernética (CS) e potencial para ataques. A transição para o 5G introduz outra gama inteira de vulnerabilidades perigosas relacionadas a software. De acordo com o Instituto Brookings, “nunca tenha as redes e serviços essenciais que definem nossas vidas, nossa economia e nossa segurança nacional tinham tantos participantes, cada um dependente do outro - e nenhum dos quais tem o final Responsabilidade pela segurança cibernética . ” Olhando para a frente, a computação quântica-que pode se espalhar em menos de 5 a 10 anos-tornará obsoleta os padrões de criptografia de hoje, com implicações principais adicionais para a segurança cibernética.

Cybersecurity has emerged as a critical risk management priority for public and private sector organizations alike. Spending on information security and risk management technology has increased dramatically and is estimated to reach $168B by the end of 2022 ² 2 Fonte: Gartner . A competição por talento escasso é feroz; Estima -se que 3,5 milhões Trabalhos de segurança cibernética em todo o mundo Vai ser preenchido este ano. Nesse contexto, CEOs, conselhos de diretores e acionistas estão ansiosos para entender a eficácia e o valor de seu investimento em segurança cibernética e sua contribuição geral para os negócios. Um artigo recente do Gartner listou o seguinte “ Cinco perguntas de segurança que seu conselho definitivamente fará ”, Assim como sua lógica subjacente e como um líder de segurança pode responder:

• Incidente: How did this happen? I thought you had this under control? What went wrong?
• Tradeoff: It sounds like we are 100% secure? Are you sure?
• Landscape: How bad is it out there? What about what happened at X company? How are we doing compared to others?
• Risk: Do we know what our risks are? What keeps you up at night?
• Performance: Are we appropriately allocating resources? Are we spending enough? Why are we spending so much?

Faced with such questions, CISOs must be able to evaluate and report on their cybersecurity program's maturity based on top-level risks and outcomes and demonstrate to Board members how their organization is performing against its industry and peers. Discussing risks with senior executives has also proven to be a challenge, absent a common language that can be understood by both technical and non-technical stakeholders. The problem for CISOs is that these stakeholders generally lack the technical knowledge needed to understand the details of cybersecurity initiatives, even at the Board level. Highly technical security metrics must be summarized into accurate, easily understood, business-relevant insights for management, Board, and shareholders’ meetings. This is where cybersecurity performance management can help.

Cybersecurity performance management is a process for evaluating the maturity of your cybersecurity program, systematically linking multiple levels of risk, metrics, investment and returns. When part of a coherent, ongoing process, these data-driven, dynamic measurements are valuable indicators of an organization's cybersecurity posture. Establishing a cybersecurity performance management program helps to baseline and prioritize what is important to the business, ensuring alignment with organizational goals and risk appetite, improving visibility, and achieving better outcomes from your security investment. Measuring cybersecurity performance across a range of relevant metrics allows organizations to target improvements, reducing vulnerability through corrective action.

O gerenciamento de desempenho de segurança cibernética permite que CIOs e CISOs respondam às perguntas anteriores, bem como:

• Como estamos nos apresentando contra nossas estruturas de controle de segurança cibernética adotadas? Caso contrário, onde os investimentos precisam ser aumentados e por quê? estrutura como parte de um programa de transformação de segurança cibernética maior. Seu objetivo era rastrear o progresso e o impacto da execução do programa, fornecendo uma imagem completa da maturidade da segurança cibernética da STC. A estrutura foi implementada, revisada e aprimorada nos últimos três anos e permitiu que a STC realizasse com sucesso sua estratégia de segurança cibernética. Neste artigo, o STC e o BCG gostariam de compartilhar a experiência e as lições aprendidas ao longo desta jornada. A visão de segurança cibernética e a missão desempenham papel crítico na comunicação do objetivo da segurança cibernética às partes interessadas, desenvolvendo uma estratégia de CS e medindo seu desempenho e sucesso. Alinhar a direção da cibersegurança à estratégia de negócios é extremamente importante para refletir o contexto interno e externo, mitigar os riscos e permitir os negócios. Uma estrutura robusta de gerenciamento de desempenho é definida de cima para baixo (Anexo 2). Os principais indicadores de desempenho (KPIs) e métricas são derivadas de iniciativas para alcançar objetivos estratégicos relacionados às áreas de foco e recursos de CS (por exemplo, risco, governança, conformidade, defesa) que moldam a prática de segurança cibernética e garantem o alinhamento dos negócios.
• What is our current maturity level?
• Are we making adequate investments? If not, where do investments need to be increased and why?
• What is our ideal future run-rate investment on cybersecurity?
• How much risk will we have once our run-rate is achieved?

Starting in 2019, Saudi Telecom Company (stc) partnered with Boston Consulting Group (BCG) to introduce a robust cybersecurity performance management framework as part of a larger cybersecurity transformation program. Its purpose was to track program execution progress and impact while providing a complete picture of stc’s cybersecurity maturity. The framework has been implemented, reviewed, and improved over the past three years and has allowed stc to successfully realize its cybersecurity strategy. In this paper, stc and BCG would like to share the experience and lessons learned throughout this journey.

Performance Management Framework

Shape the Cybersecurity Practice and Set the Direction

An effective performance management framework is derived from the cybersecurity strategy, that is driven in turn by the vision and mission of the CS program. Cybersecurity vision and mission play critical role in communicating the purpose of cybersecurity to stakeholders, developing a CS strategy, and measuring its performance and success. Aligning the cybersecurity direction with business strategy is extremely important to reflect the internal and external context, mitigate risks and enable the business. A robust performance management framework is defined from the top down (Exhibit 2). Key Performance Indicators (KPIs) and metrics are derived from initiatives to achieve strategic objectives related to focus areas and CS capabilities (e.g., risk, governance, compliance, defense) that shape the cybersecurity practice and ensure business alignment.

Quantificação de cibersegurança Postura e maturidade

 É de vital importância que as organizações tenham uma compreensão precisa de onde estão e a melhor forma de melhorar. O desempenho robusto de segurança cibernética começa com uma estrutura bem definida que permite às organizações elevar e comparar o desempenho em uma ampla gama de capacidades de CS, incluindo estratégia, alinhamento de negócios, modelos operacionais, governança, risco, conformidade, defesa, etc. em 2019, com o suporte do BCG, STC estabelecido um detalhado | A estrutura identifica 30 iniciativas para moldar as práticas de segurança cibernética e definir a direção, aplicar a estratégia, criar recursos de CS e proteger o negócio. Reflete padrões internacionais e práticas recomendadas da NIST, ISO 27001 e Gartner. Juntamente com a estrutura, um modelo personalizadoCybersecurity Framework. The framework identifies 30 initiatives to shape the cybersecurity practices and set the direction, enforce strategy, build CS capabilities, and secure the business. It reflects international standards and best practices from NIST, ISO 27001, and Gartner. Along with the framework, a tailored Modelo de maturidade foi estabelecido e definido (Anexo 3), mostrando níveis de maturidade para cada capacidade de segurança cibernética. O modelo é usado nas avaliações de verificação de saúde para determinar a linha de base, bem como as metas anuais progressivas para a maturidade da segurança cibernética. pelo conselho, equipe executiva e operações de segurança. Além de fornecer uma imagem dos riscos e desempenho atuais, os painéis cuidadosamente construídos vinculam -se a objetivos estratégicos e de maturidade de longo prazo, destacando lacunas e requisitos de investimento e contas. Maturidade de suas capacidades de segurança cibernética. A estrutura de gerenciamento de desempenho mede o sucesso por meio de três conjuntos de

Cybersecurity performance measurement and management should enable CISOs to automatically generate dynamic, visual dashboards for use by the Board, executive team, and security operations. In addition to providing a picture of current risks and performance, thoughtfully constructed dashboards link to longer term strategic and maturity goals, highlighting gaps and investment requirement, and accountabilities.

Define Cybersecurity Performance Management and Metrics

stc adopted a cybersecurity strategy and developed its performance management framework with assistance from BCG, as part of a larger effort to transform and advance the maturity of its cybersecurity capabilities. The performance management framework measures success via three sets of Métricas, cada uma focada em um aspecto diferente do desempenho. Da maioria dos granulares à mais estratégica:

1. Índice de Execução Rastreia a implementação de iniciativas de estratégia. Ele responde à pergunta: Estamos no caminho certo? Ele responde à pergunta:
2. Maturity Index measures advances in security capabilities. It answers the question: Estamos melhorando? Eles respondem à pergunta:
3. Transformational KPIs monitor the impact of delivering on our strategic objectives toward a more robust security organization. They answer the question: Estamos realizando impacto nos negócios? Os KPIs são os indicadores críticos de progresso em direção a um resultado pretendido. Eles fornecem um foco para a melhoria estratégica e operacional, criam uma base analítica para a tomada de decisão e ajudam a manter a atenção sobre o que mais importa. Como Peter Drucker disse: “O que é medido é feito.”

Each Performance Metric is composed of connected sets of KPIs. KPIs are the critical indicators of progress toward an intended result. They provide a focus for strategic and operational improvement, create an analytical basis for decision making, and help keep attention on what matters most. As Peter Drucker famously said, “what gets measured gets done.”

dentro da estrutura de gerenciamento de desempenho, cada iniciativa de estratégia de segurança cibernética é traduzida em KPIs de maturidade, que são então agregados em um programa de cibercuriosas no programa de ciberagem. O nível de maturidade por iniciativa é calculado pela agregação dos níveis individuais de maturidade de seus KPIs. Por exemplo, a "Arquitetura de Segurança" é uma iniciativa que pode incluir KPIs de maturidade em torno da arquitetura de rede, arquitetura de aplicativos e arquitetura de terminais. Outro exemplo é "Proteção do terminal", que pode se traduzir em KPIs relacionados a um conjunto de proteção de endpoint, solução de DLP e integração do Cyber ​​Defense Center (CDC). Eles podem serMaturity Index for the cybersecurity program across initiatives. Maturity level per initiative is calculated by aggregating the individual maturity levels of its KPIs. For example, ‘Security Architecture’ is an initiative that may include maturity KPIs around the network architecture, application architecture and endpoint architecture. Another example is ‘Endpoint Protection’, which might translate into KPIs related to an endpoint protection suite, DLP solution, and Cyber Defense Center (CDC) integration.

All KPIs are based on measurements. They may be either Qualitativa ou Quantitative, com métricas qualitativas relatadas como palavras em níveis, declarações e cartas e quantitativas relatadas como números, incluindo proporções e ratósos (exposição 3). Por exemplo, 'Desenvolvimento e Manutenção de Estruturas' é um KPI qualitativo, então medido em termos de níveis de maturidade: L1 Frameworks não desenvolvidos, as estruturas L2 desenvolvidas, as estruturas L3 incluem processos de alto nível, as estruturas L4 incluem as partes interessadas relevantes e as estruturas L5 foram revisadas nos últimos 12 meses. Os proprietários qualitativos de métricas precisam fornecer prova de conclusão para garantir a medição objetiva, como a estrutura revisada nos últimos 12 meses, o alinhamento validado ou as alterações implementadas e documentadas. O tempo da ocorrência de incidentes à detecção é um KPI quantitativo, medido pelo tempo médio da ocorrência até a detecção de incidentes de segurança. Programas, a implementação foi fundamental para o sucesso da estratégia de segurança cibernética da STC. Nesta seção, compartilhamos o que funcionou para o STC - algumas decisões que valeram a pena e as lições aprendidas ao longo do caminho. O gerenciamento de desempenho da cibersegurança eficaz depende da disposição dos executivos de priorizar, reforçar e se envolver de maneira contínua com os esforços de melhoria de segurança cibernética. Não é apenas a tecnologia que deve mudar, mas o comportamento das pessoas em toda a organização - e que requer compromisso de liderança. Os executivos podem demonstrar seu apoio de várias maneiras, por exemplo:

Implementing the New Approach

As with so many transformation programs, implementation was key to the success of stc’s cybersecurity strategy. In this section we share what worked for stc – some decisions that paid off and lessons learned along the way.

Executive support is essential

Executive support is the most important key success factor. Effective cybersecurity performance management hinges on executives’ willingness to prioritize, reinforce, and engage in an ongoing way with cybersecurity improvement efforts. It’s not just technology that must change, but people’s behavior throughout the organization – and that requires leadership commitment. Executives can demonstrate their support in several ways, for example:

• participando do desenvolvimento de KPIs que conectam a visão e a estratégia de negócios ao desempenho da segurança cibernética. metas. e métricas.  Seu alinhamento com a estratégia corporativa e o plano de investimento é crucial; A cibersegurança é um facilitador de negócios essencial, à medida que as organizações se tornam cada vez mais consumidores pesados ​​de tecnologia e dados. Procure KPIs que vinculem a estratégia de segurança cibernética aos objetivos estratégicos corporativos. Especialmente porque está vinculado ao gerenciamento de desempenho, esse é um esforço contínuo. O STC encontrou uma chave para o sucesso era manter o progresso no caminho certo e remover os obstáculos em tempo hábil - portanto, construir esse processo no desenvolvimento da estratégia evitará atrasos posteriormente.
• Educating themselves and the Board so they can ask better questions and make business decisions that align with cybersecurity objectives.
• Investing the resources needed to meet cybersecurity maturity targets.
• Encouraging business owners to engage and align around their cybersecurity KPIs and targets.

Start with your cybersecurity strategy

Strategy is the starting point to achieving real business value from a cybersecurity program. Cybersecurity strategy includes vision, mission, strategic objectives, strategic initiatives, KPIs, and metrics.  Its alignment with the corporate strategy and investment plan is crucial; cybersecurity is a key business enabler as organizations become increasingly heavy consumers of technology and data. Look for KPIs that link cybersecurity strategy to corporate strategic objectives.

Make sure that your cybersecurity strategy is not a just a static document but includes a defined process for execution and outcome tracking. Especially since it is linked to performance management, this is an ongoing effort. stc found a key to success was keeping progress on track and removing obstacles in timely manner – so building that process into the strategy development will avoid delays later.

Escolha e defina os KPIs certos

Desenvolver os principais indicadores de desempenho pode ser complicado. Os KPIs precisam ser bem definidos e ponderados de acordo com os objetivos de negócios críticos ou principais. O Anexo 4 ilustra a abordagem da STC para definir KPIs. A manchete não é suficiente. A STC criou um cartão para cada KPI resumindo seu nome, ID, afiliação de iniciativas, proprietário, frequência de medição, fonte de dados, descrição e justificativa, fórmula de medição, nível de desempenho, destino e ponderação de índice. Além de fazer com que CS e partes interessadas dos negócios pensem nos detalhes de cada KPI, os cartões aumentam a confiabilidade do rastreamento e fornecem consistência importante em diversos KPIs. No catálogo KPI

• KPI name: reflects what this KPI is meant to measure in easy-to-understand language
• KPI ID: unique identity code to be used in the KPI catalogue
• Iniciativa: Nome da iniciativa que está ligada a este KPI
• PROPRIETÁRIO: person responsible for providing KPI metrics to the Performance Management Team along with evidence
• Measurement frequency: reporting cycle for the KPI – may be monthly, quarterly, or annually
• Fonte de dados: Ferramenta ou método acordado para fornecer evidências para a métrica KPI relatada - subsequentemente validada pela equipe de gerenciamento de desempenho
• raciona e descrição: | IMPORTANTE explain the KPI itself and why it is important
• FORMULA: Como calcular o valor KPI
• Nível de desempenho: Escala para definir diferentes níveis de maturidade, a ser avaliado em relação ao destino definido || Tempo
• Targets: expected maturity level to be achieved – typically increasing over time
• Peso: Se você tiver um KPI que tenha um sub-kpis, a ponderação é atribuída em sub-kpis proporcionalmente de acordo com a importância e a contribuição.

Garanta um processo claro para a coleta e validação do KPI

Chave para um programa em andamento eficaz.stc estabeleceu um formal== Gerenciamento de desempenho Os relatórios do KPI são coletados com base em seu ciclo definido (mensalmente, trimestral, anualmente) ou em uma solicitação específica da gerência. Os proprietários do KPI fornecem valores atuais à equipe de gerenciamento de desempenho, incluindo evidências relevantes para garantir a transparência sobre como os valores foram derivados e corroborar os valores fornecidos. Essa responsabilidade clara - proprietários de KPI, equipe de gerenciamento de desempenho - é essencial para um programa em andamento eficaz. Se as evidências fornecidas não corresponderem aos valores enviados, eles solicitam que o proprietário do KPI reenvie. Existem dois níveis gerais de validação para cada KPI: responsible for identifying KPIs, collecting reports, and validating data. KPI reports are collected based on their defined cycle (monthly, quarterly, yearly) or upon a specific request from management. The KPI owners provide current values to the Performance Management Team including relevant evidence to ensure transparency on how the values were derived and corroborate the provided values. This clear accountability – KPI owners, Performance Management Team – is key to an effective ongoing program.

The Performance Team then validates the values. If the provided evidence does not correspond with submitted values, they request the KPI owner to resubmit. There are two general validation levels for each KPI:

1. Nível 1: Precisão da fonte de dados. Por exemplo, se a métrica qualitativa disser: “As estruturas foram revisadas nos últimos 12 meses”, o registro de documentação deve mostrar as alterações nos últimos 12 meses. O estágio de validação está completo e os valores enviados para o ciclo são aceitos, a análise começa, comparando os valores reais do KPI com seus alvos. Esta é essencialmente a etapa que nos leva do desempenho Making sure that the submitted evidence is from the data source identified in the KPI definition.
2. Level 2: Consistency of the data. Making sure that evidence supports and is consistent with the value assigned. For example, if the qualitative metric says, “frameworks have been reviewed in past 12 months”, then the documentation log should show the changes during past 12 months.

After validating the data, the Performance Management Team aggregates all collected values into dashboard to report to management.

Use Trend Analysis to Track Cybersecurity Performance Over Time vs. Maturity Targets

Once the validation stage is complete and submitted values for the cycle are accepted, analysis begins, comparing actual KPI values with their targets. This is essentially the step that takes us from performance Medição para o desempenho Management. Os relatórios de análise de tendências devem capturar quaisquer grandes desvios do alvo de maturidade da segurança cibernética do KPI ou das iniciativas de execução da estratégia de segurança cibernética. Os resultados são então fornecidos à alta gerência, que podem avaliar essas tendências contra metas de segurança cibernética e objetivos estratégicos.

Monitoramento de métricas de segurança cibernética, revisão e melhorias contínuas

Relatórios periódicos e reuniões do comitê

Medições de KPI de segurança cibernética e os níveis de maturidade aos quais agregam, são informações importantes para a tomada de decisão da CISO. Mas eles também devem ser compartilhados além do departamento de segurança cibernética e incorporados às avaliações de scorecard equilibradas da liderança. Isso deve acontecer pelo menos trimestralmente ou, mais comumente, mensalmente com base nas necessidades de uma organização. Especialmente quando uma organização está tentando rastrear os efeitos de uma mudança importante ou em outras situações em que o feedback rápido é necessário, os relatórios devem ser gerados e compartilhados mensalmente.  Eles permitem que os líderes empresariais monitorem questões de desempenho e forneçam suporte oportuno.

STC usa dois principais relatórios de desempenho de segurança cibernética:

• Relatório de alto nível de métricas de desempenho de segurança cibernética. Indicadores selecionados, incluindo a pontuação geral do nível de maturidade, juntamente com as pontuações de maturidade para cada iniciativa estratégica. Isso dá à alta gerência o “quadro geral” do desempenho da segurança cibernética.
• Relatório detalhado das métricas de desempenho de segurança cibernética. Usado em conjunto com o relatório de alto nível, este relatório mais detalhado inclui pontuações e análises no nível de maturidade para cada KPI, quebrado por iniciativa e departamento. Este relatório é normalmente usado pelo gerenciamento de segurança cibernética, em discussão com os proprietários de KPI. Usando o Relatório de Métricas de Desempenho de Segurança Cibernética detalhada como sua principal fonte de referência, esse comitê se reúne mensalmente para:

A cybersecurity Performance Management Committee (PMC) is responsible for monitoring performance and guiding the execution of Cyber Operations and Strategy. Using the detailed cybersecurity performance metrics report as its main source of reference, this committee meets on monthly basis to:

• Revise cada departamento KPIs (unidade de estratégia e função KPIs)
• Validar KPIs e confirmar que eles permanecem adequados para fins de fins fins Dependências e desafios cruzados e multifuncionais
• Monitor strategic initiatives’ execution status and target milestones
• Highlight and address cross-functional dependencies and challenges
• Provide support as needed
• Realign, refresh, and improve sector strategic direction and operational excellence
• Monitor strategy execution risks and ensure proper mitigation steps are considered
• Improve strategic and operational execution, updating projects, tasks, processes, and procedures as needed
• Aprovar quaisquer solicitações de alteração do KPI

Gerenciamento de mudança de mudança de segurança cibernética

Os índices de maturidade são usados ​​para medir a postura geral de segurança da organização. Seguindo o princípio de "Você obtém o que mede", é importante escolher as métricas certas e ajustá -las, se necessário. Especialmente no primeiro ano de operação, ou quando as condições estão mudando rapidamente, a abordagem deve ser flexível o suficiente para acomodar o aprendizado da experiência. Não é necessário esperar até o final de um ciclo de melhoria. Os KPIs podem ser ajustados durante o ano, se necessário, por exemplo, se:

• Mandatos ou estrutura de segurança cibernética tiverem mudado
• Novos regulamentos foram lançados
• Os novos recursos do KPI: a sua definição não são necessários.
• The existing KPI or its definition is not yielding the necessary information

To adjust a KPI, stc requires a Solicitação de alteração (CR) a ser preenchido pelo seu proprietário, incluindo justificação para a alteração. Depois que o gerente do proprietário da KPI aprova a solicitação, ele vai para a equipe de gerenciamento de desempenho de segurança cibernética para revisão e feedback. Finalmente, depois que o proprietário do KPI e a equipe de gerenciamento de desempenho estão alinhados, o CR precisa ser aprovado pelo PMC. Essa revisão pode cobrir a lógica, a fórmula, as metas e o ciclo de relatórios de cada KPI.

In addition to ad hoc changes of the kind noted above, an organization should build periodic metrics review and improvement into its cybersecurity performance management process. Such a review might cover each KPI’s rationale, formula, targets, and reporting cycle.

Realização dos benefícios

Empresas em todo o mundo estão redobrando seu foco na segurança cibernética como uma capacidade crítica nos negócios. Cada vez mais, eles estão reconhecendo a necessidade de abordagens holísticas, integradas à sua estratégia e objetivos de negócios. Since introducing their cybersecurity strategy and performance management program in 2019, stc has seen a host of benefits including:

• An end-to-end cybersecurity strategy that builds capabilities, strengthens foundational controls, implements advanced controls, and sharpens monitoring.
• Robust cybersecurity performance management that plays a significant role in elevating cybersecurity maturity, improving accountability and task Propriedade. (O STC ampliou o suporte e a orientação às subsidiárias para implementar a estratégia de segurança cibernética e medir suas capacidades de segurança cibernética por meio de pacotes de desempenho personalizados para cada subsidiária.)
• Elevated cybersecurity maturity and strategy alignment across group subsidiaries. (stc extended support and guidance to subsidiaries to implement cybersecurity strategy, and measure their cybersecurity capabilities through customized performance packages for each subsidiary.)

com aumentos dramáticos em ritmo cibernético, que se movem para se manter em frente para que as práticas de manutenção de cyberattacks. Em resposta a essa necessidade, e em reconhecimento que a segurança cibernética é uma prioridade global urgente, a STC e o BCG ficam felizes em compartilhar este artigo.